通用数据保护条例

第一章 总则

第一条 主题与范围

本条例制定关于处理个人数据和个人数据自由流动的规则，保护自然人的基本权利和自由，特别是其个人数据保护权。

第二条 适用范围

本条例适用于：
（一）在欧盟境内设立的数据控制者或处理者在欧盟境内处理个人数据的活动；
（二）在欧盟境外设立的数据控制者或处理者向欧盟境内的数据主体提供商品或服务或监控其行为；
（三）在欧盟境外设立的数据控制者或处理者根据国际公法适用成员国法律的情形。

第三条 定义

在本条例中：
（一）"个人数据"是指任何已识别或可识别的自然人的信息；
（二）"处理"是指对个人数据进行的任何操作，如收集、记录、组织、结构化、存储、改编、检索、咨询、使用、披露、传播、排列、组合、限制、删除等；
（三）"数据主体"是指被处理个人数据所识别的自然人；
（四）"控制者"是指单独或与他人共同决定个人数据处理目的和方式的自然人或法人；
（五）"处理者"是指代表控制者处理个人数据的自然人或法人。

第二章 原则

第四条 处理原则

处理个人数据应遵循以下原则：
（一）合法、公平、透明原则：处理应合法、公平，并对数据主体透明；
（二）目的限制原则：收集个人数据应有明确、合法的目的，后续处理不得与此目的不符；
（三）数据最小化原则：个人数据应充分、相关，并限于处理目的所必要；
（四）准确性原则：个人数据应准确，必要时应及时更新；
（五）存储限制原则：个人数据的保存不得超过处理目的所必要的时间；
（六）完整性和保密性原则：处理应确保个人数据的适当安全。

第五条 处理的合法性

处理个人数据仅在以下情形下合法：
（一）数据主体同意为其特定目的处理其个人数据；
（二）处理是为履行数据主体作为一方的合同所必需；
（三）处理是为履行控制者的法定义务所必需；
（四）处理是为保护数据主体或其他自然人的重大利益所必需；
（五）处理是为公共利益执行任务所必需；
（六）处理是为控制者或第三方追求的合法利益所必需。

第三章 数据主体的权利

第六条 透明度和信息

控制者应以简洁、透明、易懂、易于获取的形式，使用清晰的语言向数据主体提供处理相关信息。

第七条 访问权

数据主体有权从控制者处获得确认其个人数据是否被处理，如果被处理，有权获得该个人数据及以下信息：
（一）处理目的；
（二）涉及的个人数据类别；
（三）个人数据的接收者或类别；
（四）个人数据的存储期限；
（五）数据主体权利的说明。

第八条 更正权

数据主体有权要求控制者及时更正其不准确的个人数据，有权补充不完整的个人数据。

第九条 删除权（被遗忘权）

在以下情形下，数据主体有权要求控制者删除其个人数据：
（一）个人数据对于收集目的已不再必要；
（二）数据主体撤回同意；
（三）数据主体反对处理且没有合法理由优先处理；
（四）个人数据被非法处理；
（五）个人数据必须删除以遵守法定义务。

第十条 限制处理权

在以下情形下，数据主体有权要求限制处理其个人数据：
（一）数据主体对个人数据的准确性提出质疑期间；
（二）处理非法但数据主体反对删除；
（三）控制者不再需要个人数据但数据主体需要用于法律诉讼；
（四）数据主体反对处理，等待验证控制者的合法理由期间。

第十一条 数据携带权

数据主体有权以结构化、常用、机器可读的格式获取其提供给控制者的个人数据，并有权将这些数据传输给另一控制者。

第十二条 反对权

数据主体有权随时以与其特定情况有关的理由反对处理其个人数据，包括基于此等处理的画像。控制者应停止处理，除非能证明令人信服的合法理由。

第四章 控制者和处理者的义务

第十三条 控制者的责任

控制者应实施适当的技术和组织措施以确保并能够证明处理活动符合本条例。这些措施应考虑到最新技术水平、实施成本、处理的性质、范围、背景和目的，以及自然人的权利和自由的风险。

第十四条 数据保护官

控制者和处理者应指定数据保护官，如果：
（一）处理是由公共机构或团体进行的；
（二）控制者或处理者的核心活动包括大规模定期和系统地监测数据主体；
（三）控制者或处理者的核心活动包括大规模处理特殊类别的数据或与刑事定罪和犯罪有关的个人数据。

第十五条 记录义务

控制者以及处理者应保存处理活动的记录，该记录应包含以下信息：
（一）控制者或处理者的名称和联系方式；
（二）处理目的；
（三）数据主体的类别和个人数据的类别；
（四）接收者的类别；
（五）删除个人数据的时间限制；
（六）技术安全措施的说明。

第十六条 数据保护影响评估

当某种处理可能对自然人的权利和自由造成高风险时，控制者应在处理前进行数据保护影响评估。

第十七条 数据泄露通知

发生个人数据泄露时，控制者应在意识到后72小时内通知监管机关，除非个人数据泄露不太可能对自然人的权利和自由造成风险。如个人数据泄露可能对自然人的权利和自由造成高风险，控制者应通知数据主体。

第五章 个人数据向第三国或国际组织的转移

第十八条 转移原则

个人数据只能向第三国或国际组织转移，如果该第三国或国际组织确保充分的保护水平，或在本条例规定的适当保障措施下进行。

第十九条 充分性决定

欧盟委员会可通过实施法案决定第三国或国际组织是否确保充分的保护水平。

第二十条 适当保障措施

在缺乏充分性决定的情况下，个人数据的转移应具备以下保障措施之一：
（一）标准合同条款；
（二）约束性企业规则；
（三）经监管机关批准的合同条款；
（四）经监管机关批准的行为准则或认证机制。

第六章 监管机关

第二十一条 监管机关

各成员国应设立一个或多个独立公共机构，负责监督本条例的适用。

第二十二条 监管机关的权力

监管机关应享有调查权、纠正权、授权权和咨询权、处理投诉权和处理数据主体权利行使权。

第七章 救济、责任和处罚

第二十三条 司法救济权

数据主体有权就监管机关具有法律约束力的决定向法院提起有效司法救济。

第二十四条 向监管机关投诉的权利

数据主体有权向其惯常居所、工作地或涉嫌侵权行为地所在成员国的监管机关提出投诉。

第二十五条 获得赔偿的权利

任何因违反本条例而遭受物质或非物质损害的人有权从控制者或处理者获得赔偿。

第二十六条 罚款

监管机关可处以最高2000万欧元或企业上一财政年度全球年营业额4%的罚款，以较高者为准。

第八章 生效

第二十七条 生效

本条例自2018年5月25日起生效。