通用数据保护条例第一章 一般条款第二章 原则第三章 数据主体的权利第四章 控制者和处理者第五章 将个人数据转移到第三国或国际组织第六章 独立监管机构第七章 合作与一致性第八章 救济、责任与惩罚第九章 和特定处理情形相关的条款第十章 授权法案与实施性法案第十一章 最后条款经过欧盟议会长达四年的讨论,欧盟《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)终于在 2018 年 5 月 25 日生效。第一章 一般条款第 1 条 主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。第 2 条 适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TEU)第 2 章第 5 款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d) )有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第45/2001 条例。根据本条例第 98 条,(EC)第 45/2001 条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。4.本条例不影响 2000/31/EC 指令的适用,特别是 2000/31/EC 指令第 12至 15 条所规定的中间服务商的责任规则的适用。第 3 条 地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。3.本条例适用于在欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。第 4 条 定义就本条例而言:(1)“个人数据”指的是任何已识别或可识别的自然人(“数据主体”...
