- 国外数据保护法律选编
- 丁道勤,姜文等编译
- 10536字
- 2025-05-12 16:59:18
第二部分 一般处理
第一章 适用范围和定义
4.适用本部分的处理
(1)本部分与大多数个人数据处理有关。
(2)本部分第二章:
(a)适用于依据GDPR第2条规定,适用GDPR的个人数据处理的类型;并且
(b)附录,且必须结合GDPR一同阅读。
(3)本部分第三章:
(a)适用于GDPR不适用的某些类型的个人数据处理(参阅第21条),并且
(b)规定了大致等同于GDPR的制度以适用于此类处理。
5.定义
(1)本部分第二章和GDPR中使用的术语,在第二章中具有与其在GDPR中相同的含义。
(2)在第(1)款中,凡提及GDPR中的术语的,指的是其在GDPR及其与第二章任何规定一同阅读的含义——该部分为契合GDPR的目的调整了该术语的含义。
(3)第(1)款受第二章中任何明确规定该术语具有不同含义的规定的约束,并受第204条的约束。
(4)本部分第三章和适用的GDPR(the applied GDPR)中使用的术语,在第三章中具有与适用的GDPR(the applied GDPR)中相同的含义。
(5)在第(4)款中,提及的适用的GDPR(the applied GDPR)中的术语含义,指的是其在GDPR中,并应与第二章(被第三章适用的)或第三章任何规定一同阅读的含义——该部分为契合GDPR的目的调整了该术语的含义。
(6)第(4)款受第二章(被第三章适用的)或第三章中任何明确规定该术语具有不同含义的规定的约束。
(7)在本部分第二章或第三章中,个人数据的处理是指本章所适用的处理。
(8)第3条和第205条包括本部分中使用的其他表达的定义。
第二章 GDPR
GDPR中使用的某些术语的含义
6.“控制者”的含义
(1)GDPR第4条第(7)款中的“控制者”的定义具有效力,但受下列规定限制:
(a)第(2)款,
(b)第209条,及
(c)第210条。
(2)就GDPR而言,仅按照下列方式处理个人数据的:
(a)依照法规要求的目的进行处理,以及
(b)依照法规要求的方式进行处理。
承担该法规(或,如果不同,其中一部法规)规定的数据处理义务的人是控制者。
7.“公共当局”与“公共机构”的含义
(1)就GDPR而言,以下(且仅以下)是英国法律规定的“公共当局”和“公共机构”:
(a)2000年《信息自由法案》定义的公共当局,
(b)2002年(苏格兰) 《信息自由法案》定义的苏格兰公共当局,以及
(c)国务卿在条例中指定或说明的当局或机构。
第(2)、(3)及(4)款另有规定的除外。
(2)第(1)款所述的当局或机构,仅指为公共利益或行使赋予其的官方权力而执行任务时,符合GDPR目的之“公共当局”或“公共机构”。
(3)第(1)款第(a)和(b)项中提及的公共当局和苏格兰公共当局,如2000年《信息自由法案》和2002年(苏格兰) 《信息自由法案》所定义,不包括属于这些定义范围内的任何以下内容:
(a)英格兰的教区议会;
(b)威尔士的社区委员会;
(c)苏格兰的社区委员会;
(d)根据1972年《地方政府法》第13条成立的教区议会;
(e)根据该法第27条召开的社区委员会;
(f)依据下列规定组成的宪章受托人:
(i)根据前述法案第246条,
(ii)根据2007年《地方政府和公众参与健康法》第一部分,或
(iii)1996年《宪章受托人规定》(S.I.1996/263)。
(4)国务卿可通过法规规定,法规中指定或说明的人是第(1)款第(a)或(b)项所述的公共当局,而不是GDPR中的“公共当局”或“公共机构”。
(5)依据本条制定的条例适用积极决议程序。
处理的合法性
8.处理的合法性:公共利益等
在GDPR第6条第(1)款(处理的合法性)之第(e)项中规定的,为执行公共利益领域的任务或行使控制者既定的公务职权,出于下列职能所需而必须对个人数据进行的处理:
(a)司法行政,
(b)行使议会两院的职能,
(c)行使成文法或法律规则赋予某人的职能,
(d)行使皇室、皇室的大臣或政府部门的职能,或
(e)支持或促进民主参与的活动。
9.与信息社会服务有关的儿童同意
GDPR第8条第(1)款(信息社会服务中儿童同意的适用条件):
(a)“16岁”应解读为“13岁”,以及
(b)“信息社会服务”不包括预防或咨询服务。
特殊类别的个人数据处理
10.个人数据和刑事定罪等数据的特殊类别
(1)第(2)和(3)款规定了GDPR第9条第(1)款(禁止处理特殊类别的个人数据)中所述的个人数据的处理,依据第9条第(2)款规定的下列任一项例外情况:
(a)第(b)项(就业,社会保障和社会保护);
(b)第(g)项(重大公共利益);
(c)第(h)项(卫生和社会保健);
(d)第(i)项(公共卫生);
(e)第(j)项(存档、研究和统计)。
(2)只有在满足附表1第一部分中的条件时,处理才符合GDPR第9条第(2)款第(b)、(h)、(i)或(j)项中关于英国或英国部分地区法律授权或依据的要求。
(3)只有在满足附表1第二部分中的条件时,该处理才符合GDPR第9条第(2)款第(g)项中关于以英国或英国某一部分的法律为依据的要求。
(4)第(5)款规定了处理与刑事定罪和罪行有关,或不在公共当局控制下的相关安全措施有关的个人数据处理。
(5)只有在满足附表1第一、二或三部分的条件时,该处理才符合GDPR第10条关于英国或英国部分地区法律授权的要求。
(6)国务卿可通过制定条例:
(a)修订附表1:
(i)通过增加或改变条件或保障措施,以及
(ii)删去根据本条制定的条例所增加的条件或保障措施,及
(b)相应地修改本条。
(7)依据本条制定的条例适用积极决议程序。
11.特殊类别的个人数据等:增补
(1)就GDPR第9条第(2)款第(h)项(基于卫生或社会保健目的的处理等)而言,在进行个人数据处理的情况下,应遵守GDPR(保密义务)第9条第(3)款中的条件和保护措施,包括由下列人员执行的场景:
(a)由卫生专业人员或社会工作专业人员承担或由其负责,或
(b)在该情况下根据法令或法律规则负有保密义务的其他人。
(2)在GDPR第10条和本法第10条中,提及与刑事定罪和罪行或相关安全措施有关的个人数据包括:
(a)数据主体涉嫌犯罪,或
(b)就数据主体所犯或被指控已犯罪行而提起的法律程序,或对该等法律程序的处置,包括判刑在内。
数据主体的权利
12.控制者可收取的费用限额
(1)国务卿可通过条例规定控制者可依据以下条款收取的费用限额:
(a)GDPR第12条第(5)款(对明显无根据或过度请求作出响应时可以收取合理费用),或
(b)GDPR第15条第(3)款(提供更多副本可收取的合理费用)。
(2)国务卿可通过制定条例:
(a)要求控制者对法规中明确规定的情况进行描述,以形成并发布有关他们依据这些规定收取的费用的指南;并且
(b)说明指南中必须包括的内容。
(3)依据本条制定的条例适用消极决议程序。
13.信用咨询机构的义务
(1)控制者是信用咨询机构[1974年《消费者信贷法》第145条第(8)款规定含义]时,适用本条规定。
(2)根据GDPR第15条第(1)至(3)款,控制者的义务(确认处理、访问数据和向第三国传输的保障措施)仅适用于与数据主体财务状况有关的个人数据,除非数据主体表明相反意图。
(3)如果控制者依据GDPR第15条第(1)至(3)款披露个人数据,则披露时必须附有声明,告知消费者该数据主体根据1974年《消费者信贷法》(错误信息的更正)第159条享有的权利。
14.法律授权的自动化决策:保障措施
(1)本条对GDPR第22条第(2)款第(b)项的目的作出了规定[免受GDPR第22条第(1)款规定的例外情形仅适用于依法授权并提供保护数据主体的权利、自由和合法利益的保障措施下的基于自动化处理作出的重大决策]。
(2)本条中,就某数据主体而言,某项决策是“重大决策”,如果该决策:
(a)对数据主体产生法律效力,或
(b)对数据主体产生同样显著的影响。
(3)本条中,一项决策构成本条规定的“符合条件的重大决策”,如果该决策:
(a)对于数据主体而言,是一项重大决策,
(b)它是法律要求或授权的,并且
(c)它不属于GDPR第22条第(2)款第(a)或(c)项(合同所必需或在数据主体同意下作出的决定)的范围。
(4)如控制者仅基于自动化处理作出与数据主体相关的符合条件的重大决策,则:
(a)控制者必须在合理可行的范围内尽快以书面形式通知数据主体,该决定仅基于自动化处理作出;并且
(b)数据主体可在自收到通知的1个月内,要求控制者:
(i)重新考虑该决策,或
(ii)作出不完全基于自动化处理的新决策。
(5)如果数据主体根据第(4)款向控制者提出要求,则控制者必须在GDPR第12条第(3)款规定的期限内:
(a)考虑该请求,包括数据主体提供的与其相关的任何信息;
(b)满足要求;及
(c)以书面形式将以下事项通知数据主体:
(i)为满足要求而采取的步骤,以及
(ii)满足要求后的结果。
(6)就本条而言,控制者具有GDPR第12条规定的权利和义务(透明度、根据请求延长行动时间的程序、费用、明显无根据或过度的请求等),这些权利和义务适用于GDPR第22条。
(7)国务卿可通过条例作出其认为适当的进一步规定,以提供适当的措施来保障数据主体仅基于自动化处理而作出符合条件的重大决策时的权利、自由和合法权益。
(8)第(7)款所提及的条例:
(a)可修订本条,并且
(b)受积极决议程序的约束。
数据主体权利的限制
15.豁免等
(1)附表2、3和4就GDPR规则的豁免、限制和适用的调整作出了规定。
(2)在附表2中:
(a)第一部分作出了在GDPR第6条第(3)款和第23条第(1)款所允许的特定情况下适应或限制GDPR第13至21和34条所包含的规则的规定;
(b)第二部分规定了GDPR第23条第(1)款允许的在特定情况下限制GDPR第13至21和34条所包含的规则的适用;
(c)第三部分规定了GDPR第23条第(1)款所允许的、在必须保护他人权利的情况下限制GDPR第15条的适用;
(d)第四部分规定了GDPR第23条第(1)款允许的在特定情况下限制GDPR第13至15条所包含的规则的适用;
(e)第五部分出于GDPR第85条第(2)款允许的表达自由的原因,对GDPR第二、三、四、五和七章作出了包含豁免或减损的规定;
(f)如第89条第(2)款所允许的,第六部分规定了对GDPR第15、16、18、19、20和21条所载权利的减损规定,以供科学或历史研究、统计和存档之用。
(3)附表3作出了将GDPR第13至21条所载规则的适用范围限制在GDPR第23条第(1)款所允许的卫生、社会工作、教育和虐待儿童数据的规定。
(4)附表4规定了GDPR第13至21条所载规则的适用范围,该限制适用于GDPR第23条第(1)款所规定的法规禁止或限制其披露的信息。
(5)关于维护国家安全和国防,参阅本部分第三章和第26条中的豁免规定。
16.根据条例作出进一步豁免等的权力
(1)国务卿可根据本条规定,行使以下权力,以制定变更适用GDPR的规定:
(a)第6条第(3)款中规定成员国法律有权制定法律依据,其中包含适用GDPR规则的具体规定,也即为遵守法律义务、公共利益或行使官方权力而执行任务所需的处理;
(b)第23条第(1)款规定,有权在必要和适当的情况下,采取立法措施,限制该条所述义务和权利的范围,以保障某些公众利益的目标;
(c)第85条第(2)款规定在必要时免除或放宽GDPR某些章节的权力,以协调个人数据的保护与言论和信息自由。
(2)本条规定的条例可:
(a)修订附表2至4:
(i)通过增加或改变条款,以及
(ii)略去根据本条制定的条例所增补的条文。
(b)相应地修改第15条。
(3)依据本法制定的条例适用积极决议程序。
认证提供者的认证
17.认证提供者的认证
(1)获得有效的认证提供者资质,需经由以下人员作出认证:
(a)专员,或者
(b)国家认证机构。
(2)专员只有在以下情况下才可以认证某人为认证提供者:
(a)已发表声明,说明专员将进行此类认证;并且
(b)尚未发布撤回该声明的通知。
(3)国家认证机构只能在以下情况下认定某人可以成为认证提供者:
(a)专员已发表声明,该机构可以进行这种认证;并且
(b)专员未发布撤回该声明的通知。
(4)根据第(2)款第(b)项或第(3)款第(b)项发布的声明,对声明发布之前进行的任何认证的有效性不产生影响。
(5)附表5规定了认证某人为认证提供者有关的决定的审查和上诉。
(6)国家认证机构可根据GDPR第5和43条规定,为执行其职能而收取相关或附带的合理费用。
(7)国家认证机构必须向国务卿提供国务卿合理要求的与其在GDPR第5条和第43条规定职能有关的信息。
(8)在本条中:
“认证提供者”是指根据GDPR第42条的规定签发认证的人;
“国家认证机构”是指符合2008年7月9日欧洲议会和理事会(EC)765/2008号条例第4条第(1)款规定的认证机构,该条例规定了有关产品营销认证和市场监督的要求,并废除了(EC)339/93号条例。
向第三国传输个人数据
18.将个人数据传输到第三国等
(1)为GDPR第49条第(1)款第(d)项之目的,国务卿可制定条例规定:
(a)出于公共利益的重要原因,有必要将个人数据传输到第三国或国际组织的情况;以及
(b)不属于公共利益的重要原因,将法规未要求的个人数据传输到第三国或国际组织的情况。
(2)在以下情况下,国务卿可通过条例限制将一类个人数据传输到第三国或国际组织:
(a)未经GDPR第45条第(3)款的充分性决策授权的传输,并且
(b)国务卿认为出于公共利益的重要原因该限制是必要的。
(3)依据本条制定的条例:
(a)在国务卿已就其作出紧急声明的情况下,须遵守已作出的积极决议程序;
(b)否则,应遵循积极决议程序。
(4)就本条而言,紧急声明是指国务卿认为为立即实施法规而有必要作出的合理的声明。
具体的数据处理
19.为归档、研究和统计目的的处理:保障措施
(1)本条规定了以下事项:
(a)为公共利益所需对个人数据进行的归档处理,
(b)为科学或历史研究目的所需的个人数据的处理,
(c)为统计目的所需的个人数据的处理。
(2)如果该处理可能对数据主体造成实质损害或实质困扰,则此类处理不符合GDPR第89条第(1)款关于处理必须对数据主体的权利和自由给予适当保障措施的规定。
(3)如果处理的目的是实施关于某一特定数据主体的措施或决策,则此类处理不满足要求,除非处理的目的包括经批准的医学研究的目的。
(4)在本条中:
“经批准的医学研究”是指由从以下各方获得批准开展该研究的人员进行的医学研究:
(a)根据2014年《护理法》第三部分第二章,由健康研究机构认证或成立的研究伦理委员会批准,或
(b)由以下任何一方任命的,旨在评估涉及个人的研究伦理的机构批准:
(i)国务卿、苏格兰部长、威尔士部长或北爱尔兰部门;
(ii)相关的英国国家医疗服务机构;
(iii)英国研究与创新机构或1965年《科学技术法案》中的研究委员会;
(iv)2003年《所得税(收入和养老金)法》第七部分第4A章(见该法案第457条)中的研究机构。
“相关的英国国家医疗服务机构”是指:
(a)英国国家医疗服务机构信托或英国国家医疗服务机构基金会信托,
(b)英国国家医疗服务机构信托或威尔士地方卫生委员会,
(c)根据1978年《国家卫生服务(苏格兰)法》第2条成立的卫生委员会或特别卫生委员会,
(d)苏格兰卫生服务共同服务机构,或
(e)北爱尔兰2009年《卫生和社会保健(改革)法》 [c.1(N.I)]第1条第(5)款第(a)至(e)项中规定的任何卫生与社会保健机构。
(5)就本条而言,国务卿可通过条例改变“获批准的医学研究”的含义,包括修改第(4)款。
(6)第(5)款中的条例受积极决议程序的约束。
次要定义
20.“法院”的含义
第5条第(1)款(本章所用的术语与GDPR中的含义相同)不适用于本章所提及的法院,相应地,此类引述不包括裁判庭。
第三章 其他一般处理
范围
21.本章适用的处理
(1)本章适用于在以下情况下对个人数据的自动或结构化处理:
(a)超出欧盟法律范围的活动,或
(b)属于GDPR第2条第(2)款第(b)项范围内的活动(共同的外交和安全政策活动)。
但该项处理并非由有权当局为任何执法目的(如第三部分所界定)或第四部分(情报机构处理)所适用的处理。
(2)本章也适用于信息自由(FOI)公共机构对个人数据的手动非结构化处理。
(3)本章不适用于个人在纯粹的个人或家庭活动过程中对个人数据的处理。
(4)在本条中:
“自动或结构化的个人数据处理”是指:
(a)全部或者部分地使用自动化的方式处理个人数据,以及
(b)对构成档案系统一部分或预成为档案系统一部分的个人数据进行的非自动化处理。
“手动对个人数据进行非结构化处理”是指非自动化或结构化的个人数据处理。
(5)在本章中,“信息自由公共机构”是指:
(a)2000年《信息自由法案》中所定义的公共机构,或
(b)2002年(苏格兰)《信息自由法案》中定义的苏格兰公共机构。
(6)本章中对由信息自由公共机构“持有”的个人数据的引用应解释为:
(a)关于英格兰、威尔士和北爱尔兰,与2000年《信息自由法案》第3条第(2)款相符;以及
(b)关于苏格兰,与2002年(苏格兰)《信息自由法案》第3条第(2)、(4)和(5)款相符。
但此类引用不包括情报部门代表信息自由公共机构持有的信息(如第82条所定义的)。
(7)但是,就本章而言,个人数据不被视为信息自由公共机构“持有”的个人数据,其中:
(a)2000年《信息自由法案》第7条禁止该法第一至五部分适用的个人数据,或
(b)2002年(苏格兰)《信息自由法案》第7条第(1)款禁止该法案适用的个人数据。
GDPR的适用
22.GDPR对本章适用的处理的适用
(1)GDPR中对个人数据处理的适用同样适用于本章,但是应视为英格兰和威尔士、苏格兰和北爱尔兰的法案的一部分加以适用。
(2)本部分第二章就适用的GDPR(the applied GDPR)之适用而言,与GDPR的适用相同。
(3)本章中,“适用的第二章”是指本章适用的本部分第二章。
(4)附表6包含条款修改:
(a)根据第(1)款适用的GDPR(the applied GDPR)(参见第一部分);
(b)根据第(2)款适用的本部分的第二章(参见第二部分)。
(5)关于适用的GDPR(the applied GDPR)或适用的第二章的规定的含义或效力问题,应与GDPR或本部分第二章(而非本章)的同等条款的解释一致,除非附表6要求不同的解释。
23.根据与GDPR相关的法规制定条款的权力
(1)国务卿可通过法规制定与本章适用的个人数据处理相关的规定,该规定等同于GDPR法规中的规定,但需进行国务卿认为适当的修改。
(2)在本条中:
“GDPR法规”是指根据1972年《欧洲共同体法》第2条第(2)款制定的法规,其中制定的条款与GDPR相关。
(3)第(1)款中的法规可在修改或不修改的情况下适用GDPR法规的条款。
(4)根据第(1)款的规定可修订或废除:
(a)适用的GDPR(the applied GDPR);
(b)本章;
(c)第五至七部分,只要它们适用于相关的适用的GDPR(the applied GDPR)中的条款。
(5)依据本条制定的条例适用积极决议程序。
豁免等
24.信息自由公共机构持有的手动非结构化数据
(1)适用的GDPR(the applied GDPR)的条文和第(2)款中列出的本法的条文不适用于本章依据第21条第(2)款(由信息自由公共机构持有的手动非结构化个人数据)的个人数据。
(2)这些规定是:
(a)在适用的GDPR(the applied GDPR)(原则)的第二章中:
(i)第5条第(1)款第(a)至(c)、(e)和(f)项(与加工有关的原则,但精度原则除外),
(ii)第6条(合法性),
(iii)第7条(同意条件),
(iv)第8条第(1)和(2)款(儿童的同意),
(v)第9条(处理特殊类别的个人数据),
(vi)第10条(与刑事定罪等有关的数据),以及
(vii)第11条第(2)款(不需要识别的处理);
(b)在适用的GDPR(the applied GDPR)的第三章中(数据主体的权利):
(i)第13条第(1)至(3)款(从数据主体处收集的个人数据:应提供的信息),
(ii)第14条第(1)至(4)款(非从数据主体处收集的个人数据:应提供的信息),
(iii)第20条(数据携带权),以及
(iv)第21条第(1)款(反对处理);
(c)在适用的GDPR(the applied GDPR)第五章第44至49条(将个人数据传输到第三国或国际组织)中;
(d)本法第170和171条;
[另见附表18第1条第(2)款]。
(3)此外,第(4)款中所列的适用的GDPR(the applied GDPR)的条文不适用于本章第21条第(2)款所适用的个人数据,即与任命、免职、薪酬、纪律、退休金相关,或其他与下列方面有关的人事事项相关的个人数据:
(a)在任何皇家武装部队中服役;
(b)在任何皇家或公共机构任职或受雇提供服务;
(c)任职于任何职位或工作,或根据任何服务合同提供服务,而在此类事务中采取行动或决定或批准所采取行动的权力属于:
(i)女王陛下,
(ii)皇家大臣,
(iii)威尔士国民议会,
(iv)威尔士部长,
(v)北爱尔兰部长(根据2000年《信息自由法案》),
(vi)信息自由公共机构。
(4)这些规定是:
(a)第二章和第三章(数据主体的原则和权利)的其余规定;
(b)第四章(控制者和处理者);
(c)第九章(具体处理情况)。
(5)根据第21条第(2)款的规定,控制者无义务遵守适用的GDPR(the applied GDPR) (数据主体访问权)第15条第(1)至(3)款关于本章适用的个人数据的规定,如果:
(a)该条下的请求不包含对个人数据的描述,或
(b)控制者估计,遵从该项就个人数据而言的要求的费用将超过适当的最高限额。
(6)第(5)款第(b)项并不免除控制者确认有关数据主体的个人数据是否正在处理的义务,除非仅就个人数据遵守该义务的估计成本将超过适当的最高限额。
(7)就本条而言,必须根据2000年《信息自由法案》第12条第(5)款的规定进行估算。
(8)在第(5)和(6)款中,“适当的最高限额”是指国务卿通过条例规定的最高限额。
(9)第(8)款下的条例受消极决议程序的约束。
25.长期历史研究中使用的手动非结构化数据
(1)第(2)款中所列的适用的GDPR(the applied GDPR)的规定,不适用于本章根据第21条第(2)款适用的个人数据(由信息自由公共机构持有的手动非结构化个人数据),如果:
(a)该个人数据:
(i)在紧接1998年10月24日之前已经被用于处理,并且
(ii)只为历史研究的目的而处理,及
(b)该处理并非以下情况:
(i)为了作出与特定数据主体有关的措施或决定,或
(ii)处理所采用的方式会对数据主体造成或相当可能造成实质性损害或实质性危害。
(2)这些规定是:
(a)在适用的GDPR(the applied GDPR) (原则)第二章中,第5条第(1)款第(d)项(准确性原则),以及
(b)在适用的GDPR(the applied GDPR)(数据主体的权利)第三章中:
(i)第16条(更正权),以及
(ii)第17条第(1)和(2)款(删除权)。
(3)本条中的豁免适用于第24条中的豁免。
26.国家安全和国防豁免
(1)适用的GDPR(the applied GDPR)或本法第(2)款中提及的某条规定不适用于本章适用的个人数据,如果该规定中要求的豁免是为了:
(a)维护国家安全的目的,或
(b)国防目的。
(2)这些规定是:
(a)适用的GDPR(the applied GDPR)(原则)第二章,下列条款除外:
(i)第5条第(1)款第(a)项(合法、公平和透明的处理),只要其要求处理个人数据是合法的;
(ii)第6条(处理的合法性);
(iii)第9条(特殊类别的个人数据的处理)。
(b)适用的GDPR(the applied GDPR)第三章(数据主体的权利)。
(c)适用的GDPR(the applied GDPR)第四章:
(i)第33条(向专员发出个人数据泄露通知);
(ii)第34条(向数据主体通报个人数据泄露)。
(d)适用的GDPR(the applied GDPR)第五章(向第三国或国际组织传输个人数据)。
(e)适用的GDPR(the applied GDPR)第六章:
(i)第57条第(1)款第(a)和(h)项[专员监督和执行适用的GDPR(the applied GDPR)和进行调查的职责];
(ii)第58条(专员的调查、更正、授权和咨询权力)。
(f)适用的GDPR(the applied GDPR)第八章(补救措施、责任和处罚),除了:
(i)第83条(施加行政罚款的一般条款)。
(ii)第84条(处罚)。
(g)本法第五部分:
(i)第115条(专员的一般职能)第(3)及(8)款;
(ii)第115条第(9)款,只要其与适用的GDPR(the applied GDPR)第58条第(2)款第(i)项有关;
(iii)第119条(为履行国际义务进行的检查)。
(h)在本法第六部分中:
(i)第142至154条和附表15(专员的通知以及进入和检查的权力);
(ii)第170至173条(与个人数据有关的犯罪);
(i)本法第七部分第187条(数据主体的陈述)。
27.国家安全:证书
(1)除第(3)款另有规定外,对于第26条第(2)款所列全部或任何条款的豁免而言,由皇室部长签署以证明该项与任何个人数据相关的豁免是为保障国家安全所必要或曾经必要的证书是这一事实的决定性证据。
(2)根据第(1)款发出的证书:
(a)可通过一般描述来识别其适用的个人数据,以及
(b)可用于表达具有预期效果。
(3)任何直接受第(1)款所指的证书影响的人,可就该证书向法庭提出上诉。
(4)在根据第(3)款提出的上诉中,如果法庭发现,在适用法院对司法审查申请适用的原则时,部长没有合理的理由签发证书,则法庭可以:
(a)允许上诉,并且
(b)撤销证书。
(5)在根据或基于适用的GDPR(the applied GDPR)或本法进行的任何法律程序诉讼中,如果控制者主张第(1)款下的证书(该证书通过适用于任何个人数据的一般描述确定其适用的个人数据),则该诉讼的另一方可基于该证书不适用于有关的个人数据这一理由,向法庭提出上诉。
(6)但是,除根据第(7)款作出的任何裁定另有规定外,该证书须被最终推定为照此适用。
(7)在根据第(5)款提出的上诉中,法庭可裁定该证书并不照此适用。
(8)依据第(1)款看似是证书的文件:
(a)需要作为证据收取,以及
(b)除非相反证明成立,否则视为证书。
(9)一份表明是由皇家部长或代表皇室部长依据第(1)款签发的证书的副本文件,是:
(a)在任何诉讼中,该证书的证据;
(b)在苏格兰的任何诉讼中,该证书的充分证据。
(10)第(1)款授予皇室部长的权力只能由以下人员实施:
(a)内阁成员的部长,或
(b)总检察长或苏格兰总检察长。
28.国家安全与国防:对适用的GDPR(the applied GDPR)第9和32条的修改
(1)适用的GDPR(the applied GDPR)第9条第(1)款(禁止处理特殊类别的个人数据)并不禁止在以下情况下对本章适用的个人数据进行处理:
(a)为维护国家安全或者国防目的,以及
(b)为数据主体的权利和自由提供适当的保障。
(2)适用的GDPR(the applied GDPR)第32条(处理安全)不适用于正在处理本章所适用的个人数据的控制者或处理者(视情况而定):
(a)维护国家安全的目的,或
(b)国防目的。
(3)如果适用的GDPR(the applied GDPR)第32条不适用,控制者或处理者必须采取与处理个人数据所产生的风险相适应的安全措施。
(4)就第(3)款而言,如果个人数据的处理全部或部分是通过自动方式进行的,则控制者或处理者必须在风险评估后,实施相应措施,以:
(a)防止未经授权的处理或未经授权干扰与处理相关的过程,
(b)确保能够确定所进行的任何处理的精确细节,
(c)确保与处理相关的任何系统正常工作,并且在中断的情况下可以恢复,以及
(d)确保存储的个人数据在系统使用与处理出现故障时不会被破坏。