1. 委員會應確保本規則之一致適用。為此目的,委員會特別應主動 或斟酌情形在執委會之要求下為下列行為:
(a) 監督並確保本規則在第 64 條及第 65 條規定情形之正確適用,但 不妨礙國家監管機關之任務;
第 64 條 GDPR. 委員會之意見
第 65 條 GDPR. 委員會之爭議解決
(b) 就與歐盟境內個人資料保護之任何議題,包括就本規則之任何建 議修訂,向執委會提供意見;
(c) 就控管者、處理者及監管機關對於有拘束力之企業守則的資訊交 換格式及程序,向委員會提供意見;
(d) 發布第 17 條第 2 項所述自公開通訊服務刪除個人資料連結、複 製或仿製之指導原則、建議及最佳做法;
第 17 條 GDPR. 刪除權(「被遺忘權」)
[…]
2. 如控管者已將該個人資料公開,且其有義務依據第 1 項規定刪除 該個人資料者,考量現有科技及執行成本,該控管者應採取合理步驟, 包括科技方式,通知正在處理該個人資料之控管者,資料主體已提出 刪去任何該個人資料之連結或複製或仿製之請求。
(e) 主動或依其一名成員或執委會之請求,審查涵蓋本規則適用之任 何問題並發布指導原則、建議及最佳做法以鼓勵本規則之一致適用。
(f) 為進一步規範根據第 22 條第 2 項建檔之標準與條件,依本項第 e 點發布指導原則、建議及最佳做法;
第 22 條 GDPR. 個人化之自動決策,包括建檔
2. 第一項規定不予適用,如該決策:
(a) 係為締結或履行資料主體與控管者間之契約所必要者;
(b) 係控管者受拘束之歐盟法或會員國法有明文授權,且定有適當之 保護措施以確保資料主體之權利及自由及正當利益者;或
(c) 係基於資料主體之明確同意者。
(g) 就確定個人資料侵害並決定第 33 條第 1 項及第 2 項所述之無故 遲延,以及控管者或處理者被要求通知該個人資料侵害之特定情況, 依本項第 e 點發布指導原則、建議及最佳做法;
第 33 條 GDPR. 向監管機關進行個人資料侵害之通報
1. 於個人資料侵害發生時,控管者即應依第 55 條向監管機關通報, 不得無故遲延,且如可能,應於發現後 72 小時內通報,但個人資料 侵害無造成對當事人權利及自由之風險時,不在此限。於未於 72 小 時內向監管機關通報之情形,通報應附遲延之理由。
2. 發現個人資料侵害後,處理者應通報控管者,不得無故遲延。
(h) 在第 34 條第 1 項所述就個人資料侵害可能導致對當事人權利及 自由之高風險之情形,依本項第 e 點發布指導原則、建議及最佳做 法。
(i) 基於控管者遵循之有拘束力之企業守則及處理者遵循之有拘束力 之企業守則,並基於進一步必要之要求,為進一步規範個人資料移轉 之標準及依第 47 條之要求以確保相關資料主體個人資料之保護,依 本項第 e 點發布指導原則、建議及最佳做法;
第 47 條 GDPR. 有拘束力之企業守則
(j) 為根據第 49 條第 1 項進一步規範個人資料移轉之標準及要求,依 本項第 e 點發布指導原則、建議及最佳做法;
第 49 條 GDPR. 特定情形下之例外
1. 於欠缺第 45 條第 3 項之充足程度保護之決定、或欠缺第 46 條之 適當保護措施時,包括有拘束力之企業守則、個人資料之移轉或一系 列移轉至第三國或國際組織,僅應於符合下列條件時進行:
(a) 資料主體於受關於因欠缺充足程度保護決定及適當保護措施,該 等移轉對資料主體造成之可能風險通知後,已明確同意計畫之移轉;
(b) 移轉對履行資料主體與控管者間契約、或依資料主體之請求執行 契約前之措施為必要;
(c) 移轉對締結或履行控管者與其他自然人或法人間,基於資料主體 之利益所締結之契約為必要;
(d) 移轉對公共利益之重要原因為必要;
(e) 移轉對建構、行使或防禦法律上之請求為必要;
(g) 移轉係依據歐盟或會員國法登記,意圖提供公眾信息且開放予一 般公眾或任何得舉證具合法利益者諮詢,但僅限於特定情形中歐盟或 會員國法設定之諮詢條件獲滿足之程度。
(f) 於資料主體身體上或法律上無法為同意之表示時,移轉對保護資 料主體之重要利益為必要;
於移轉無法符合第 45 條或第 46 條之規定,包括有拘束力之企業守則 之規定,且無法適用本項第 1 款所稱之任何特定例外情形時,向第三 國或國際組織之移轉僅於該移轉非重複性、僅影響有限數量之資料主 體,對控管者所追求之合法目的為必要而不凌駕於資料主體之利益或 權利及自由,且控管者已評估資料移轉之所有環境,而立於評估對個 人資料保護為適合保護措施之基礎時,方得進行。控管者應將移轉通 知監管機關。於第 13 條及第 14 條提供資訊之情形,控管者應將移轉 及追求之合法利益通知資料主體。
(k) 就第 58 條第 1 項、第 2 項及第 3 項所述措施之適用,以及第 83 條罰鍰之訂定,為監管機關制定指導原則;
第 58 條 GDPR. 權力
1. 各監管機關應有下列全部調查之權力:
2. 各監管機關應有下列全部之糾正權力:
3. 各監管機關應有下列全部之授權及建議權力:
第 83 條 GDPR. 裁處行政罰鍰之一般要件
(l) 審查第 e點及第 f點所述指導原則、建議及最佳做法之實際適用;
(m) 就第 54 條第 2 項當事人報告本規則侵害之一般程序之建立,依 本項第 e 點發布指導原則、建議及最佳做法;
第 54 條 GDPR. 監管機關設立之規則
2. 依歐盟或會員國法,各監管機關之成員及工作人員應於任期內及 任期後,對因行使職權知悉之任何機密資料負專業保密義務。於任期 內,其專業保密義務尤其應適用於本規則之當事人侵害報告。
(n) 依第 40 條及第 42 條鼓勵行為守則之訂定及資料保護認證機制、 資料保護標章及標誌之建立;
第 40 條 GDPR. 行為守則
第 42 條 GDPR. 認證
(o) 依第 43 條進行認證機構之委託及其定期檢驗,並維護依第 43 條 第 6 項受託機關及依 42 條第 7 項設立於第三國之受託控管者或處理 者的公共紀錄;
第 43 條 GDPR. 認證機構
6. 本條第 3項所定要件及第 42條第 5 項所定標準應由監管機關以方 便取得之格式公開之。監管機關亦應將該等要件及標準傳送至委員會。 委員會應將所有資料保護認證機制與資料保護標章整理登錄,並應以 適當方式公開之。
7. 對控管者或處理者所為之認證,最長期限應為三年,且在相同要 件下並持續符合相關要求者,得更新之。第 43 條所定之認證機構或 主管監管機關(如適用)於欠缺認證要件或不再符合認證要件之情況 下,應撤回認證。
(p) 為第 42 條認證機構之委託,具體化規範第 43 條第 3 項所述之要 求;
3. 本條第 1 項及第 2 項所定認證機構之認證應由主管監管機關依據 第 55 條或第 56 條規定或由委員會依第 63 條規定依其核准之標準定 之。依據本條第 1 項第 b 點之認證,該等要件應與第 765/2008 號規 則及規範認證機構之方法及程序之技術規則相一致。
(q) 提供執委會關於第 43 條第 8 項所述認證要求之意見;
8. 執委會應有權依據第 92 條規定通過授權法,以具體化第 42 條第 1 項所定資料保護認證機制應考慮的要件。
(r) 提供執委會關於第 12 條第 7 項所述標誌方式之意見;
第 12 條 GDPR. 資料主體為行使其權利之透明資訊、溝通及管道
7. 依據第 13 條及第 14 條規定提供予資料主體之資訊,得以標準化 之標誌方式提供,俾提供易見、易懂且清晰易讀之方式,並對於所欲 為之處理進行有意義之概述。於標誌係以電子方式表示時,其須得由 機器辨認之。
(s) 提供執委會關於第三國或國際組織保護程度適當性之評估,包括 評估第三國、第三國內之領域或特定部門、或國際組織是否不再確保 適當程度之保護。為此,執委會應提供委員會所有必要之文件,包括 與第三國政府關於第三國、第三國內之領域或部門,或與國際組織之 通信。
(t) 依據第 64條第 1項所述之一致性機制發布對監管機關裁決草案之 意見,發布對第 64 條第 2 項提交事項之意見,以及依第 65 條發布有 拘束力之裁決,包括第 66 條所述之情形;
1. 當主管監管機關欲採取下列任一措施時,委員會應發布其意見。 為此,當有下列任一情形時,主管監管機關應向委員會通知該裁決草 案:
(a) 旨在採取依第35條第4項規定進行資料保護影響評估之處理活動 清單;
(b) 涉及依第 40 條第 7 項之事項,即行為守則草案或行為守則之修 訂或擴充是否符合本規則;
(c) 旨在核准第 41 條第 3 項之機構認證標準或第 43 條第 3 項之認證 機構;
(e) 旨在授權第 46 條第 3 項第 a 點所述之契約條款;或
(f) 旨在核准第 47 條定義下有拘束力之企業守則。
2. 任何監管機關、委員會主席或執委會主席為獲得意見得要求委員 會審查任何在一個以上之會員國具有一般適用性或產生效力之事項, 特別是當主管監管機關不遵守第 61 條互助之義務,或第 62 條聯合作 業之義務時。
第 66 條 GDPR. 緊急程序
(u) 促進監管機關間之合作、有效之雙邊及多邊資訊交換及最佳做 法;
(v) 促進一般培訓方案並促進監管機關間及在適當時與第三國之監 管機關或國際組織之人員交換;
(w) 促進與全世界之資料保護監管機關間資料保護立法及實踐知識 及文件之交換。
(x) 發布對根據第 40 條第 9 項以歐盟層級起草之行為守則的意見; 及
9. 執委會得以施行法之方式,決定本條第 8 項所定經提交且核准之 行為守則、修正案及擴充案於歐盟內具有一般規範效力。該等施行法 應依照第 93 條第 2 項所定檢驗程序通過。
(y) 維護一大眾得接近使用之電子紀錄,紀錄監管機構及法院於一致 性機制中處理之議題所做之裁決。
2. 若執委會要求委員會提供建議,考量該事項之急迫性,得指定一 定之時限。
3. 委員會應將其意見、指導原則、建議及最佳做法轉呈執委會及第 93 條所述之委員會,並將其公開。
第 93 條 GDPR. 執委會之程序
1. 執委會應由一委員會協助。該委員會應為一歐盟規則第 182/2011 號意義上之委員會。
2. 於本項情形,歐盟規則第 182/2011 號第 5 條應適用之。
3. 於本項情形,歐盟規則第 182/2011 號第 8 條與第 5 條應一同適用 之。
4. 委員會應在適當時諮詢利害關係人,並給予其等在合理期間內陳 述意見之機會。在不影響第 76 條之情況下,委員會應公布諮詢程序 之結果。
第 76 條 GDPR. 保密性
1. 委員會根據其議事規則,當認為有必要時,委員會之討論應保密。
2. 接近使用提交予委員會成員、專家及第三方代表之文件應遵守歐 洲議會及歐盟理事會之歐盟規則第 1049/2001 號[21]之規定。
Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30
Forgot your password?
Subscribe to updated texts, invitations to GDPR events and news by Data Privacy Office
Lost your password? Please enter your email address. You will receive mail with link to set new password.
Back to login