隐私保护
隐私权是您的重要权利。向我们提供您的个人信息是基于对我们的信任,相信我们会负责的态度对待您的个人信息。我们认为您提供的信息只能用于帮助我们为您提供更好的服务。因此,我们制定了[车队名字]网上个人信息保密制度以保护您的个人信息。我们的个人信息保密制度摘要如下:

我们的站点地址是:https://qf25542778-2.icoc.ws/



我们收集何种及为何收集个人数据

评论

通常,您能在匿名的状态下访问我们的网站并获取信息。在我们请求您提供有关信息之前,我们会解释这些信息的用途我们有些站点需要注册才能加入。在通常情况下,这类注册只要求您提供一个电子邮件地址和一些诸如您的工作,职务一类的基本信息。有时我们也会请您提供更多的信息。我们这样做是为了使我们更好的理解您的需求,以便向您提供有效的服务。我们站点收集的信息包括姓名,地址和电话号码。您有权随时决定不接受来自我们的任何资料。

由您的电子邮件地址所生成的匿名化字符串(又称为哈希)可能会被提供给Gravatar服务确认您是否有使用该服务。Gravatar服务的隐私政策在此:https://automattic.com/privacy/。在您的评论获批准后,您的资料图片将在您的评论旁公开展示。 保护您的隐私 我们将采取适当的步骤保护您的隐私。每当您提供给我们敏感信息时,我们将采取合理的步骤保护您的敏感信息,我们也将采取合理的安全手段保护已存储的个人信息。除非根据法律或政府的强制性规定,在未得到您的许可之前,我们不会把您的任何个人信息提供给无关的第三方(包括公司或个人)。但是,如果您要求我们提供特定客户支援服务或把一些物品送交给您,我们则需要把您的姓名和地址提供给第三者如运输公司。我们的网站将会提供第三者网站的链接。由于我们不能控制这些网站,所以我们建议您细阅这些第三者网站的个人信息保密制度。 隐私权原则 由于您的隐私权对我们而言是相当重要的,因此,公布这份隐私权声明的[车队名字]网站会根据下列五项 原则管理涉及隐私的信息。 原则1 每当本网站需要识别您的身份或与您联络时,会明确的询问所需的资料,即个人资料。一般而言,当您在网站上注册,要求提供特别服务,或是如参加奖金竞赛,便会被询问到这项资料。可能的话,曙光车队网会利用一些方法,确认您的个人资料的正确性与时效性。 原则2 曙光车队网站及其必要的服务伙伴使用您的个人资料来运作网站和服务,并且会通知您各项新的功能与服务,以及本网站和其附属公司的各类产品。曙光车队也会谨慎地挑选来自其他公司的产品或服务资料传送给您,通常是有关于站点本身的服务,但对作业并非必要(次要用途) 原则3 如果曙光车队想要将个人资料用在次要用途上,我们会提供您如何拒绝这项服务的说明。您可以依照曙光车队网寄给您的资料或促销信件上的说明,终止这些信件的发送。 原则4 曙光车队也许会因法律要求公开个人资料,或者因善意确信这样的作法对于下列各项有其必要性: (1)符合法律公告或遵守适用于曙光车队官网的合法程序; (2)保护本网站的用户之权利或财产; (3)在紧急的情况下,为了保护本网站及其用户之个人或公众安全。 原则5 任何时候如果您认为我们没有遵守这些原则时,请利用电子邮件   通知我们,我们会尽一切努力,请合理适当的范围内立即改善这个问题。 Cookies 如果您在我们的站点上留下评论,您可以选择用cookies保存您的姓名、电子邮件地址和网站。这是通过让您可以不用在评论时再次填写相关内容而向您提供方便。这些cookies会保留一年。 如果您访问我们的登录页,我们会设置一个临时的cookie来确认您的浏览器是否接受cookies。此cookie不包含个人数据,且会在您关闭浏览器时被丢弃。 当您登录时,我们也会设置多个cookies来保存您的登录信息及屏幕显示选项。登录cookies会保留两天,而屏幕显示选项cookies会保留一年。如果您选择了“记住我”,您的登录会保留两周。如果您注销,登录cookies将被移除。 如果您编辑或发布文章,我们会在您的浏览器中保存一个额外的cookie。这个cookie不包含个人数据而只记录了您刚才编辑的文章的ID。这个小甜饼会保留一天。 如何更新您已经提供给我们的个人信息 如果您的地址,职务(职称),电话或e_mail地址发生变化,您可以按本网站中公布的联系方式 通知我们,以帮助我们保持您的资料的准确性。你也可以通过邮件告知我们的方式自行更新您的个人信息,曙光车队欢迎您对这项保密制度给予评论并提出质疑。我们将致力于保护您的个人信息,尽全力保证这些信息的安全。由于网上技术的发展突飞猛进,我们会随时更新我们的信息保密制度。所有的修订将在此站点公布。请将与本声明有关的所有评论和质疑发往。 我们欢迎您对这项保密制度给予评论并提出质疑。我们将致力于保护您的个人信息,尽全力保证这些信息的安全。由于网上技术的发展突飞猛进,我们会随时更新我们的信息保密制度。所有的修订将在此站点公布。请将与本声明有关的所有评论和质疑发往 这些站点可能会收集关于您的数据、使用cookies、嵌入额外的第三方跟踪程序及监视您与这些嵌入内容的交互,包括在您有这些站点的账户并登录了这些站点时,跟踪您与嵌入内容的交互。 统计 我们与谁共享您的信息 我们保留多久您的信息 如果您留下评论,评论和其元数据将被无限期保存。我们这样做以便能识别并自动批准任何后续评论,而不用将这些后续评论加入待审队列。 对于本网站的注册用户,我们也会保存用户在个人资料中提供的个人信息。所有用户可以在任何时候查看、编辑或删除他们的个人信息(除了不能变更用户名外)、站点管理员也可以查看及编辑那些信息。 GDPR 用户权利 根据 GDPR 法律,我们必须允许网站用户: 访问他们的个人数据 用户数据的更正 删除用户数据 限制处理和反对 随时撤回同意的权利 向您当地的数据保护机构投诉 如果您希望执行上述任何操作,请通过2652382245@qq.com与我们联系 安全 您的个人信息的安全性对我们很重要,但请记住,没有任何一种通过 Internet 传输的方法或电子存储方法是 100% 安全的。虽然我们努力使用商业上可接受的方式来保护您的个人信息,但我们不能保证其绝对安全. GDPR 数据保护权利 我们希望确保您充分了解您的所有数据保护权利。每个用户都有权获得以下权利: 访问权——您有权索取您的个人数据的副本。我们将为您提供我们拥有的所有关于您的信息。 更正权——您有权要求我们更正您认为不准确的任何信息。您还有权要求我们填写您认为不完整的信息。 删除权——在某些情况下,您有权要求我们删除您的个人数据。 限制处理的权利——您有权要求我们在某些条件下限制对您的个人数据的处理。 反对处理的权利——在某些情况下,您有权反对我们处理您的个人数据。 数据可移植性的权利——在某些条件下,您有权要求我们将收集到的数据传输给另一个组织,或直接传输给您。 如果您提出请求,我们有一个月的时间回复您。如果您想行使这些权利中的任何一项, 请与我们联系邮箱:2652382245@qq.com 您对您的信息有什么权利 如果您有此站点的账户,或曾经留下评论,您可以请求我们提供我们所拥有的您的个人数据的导出文件,这也包括了所有您提供给我们的数据。您也可以要求我们抹除所有关于您的个人数据。这不包括我们因管理、法规或安全需要而必须保留的数据。 我们将您的信息发送到哪 访客评论可能会被自动垃圾评论监测服务检查。 您的联系信息 其他信息 我们如何保护您的数据 我们有何种数据泄露处理流程 我们从哪些第三方接收数据 我们通过用户数据进行何种自动决策及/或归纳 行业监管披露要求 联系方式
邮箱:2197348962@qq.com

服务条款



服务条款

尊敬的用户,欢迎您注册成为本网站用户。在注册前请您仔细阅读如下服务条款:本服务协议双方为本网站与本网站用户,本服务协议具有合同效力


您确认本服务协议后,本服务协议即在您和本网站之间产生法律效力。请您务 必在注册之前认真阅读全部服务协议内容,如有任何疑问,可向本网站咨询。无论您事实上是否在注册之前认真阅读了本服务协议,只要您点击协议正本下方的”注册”按钮并照本网站注册程序成功注册为用户,您的行为仍然表示您同意 并签署了本服务协议。


1.本网站服务条款的确认和接纳 本网站各项服务的所有权和运作权归本网站拥有。


2.用户必须:


(1)自行配备上网的所需设备,包括个人电脑、调制解调器或其他必备上网装置。


(2)自行负担个人上网所支付的与此服务有关的电话费用、网络费用。


3.用户在本网站上交易平台上不得发布下列违法信息:


(1)反对宪法所确定的基本原则的;


(2).危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;


(3).损害国家荣誉和利益的;


(4).煽动民族仇恨、民族歧视,破坏民族团结的;


(5).破坏国家宗教政策,宣扬邪教和封建迷信的;


(6).散布谣言,扰乱社会秩序,破坏社会稳定的;


(7).散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;


(8).侮辱或者诽谤他人,侵害他人合法权益的;


(9).含有法律、行政法规禁止的其他内容的。


4.有关个人资料用户同意:


(1)提供及时、详尽及准确的个人资料。


(2).同意接收来自本网站的信息。


(3)不断更新注册资料,符合及时、详尽准确的要求。所有原始键入的资料将引用为注册资料。


(4)本网站不公开用户的姓名、地址、电子邮箱和笔名,以下情况除外:


(a)用户授权本网站透露这些信息。


(b)相应的法律及程序要求本网站提供用户的个人资料。如果用户提供的资料包含有不正确的信息,本网站保留结束用户使用本网站信息服务资格的权利。


5.用户在注册时应当选择稳定性及安全性相对较好的电子邮箱,并且同意接受并阅读本网站发往用户的各类电子邮件。如用户未及时从自己的电子邮箱接受电子邮件或因用户电子邮箱或用户电子邮件接收及阅读程序本身的问题使电子邮件无 法正常接收或阅读的,只要本网站成功发送了电子邮件,应当视为用户已经接收到相关的电子邮件。电子邮件在发信服务器上所记录的发出时间视为送达时间。


6.服务条款的修改


本网站有权在必要时修改服务条款,本网站服务条款一旦发生变动,将会在重要页面上提示修改内容。如果不同意所改动的内容,用户可以主动取消获得的本网站信息服务。如果用户继续享用本网站信息服务,则视为接受服务条款的变动。本 网站保留随时修改或中断服务而不需通知用户的权利。本网站行使修改或中断服务的权利,不需对用户或第三方负责。


7.用户隐私制度 尊重用户个人隐私是本网站的一项基本政策。所以,本网站一定不会在未经合 法用户授权时公开、编辑或透露其注册资料及保存在本网站中的非公开内容,除非有法律许可要求或本网站在诚信的基础上认为透露这些信息在以下四种情况是必要的:


(1)遵守有关法律规定,遵从本网站合法服务程序。


(2)保持维护本网站的商标所有权。


(3)在紧急情况下竭力维护用户个人和社会大众的隐私安全。


(4)符合其他相关的要求。


本网站保留发布会员人口分析资询的权利。



8.用户的帐号、密码和安全性
你一旦注册成功成为用户,你将得到一个密码和帐号。如果你不保管好自己的帐号和密码安全,将负全部责任。另外,每个用户都要对其帐户中的所有活动和事件负全责。你可随时根据指示改变你的密码,也可以结束旧的帐户重开一个新帐 户。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,请立即通告本网站。


9.拒绝提供担保


用户明确同意信息服务的使用由用户个人承担风险。本网站不担保服务不会受中断,对服务的及时性,安全性,出错发生都不作担保,但会在能力范围内,避免出错。


10.有限责任


本网站对任何直接、间接、偶然、特殊及继起的损害不负责任,这些损害来自:不正当使用本网站服务,或用户传送的信息不符合规定等。这些行为都有可能导致本网站形象受损,所以本网站事先提出这种损害的可能性,同时会尽量避免这 种损害的发生。

11.信息的储存及限制 本网站有判定用户的行为是否符合本网站服务条款的要求和精神的权利,如果用户违背本网站服务条款的规定,本网站有权中断其服务的帐号。


12.用户管理


用户必须遵循:


(1)使用信息服务不作非法用途。


(2)不干扰或混乱网络服务。


(3)遵守所有使用服务的网络协议、规定、程序和惯例。用户的行为准则是以因特网法规,政策、程序和惯例为根据的。


13.保障


用户同意保障和维护本网站全体成员的利益,负责支付由用户使用超出服务范围引起的律师费用,违反服务条款的损害补偿费用,其它人使用用户的电脑、帐号和其它知识产权的追索费。


14.结束服务


用户或本网站可随时根据实际情况中断一项或多项服务。本网站不需对任何个人或第三方负责而随时中断服务。用户若反对任何服务条款的建议或对后来的条款修改有异议,或对本网站服务不满,用户可以行使如下权利:


(1)不再使用本网站信息服务。


(2)通知本网站停止对该用户的服务。结束用户服务后,用户使用本网站服务的权利马上中止。从那时起,用户没有 权利,本网站也没有义务传送任何未处理的信息或未完成的服务给用户或第三方。


15.通告


所有发给用户的通告都可通过重要页面的公告或电子邮件或常规的信件传送。


服务条款的修改、服务变更、或其它重要事件的通告都会以此形式进行。


16.信息内容的所有权


本网站定义的信息内容包括:文字、软件、声音、相片、录象、图表;在广告中全部内容;本网站为用户提供的其它信息。所有这些内容受版权、商标、标签和其它财产所有权法律的保护。所以,用户只能在本网站和广告商授权下才能使用这些 内容,而不能擅自复制、再造这些内容、或创造与内容有关的派生产品。


17.法律
本网站信息服务条款要与中华人民共和国的法律解释一致。用户和本网站一致同意服从本网站所在地有管辖权的法院管辖。如发生本网站服务条款与中华人民共和国法律相抵触时,则这些条款将完全按法律规定重新解释,而其它条款则依旧保持对用户的约束力。
本服务条款的生效、履行、解释及争议的解决均适用中华人民共和国法律,发生的争议提交北京仲裁委员会,其仲裁裁决是终局的。本服务条款因与中华人民共和国现行法律相抵触而导致部分无效,不影响其他部分的效力。


联系方式:

QQ:2197348962

邮箱:MaNiuBi8866@gmail.com

Discord:XiaoDuan#6315



General Data Protection Regulation(GDPR)通用数据保护条例转自中国存储网,原文链接:https://www.chinastor.com/netsafe/12143M462017.html第一章一般规定第1条主题与目标本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。本法保护自然人的基本权利和自由,尤其是自然人的个人数据保护权。不得以保护与处理的个人数据相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动。第2条适用范围本法适用于完全或部分以自动方式对个人数据的处理,构成或拟构成整理汇集系统一部分的自动方式除外。本法不适用于以下个人数据的处理:(a) 发生在联盟法律范围之外的活动过程中;(b) 由成员国在欧洲联盟条约第五卷第2章范围内进行活动时;(c) 由自然人在纯粹的个人或家庭活动的过程中;(d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪,执行的刑事处罚的目的,包括防范和阻止公共安全受到威胁。欧盟机构、委员会、办事处和专业行政部门(代理机构)处理个人数据,适用第45/2001号条例。根据本法第98条,处理个人数据适用第45/2001号条例和其他联盟法律法规的,应当符合本法的原则和规则。本法不影响2000/31 / EC指令的适用,特别是该指令第12条至第15条中的中间服务提供商的责任规则。第3条地域范围本法适用于设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内。本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:(a) 发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或(b) 是对数据主体发生在欧盟内的行为进行的监控的。本法适用于设立在欧盟之外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。第4条定义为本法之目的:(1) “个人数据”是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。(2)“处理”是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用,排列、组合、限制、删除或销毁,无论此操作是否采用自动化的手段。(3)“处理限制”是指对已存储的个人数据的标识,用于在将来限制他们的处理行为;(4)“剖析”是指为评估与自然人相关的某些个人情况,对个人数据进行任何自动化处理、利用的方式,特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信度、习性、位置或行踪相关的分析和预测。(5)“匿名化”是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据处理方式。该处理方式将个人数据与其他额外信息分别存储,并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。(6)“整理汇集系统”是一种依照特定标准,如集中、分散或功能分布或地域基准存取个人数据的结构化集合。(7)“控制者”是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。其中个人数据处理的目的和方式,以及控制者或控制者资格的具体标准由欧盟或其成员国的法律予以规定。(8)“处理者”是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。(9)“接收者”是指接收到被传递的个人数据的,无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。但是,政府因在欧盟或其成员国法律框架内特定调查接收到个人数据的,不得被视为“接收者”;政府处理这些数据应当根据数据处理的目的,遵循可适用的数据保护规则。(10)“第三方”是指数据主体、控制者、处理者以及在控制者或处理者直接授权处理个人数据者以外的自然人、法人、公共机构、行政机关或其他非法人组织。(11)数据主体的“同意”是指数据主体依照其意愿自愿做出的任何指定的、具体的、知情的及明确的指示。通过声明或明确肯定的行为作出的这种指示,意味着其同意与他或她有关的个人数据被处理。(12)“个人数据外泄”是指个人数据在传输、存储或进行其他处理时的安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。(13)“基因数据”是指与自然人先天或后天的遗传性特征相关的个人数据。这类数据传达了与该自然人生理机能或健康状况相关的独特信息,并且上述数据往往来自于对该自然人生物样本的分析结果。(14) “生物识别数据”是通过对自然人的物理、生物或行为特征进行特定的技术处理的得到的个人数据。这类数据生成了那个自然人的唯一标识,比如人脸图像或指纹识别数据。(15)“有关健康的数据”是指与自然人身体或精神健康有关的个人数据,包括能揭示关于他或她的健康状况的健康保健服务所提供的数据。(16) “主营业地”意味着:(a)对于营业机构在多个成员国的的控制者,除非控制者在欧盟内的另一个营业机构能够决定并有能力贯彻个人数据的处理目的和方式,否则其在欧盟内的主要管理者所在地被视为主营业地。(b) 对于营业机构在多个成员国的处理者,其在欧盟内的主要管理者所在地,在本法下承担特定义务;如果处理者在欧盟内没有主要管理者,在处理者的营业机构的营业范围内进行主要处理行为的营业地,在本法下承担特定义务。(17) “代表”指由控制者和处理者依照第27条书面指定的,代表控制者和处理者分别履行本法规定的义务的欧盟内的自然人、法人。(18) “企业”是指参与经济活动的自然人或法人,无论其为何种组织形式,可以包括合伙或经常性参与经济活动的协会。(19) “企业团体”是指一个管控性的企业以及受其管控的企业群。(20) “约束性企业规则”是指成员国领土上的控制者和处理者通过事业集团或企业集团进行的联合经济活动,而致个人数据传输或系列传输到一个或多个第三方国家的控制者或处理者时必须遵循的个人数据保护政策。(21) “监管机构”是指一个独立的,由成员国依据第51条设立的公权力机构。(22) “有关监管机构”是与人数据处理有关的监管机构,因为:(a) 控制者或处理者是建立在监管机构所在的成员国领土上的;(b) 居住在监管机构所在成员国的数据主体被或可能被处理行为严重影响;或(c) 一个由监管机构提交的申诉;(23)“跨境处理”是指以下情形之一:(a) 个人数据处理发生在一个欧盟内的设立在多个成员国的控制者或处理者在多个成员国的营业机构的活动中。(b) 个人数据的处理发生在一个欧盟内的控制者或处理者的唯一营业机构的活动中,但是这种处理严重影响或可能会严重影响多个成员国的数据主体。(24) “相关与合理异议”是指一种关于是否存在违反本法情况,或是控制者或处理者是否存在遵守本法的预设行为的异议。这个异议清晰地表明了有关数据主体的基本权利和自由的决议草案所造成的风险的重要影响,以及此种异议也适用于欧盟内的个人数据自由流动。(25) “信息社会服务”是指欧洲议会和理事会的指令(欧盟)2015/1535 的第一条(1)款的(b)项中定义的服务。(26) “国际组织”是指依照国际公法设立的组织及其下属机构,或依据或以两个或更多国家之间达成的协议为基础建立的其他机构。第二章原则第5条与个人数据处理相关的原则个人数据应:(a) 以合法、公正、透明的方式处理与数据主体有关的(“合法性、公平性和透明性”);(b) 为特定的、明确的、合法的目的收集,并且不符合以上目的不得以一定的方式进行进一步的处理;为公共利益、科学,或历史研究目的,或统计目的而进一步处理,按照第89条第(1)款,不应被视为不符合初始目的(“目的限制”);(c) 充分、相关以及以该个人数据处理目的之必要为限度进行处理(“数据最小化”);(d) 准确,必要,及时;为了个人数据被毫不延迟地处理、删除或修正的目的,必须采取一切合理的步骤确保个人数据是不精确的(“精度”);(e) 在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存;为了保护数据主体的权利和自由,依据第89条(1)予以实施本法所要求的适度的技术和组织措施,只要个人数据将仅仅以为达到公共利益、科学或历史研究或统计的目的而处理,个人数据能被长时间存储(“存储限制”)。(f) 以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”)。控制者应该负责,并能够证明符合第一项(“问责制”)。第6条处理的合法性只有在适用以下至少一条的情况下,处理视为合法:(a)数据主体同意他或她的个人数据为一个或多个特定目而处理;(b)处理是为履行数据主体参与的合同之必要,亦或处理是因数据主体在签订合同前的请求而采取的措施;(c)处理是为履行控制者所服从的法律义务之必要;(d)处理是为了保护数据主体或另一个自然人的切身利益之必要;(e)处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要;(f)处理是控制者或者第三方为了追求合法利益的之必要,但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外,尤其是数据主体为儿童的情形下。前第一款(f)项不适用于政府当局在履行其职责时进行的处理。2.成员国可以维持或引入更具体的规定来适应本法关于处理的条款应用,通过设定包括在第九部分中规定的其他具体处理情形,设定更准确具体的处理要求和其他措施来确保合法和公平的处理,以遵守第一款的(c)项和(e)项,3.第一款的(c)项和(e)项所指的处理的依据如下:(a)欧盟法律;或(b)控制者所属的成员国法律。处理的目的应当依据法律确定,或者根据第一款(e)项中所指之处理,即应当为了执行公共利益领域的任务或行使控制者既定的公务职权之必要。法律依据可以包括具体条款以此来适应本法条款的应用,特别是:调整控制者处理合法性的一般条件;被处理的数据类型;与数据主体相关的;个人数据可能被披露的实体和目的;目的限制;存储期限;以及处理操作和处理程序,包括确保合法和公平处理的措施,诸如那些在第九部分提及的其他具体处理情况。欧盟或成员国法律应当符合公共利益的目标以及与追求的正当目标相称。当处理不是为了个人数据被收集时的那个目的,并且这个目的不是基于数据主体的同意,亦非基于在民主社会构成一个必要且适当措施来保障第23条(1)款所指之目标的欧盟或成员国法律,控制者应当为了查明为其他目的进行的处理是否与个人数据最初被收集时的目的相一致而考虑,特别是:(a)任何在个人数据被收集时的目的和预期进一步处理的目的之间的联系;(b)个人数据被收集时的情形,尤其是关于数据主体和控制者的关系的;(c)个人数据的性质,尤其不管是依据第9条被处理的特殊类别的个人数据,还是依据第10条与刑事定罪和罪行有关的个人数据;(d)预期进一步处理给数据主体可能造成的后果;(e)适当的可能包括加密或匿名化的保障措施的存在。第7条同意的要件如处理是基于同意,则控制者应能证明数据主体已经同意处理他或她的个人数据。如数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且与其他事项显著区别的形式呈现。构成违反本法的声明的任何部分,均不具约束力。数据主体有权随时撤回他或她的同意。同意的撤回不应影响在撤回前基于同意作出的合法的数据处理。在作出同意前,数据主体应被告知上述权利。撤回同意应与作出同意同样容易。当评估同意是否是自由作出时,应尽最大可能考虑,还应考虑合同的履行,包括服务的提供是否是基于对履行合同不必要的个人数据的同意。第8条关于信息社会服务适用于儿童同意的条件如适用第6条第1款(a)项,关于直接向儿童提供信息社会服务的,对16周岁以上儿童的个人数据的处理为合法。儿童未满16周岁时,处理只有在征得父母责任的主体同意情形下,或授权儿童同意的范围内合法。如低龄不低于13周岁,则成员国可以通过法律为那些目的向低龄提供。考虑到现有技术,控制者应当作出合理的努力,去核实在此种情况下,父母责任的主体同意或授权。第1款不应影响成员国的一般合同法律,诸如与儿童有关的合同效力、构成或实行。第9条特殊种类的个人数据处理1.对揭示种族或民族出身,政治观点、宗教或哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康、自然人的性生活或性取向的数据的处理应当被禁止。2.如果符合以下情形,则第1款不适用:(a) 数据主体对以一个或数个特定目的对上述个人数据的处理给予了明确同意,但依照欧盟或者成员国的法律规定,第1款规定的禁止情形不能被数据主体援引的除外。(b)数据处理为实现控制者或数据主体在工作、社会保障以及社会保障法的范畴内履行义务、行使权利之目的,则是必要。应当在欧盟或成员国的法律认可下,或者依据成员国对数据主体的基本权利和利益提供适当的保障的法律规定订立的集体协议的范围内实施。(c) 数据处理是对于保护数据主体或另一个自然人的切身利益之必要,但数据主体物理上或法律上无法给予同意时;(d) 数据处理是由政治、哲学、宗教、工会性质的协会、组织或其他非营利组织在有适当安全保障的合法活动中实施的,处理应当仅仅与该组织的成员或前成员或与该组织依组织宗旨为联系的定期联系人相关,并且相关个人数据未经数据主体同意不得向组织外的人披露。(e) 处理被数据主体明显地公开的个人数据;(f) 数据处理为合法诉求的成立、行使或辩护或者法庭司法权的行使之必要;(g) 为了实质的公共利益,数据处理是必要的。依据欧盟或者成员国的法律,追求该目的是适当的,应当尊重数据保护的基本权利,应当提供适当、特定的措施来保障数据主体的基本权利和利益;(h) 为实现以下目的,数据处理是必要的。为了预防医学和职业医学,为了雇员的工作能力评估,医疗诊断,提供卫生社会保健或治疗或卫生社会保健体系以及服务的构建,应当依据欧盟或成员国的法律或者依据与保健专业人士的合同,并且遵守第3款要求的条件和保障。(i) 在公共健康的领域为了公共利益的考量,对于特定专业秘密的数据处理是必要的。譬如,抵御严重的跨境卫生威胁,确保卫生保健、药品或医疗器械高标准的质量和安全,依据联盟或成员国的法律规定以适当的、特定的措施来保障数据主体的权利与自由;(j) 为了公共利益、科学或历史研究的目的,或者统计的目的,依照第89条第(1)款基于联盟或者成员国的法律,追求该目的是适当的,应当尊重数据保护的基本权利,应当提供适当、特定的措施来保障数据主体的基本权利和利益。3.为实现第2款(h)项中的目的,第1款中的个人数据可能被处理,那些数据应当被一个依据欧盟或者成员国的法律或国家法定机构制定的规则负有保守专业秘密的义务的专业人士处理,或者说这是他的责任;或者由另一个同样依据欧盟或者成员国的法律或国家法定机构制定的规则遵守保密义务的人处理。成员国可以保持或者引进进一步的条件,包括指向基因数据、生物特征数据或者健康数据的个人数据处理的限制。第10条有关刑事定罪和罪行的个人数据的处理有关刑事定罪和罪行的,或有关基于第6条第1款的安全措施的个人数据的处理应当在公务职权的控制下开展,或者被欧盟或成员国法律授权为保护数据主体的自由和权利而提供保护措施的处理。任何刑事定罪的综合登记应当只能在公务职权的控制下保存。第11条无需认证的处理1.如果控制者不需要或者不再需要认证其所掌控的个人数据的数据主体,那么若仅仅根据本章程的要求和规定,控制者就没有义务保存、获取或者处理额外的信息来认证数据主体。2.如果有本条第一款所提到的情况,那么在可能的情况下,控制者应当告知数据主体,说明自己并无对数据主体进行认证的职责。只有在数据主体出于行使自身权利需要,而且提供额外的身份证明信息的情况下,第15条至第20条才能得以适用。第三章数据主体权利第一节信息透明度和信息机制第12条数据主体行使权利的透明度、交流和模式1.控制者应当以一种简单透明、明晰且容易获取的方式,通过清楚明确的语言,采取合适措施提供第13条和第14条所提到的任何信息,以及根据第15条到第22条和第34条所提及的关于数据主体处理过程的沟通信息(尤其是关于儿童的任何信息)。控制者应当提供书面材料,在其他情况下,若有必要,可以采用电子方式。如果数据主体能够通过其他方式得到认证,那么在数据主体的要求下,能够以口头方式提供信息。2.控制者应当根据第15条到第22条的规定帮助数据主体行使权利。在第11条第2款的情形下,除非控制者说明自己不具有数据主体的认证职责,否则,对于数据主体根据第15条至第22条行使自身权利的要求,控制者不能拒绝。3.控制者应当及时(在任何情况下不得超过一个月)提供根据第15条至第22条采取的行动信息。考虑到要求的复杂性和数量,在必要的时候,这一期限可以再延长两个月。对于延期提供信息的任何情况,控制者都应当通知数据主体相关情形和延迟原因。在可能的情况下,这些信息能够以电子方式提供,除非数据主体对提供方式有特殊要求。4.如果控制者没有根据数据主体的要求采取行动,控制者应当及时通知(至迟不超过一个月)数据主体未采取行动的原因、向监督机构提起申诉以求寻求司法救济的可能性。5.根据第13条和第14条所提供的信息以及根据第15条至第22条和第34条提供的任何沟通行动都应当免费提供。在数据主体提出的要求无法查明、超出提供范围,尤其是重复提起要求的情形下,控制者也可以:(a)考虑到提供信息、交流或者采取行动的行政成本,行政部门可以收取合理的费用;(b)拒绝受理数据主体的请求。控制者应当承担说明那些无法查明或者居于其提供范围之外的数据的责任。6.在不违背第11条的前提下,控制者在对自然人依据第15条到第22条所提出的要求持有合理怀疑时,可以要求数据主体提供额外的必要的信息来证明身份。7.根据第13条和第14条的要求,控制者应当采用标准化的图标,以简洁明了、清晰可视、晓畅易读的方式向数据主体提供信息。这些图标以电子方式呈现,这样就可以以机读的方式进行信息的读取工作。8.欧盟委员会应当被授予根据第92条的规定采取措施来制定标准化图标的信息和程序的权利。第2节个人数据信息和获取第13条数据主体收集的个人数据的提供1.鉴于数据主体能够获取与自身有关的个人数据,控制者应当在获取个人信息时,向数据主体提供以下信息:(a)控制者的身份和详细联系方式,适当时还要提供代表人的身份和详细联系方式;(b)适当时提供数据保护局的详细联系方式;(c)个人信息处理的目的以及处理的法律基础;(d)当处理过程是依据(f)项和第6条第一款的规定进行的,应当说明控制者或者第三方追求的立法利益;(e)如果可以,应当提供个人数据接收方或者接受方的种类;(f)在适当的情况下,应当提供控制者意图将个人数据向第三国或者国家组织进行传输的事实、委员会是否就此问题做出过充分决议、第46、47条或者第49条第1款第二小段提及情形的相关信息。此外,还包括所采取的保护个人信息的合理安全措施以及获取复印件的方式。2.除了第一款提到的信息,控制者在获取个人数据时,出于证实处理过程的公正和透明的需要,在必要的情况下,应当向数据主体提供如下信息:(a)个人数据的储存阶段,在无法提供的情形下,应当提供阶段划分的决定标准;(b)有资格处理数据主体权利要求的,能够获取、修正、删除个人信息或者管制数据权利的控制者的信息;(c)根据第6条(a)项或者第9条第2款(a)项所进行的在不触犯法律的前提下,处理过程信息、任意取消满意度的相关信息;(d)向监督机构提起申诉的权利;(e)个人数据条款是否应当在法律条文中、在合同契约中规定。还是应当作为缔结合同的必要条件进行规定。此外,还应当包括数据主体是否有义务提供个人数据以及无法提供数据情形下的可能的后果的信息;(f)自动的决策机制,包括第22条第1款以及第4款提到的分析过程所涉及的逻辑程序以及对数据主体的处理过程的重要意义和设想结果。3.鉴于控制者进一步处理个人信息的意图,控制者应当在此之前向数据主体提供与第2款有关的信息。4.当数据主体已经获得这些信息时,第1款、第2款、第3款不能得以适用。第14条并非从数据主体处获取的个人数据的提供1.当个人信息并非从数据主体处获得时,控制者应当向数据主体提供如下信息;(a)控制者的身份和详细联系方式,适当时还要提供代表人;(b)适当时提供数据保护局的详细联系方式;(c)个人信息处理的目的以及处理的法律基础;(d)相关个人数据的种类;(e)个人数据接收方或者接受方的种类;(f)在适当的情况下,应当提供控制者意图将个人数据向第三国或者国家组织进行传输的事实、委员会是否就此问题做出过充分决议、第46、47条或者第49条第1款第二项提及情形的相关信息。此外,还包括所采取的保护个人信息的合理安全措施以及获取复印件的方式。2.除了第一款提到的信息,控制者在获取个人数据时,出于证实处理过程的公正和透明的需要,在必要的情况下,应当向数据主体提供如下信息:(a)个人数据的储存阶段,在无法提供的情形下,应当提供阶段划分的决定标准;(b)鉴于第6条第1款(f)项的处理过程,控制者或者第三方追求的立法利益;(c)有资格处理数据主体权利要求的,能够获取、修正、删除个人信息或者管制数据权利的控制者的信息;(d)根据第6条第1款(a)项或者第9条第2款(a)项所进行的在不触犯法律的前提下,处理过程信息、任意取消满意度的相关信息;(e)向监督机构提起申诉的权利;(f)个人数据获取的来源,在合适的情况下,提供是否是通过公共方式获取的信息;(g)自动的决策机制,包括第22条第1款以及第4款提到的分析过程所涉及的逻辑程序以及对数据主体的处理过程的重要意义和设想结果。3.控制者应当根据第1款和第2款的规定提供信息:(a)在获取个人数据之后的合理期限内(至迟不超过一个月),提供与个人数据获取具体情形有关的信息;(b)如果个人数据将要用于数据主体间的交流,那么信息提供时间最迟不超过第一次交流活动;(c)如果可以披露接收方,那么信息提供时间最迟不晚于个人数据的首次披露时间。4.鉴于控制者进一步处理个人信息的意图,控制者应当在此之前向数据主体提供与第2款有关的信息。5.第1款至第4款在以下情形不得适用:(a)数据主体已经获得这些信息;(b)这些信息的提供是不可能的,尤其是根据第89条第1款规定或者本条第1 款提及的义务规定,出于公共利益、科学或者历史调查和统计调查的目的所进行的不均衡的努力。在这些情况下,控制者应当采取合适的措施去保护数据主体的权利和自由以及法律利益(包括公开信息的措施);(c)控制者应当根据联盟或者成员国法律所规定的获取或者披露个人信息的规定,采取合适的措施来保护数据主体的法律利益;(d)根据联盟或者成员国法律以及保密法规定的职业保密制度,个人数据必须保密。第15条数据访问权数据主体应当有权从管理者处确认关于该主体的个人数据是否正在被处理,以及有权在该种情况下访问个人数据和以下信息:(a)处理的目的;(b)有关个人数据的类别;(c)个人数据已经被泄露或者将会被泄露给的接受者或接受者类别,特别是第三国或国际组织的接受者;(d)在可能的情况下,预想的个人数据存储期间;或者不可能时,用于确定该期间的标准;(e)有权要求管理者纠正或删除该个人数据或者限制或拒绝处理关于该数据主体的个人数据;(f)向监管机构提出投诉的权利;(g)在个人数据并非由数据主体收集的情况下,关于其来源的任何可用信息。(h)自动化决策,包括第22条第1款和第4款提到的概要,以及涉及到的至少在前述情况下有意义的逻辑方面的信息,和这种处理行为对数据主体而言的意义和预想的后果。如果将个人数据转移到第三国或国际组织,数据主体应当有权根据第46条获得有关转让的适当保障的通知。控制者应提供正在处理的个人数据的副本。对于数据主体要求的任何进一步的文本,控制者可以根据管理成本收取合理的费用。如果数据主体通过电子方式提出请求,除非数据主体另有要求,信息应当以常用的电子形式提供。获得第3款所指副本的权利不得对他人的权利和自由产生不利影响。第16条纠正权数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式。第17条擦除权(被遗忘权)数据主体有权要求控制者无不当延误地删除有关其的个人数据,并且在下列理由之一的情况下,控制者有义务无不当延误地删除个人数据:(a)就收集或以其他方式处理个人数据的目的而言,该个人数据已经是不必要的;(b)数据主体根据第6条第1款(a)项或第9条第2款(a)项撤回同意,并且在没有其他有关(数据)处理的法律依据的情况下;(c)数据主体根据第21条第1款反对处理,并且没有有关(数据)处理的首要合法依据,或者数据主体根据第21条第2款反对处理;(d)个人数据被非法处理;(e)为遵守控制者所受制的联盟或成员国法律规定的法定义务,个人数据必须被删除;(f)个人数据是根据第8条第1款所提及的信息社会服务的提供而收集的。如果控制者已将个人数据公开,并且根据第1款有义务删除这些个人数据,控制者在考虑现有技术及实施成本后,应当采取合理步骤,包括技术措施,通知正在处理个人数据的控制者,数据主体已经要求这些控制者删除该个人数据的任何链接、副本或复制件。当处理(数据)对于以下情形而言是必要的时,第1款和第2款不应当被适用:(a)为了行使言论和信息自由的权利;(b)为了遵守需要由控制者所受制的联盟或成员国法律处理的法定义务,或为了公共利益或在行使被授予控制者的官方权限时执行任务;(c)根据第9条第2款(h)、(i)项以及第9条第3款,为了公共卫生领域的公共利益的原因;(d)根据第89条第1款,为了公共利益的存档目的、科学或历史研究目的或统计目的,只要第1款所述的权利很可能表现为不可能的或者很可能严重损害该处理目标的实现;(e)为了设立、行使或捍卫合法权利。第18条限制处理权在下列情况之一,数据主体应当有权限制控制者处理(数据):(a)数据主体对个人数据的准确性提出争议,且允许控制者在一定期间内核实个人数据的准确性;(b)该处理是非法的,并且数据主体反对删除该个人数据,而是要求限制使用该个人数据;(c)控制者基于该处理目的不再需要该个人数据,但数据主体为设立、行使或捍卫合法权利而需要该个人数据;(d)数据主体在核实控制者的法律依据是否优先于数据主体的法律依据之前已根据第21条第1款反对处理。如果处理(行为)根据第1款受到限制,除储存之外,这些个人数据只应在数据主体同意的情况下,或为设立、行使或捍卫合法权利,或为保护其他自然人或法人的权利,或为了联盟或成员国的重要公共利益的原因被处理。根据第1款有权限制处理(数据)的数据主体应当在处理限制解除之前收到控制者的通知。第19条关于纠正或删除个人数据或限制处理的通知义务除非被证明不可能完成或者包含不成比例的工作量,控制者应当将根据第16条、第17条第1款以及第18条对个人数据进行的任何纠正、删除或者处理限制,传达给已向其披露个人数据的接收者。如果数据主体请求,控制者应当通知数据主体这些接收者。第20条反对权数据主体有权基于与其特定情况有关的理由,在任何时候依据第6条第1款(e)项或(f)项拒绝有关其的个人数据被处理,包括根据这些规定进行概况分析。控制者不得再处理该个人数据,除非控制者证明其有关(数据)处理的强制性法律依据优先于数据主体的利益、权利和自由,或者为了设立、行使或捍卫其合法权利。如果为了直接营销的目的而处理个人数据,数据主体有权在任何时候反对有关其的个人数据为进行此类营销而被处理,其中包括与此类直接营销相关的概况分析。如果数据主体反对以直接营销为目的的处理,则个人数据不得再为此目的而被处理。最迟在与数据主体第一次通信时,第1款和第2款中提到的权利应当明确提请数据主体注意,并应清楚地、与任何其他信息分开提交。第四节拒绝权和自主决定权第21条拒绝权数据主体拥有拒绝权,在关于他/她的特定情形下,在任何时间处理关系到他/她第6条第1款第(e)或第(f)项规定的个人数据,包括基于这些条款的分析。控制者不能处理个人数据,除非控制者能够证明不顾数据主体的利益、权利和自由处理数据或者建立、行使或维护这种法律权利具有令人信服的正当化理由。个人数据因为直接营销的目的被处理的,数据主体应当有权利拒绝在任何时间因为这种商业目处理关系到他/她的个人数据,这种商业目的包括分析达到有关这种直接营销的程度。数据主体拒绝因直接的商业目的处理数据的,个人数据不应该因任何这种目的被处理。至少在与数据主体第一次沟通时,在第一款和第二款指代的权利应该明确地提起数据主体的注意,应该被清晰地呈现且与任何其他的信息相区分。在信息社会服务使用的背景下,即使有欧共体2002年的指令,数据主体可以通过使用技术规范的自动化方式行使他/她的拒绝权。根据第89条第1款个人数据因科学或历史研究或统计的目的被处理的,数据主体在关于他/她的特定情形下,有权利拒绝对他/她的个人数据进行处理,除非这种处理对于一个因为公共利益的任务的履行是必要的。第22条自主化的个人决策,包括分析数据主体有权利不受一个仅仅依靠包括分析的自动化处理的决定的限制,这会产生关于他/她或仅仅影响他/她的法律后果。第一款不适用,如果这个决定:(a)对于数据主体和一个数据控制者之间的一个合同的建立和履行是必要的。(b)这个控制者是数据主体,以及确立保护数据主体权利、自由和正当化利益的适当措施是联盟或成员国的法律所规定的;或(c)基于数据主体的明确同意。在涉及到第2款第(a)和(c)项的情况下,数据控制者应当实施适当的措施保护数据主体的权利、自由和正当化利益,至少获得对控制者部分的人为干预权,表达他/她的观点和争夺决定权。在第二款涉及的决定不应当基于第9条第1款提及的个人数据的特殊分类,除非适用第9条第2款的第(a)或(g)项和确立适当的措施维护数据主体的权利、自由和正当化利益。第五节限制第23条限制联盟或成员国的法律规定数据控制者或处理者是主体,可以通过立法措施限制第12条至22条和第34条的权利与义务的范围,以及第5条中与在第12条至22条的权利义务相对应的条款。这样一种限制尊重了基本权利和自由的本质,是一种在民主社会必要的、相符合的措施,以此维护:(a)国家安全;(b)防卫;(c)公共安全;(d)刑事犯罪的预防、调查、侦查、起诉或者刑事处罚的执行,包括对公共安全威胁的防范和预防;(e)联盟或一个成员国一般公共利益的其他重要目标,特别是联盟或成员国的重要经济或财政利益,包括货币、预算和税收等事项、公共卫生和社会保障;(f)司法独立与司法程序的保护;(g)违反职业道德规范的预防、调查、侦查和起诉;(h)监督、检查或相关的监管职能,甚至偶尔行使官方权力在涉及到第(a)(b)(c)(d)(e)(f)和(g)项的情形下。(i)对数据主体或其他人的权利与自由的保护。(j)民事诉讼赔偿的执行。特别是,在第1款所指的任何立法措施,应至少包含具体的规定,有关的,如:(a)处理的目的或处理的分类;(b)个人数据的分类;(c)引入的限制范围;(d)防止滥用或非法使用或转让的保障措施;(e)控制者的具体说明或控制者分类;(f)存储期限和适用的保障措施,考虑到性质、范围和处理的用途或处理的分类;(g)对数据主体权利和自由的威胁;和(h)数据主体被告知限制的权利,否则将不利于限制的目的。第四章控制者和处理者第一节基本义务第24条控制者的义务考虑到性质、范围、内容和处理的用途以及处理给自然人的权利和自由带来的不同可能性和严重程度的风险,控制者应当实施适当的技术和组织措施,以确保并能够证明,根据本条例进行处理。这些措施应在必要时进行审查和更新。有关处理活动相称的,第1款所指的措施应包括由控制者实施适当的数据保护政策。遵守第40条提及的行为准则或第42条提及的经批准的认证机制,可以作为一个元素,以证明符合控制者的义务。第25条通过设计和默认的数据保护考虑到现状,执行的成本和性质,范围,内容和处理的用途以及处理给自然人的权利和自由带来的不同可能性和严重程度的风险,控制者应该在确定处理手段和在处理的同时,实施适当的技术和组织措施,如匿名化,即目的是实施数据保护原则,如数据最小化,以有效的方式,在处理时实施必要的保障措施,以符合法律要求,保护数据主体的权利。控制者应该实施适当的技术和组织措施以确保,在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。该义务适用于收集的个人数据的数量,数据处理的程度,数据的存储期限和数据的可及性。特别是,这些措施应确保在没有个人对无限数量自然人的干预下,个人数据在默认情况是不可访问的。根据第42条的经批准的认证机制可以作为一个元素,以证明符合本条第1款和第2款的要求。第26条联合控制者当由两个或两个以上的控制者共同决定处理的目的和手段时,他们就是联合控制者。他们应以明确的方式确定在监管规定下各自的责任与义务,尤其是通过他们之间的安排,确定关于行使数据主体的权利和第13条和14条提及的他们各自的提供信息的职责,除非到目前为止,控制者各自的责任由联盟或成员国法律确定哪些控制者是主体。这种安排可以指定数据主体的联系点。第一款提到的安排应当及时反映各自的角色和联合控制者相对数据主体的关系。该安排的实质,应使数据主体得知。不论在第1款所指的安排条款,数据主体可以根据本规定行使他或她的权利,不论是否与控制者一致。第27条未在联盟中设立的控制者或处理者的代理人如果适用第3条第2款的,控制者或处理者应当以书面形式指定联盟中的代理人。该义务不适用于:(a)偶然的处理,在一个大的范围里,不包括对第9条第1款提及的数据的特殊类别的处理,或者第10条提及的有关刑事定罪和处罚的个人数据的处理,而且考虑到处理的性质、内容、范围和目的,这种处理不太可能导致自然人的权利和自由的风险;或者(b)一个公共权力机关或机构。代理人应当被建立在一个成员国中,这些成员国的数据主体及其个人数据根据提供给它们的货物或服务被处理,或者它们的行为被监控。为确保遵守本条例的目的,代理人应被控制者或处理者授权,以及特别是监管机构和数据主体的授权来处理所有的相关问题。控制者或处理者对代理人的指定,应对于代理人可能做出的不利于控制者或处理者自身的法律行为无损权益。第28条处理者当处理是以控制者的名义进行的,控制者只使用处理者实施的适当的技术和组织措施提供充分保证,以这种方式使处理满足法规的要求,确保对数据主体权利的保护。2.如果未经控制者特别的或一般的的事先书面授权,该控制者不能引入另一个控制者参与。在一般的书面授权的情况下,处理者应该通知控制者任何有关增加或替换其他控制者的变化,以使控制者有机会应对这样的变化。一个处理者的处理应遵守联盟或成员国法律下的在合同或其他法律行为,即控制者与处理者相结合,提出处理的主题和处理的期限,性质和处理目的,个人数据的类别、数据主体的分类和控制者的权利义务。该合同或其他法律行为应规定,特别是处理者:(a)处理个人数据只能基于控制者的书面指示,包括有关个人数据向一个第三世界国家或一个国际组织的转移,除非联盟或成员国法律所允许这样做的,该处理者是主体;在这种情况下,处理者在处理之前,应通知控制者有关法律的要求,除非法律由于重大公共利益的原因禁止提供这样的信息;(b) 确保个人被授权处理个人数据,且已承诺保密或在适当的法定保密义务下;(c)根据第32条要求的采取所有措施;(d)遵守第2款和第4款提到的引入其他处理者的条件;(e)考虑到处理的性质,运用适当的技术和组织措施协助控制者,因为到目前为止这是可能的,为履行控制者的义务,以适应第三章规定的行使数据主体权利的要求;(f)考虑到处理的性质和处理者可得到的信息,协助控制者以确保其遵守第32条至36条规定的义务;(g)一旦选择了控制者,就需要删除或向该控制者返还所有的个人数据,在提供有关处理服务的最后,删除现有的版本,联盟或成员国法律允许存储的个人数据除外;(h)提供给控制者所有必要的信息,以证明符合在本条中规定的义务,并允许和