第 64 條 GDPR. 委員會之意見

第 65 條 GDPR. 委員會之爭議解決

第 17 條 GDPR. 刪除權（「被遺忘權」）

[…]

2. 如控管者已將該個人資料公開，且其有義務依據第 1 項規定刪除 該個人資料者，考量現有科技及執行成本，該控管者應採取合理步驟， 包括科技方式，通知正在處理該個人資料之控管者，資料主體已提出 刪去任何該個人資料之連結或複製或仿製之請求。

[…]

第 22 條 GDPR. 個人化之自動決策，包括建檔

[…]

2. 第一項規定不予適用，如該決策：

[…]

(a) 係為締結或履行資料主體與控管者間之契約所必要者；

(b) 係控管者受拘束之歐盟法或會員國法有明文授權，且定有適當之 保護措施以確保資料主體之權利及自由及正當利益者；或

(c) 係基於資料主體之明確同意者。

第 33 條 GDPR. 向監管機關進行個人資料侵害之通報

1. 於個人資料侵害發生時，控管者即應依第 55 條向監管機關通報， 不得無故遲延，且如可能，應於發現後 72 小時內通報，但個人資料 侵害無造成對當事人權利及自由之風險時，不在此限。於未於 72 小 時內向監管機關通報之情形，通報應附遲延之理由。

2. 發現個人資料侵害後，處理者應通報控管者，不得無故遲延。

[…]

第 33 條 GDPR. 向監管機關進行個人資料侵害之通報

1. 於個人資料侵害發生時，控管者即應依第 55 條向監管機關通報， 不得無故遲延，且如可能，應於發現後 72 小時內通報，但個人資料 侵害無造成對當事人權利及自由之風險時，不在此限。於未於 72 小 時內向監管機關通報之情形，通報應附遲延之理由。

2. 發現個人資料侵害後，處理者應通報控管者，不得無故遲延。

第 47 條 GDPR. 有拘束力之企業守則

第 49 條 GDPR. 特定情形下之例外

1. 於欠缺第 45 條第 3 項之充足程度保護之決定、或欠缺第 46 條之 適當保護措施時，包括有拘束力之企業守則、個人資料之移轉或一系 列移轉至第三國或國際組織，僅應於符合下列條件時進行：

(a) 資料主體於受關於因欠缺充足程度保護決定及適當保護措施，該 等移轉對資料主體造成之可能風險通知後，已明確同意計畫之移轉；

(b) 移轉對履行資料主體與控管者間契約、或依資料主體之請求執行 契約前之措施為必要；

(c) 移轉對締結或履行控管者與其他自然人或法人間，基於資料主體 之利益所締結之契約為必要；

(d) 移轉對公共利益之重要原因為必要；

(e) 移轉對建構、行使或防禦法律上之請求為必要；

(g) 移轉係依據歐盟或會員國法登記，意圖提供公眾信息且開放予一 般公眾或任何得舉證具合法利益者諮詢，但僅限於特定情形中歐盟或 會員國法設定之諮詢條件獲滿足之程度。

(f) 於資料主體身體上或法律上無法為同意之表示時，移轉對保護資 料主體之重要利益為必要；

於移轉無法符合第 45 條或第 46 條之規定，包括有拘束力之企業守則 之規定，且無法適用本項第 1 款所稱之任何特定例外情形時，向第三 國或國際組織之移轉僅於該移轉非重複性、僅影響有限數量之資料主 體，對控管者所追求之合法目的為必要而不凌駕於資料主體之利益或 權利及自由，且控管者已評估資料移轉之所有環境，而立於評估對個 人資料保護為適合保護措施之基礎時，方得進行。控管者應將移轉通 知監管機關。於第 13 條及第 14 條提供資訊之情形，控管者應將移轉 及追求之合法利益通知資料主體。

第 58 條 GDPR. 權力

1. 各監管機關應有下列全部調查之權力：

2. 各監管機關應有下列全部之糾正權力：

3. 各監管機關應有下列全部之授權及建議權力：

第 83 條 GDPR. 裁處行政罰鍰之一般要件

第 54 條 GDPR. 監管機關設立之規則

[…]

2. 依歐盟或會員國法，各監管機關之成員及工作人員應於任期內及 任期後，對因行使職權知悉之任何機密資料負專業保密義務。於任期 內，其專業保密義務尤其應適用於本規則之當事人侵害報告。

第 40 條 GDPR. 行為守則

第 42 條 GDPR. 認證

第 43 條 GDPR. 認證機構

[…]

6. 本條第 3項所定要件及第 42條第 5 項所定標準應由監管機關以方 便取得之格式公開之。監管機關亦應將該等要件及標準傳送至委員會。 委員會應將所有資料保護認證機制與資料保護標章整理登錄，並應以 適當方式公開之。

[…]

第 42 條 GDPR. 認證

[…]

7. 對控管者或處理者所為之認證，最長期限應為三年，且在相同要 件下並持續符合相關要求者，得更新之。第 43 條所定之認證機構或 主管監管機關（如適用）於欠缺認證要件或不再符合認證要件之情況 下，應撤回認證。

[…]

第 43 條 GDPR. 認證機構

[…]

3. 本條第 1 項及第 2 項所定認證機構之認證應由主管監管機關依據 第 55 條或第 56 條規定或由委員會依第 63 條規定依其核准之標準定 之。依據本條第 1 項第 b 點之認證，該等要件應與第 765/2008 號規 則及規範認證機構之方法及程序之技術規則相一致。

[…]

第 42 條 GDPR. 認證

第 43 條 GDPR. 認證機構

[…]

8. 執委會應有權依據第 92 條規定通過授權法，以具體化第 42 條第 1 項所定資料保護認證機制應考慮的要件。

[…]

第 12 條 GDPR. 資料主體為行使其權利之透明資訊、溝通及管道

[…]

7. 依據第 13 條及第 14 條規定提供予資料主體之資訊，得以標準化 之標誌方式提供，俾提供易見、易懂且清晰易讀之方式，並對於所欲 為之處理進行有意義之概述。於標誌係以電子方式表示時，其須得由 機器辨認之。

[…]

第 64 條 GDPR. 委員會之意見

1. 當主管監管機關欲採取下列任一措施時，委員會應發布其意見。 為此，當有下列任一情形時，主管監管機關應向委員會通知該裁決草 案：

(a) 旨在採取依第35條第4項規定進行資料保護影響評估之處理活動 清單；

(b) 涉及依第 40 條第 7 項之事項，即行為守則草案或行為守則之修 訂或擴充是否符合本規則；

(c) 旨在核准第 41 條第 3 項之機構認證標準或第 43 條第 3 項之認證 機構；

(e) 旨在授權第 46 條第 3 項第 a 點所述之契約條款；或

(f) 旨在核准第 47 條定義下有拘束力之企業守則。

2. 任何監管機關、委員會主席或執委會主席為獲得意見得要求委員 會審查任何在一個以上之會員國具有一般適用性或產生效力之事項， 特別是當主管監管機關不遵守第 61 條互助之義務，或第 62 條聯合作 業之義務時。

[…]

第 65 條 GDPR. 委員會之爭議解決

第 66 條 GDPR. 緊急程序

第 40 條 GDPR. 行為守則

9. 執委會得以施行法之方式，決定本條第 8 項所定經提交且核准之 行為守則、修正案及擴充案於歐盟內具有一般規範效力。該等施行法 應依照第 93 條第 2 項所定檢驗程序通過。

[…]

第 93 條 GDPR. 執委會之程序

1. 執委會應由一委員會協助。該委員會應為一歐盟規則第 182/2011 號意義上之委員會。

2. 於本項情形，歐盟規則第 182/2011 號第 5 條應適用之。

3. 於本項情形，歐盟規則第 182/2011 號第 8 條與第 5 條應一同適用 之。

第 76 條 GDPR. 保密性

1. 委員會根據其議事規則，當認為有必要時，委員會之討論應保密。

2. 接近使用提交予委員會成員、專家及第三方代表之文件應遵守歐 洲議會及歐盟理事會之歐盟規則第 1049/2001 號[21]之規定。