欧盟数据保护指令
第一章 总则
1条 指令宗旨
遵循本指令,成员应保护自然人的基本权利和自由,特别是个人数据处理中的隐私权。成员国不得以第1部分规定的保护为理由,限制或者禁止个人信息在成员国之间的自由流动。
2条 定义.
为本指令,
(a)“个人数据”是指任何与确认或者可以确认的自然人(“数据主体”)相关的信息;可确认的人是指能够直接或者间接地通过确认码,或者一个或者多个其自身特有的物理、心理、智力、经济、文化或者社会特征得以确定的人。
(b)“个人数据处理”(“处理”)是指依靠个人数据进行的工作,比如收集、记录、组织、储存、编写或改变、修补、咨询、使用、播送披露、分发或者其他使之可利用、组合、分组、灭失或者毁坏,不管是否通过自动装置。
(c)“个人数据档案系统”(“档案系统”)是指个人数据按照特殊标准进行的结构性设置,不管是基于功能性还是地理性基准进行集中、去集中还是分散。
(d)“控制者”是指自然人或者法人、公共机构、代理机构或者其他主体单独或者联合处理个人数据的人;在成员国法或者共同体法律或者规章规定了数据处理目的和方式的,控制者或者其任命的具体标准可以由成员国法或者共同体法律指明。
(e)“处理者” 是指基于控制者利益而处理个人数据的自然人或者法人、公共机构、代理机构或者其他主体。
(f)“第三方”是指任何自然人或者法人、公共机构、代理机构或者其他,不包括数据主体、控制者、处理者以及控制者、处理者依照直接授权处理信息的人。
(g)“接受者”是指接收数据披露的任何自然人或者法人、公共机构、代理机构以及其他机构,不管是否为第三方;不过,在质询框架下接受信息的权威机构不视为接受者。
(h)“数据主体同意”是指数据主体通过专门或者通知的指示,表示同意个人数据被处理的意愿。
3条 范围
1.本指令适用于完全或者部分通过自动方式处理个人数据,以及除自动方式之外形成或者旨在形成档案系统的个人数据处理方式。
2.本指令不适用于下列个人数据处理:
超出共同体法范畴的活动,比如《欧盟条约》第5、6标题,以及涉及公共安全、方位、国家安全(包括处理国家安全事务时的国家经济福利),以及刑法领域中的国家行动,
以及在纯粹个人或者家庭活动中个人从事的数据处理。
4条 成员国法的适用
每一成员国应当将该指令的本国法适用于下列个人数据处理:
(a) 在成员国国境内设立的控制者进行处理;当同一控制者在若干成员国设立机构时,应当采取必要措施确保这些机构遵循适用的本国法规定的义务;
(b) 控制者没有在成员国境内设立,但是依照国际公共法该成员国法仍旧适用的区域;
(c) 控制者没有在共同体境内设立,为了处理个人数据而使用了设置在该成员国的自动或者非自动设备,除非这一设备仅是基于运送目的越过共同体领土。
在上段(c)中,控制者必须指定一名在成员国境内设立的机构为代表,以使得对控制者提起的法律行为的公正性。
第二章 合法性的一般规则
个人信息处理合法性的一般规则
5条
成员国在本章条款范围内,制定更加详细的个人信息处理的合法条件。
第一部分 有关数据质量的原则
6条
成员国应当规定,个人数据必须:
(a) 公平合法地处理;
(b) 按照特定、清晰和合法目的进行收集,不得违背这些目的进行收集;如果成员国提供适当的保护措施,为历史、统计、科学目的进行深入的数据处理就不视为与目标不匹配;
(c) 按照数据收集或者深入处理的目标进行适当、相关而不是过度的工作;
(d) 准确,尽可能及时;对收集、处理目标而言不准确、不完整的数据,应采取措施确保其被消除或者纠正;
(e) 采取一定形式许可数据主体在不迟于数据收集和进一步处理的期限内进行确认,成员国应当采取适当措施保护用于科学、统计和科学用途的数据较长时间的储存。
第一部分 规定适用于控制者。
第二部分 收据处理合法性标准
7条
成员国应当规定,个人数据在下列情况可以处理:
(a)数据主体明确作出同意;或者
(b)数据主体作为合同当事人时,数据处理对合同履行是必要的,或者应数据主体要求,在合同订立之前进行数据处理;或者
(c)数据处理对于控制者承担所遵守的法律义务是必要的;或者
(d)数据处理对于保护数据主体的重大利益是必需的;或者
(e)数据处理对于一项任务的展开是必要的,该任务基于公共利益,或者对控制者、接受数据披露的第三方而言是官方权威的行使;或者
(f) 数据处理为实现控制者或者数据公开的相对方的合法利益是必要的,但数据主体基本权利和自由超越这些合法利益,需要依照第1条(1)予以保护的除外。
第三部分 特殊数据处理种类
8条 特殊数据种类的处理
成员国应当禁止关涉个人种族起源、政治观点、宗教或者哲学信仰、贸易伙伴,以及健康和性生活的数据处理。
第1款不适用于下列情况:
(a)数据主体对数据处理予以明确的同意,除非成员国法规定,第1款禁止内容不能根据数据主体的同意而进行;或者
(b)数据处理对于落实控制者对雇佣法的义务和特定权利是必要的,国家予以授权并提供充分保护;或者
(c)数据处理对于保护数据主体的利益,以及数据主体在体力上或者法律上都无能力作出许可的其他主体的重大利益是必要的;或者
d) 数据处理在基金、社团或者其他非营利性团体基于政治、哲学、宗教或者贸易目标予以适当保证的合理性活动中展开,该活动条件是处理仅仅关涉团体成员,或者与处理目的有经常性交往的人,没有数据主体的同意不得向第三人披露数据;或者
(e) 处理涉及数据主体明确公开的数据,或者对诉讼请求的确立、实施和抗辩相关的数据。
第一款不适用基于疾病防护、医疗诊断、防护储备、健康关怀服务管理等目的而请求进行的数据处理,以及健康专业组织基于成员国法或者有权机关制定的条例规定的职业保密义务,或者其他负有相当保密义务的人进行的数据处理。
依照适当保护规定,成员国出于重要公共利益,可以通过国家立法或者监管部门决定来确定第2段之外的例外情况。
处理涉及暴力、犯罪宣告或者安全设施的数据,可以仅在官方权威控制下开展;如果依法提供适当的专业保护装置,可以由成员国立法予以废除。但是,完整的犯罪宣告登记应当仅处于官方控制之下。
成员国可以规定,与行政许可或者民事审判有关的数据也在官方权威控制下处理。
第1段中废除适用于第4、5段规定的,应当通知欧委会。
成员国决定一国识别号或者一般申请的其他识别符号可以进行处理的条件。
9条 个人数据处理和自由表达
成员国应当规定,数据处理仅仅是用于新闻或者技术、文学表达目的,而且和解隐私权和自由表达规则是必要的情况下,可以免除或者废除本章、第4章和第6章规定的执行。
第4部分 提供给数据主体的信息
第10条 关于从数据主体处收集数据的信息
成员国应当规定,控制者或者其代理人必须提供给数据主体下列与收集信息有关的信息,除非其已经拥有:
(a)控制者及其代表;
(b)数据处理的目的;
(c)其他信息,诸如
数据接受者或者接受者种类,
回答是自愿还是强制,以及拒绝回答的后果,
许可权以及修改数据权的存在,
由于深度信息是必要的,考虑到数据收集的特别环境,保证关于数据主体的数据处理是公平的。
11条 未从数据主体获得数据的信息
1.对于未从数据主体获取数据的,成员国应当规定,控制者或者其代理在开展个人信息记录活动时,或者预见到会向第三方披露的,在不迟于首次披露时,必须向数据主体提供至少下列信息,除非其已经拥有这些信息:
(a)控制者及其代表的身份;
(b)处理的目的;
(c)其他深入信息,比如
关涉数据的种类,
接受者或者接受者的种类,
许可权以及修改数据权的存在,
由于深度信息是必要的,考虑到数据收集的特别环境,保证关于数据主体的数据处理是公平的。
2.第一项不适用于统计目的的数据处理,或者历史、科学研究目的的数据处理,或者这些信息规定证明是不可能或者涉及不成比例的努力,或者立法明确规定了记录或者披露。在这些情况下,成员国应当提供适当的安全措施。
第五部分 数据主体许可数据的权利
12条 许可权
成员国应当担保从控制者处获得的每一数据权利:
a)在合理间隔中没有限制,没有过度延迟或者开支:
获准数据是否被处理,获悉处理目的、数据种类以及数据披露的接受者或者其种类,
采用可理解的方式与其交流数据进行的处理以及任何关于数据来源的信息,
了解涉及任何自动数据处理的逻辑,至少是在15条(1)规定的自动决定情形中,
(b)适当地进行校正、消除或者数据分组,其过程不遵循该指令规定,尤其是因为数据不完整或者不准确的属性;
(c)通知第三方数据按照(b)进行了矫正、消除或者分组,除非统治被证实伪不可能或者需要不成比例的努力。
第六部分 例外和限制
第13条
成员国可如果认为限制对安全保护措施的必要的,可以采取立法措施限制第6条(1)、第10条、第11条(1)、第12条和第21条规定的义务和权利:
(a)国家安全;
(b)防卫;
(c)公共安全;
(d)犯罪预防、调查、侦察和起诉,或者管制职业道德违反的相关行为;
(e)成员国或者欧盟的重要经济或者金融利益,包括货币、预算和税收事务;
(f)出于监测、失察或者规制功能,偶尔依照(c)、 (d)和 (e)采取官方权威的行动;
(g)数据主体或者其他人权利和自由的保护。
基于立法安全保护措施,特别是考虑到特别个体没有对数据采取措施或者作出决定,成员国在明显不违背数据主体隐私的情况下,可以采取立法措施限制12条中的权利,使这些数据仅用于科学研究的目的,或者采取个人形式在不超过统计创造的单一目标期限内保存。
第七部分 数据主体对处理客体的权利
14条 数据主体对处理客体的权利
成员国可以赋予数据主体下列权利:
(a)至少在第7条(e)、(f)的情形中,任何时候可以基于强制性的立法依据拒绝与之相关的数据处理,否则按照国家立法予以挽救。拒绝理由正当的,控制者的数据处理不能在涉及这些数据;
(b)对询问和免费处理个人数据用于控制着预期的直接市场目的的,可以拒绝;在个人数据首次向第三方披露或者为了市场用途时,有权获悉;明确赋予拒绝免费披露和使用数据的权利。
成员国应当采取必要措施确保数据主体认识到第1段(b)中权利的存在。
15条 自动个人决定
成员国应当赋予每个人不接受会对其产生法律影响或者显著影响本人的决定,以及仅仅依靠自动数据处理来进行评价个人特征(诸如工作表现、信任感、可靠性、行为等)的决定。
依据其他指令,成员国可以规定,一个人可以接受符合下列条件的决定:
(a)决定在签订或者履行合同中作出,条件是要求签订或者履行数据主体提出的合同是满意的,或者采取合理措施保护其合法利益,比如允许其表态的安排;或者
(b)决定是法律授权做出的,并且已经设置了保护数据主体合法利益的措施。
第八部分 数据处理的保密和安全
16条 数据处理的保密
任何依照控制者或者处理者命令的行动者,包括处理者本人,除非按照控制者指示,否则不能处理个人数据,法律要求处理的情况除外。
17条 处理的安全
成员国应当规定,控制者必须采取适当技术或者组织措施保护个人数据免受意外或者非法的破坏或者意外的损失、改变、非法披露或者访问,特别是数据处理设计通过网络进行数据传输,反对其他非法的处理形式。
考虑到艺术状况及其实施的成本,这些措施需要确保与风险相适应的安全水平,其风险由受保护的数据属性和处理所体现。
成员国应当规定,控制者在为自身利益进行数据处理时,需要选择能够提供充分保障的技术和组织措施的处理者,并且确保服从这些措施。
经由处理者进行的数据处理应当有合同或者法律行为约束处理者和控制者,应当规定:
处理者只能按照控制者指示行动,
第1款规定的义务,在处理者设立的成员国立法中得以确定,也是处理者的职责。
为保留证据起见,合同部分或者与数据保护相关的法律行为,以及第1款中规定的保护措施相关的要求,应当采用书面形式或者其他相当的形式。
第九部分 注意事项
18条 通知监管部门的义务
1.成员国应当规定,控制者或者其代理人在开展全部或者部分自动化处理或者系列过程已实现某单一目标或者数个相关目标时,应当通知28条规定的监管部门。
2.成员国应当规定简化或者免除通知义务,但须符合下列情形和条件:
由于数据处理种类导致不可能,考虑到要处理的数据会影响数据主体的权利和自由,他们确定了处理目标、数据和数据种类、数据主体及其种类、数据接受者及其种类、数据储存时间,以及/或者
控制者依照按照国家立法规定,任命一位个人数据保护官员,特别负责:
采取独立方式确保国家条款的内部适用,按照指令保持控制着处理运作的登记,包含21条(2)规定的信息项目,
以此确保数据主体的权利和自由不可能遭受处理运作的影响。
3.成员国应当规定,第1段不适用于依照法律或者规章,仅以登记保持作为单一目的的数据处理,据此向公众提供信息,对公众咨询或者试图证实合法利益的咨询是公开的。
4.成员国可以规定,第8条(2) (d)规定的情形中可以免予通知或者简化通知。
5.成员国可以规定,一定或者全部非自动处理涉及个人数据的必须要通知,或者要求这些处理过程实行简化通知。
19条 通知内容
成员国应当具体规定通知中的信息,包括但不限于下列内容:
(a)控制着及其代理人的名称和住所;
(b)数据处理的目的;
(c)数据主体及其种类的描述以及与之关联的数据及其种类的描述
(d)数据披露的接受者及其种类;
(e)向第三国传输数据的建议;
(f)采用适当方式进行实现评估以确保17条规定的安全处理规定的概括描述;
成员国可以规定,任何影响第1段规定信息的变化都应当按照程序通知监管部门。
20条 预先核查
成员国应当确定可能给数据主体的权利和自由带来具体风险的处理运行,核查这些处理在开始之前已经被检查过。
这种实现检查应当由监管部门在从控制者收到通知后进行,或者认为存在疑问而向监管机构咨询的数据保护官员进行。
成员国还可以在国会措施准备中或者基于界定数据处理的属性和采取适当安全保护措施的准备中开展检查。
21条 数据处理的发表
成员国可以采取措施确保数据处理的发表。
成员国可以规定,按照18条通知的数据处理等级由监管机构保存。
登记应当包含至少19条 (1) (a) 到 (e)涉及的信息。.
登记接受任何人的检查。
成员国应当规定,对于不需要通知的数据处理,控制者或者成员国制定的其他主体可以采取适当方式向询问的任何人提供19条(a) to (e)涉及的信息。
成员国可以规定,这一规定不适用于依照法律或者规章,仅以登记保持作为单一目的的数据处理,据此向公众提供信息,对公众咨询或者试图证实合法利益的咨询是公开的。
第三章 法律救济、责任和惩罚
22条 救济
没有偏见的行政救济可以在司法机关之前按照28条的规定向监管部门提出。
成员国可以规定,任何人有权对于侵犯其法定权利的数据处理提出司法救济。
23条 责任
成员国可以规定,任何由于非法数据处理遭受损害的人,或者由于行为与本国适用指令规定的立法不匹配而造成损害的,均有权从控制者获得损害赔偿。
控制者能够证明其对损害发生不负有责任的,可以全部或者部分地免除责任。
24条 惩罚
成员国可以采取适当措施确保指令条款充分落实,可以特别规定施加于危害适用指令规定的行为的惩罚。
第四章 个人数据向第三国移转
第五部分 向第三国转移数据
25条 原则
成员国应当规定,只有在服从适用该指令的本国立法没有偏见的,才可以将正在处理个人数据或者转移后在处理的数据向第三国转移,促在质疑的第三国应当确保充分的保护水平。
第三国提供保护水平的充分性应当根据围绕数据转移的所有情况进行评定;特别应当考虑数据的属性、建议处理的目的和持续时间、数据原始国和终点国、一般或者地区立法在第三国的实施以及遵守该国遵守职业规则和安全措施的情况。
在第三国不能确保第2段规定的充分保护水平时,成员国和委员会应当互相通告。
委员会按照31条(2)规定程序发现第三国不能确保第2段规定的充分保护水平时,成员国应当采取必要措施防止同类型数据向存在疑问的第三国转移。
在合适时机,委员会可以进行磋商以救济在第4段中发现的问题。
委员会按照31条(2)规定的程序,可以发现第三国按照本条第2段的方式确保充分的保护水平,这是由于其本国立法或者签署的国际承诺,特别是依照第5段进行磋商的结果,从而对个人生活和基本自由、权利进行保护。
成员国应当采取措施服从委员会的决定。
26条 减损
按照25条以及本国法关于特别情形的规定,成员国可以规定,向第三国转移个人数据不能按照25条规定确保充分保护水平的,在下列情况下可以发生:
(a)数据主体明确同意转移建议,或者
(b)这种转移对于数据主体和控制者之间的合同履行是必要的,或者按照数据主体要求履行合同之前的措施是必要的,或者
(c)这种转移对于控制者和第三方基于数据主体利益而订立合同或者履行合同是必要的,或者
(d)这种转移在重大公共利益立场上是必要的或者法律要求的,或者对法律诉讼的确立、展开或者抗辩是必要的,或者
(e)这种转移对保护数据主题重大利益是必要的,或者
(f)这种转移是通过旨在依法为公众提供信息或者为公众或者能够证实合法权益的人提供咨询的登记而进行的,其中咨询条件在特殊情况下已经实现。
按照第1条,成员国可以授权个人数据向第三国转移,尽管不能按照25条(2)确保充分的保护水平,这种情况下,控制者应当提供关于隐私保护和个人基本权利和自由的充分保护措施,以及通讯权的实施;这种措施可以通过适当的合同条款予以确定。
成员国应当通知委员会或者其他成员国其准许适用第2段。
如果成员国或者委员会基于保护隐私或者个人基本权利和自由的正当理由拒绝,应当按照31条(2)规定程序采取适当的措施。
成员国应当采取必要措施服从委员会的决定。
如果委员会依照21条第(2)决定,一定标准合同条款能够提供第2段规定的充分保护,成员国应当采取措施服从委员会的决定。
第五章 行为准则
27条
考虑到各部分的特征,成员国和委员会应当鼓励制定行为准则,以便适用指令的本国规定能够适当地实施。
成员国应当为商业联合会或者其他代表控制着种类的团体做出规定,许可他们草拟国家法令或者向国家权威机构提交旨在修改、拓展现行国家法令的建议。
成员国应当为权威机构做出规定,确定提交的草案是否遵循了适用指令的国内法。如果认为合适,权威机构应当征求数据主体或者其代理人的意见。
共同体法令草案和先行法令的修改或者拓展可以提交给29条规定的工作组。工作组应当决定提交是否服从了适应指令的国内法。如果认为合适,权威机构应当寻求数据主体或者其代理人的意见。委员会可以将工作组批准的法令采取适当形式公开。
第六章 为保护个人数据处理的监管机构和工作组
28条 监管机构
1.每一成员国应当规定有一个或者多个公共权威机构负责监督领土范围内适用指令的规定的实施。
这些机构在行使委托职能时应当保持完全的独立性。
2.每一成员国应当规定,在确定行政措施或者制定关于数据处理中保护个人权利和自由的规定时,监管部门应当接受质询。
3.每一监管机构特别授权:
调查权,比如获取形成与数据主体相关事物的处理数据,收集所有履行监管责任必要的信息,
有效干涉权,比如按照20条在数据处理之前发表意见,并且确保意见适当公开;命令数据分组、消除或者破坏;对数据处理施加临时性或者决定性的禁止;警告或者劝诫控制者;或者将事件条件国会或者其他政治机构,
在国家适用指令的规定被侵犯时,具有实施法律程序的权力,或者将侵犯行为提请司法机关注意。
监管机构做出的引起诉讼的决定,可以通过法庭进行抗辩。
4.每一监管机构应当听证任何人或者代表其的社团提出的关涉个人数据处理中权利和自由保护的的诉请。诉讼发生应当告知相关当事人。
每一监管机构特别应当听证任何人关于对数据合法性进行检查的请求。当事人应当被告知检查已经进行过。
5.每一监管机构应当撰写关于常规阶段的工作报告。报告应当公开。
6.每一监管机构应当在本国领土内尽力履行依照第3段而赋予的权力。每一监管机构可以营其他成员国权威机构请求而行使其权力。
监管机构应当彼此通力合作使各自职责得以履行,特别是可以通过交换所有有用的信息而实现。
.每一成员国应当规定,监管机关的成员和职员对获取的机密信息负有职业保密的义务,即便是雇佣期届满后也应当承担。
29条 有关个人数据处理中保护个人工作组
个人数据处理中保护个人的工作组(以下简称“工作组”),应当按照下列要求设立:
工作组是一个咨询组织,独立开展活动。
工作组由成员国设立的监管机构的一名代表、为共同体组织或者机构设立的权威机构的一名代表,以及委员会的一名代表组成。
工作组的每名成员都由他所代表的组织、权威机构指定。当成员国指定一个以上的监管机构时,他们可以任命一个联合代表。这一规定同样适用于为委员会机构和组织设立的权威机构。
工作组应当通过权威机构代表的简单多数做出决定。
工作组选举主席。主席任期2年。主席的指定是可更新的。
工作组秘书处由委员会提供。
工作组适用自己的程序规则。
工作组根据主席确定的日程,或者自己的主动行为,或者权威机构代表或者委员会的要求而考虑事务。
30条
工作组应当:
(a)审查有关国家适用指令的措施为保持一致性而实施产生的任何问题;
(b)向委员会提出有关在共同体和第三国予以保护的建议;
(c)向委员会提供指令修改建议,以及数据处理中自然人权利和自由保护的附加和专门措施建议,以及其他任何影响这些权利和自由的共同体措施建议;
(d)对共同体水平的法典提出建议。
工作组如果法相,可能影响数据处理中个人平等保护的分歧在立法和成员国实践中形成时,应当通过委员会。
工作组可以主动就有关共同体中数据处理的个人保护事项提出建议。
工作组的意见和建议应当送达委员会和31条规定的委员会。
委员会应当告知工作组针对建议和意见采取的行动。工作者应当制作书面报告,提交给欧洲议会和理事会。报告应当公开。
工作者应当制定有关共同体范围和第三国内信息处理中自然人保护状况的年度报告,并将之提交给委员会、欧洲议会和委员会。
报告应当公开。
第七章 共同体实施措施
31条 委员会
欧委会由成员国代表组成的委员会辅助,欧委会代表主持。
欧委会代表应当向委员会提交一份拟采取措施的草案。委员会应当在规定时间内将意见反映在草案中,主席根据事务紧急程度可以做出决定。
意见应当按照欧盟条约第148(2)的规定进行发表,委员会中成员国代表的投票依照该条规定方式进行权衡。主席不得抽票。
欧委会应当适用措施并立即落实。但是,如果这些措施不符合委员会态度,欧委会应当与理事会沟通。这种情况下:
欧委会可以自沟通之日起3个月内推迟措施的执行,
欧洲理事会中有资格的多数可以在上述时间内作出不同的决定。
最后规定
32条
在被指令实施之日起最迟3年底,成员国应当将落实该指令的法律、规章和行政规定付诸实施。
成员国落实这些措施时,应当将指令作为参考,或者在出版物中附加这种参考。确定参考的方式应当由成员国作出规定。
成员国应当确保,本国适应指令而做出的规定正在实施的,正在进行的数据处理应当在3年内与这些规定保持一致。
按照前述小段的减损,成员国可以规定,在适用该指令的本国法已经付诸实施时,数据处理已经在年度档案系统的,应当在本指令实施之日起的12年内,应当与本指令第6、7、8条的规定保持一致性。
但是,成员国可以赋予数据主体在其要求或者实施许可权时,对于控制者取得的不完整、不准确或者采取与合理目的不相应的手段储存的数字,数据主体有权进行修正、消除或者分组。
按照第2段的减损,成员国可以给予适当的安全措施规定,处于历史研究单一目的的数据保存可以不与第6、7、8条保持一致性。
成员国应当与欧委会交流指令覆盖领域中内国法规定的文本。
33条
欧委会应当定期向理事会和欧洲议会报告指令的实施情况,如果必要,应当附上修改建议,其时间应在32条(1)规定时限的3年内开始。报告应当公开。
委员会应当特别审查有关自然人的声音和图像数据处理的指令的执行,应当考虑到信息科技的发展和信息社会的发展状况,提出任何适当的必要的建议。
34条
该指令向成员国提出。
1995年10月24日 卢森堡