1. 委員會應確保本規則之一致適用。為此目的,委員會特別應主動 或斟酌情形在執委會之要求下為下列行為:
(a) 監督並確保本規則在第 64 條及第 65 條規定情形之正確適用,但 不妨礙國家監管機關之任務;
第 64 條 GDPR. 委員會之意見
第 65 條 GDPR. 委員會之爭議解決
(b) 就與歐盟境內個人資料保護之任何議題,包括就本規則之任何建 議修訂,向執委會提供意見;
(c) 就控管者、處理者及監管機關對於有拘束力之企業守則的資訊交 換格式及程序,向委員會提供意見;
(d) 發布第 17 條第 2 項所述自公開通訊服務刪除個人資料連結、複 製或仿製之指導原則、建議及最佳做法;
第 17 條 GDPR. 刪除權(「被遺忘權」)
[…]
2. 如控管者已將該個人資料公開,且其有義務依據第 1 項規定刪除 該個人資料者,考量現有科技及執行成本,該控管者應採取合理步驟, 包括科技方式,通知正在處理該個人資料之控管者,資料主體已提出 刪去任何該個人資料之連結或複製或仿製之請求。
(e) 主動或依其一名成員或執委會之請求,審查涵蓋本規則適用之任 何問題並發布指導原則、建議及最佳做法以鼓勵本規則之一致適用。
(f) 為進一步規範根據第 22 條第 2 項建檔之標準與條件,依本項第 e 點發布指導原則、建議及最佳做法;
第 22 條 GDPR. 個人化之自動決策,包括建檔
2. 第一項規定不予適用,如該決策:
(a) 係為締結或履行資料主體與控管者間之契約所必要者;
(b) 係控管者受拘束之歐盟法或會員國法有明文授權,且定有適當之 保護措施以確保資料主體之權利及自由及正當利益者;或
(c) 係基於資料主體之明確同意者。
(g) 就確定個人資料侵害並決定第 33 條第 1 項及第 2 項所述之無故 遲延,以及控管者或處理者被要求通知該個人資料侵害之特定情況, 依本項第 e 點發布指導原則、建議及最佳做法;
第 33 條 GDPR. 向監管機關進行個人資料侵害之通報
1. 於個人資料侵害發生時,控管者即應依第 55 條向監管機關通報, 不得無故遲延,且如可能,應於發現後 72 小時內通報,但個人資料 侵害無造成對當事人權利及自由之風險時,不在此限。於未於 72 小 時內向監管機關通報之情形,通報應附遲延之理由。
2. 發現個人資料侵害後,處理者應通報控管者,不得無故遲延。
(h) 在第 34 條第 1 項所述就個人資料侵害可能導致對當事人權利及 自由之高風險之情形,依本項第 e 點發布指導原則、建議及最佳做 法。
(i) 基於控管者遵循之有拘束力之企業守則及處理者遵循之有拘束力 之企業守則,並基於進一步必要之要求,為進一步規範個人資料移轉 之標準及依第 47 條之要求以確保相關資料主體個人資料之保護,依 本項第 e 點發布指導原則、建議及最佳做法;
第 47 條 GDPR. 有拘束力之企業守則
(j) 為根據第 49 條第 1 項進一步規範個人資料移轉之標準及要求,依 本項第 e 點發布指導原則、建議及最佳做法;
第 49 條 GDPR. 特定情形下之例外
1. 於欠缺第 45 條第 3 項之充足程度保護之決定、或欠缺第 46 條之 適當保護措施時,包括有拘束力之企業守則、個人資料之移轉或一系 列移轉至第三國或國際組織,僅應於符合下列條件時進行:
(a) 資料主體於受關於因欠缺充足程度保護決定及適當保護措施,該 等移轉對資料主體造成之可能風險通知後,已明確同意計畫之移轉;
(b) 移轉對履行資料主體與控管者間契約、或依資料主體之請求執行 契約前之措施為必要;
(c) 移轉對締結或履行控管者與其他自然人或法人間,基於資料主體 之利益所締結之契約為必要;
(d) 移轉對公共利益之重要原因為必要;
(e) 移轉對建構、行使或防禦法律上之請求為必要;
(g) 移轉係依據歐盟或會員國法登記,意圖提供公眾信息且開放予一 般公眾或任何得舉證具合法利益者諮詢,但僅限於特定情形中歐盟或 會員國法設定之諮詢條件獲滿足之程度。
(f) 於資料主體身體上或法律上無法為同意之表示時,移轉對保護資 料主體之重要利益為必要;
於移轉無法符合第 45 條或第 46 條之規定,包括有拘束力之企業守則 之規定,且無法適用本項第 1 款所稱之任何特定例外情形時,向第三 國或國際組織之移轉僅於該移轉非重複性、僅影響有限數量之資料主 體,對控管者所追求之合法目的為必要而不凌駕於資料主體之利益或 權利及自由,且控管者已評估資料移轉之所有環境,而立於評估對個 人資料保護為適合保護措施之基礎時,方得進行。控管者應將移轉通 知監管機關。於第 13 條及第 14 條提供資訊之情形,控管者應將移轉 及追求之合法利益通知資料主體。
(k) 就第 58 條第 1 項、第 2 項及第 3 項所述措施之適用,以及第 83 條罰鍰之訂定,為監管機關制定指導原則;
第 58 條 GDPR. 權力
1. 各監管機關應有下列全部調查之權力:
2. 各監管機關應有下列全部之糾正權力:
3. 各監管機關應有下列全部之授權及建議權力:
第 83 條 GDPR. 裁處行政罰鍰之一般要件
(l) 審查第 e點及第 f點所述指導原則、建議及最佳做法之實際適用;
(m) 就第 54 條第 2 項當事人報告本規則侵害之一般程序之建立,依 本項第 e 點發布指導原則、建議及最佳做法;
第 54 條 GDPR. 監管機關設立之規則
2. 依歐盟或會員國法,各監管機關之成員及工作人員應於任期內及 任期後,對因行使職權知悉之任何機密資料負專業保密義務。於任期 內,其專業保密義務尤其應適用於本規則之當事人侵害報告。
(n) 依第 40 條及第 42 條鼓勵行為守則之訂定及資料保護認證機制、 資料保護標章及標誌之建立;
第 40 條 GDPR. 行為守則
第 42 條 GDPR. 認證
(o) 依第 43 條進行認證機構之委託及其定期檢驗,並維護依第 43 條 第 6 項受託機關及依 42 條第 7 項設立於第三國之受託控管者或處理 者的公共紀錄;
第 43 條 GDPR. 認證機構
6. 本條第 3項所定要件及第 42條第 5 項所定標準應由監管機關以方 便取得之格式公開之。監管機關亦應將該等要件及標準傳送至委員會。 委員會應將所有資料保護認證機制與資料保護標章整理登錄,並應以 適當方式公開之。
7. 對控管者或處理者所為之認證,最長期限應為三年,且在相同要 件下並持續符合相關要求者,得更新之。第 43 條所定之認證機構或 主管監管機關(如適用)於欠缺認證要件或不再符合認證要件之情況 下,應撤回認證。
(p) 為第 42 條認證機構之委託,具體化規範第 43 條第 3 項所述之要 求;
3. 本條第 1 項及第 2 項所定認證機構之認證應由主管監管機關依據 第 55 條或第 56 條規定或由委員會依第 63 條規定依其核准之標準定 之。依據本條第 1 項第 b 點之認證,該等要件應與第 765/2008 號規 則及規範認證機構之方法及程序之技術規則相一致。
(q) 提供執委會關於第 43 條第 8 項所述認證要求之意見;
8. 執委會應有權依據第 92 條規定通過授權法,以具體化第 42 條第 1 項所定資料保護認證機制應考慮的要件。
(r) 提供執委會關於第 12 條第 7 項所述標誌方式之意見;
第 12 條 GDPR. 資料主體為行使其權利之透明資訊、溝通及管道
7. 依據第 13 條及第 14 條規定提供予資料主體之資訊,得以標準化 之標誌方式提供,俾提供易見、易懂且清晰易讀之方式,並對於所欲 為之處理進行有意義之概述。於標誌係以電子方式表示時,其須得由 機器辨認之。
(s) 提供執委會關於第三國或國際組織保護程度適當性之評估,包括 評估第三國、第三國內之領域或特定部門、或國際組織是否不再確保 適當程度之保護。為此,執委會應提供委員會所有必要之文件,包括 與第三國政府關於第三國、第三國內之領域或部門,或與國際組織之 通信。
(t) 依據第 64條第 1項所述之一致性機制發布對監管機關裁決草案之 意見,發布對第 64 條第 2 項提交事項之意見,以及依第 65 條發布有 拘束力之裁決,包括第 66 條所述之情形;
1. 當主管監管機關欲採取下列任一措施時,委員會應發布其意見。 為此,當有下列任一情形時,主管監管機關應向委員會通知該裁決草 案:
(a) 旨在採取依第35條第4項規定進行資料保護影響評估之處理活動 清單;
(b) 涉及依第 40 條第 7 項之事項,即行為守則草案或行為守則之修 訂或擴充是否符合本規則;
(c) 旨在核准第 41 條第 3 項之機構認證標準或第 43 條第 3 項之認證 機構;
(e) 旨在授權第 46 條第 3 項第 a 點所述之契約條款;或
(f) 旨在核准第 47 條定義下有拘束力之企業守則。
2. 任何監管機關、委員會主席或執委會主席為獲得意見得要求委員 會審查任何在一個以上之會員國具有一般適用性或產生效力之事項, 特別是當主管監管機關不遵守第 61 條互助之義務,或第 62 條聯合作 業之義務時。
第 66 條 GDPR. 緊急程序
(u) 促進監管機關間之合作、有效之雙邊及多邊資訊交換及最佳做 法;
(v) 促進一般培訓方案並促進監管機關間及在適當時與第三國之監 管機關或國際組織之人員交換;
(w) 促進與全世界之資料保護監管機關間資料保護立法及實踐知識 及文件之交換。
(x) 發布對根據第 40 條第 9 項以歐盟層級起草之行為守則的意見; 及
9. 執委會得以施行法之方式,決定本條第 8 項所定經提交且核准之 行為守則、修正案及擴充案於歐盟內具有一般規範效力。該等施行法 應依照第 93 條第 2 項所定檢驗程序通過。
(y) 維護一大眾得接近使用之電子紀錄,紀錄監管機構及法院於一致 性機制中處理之議題所做之裁決。
2. 若執委會要求委員會提供建議,考量該事項之急迫性,得指定一 定之時限。
3. 委員會應將其意見、指導原則、建議及最佳做法轉呈執委會及第 93 條所述之委員會,並將其公開。
第 93 條 GDPR. 執委會之程序
1. 執委會應由一委員會協助。該委員會應為一歐盟規則第 182/2011 號意義上之委員會。
2. 於本項情形,歐盟規則第 182/2011 號第 5 條應適用之。
3. 於本項情形,歐盟規則第 182/2011 號第 8 條與第 5 條應一同適用 之。
4. 委員會應在適當時諮詢利害關係人,並給予其等在合理期間內陳 述意見之機會。在不影響第 76 條之情況下,委員會應公布諮詢程序 之結果。
第 76 條 GDPR. 保密性
1. 委員會根據其議事規則,當認為有必要時,委員會之討論應保密。
2. 接近使用提交予委員會成員、專家及第三方代表之文件應遵守歐 洲議會及歐盟理事會之歐盟規則第 1049/2001 號[21]之規定。
Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30
Forgot your password?
подписаться на обновленные тексты, приглашения на GDPR-ивенты и новости Data Privacy Office
Lost your password? Please enter your email address. You will receive mail with link to set new password.
Back to login