第二部分 个人数据的安全
第32条 处理的安全
1.在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的之后,以及处理给自然人权利与自由带来的伤害可能性与严重性之后,控制者和处理者应当采取包括但不限于如下的适当技术与组织措施,以便保证和风险相称的安全水平:
(a)个人数据的匿名化和加密;
(b)保持处理系统与服务的保密性、公正性、有效性以及重新恢复的能力;
(c)在遭受物理性或技术性事件的情形中,有能力恢复对个人数据的获取与访问;
(d)具有为保证处理安全而常规性地测试、评估与评价技术性与组织性手段有效性的流程。
2.在评估合适的安全级别的时候,应当特别考虑处理所带来的风险,特别是在个人数据传输、储存或处理过程中的的意外或非法销毁、丢失、篡改、未经授权的披露或访问。
3.遵守第40条所规定的已生效的行为准则,或者遵守第42条所规定的已生效的验证机制,这可以被作为证据之一,证明已经遵守了本条款第1段的要求。
4.控制者和处理者应当采取措施确保,除非接到控制者的指示,任何有权访问个人数据的处理者或任何代表控制者和处理者的自然人都不会进行处理,除非欧盟或成员国法律要求进行处理。
第33条 向监管机构报告对个人数据的泄露
1.在个人数据泄露的情形中,如果可行,控制者在知悉后应当及时——至迟在72小时内——将个人数据泄露告知第55条所规定的有权监管机构,除非个人数据泄露对于自然人的权利与自由不太可能会带来风险。对于不能在72小时以内告知监管机构的情形,应当提供延迟告知的原因。
2.处理者在获知个人数据泄露后,应当及时告知控制者。
3.第1段所规定的告知应当至少包括:
(a)描述个人数据泄露的性质,在可能的情形下,描述包括相关数据主体的类型和大致数量,以及涉及到个人数据的类型与大致数量;
(b)告知数据保护官的姓名与详细联系方式,或者可以获取更多信息的其他联系方式;
(c)描述个人数据泄露的可能后果;
(d)描述控制者应对个人数据泄露已经采用或计划采用的措施,包括——如果合适的话——减少负面影响的措施。
4.在不可能同时提供信息的情形下,可以分阶段地及时提供信息。
5.控制者应当记录所有对个人数据的泄露,包括泄露个人数据相关的事实、影响与已经采取的救济行动。参照该记录,监管机构得以核实控制者是否遵守本条例的有关规定。
第34条 向数据主体传达个人数据泄露
1.当个人数据泄露很可能给自然人的权利与自由带来高风险时,控制者应当及时向数据主体传达对个人数据泄露。
2.本条第1段所规定的向数据主体传达,应当以清晰和平白的语言传达个人数据泄露的性质,并且应当至少包括第33(3)条(b)(c)(d)点所提供的信息与建议。
3.当满足如下情形之一时,不要求控制者告知数据主体其个人数据被泄露的信息:
(a)控制者已经采取合适的技术与组织保证措施,并且那些措施已经应用于那些被个人数据泄露所影响的个人数据,特别是已经应用那些使得未被授权访问的个人无法辨识个人数据的措施,例如加密;
(b)控制者已经采取后续措施,保证第1段所规定的给数据主体的权利与自由带来的高风险不再有实现的可能;
(c)告知将需要付出不相称的努力。此时,应存在公告机制或类似措施来承担控制者的告知义务,并且与控制者告知相比,这种措施的告知效果应当至少有相同效果。
4.如果控制者仍然没有将个人数据泄露告知数据主体,监管机构在考虑了个人数据泄露所可能带来的高风险可能性后,可以要求其告知,或者可以认为符合第3段所规定的情形。
第三部分 数据保护影响评估与提前咨询
第35条 数据保护影响评估
1.当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时,在考虑了处理的性质、范围、语境与目的后,控制者应当在处理之前评估计划的处理进程对个人数据保护的影响。若多项高风险处理活动属于同一种类,那么此时仅对其中某一项活动进行评估即可。
2.如果控制者已经委任数据保护官,当其进行数据保护影响评估时,控制者应当向数据保护官进行咨询。
3.在如下情形中,第1段所规定的数据保护影响评估是尤其必须的:
(a)对与自然人相关的个人因素进行系统性与全面性的评价,此类评价建立在自动化处理——包括用户画像——基础上的,并且其决策对自然人产生法律影响或类似重大影响;
(b)以大规模处理的方式处理第9(1)条所规定的特定类型的数据,或者和第10条规定的定罪与违法相关的个人数据;或者
(c)以大规模的方式系统性地监控某个公众可以访问的空间。
4.监管机构应当建立并公开一个列表,列明符合第1段所要求的数据保护影响评估的处理操作的类型。监管机构应当将此类列表告知第68条所提到欧盟数据保护委员会。
5.监管机构还可以建立一个公开性的列表,列明符合不需要进行数据保护影响评估的处理操作的类型。监管机构应当将此类列表告知欧盟数据保护委员会。
6.在设置第4段与第5段所规定的列表之前,当此类列表涉及到为数据主体提供商品或服务,或者涉及到对多个成员国行为的监管,或者可能实质性地影响欧盟内部个人数据的自由流动,有职权的监管机构应当首先适用第63条所规定的一致性机制。
7.评估应当至少包括:
(a)对计划的处理操作和处理目的的系统性描述,以及——如果适用的话——对控制者所追求的正当利益的描述;
(b)对和目的相关的处理操作的必要性与相称性进行分析;
(c)对第1段所规定的给数据主体的权利与自由带来的风险的评估;
(d)结合数据主体和其他相关个人的权利与正当利益,采取的计划性风险应对措施,包括保障个人数据保护和证明遵循本条例的安全保障、安全措施和机制。
8.评估相关控制者或处理者的处理操作的影响时,特别是评估数据保护影响时,应当合理考虑其对第40条所规定的已生效的行为准则的遵守。
9.在合适的情形下,如果其不影响保护商业或公共利益或处理操作的安全性,控制者应当咨询数据主体或数据主体代表对于其预期处理的观点。
10.当基于第6(1)条(c)或(e)点而进行的处理符合欧盟或成员国为控制者制定涉及到处理操作的法律,并且在制定其法律基准时已经进行了作为一般性影响评估一部分的数据保护影响评估时,第1至7段不应当适用,除非成员国认为,有必要在处理活动前进行此类评估。
11.必要时,控制者应当进行核查,评估处理是否是符合数据保护影响评估,至少当处理操作所带来的风险存在变化时,应进行核查。
第36条 提前咨询
1.当第35条所规定的数据保护影响评估表明,如果控制者不采取措施,处理会带来高风险,那么控制者应当在处理之前咨询监管机构。
2.当监管机构认为,第1段所规定的预期的处理将违反本条例,特别是当控制者无法识别或减小风险,监管机构应当在收到咨询请求的八个星期以内向控制者以及——在适用的情况下——处理者提供书面建议,并且可以使用第58条所规定的权力。考虑到预期处理的复杂性,这种期限可以延长六个星期。监管机构应当在收到咨询请求的一个月内向控制者以及——在适用的情况下——处理者告知延期以及延期的原因。监管机构可以延长期限,直到其获取了咨询所要求的信息。
3.当咨询第1段所规定的监管机构时,控制者应当向监管机构提供如下信息:
 专业 |
 专注 |
 省心 |
 放心 |
豫公网安备 41030502000140号