- 国外数据保护法律选编
- 丁道勤,姜文等编译
- 19593字
- 2025-05-12 16:59:19
第三部分 执法处理
第一章 适用范围和定义
范围
29.本部分适用的处理
(1)本部分适用于:
(a)有权当局完全或部分地通过自动化方式处理个人数据,以及
(b)有权当局对构成档案系统一部分或预成为档案系统一部分的个人数据进行的非自动化处理。
(2)在本部分中,凡涉及个人数据处理均指本部分所适用的处理。
(3)“有权当局”的含义,参阅第30条。
定义
30.“有权当局”的含义
(1)在本部分中,“有权当局”是指:
(a)附表7指明或描述的人,及
(b)任意其他具有任何执法目的之法定职能的人。
(2)但情报机构不是本部分所指的有权当局。
(3)国务卿可通过条例修订附表7:
(a)以增加或删除任何人或任何类型的人;
(b)以反映附表中所指明的人的姓名的任何变化。
(4)依据第(3)款之规定所制定的,对第(3)款第(a)项中描述的类型加以规定之条例,也可对第73条第(4)款第(b)项作出相应的修改。
(5)依据第(3)款之规定所制定的,对第(3)款第(a)项中描述的类型或第(b)项对此类型的描述,以及第(b)项中描述的类型加以规定之条例,应遵守积极决议程序。
(6)依据第(3)款之规定所制定的,对第(3)款第(b)项中描述的类型加以规定之条例,应遵守消极决议程序。
(7)在本条中:
“情报机构”是指:
(a)安全部门;
(b)秘密情报局;
(c)政府通讯总部;
“法定职能”是指根据或基于授权的职能。
31.“执法目的”
就本部分而言,“执法目的”是指预防、调查、侦查或起诉刑事犯罪或执行刑事处罚之目的,包括防止和预防对公共安全的威胁。
32.“控制者”和“处理者”的含义
(1)在本部分中,“控制者”是指单独或与具备下列条件的其他人共同符合下列情形的有权当局:
(a)确定处理个人数据的目的和方式,或
(b)属于第(2)款中的控制者。
(2)当个人数据的处理仅:
(a)为法规要求的目的处理,及
(b)使用法规要求的方式处理,
被该法规(或,如果不同,则为其中一个制定法规)施加数据处理责任的有权当局是控制者。
(3)在本部分中,“处理者”是指代表控制者处理个人数据的任何人(控制者雇员以外的人)。
33.其他定义
(1)本条定义了本部分中使用的某些其他表达方式。
(2)就任何人而言,“雇员”包括在该人的指示和控制下担任某职位(无论有薪还是无薪)的个人。
(3)“个人数据泄露”是指导致传输、存储或以其他方式处理的个人数据的意外或非法销毁、丢失、更改、未经授权的披露或访问等的安全违规行为。
(4)“画像”是指个人数据自动处理的任何形式,包括使用个人数据评估与个人有关的某些个人方面,尤其是分析或预测有关该人在工作中的表现、经济状况、健康状况、个人喜好、兴趣、可靠性、行为、位置或行踪。
(5)就任何个人数据而言,“接收者”是指接受数据披露的任何人,无论是否为第三方,但不包括根据法律在特定调查框架内接受或可能接受披露的公共机构。
(6)“限制处理”是指对存储的个人数据进行标记,以限制将来对其的处理。
(7)“第三国”是指成员国以外的国家或地区。
(8)第3和205条包括本部分中使用的其他表达的定义。
第二章 原则
34.控制者概述和一般职责
(1)本章规定了以下六项数据保护原则:
(a)第35条第(1)款规定了第一项数据保护原则(要求处理过程合法、公正);
(b)第36条第(1)款规定了第二项数据保护原则(要求处理的目的必须明确、具体和合法);
(c)第37条规定了第三项数据保护原则(要求个人数据充分、相关且不过度);
(d)第38条第(1)款规定了第四项数据保护原则(要求个人数据准确并保持最新);
(e)第39条第(1)款规定了第五项数据保护原则(要求个人数据的保存时间不超过必要时间);
(f)第40条规定了第六项数据保护原则(要求以安全的方式处理个人数据)。
(2)此外:
(a)第35、36、38和39条中的每一条都对其所涉及的原则作了补充,并且
(b)第41和42条规定了适用于某些处理类型的保障措施。
(3)此外,与个人数据相关的控制者负责并必须能够证明遵守本章规定。
35.第一项数据保护原则
(1)第一项数据保护原则是,出于任何执法目的对个人数据的处理必须是合法和公平的。
(2)为任何执法目的而对个人数据的处理,只有在基于法律或以下情况下才是合法的:
(a)数据主体已同意为此目的进行处理,或
(b)处理是执行有权当局为此目的而执行的任务所必需的。
(3)此外,如果出于任何执法目的的处理是敏感处理,则只允许在第(4)和(5)款中列出的两种情况下进行处理。
(4)第一种情况是:
(a)数据主体已同意第(2)款第(a)项所述的出于执法目的的处理,并且
(b)在进行处理时,控制者在合适的位置有适当的政策文件(见第42条)。
(5)第二种情况是:
(a)为了执法目的的处理是非常必要的,
(b)处理满足附表8中的至少一个条件,以及
(c)在进行处理时,控制者在合适的位置有适当的政策文件(见第42条)。
(6)国务卿可通过条例修订附表8:
(a)增加条件;
(b)删除依据第(a)项所制定的条例所增加的条件。
(7)第(6)款下的条例适用积极决议程序。
(8)在本条中,“敏感处理”是指:
(a)处理揭示种族或民族血统、政治观点、宗教或哲学信仰或工会成员资格的个人数据;
(b)为了唯一地识别个人,对遗传数据或生物特征数据的处理;
(c)健康数据的处理;
(d)关于个人性生活或性取向的数据处理。
36.第二项数据保护原则
(1)第二项数据保护原则是:
(a)在任何情况下收集个人数据的执法目的必须具体、明确和合法,并且
(b)通过此种方式收集的个人数据,不得以与收集目的不符的方式处理。
(2)第二项数据保护原则的第(b)项受第(3)和(4)款的约束。
(3)为执法目的收集的个人数据可用于任何其他执法目的(无论是由收集数据的控制者还是由其他控制者)进行处理,前提是:
(a)法律授权控制者将数据用于其他目的,并且
(b)处理是必要的,并且与其他目的相称。
(4)为任何执法目的收集的个人数据不得用于非执法目的的处理,除非法律授权进行处理。
37.第三项数据保护原则
第三项数据保护原则是,为任何执法目的而处理的个人数据必须是充分的、相关的,并且与处理目的相比不过度的。
38.第四项数据保护原则
(1)第四项数据保护原则是:
(a)为任何执法目的而处理的个人数据必须准确无误,并在必要时保持更新;以及
(b)必须采取一切合理措施,在考虑到处理这些数据的执法目的后,确保不准确的个人数据立即被删除或更正。
(2)在为任何执法目的处理个人数据时,必须尽可能将基于事实的个人数据与基于个人评估的个人数据区分开来。
(3)在出于任何执法目的处理个人数据时,必须尽可能明确区分与不同类型的数据主体相关的个人数据,例如:
(a)涉嫌实施或即将实施刑事犯罪的人;
(b)被判犯有刑事罪行的人;
(c)是或可能是刑事犯罪受害人的人;
(d)证人或其他掌握犯罪信息的人。
(4)必须采取一切合理措施,确保不准确、不完整或不再是最新的个人数据不会被传输或提供作任何执法用途。
(5)为此目的:
(a)在传输或提供个人数据之前,必须核实其质量;
(b)在所有个人数据的传输中,必须包括使接收者能够评估数据的准确性、完整性和可靠性及其最新程度的必要信息;
(c)如果在传输个人数据后,发现数据不正确或传输不合法,则必须立即通知接收者。
39.第五项数据保护原则
(1)第五项数据保护原则是,出于执法目的而处理的个人数据的保留时间不得超过为处理目的而必要的时间。
(2)必须建立适当的时限,以便定期审查出于任何执法目的继续存储个人数据的需求。
40.第六项数据保护原则
第六项数据保护原则是,为任何执法目的处理的个人数据必须使用适当的技术或组织措施以确保个人数据获得适当的安全(在该原则下,“适当的安全”包括针对未经授权或非法处理以及意外丢失、破坏或损坏的保护)。
41.保障措施:存档
(1)本条适用于出于执法目的而处理个人数据,且该处理为下列目的之必要:
(a)出于公共利益的存档目的,
(b)用于科学研究或历史研究目的,或
(c)出于统计目的。
(2)在以下情况下,处理不被允许:
(a)为某一特定数据主体相关的措施或决策而进行的处理,或与之相关的处理;或
(b)很可能对数据主体造成重大损害或严重困扰的处理。
42.保障措施:敏感处理
(1)本条适用于第35条第(4)和(5)款的目的(该条要求控制者在基于数据主体的同意,或者在具体情况中,基于附表8中确定的条件进行敏感处理时,需要有适当的政策文件)。
(2)如控制者出示了满足下列条件的文件,则该控制者已取得了就敏感处理的适当的政策文件:
(a)该文件解释了控制者在基于数据主体的同意或(视情况而定)基于所讨论条件而进行敏感处理时确保遵守数据保护原则[参见第34条第(1)款]的程序;并且
(b)该文件解释了控制者关于保留和删除基于数据主体同意或(视情况而定)基于所讨论条件而处理的个人数据的政策,并指出了此类个人数据可能被保留的时间。
(3)如果在适当的政策文件的基础上处理个人数据,则控制者必须在相关期间:
(a)保留该适当的政策文件,
(b)进行审查(如果适用)并不时更新,以及
(c)应要求免费提供给专员。
(4)控制者根据第61条第(1)款保存的记录,并且如果敏感处理是由处理者代表控制者进行的,则处理者根据第61条第(3)款保存的记录必须包括以下信息:
(a)是否基于数据主体的同意进行敏感处理,如果没有,是否基于附表8的条件;
(b)处理如何满足第35条(处理的合法性)的要求;以及
(c)是否根据第(2)款第(b)项的政策保留和删除了个人数据,如果没有,则应说明不遵循这些政策的原因。
(5)在本条中,“相关期间”,是指在经过数据主体同意或根据附表8指明的条件进行敏感处理的期间,该期间:
(a)始于控制者基于数据主体的同意或(视情况而定)基于上述条件着手进行敏感处理,且
(b)终止于控制者停止执行该处理的6个月。
第三章 数据主体的权利
概述和适用范围
43.概述和适用范围
(1)本章:
(a)要求控制者承担提供信息的一般职责(见第44条);
(b)授予数据主体访问权(见第45条);
(c)授予数据主体有关个人数据更正、删除或限制其处理的权利(见第46至48条);
(d)管理自动化决策(见第49和50条);
(e)作出补充规定(见第51至54条)。
(2)本章仅适用于为执法目的而处理个人数据。
(3)但第44至48条不适用于在刑事调查或刑事诉讼程序(包括为处决罪犯而进行的诉讼)中对相关个人数据的处理。
(4)在第(3)款中,“相关个人数据”是指司法裁决或其他与调查或诉讼有关的文件中所载的个人数据,而该等文件是由法院或其他司法机关或代表法院或其他司法机关所作出的。
(5)在本章中,与数据主体相关的“控制者”是指与数据主体相关的个人数据相关的控制者。
信息:控制者的一般职责
44.信息:控制者的一般职责
(1)控制者必须向数据主体提供以下信息(无论是通过将信息普遍提供给公众还是以其他任何方式):
(a)控制者的身份和联系方式;
(b)如适用,数据保护主管的联系方式(请参见第69至71条);
(c)控制者处理个人数据的目的;
(d)数据主体有权向控制者请求的权利:
(i)访问个人数据(见第45条),
(ii)个人数据的更正(见第46条),以及
(iii)删除个人数据或限制其处理(见第47条);
(e)享有向专员提出投诉以及取得专员联系方式的权利。
(2)在特定情况下,为了使数据主体能够行使本部分规定的权利,控制者还必须向数据主体提供以下信息:
(a)处理的法律依据的相关信息;
(b)个人数据存储期限的相关信息,或者在不可能的情况下,关于确定该期限的标准的信息;
(c)在适用的情况下,个人数据接收者类别的相关信息(包括第三国或国际组织的接收者);
(d)为使数据主体能够行使本部分规定的权利所需的进一步信息。
(3)如第(2)款第(d)项提到的,可能需要进一步的信息的一个例子是,正在处理的个人数据是在数据主体不知情的情况下收集的。
(4)控制者可全部或部分地限制向数据主体提供第(2)款中的信息,只要该限制是在考虑到数据主体的基本权利和合法利益后必要且相称的措施,以:
(a)避免妨碍官方或法律询问、调查或程序;
(b)避免妨碍刑事犯罪的预防、侦查、调查、起诉或者刑罚的执行;
(c)保护社会治安;
(d)保护国家安全;
(e)保护他人的权利和自由。
(5)如果根据第(2)款向数据主体提供的信息受到全部或部分限制,则控制者必须以书面形式向该数据主体通知下列事项,不得无故拖延:
(a)信息的提供受到限制,
(b)限制的原因,
(c)数据主体根据第51条向专员提出要求的权利,
(d)数据主体向专员提出投诉的权利,以及
(e)数据主体根据第167条向法院提出申请的权利。
(6)如遵守第(5)款第(a)和(b)项会损害该限制之目的,则不适用。
(7)控制者必须:
(a)记录根据第(2)款决定限制(无论是全部或部分)向数据主体提供信息的原因,以及
(b)如专员要求,可向专员提供该记录。
数据主体的访问权
45.数据主体的访问权
(1)数据主体有权从控制者处获得:
(a)确认其个人数据是否正在处理,以及
(b)在这种情况下,访问个人数据和第(2)款所列的信息。
(2)该信息是:
(a)处理的目的和法律依据;
(b)有关个人数据的类别;
(c)向其披露个人数据的接收者或接收者的类别(包括第三国或国际组织的接收者或接收者类别);
(d)预计个人数据的存储期限,或在不可能的情况下,该期限的确定标准;
(e)数据主体向控制者请求享有的权利:
(i)个人数据的更正(见第46条),以及
(ii)删除个人数据或限制其处理(见第47条);
(f)数据主体享有的向专员提出投诉的权利以及获得专员的联系方式;
(g)正在处理中的个人数据和关于其来源的任何可用信息的信息。
(3)如果数据主体根据第(1)款提出请求,则数据主体有权获得的信息必须以书面形式提供,而且:
(a)不得无故拖延,且
(b)在任何情况下,在适用的时间期限结束之前(见第54条)。
(4)控制者可全部或部分限制第(1)款所赋予的权利,只要该限制在考虑到数据主体的基本权利和合法利益后是必要和相称的措施,以:
(a)避免妨碍官方或法律询问、调查或程序;
(b)避免妨碍刑事犯罪的预防、侦查、调查、起诉或者刑罚的执行;
(c)保护社会治安;
(d)保护国家安全;
(e)保护他人的权利和自由。
(5)如果数据主体在第(1)款下的权利全部或部分受到限制,则控制者必须以书面形式通知该数据主体下列事项,不得无故拖延:
(a)数据主体的权利受到限制,
(b)限制的原因,
(c)数据主体根据第51条向专员提出要求的权利,
(d)数据主体向专员提出投诉的权利,以及
(e)数据主体根据第167条向法院提出申请的权利。
(6)第(5)款第(a)和(b)项不适用于提供信息会损害限制之目的的情况。
(7)控制者必须:
(a)记录根据第(1)款作出的限制(不论是全部或部分)数据主体权利的决定的理由,以及
(b)如专员提出要求,应将该记录提供给专员。
数据主体的更正和删除等权利
46.更正权
(1)如果数据主体要求,控制者必须及时更正与数据主体相关的不准确的个人数据。
(2)如果个人数据因不完整而不准确,控制者必须经数据主体请求,将数据补充完整。
(3)在适当情况下,第(2)款下的职责可通过提供补充声明来履行。
(4)如果本条要求控制者更正个人数据,但若为了证据的目的必须保存个人数据的,则控制者必须(而不是更正个人数据)限制其处理。
47.删除或限制处理的权利
(1)在下列情况下,控制者必须立即删除个人数据:
(a)处理个人数据会违反第35、36条第(1)至(3)款、37、38条第(1)款、39条第(1)款、40、41或42条,或
(b)控制者负有删除该数据的法律义务。
(2)如果控制者需要根据第(1)款删除个人数据,但若为了证据的目的必须保存个人数据的,控制者必须(而不是删除个人数据)限制其处理。
(3)如果数据主体质疑个人数据的准确性(无论是在根据本条或第46条或其他方式提出的请求),但无法确定其是否准确,则控制者必须限制其处理。
(4)数据主体可要求控制者删除个人数据或限制其处理(但无论是否提出此类请求,本条规定的控制者职责均适用)。
48.第46或47条下的权利:补充
(1)如果数据主体要求更正或删除个人数据或限制其处理,则控制者必须书面通知数据主体下列事项:
(a)请求是否已被批准,以及
(b)如果被拒绝:
(i)拒绝的理由,
(ii)数据主体根据第51条向专员提出要求的权利,
(iii)数据主体向专员提出投诉的权利,以及
(iv)数据主体根据第167条向法院申请的权利。
(2)控制者必须遵守第(1)款规定的职责,而且:
(a)不得无故拖延,以及
(b)在任何情况下,在适用期限结束前(见第54条)。
(3)控制者可全部或部分限制根据第(1)款第(b)项第(i)目向数据主体提供信息,只要该限制考虑到数据主体的基本权利和合法利益,是为了以下目的而必要且合适的措施:
(a)避免妨碍官方或法律询问、调查或程序;
(b)避免妨碍刑事犯罪的预防、侦查、调查、起诉或者刑罚的执行;
(c)保护社会治安;
(d)保护国家安全;
(e)保护他人的权利和自由。
(4)如果数据主体在第(1)款下的权利全部或部分受到限制,则控制者必须以书面形式通知该数据主体,不得无故拖延:
(a)数据主体的权利受到限制,
(b)限制的原因,
(c)数据主体向专员提出投诉的权利,以及
(d)数据主体根据第167条向法院提出申请的权利。
(5)第(4)款第(a)和(b)项不适用于提供信息会损害该限制之目的的情况。
(6)控制者必须:
(a)记录根据第(1)款第(b)项第(i)目决定限制(无论是全部或部分)向数据主体提供信息的原因,以及
(b)如专员要求,应向专员提供相应记录。
(7)控制者更正个人数据时,必须通知有权当局不准确的个人数据的来源(如有)。
(8)在第(7)款中,有权当局包括(除本部分所指的有权当局外)在除英国外的成员国为《执法指令》目的的有权当局的任何人。
(9)控制者更正、删除或限制处理其已经披露的个人数据:
(a)控制者必须通知接收者,并且
(b)接收者必须同样地更正、删除或限制个人数据的处理(只要他们保留对其的责任)。
(10)如果根据第47条第(3)款限制处理,则控制者必须在解除限制之前通知数据主体。
个人自动化决策
49.不受自动决策约束的权利
(1)除非法律要求或授权,否则控制者不得仅基于自动化处理作出重大决策。
(2)就本条而言,某一决策是一项“重大决策”,如果该决策:
(a)对数据主体产生不利法律影响,或
(b)显著影响数据主体。
50.法律授权的自动化决策:保障措施
(1)就本条而言,一项决策是“符合条件的重大决策”,如果:
(a)这是与数据主体相关的重大决策,并且
(b)为法律所要求或授权。
(2)如果控制者仅基于自动化处理作出与数据主体相关的符合条件的重大决策:
(a)控制者必须在合理可行的情况下尽快以书面形式通知数据主体,该决策仅基于自动化处理;以及
(b)数据主体可在收到通知后的1个月期限结束前,要求控制者:
(i)重新考虑决策,或
(ii)作出一项不完全基于自动化处理的新决策。
(3)如果根据第(2)款向控制者提出请求,则控制者必须在收到请求后的1个月期限结束之前:
(a)考虑请求,包括与之相关的数据主体提供的任何信息;
(b)遵守要求;以及
(c)以书面形式通知数据主体:
(i)为遵守请求而采取的步骤,以及
(ii)遵守要求的结果。
(4)国务卿可通过条例作出其认为适当的进一步规定,以提供适当的措施,保障数据主体在仅基于自动化处理的情况下作出限制重大决策的权利、自由和合法利益。
(5)根据第(4)款制定的条例:
(a)可修订本条,以及
(b)必须遵守积极决议程序。
(6)在本条中,“重大决策”具有第49条第(2)款所赋予的含义。
增补
51.通过专员行使权利
(1)本条适用于控制者存在以下情形时:
(a)依据第44条第(4)款限制依据第44条第(2)款(控制者向数据主体提供额外信息的责任)向数据主体提供的信息,
(b)依据第45条第(4)款限制数据主体在第45条第(1)款(访问权)下的权利,或
(c)拒绝数据主体依据第46条提出的更正要求,或依据第47条提出的要求或限制处理的请求。
(2)数据主体可以:
(a)凡适用第(1)款第(a)或(b)项时,请专员核实控制者施加的限制是否合法;
(b)凡适用第(1)款第(c)项,请专员核实拒绝数据主体的要求是否合法。
(3)专员必须采取其认为适当的步骤,以回应根据第(2)款提出的要求(可包括行使第142及146条所赋予的任何权力)。
(4)在采取这些步骤后,专员必须通知数据主体:
(a)适用第(1)款第(a)项或(b)项时,专员是否认同控制者施加的限制是合法的;
(b)适用第(1)款第(c)项时,专员是否认同控制者拒绝该数据主体的要求是合法的。
(5)专员还必须告知数据主体,其有依据第167条向法院提出申请的权利。
(6)如果专员不认同第(4)款第(a)项或(b)项所述的情形,专员还可以将其正在考虑根据第六部分采取的任何进一步措施通知该数据主体。
52.提供信息等的形式
(1)控制者必须采取合理的措施,确保通过清晰明了的语言,简洁、易懂且易于访问的形式,向数据主体提供本章要求向其提供的任何信息。
(2)除第(3)款另有规定外,该等信息可以通过包括电子形式在内的任何形式提供。
(3)如果根据第45、46、47或50条的要求提供信息,控制者必须在可行的情况下以与请求相同的形式提供信息。
(4)凡控制者对根据第45、46或47条提出要求的个人的身份有合理怀疑的,专员可:
(a)请求提供额外信息以使控制者能够确认身份,并且
(b)延迟处理请求,直到确认身份。
(5)根据第53条,本章要求向数据主体提供的任何信息必须免费提供。
(6)控制者必须促成数据主体行使第45至50条项下的权利。
53.数据主体明显没有根据或提出过多要求
(1)凡数据主体根据第45、46、47或50条提出的请求明显毫无根据或过分,则控制者可以:
(a)收取合理的费用以处理该请求,或
(b)拒绝应请求作出行为。
(2)一个可能过度的请求示例是:仅重复先前请求的请求。
(3)在任何关于第45、46、47或50条所指的请求是否明显不成立或过分的诉讼中,应由控制者承担证明该等事实成立的责任。
(4)国务卿可制定条例规定控制者依据第(1)款第(a)项可收取的费用的限额。
(5)第(4)款所述的规定须遵守消极决议程序。
54.“适用期限”的定义
(1)本条定义了第45条第(3)款第(b)项和第48条第(2)款第(b)项中的“适用期限”。
(2)“适用期限”是指从相关时间开始的1个月的期限,或法规中可能规定的更长期限。
(3)“相关时间”是指以下时间中最晚的一个:
(a)当控制者收到有关请求时;
(b)当控制者收到与根据第52条第(4)款提出的要求有关的资料(如有的话);
(c)就根据第53条提出的要求而收取的费用(如有的话)已缴付时。
(4)根据第(2)款制定的条例的权力可由国务卿行使。
(5)根据第(2)款制定的条例确定的期限不可超过3个月。
(6)根据第(2)款制定的条例适用消极决议程序。
第四章 控制者和处理者
概述和范围
55.概述和范围
(1)本章:
(a)规定了控制者和处理者的一般义务(见第56至65条);
(b)规定了控制者和处理者在安全方面的具体义务(见第66条);
(c)规定了控制者和处理者在个人数据泄露方面的具体义务(见第67和68条);
(d)就数据保护专员的职责、职位及任务作出规定(见第69至71条)。
(2)本章仅适用于为执法目的处理个人数据。
(3)如果本章任何规定要求控制者实施适当的技术和组织措施,控制者必须(在决定什么措施是适当时)考虑到:
(a)技术的最新发展,
(b)实施成本,
(c)处理的性质、范围、背景和目的,以及
(d)处理过程对个人权利和自由造成的风险。
一般义务
56.控制者的一般义务
(1)每个控制者必须实施适当的技术和组织措施,以确保并能够证明个人数据的处理符合本部分的要求。
(2)在与处理相称的情况下,为履行第(1)款下的义务而实施的措施必须包括适当的数据保护政策。
(3)根据第(1)款实施的技术和组织措施必须在必要时进行审查和更新。
57.设计和默认数据保护
(1)每个控制者必须实施被设计用于以下目的的适当技术和组织措施:
(a)以有效方式实施数据保护原则,以及
(b)将为此目的所需的保障措施纳入处理本身。
(2)第(1)款下的责任适用于数据处理手段及处理本身确定之时。
(3)每个控制者必须实施适当的技术和组织措施,以确保在默认情况下,只有基于特定目的的个人数据会被处理。
(4)第(3)款下的义务适用于:
(a)收集的个人数据的数量,
(b)处理的程度,
(c)存储期,以及
(d)其可访问性。
(5)特别是,为履行第(3)款规定义务而采取的措施必须确保,在默认情况下,个人数据不会在没有个人干预的情况下被无限数量的人获取。
58.联合控制者
(1)就本部分而言,凡两个或两个以上有权当局共同决定处理个人数据的目的及方法,他们是联合控制者。
(2)联合控制者必须以透明的方式,通过他们之间的安排来确定他们各自遵守本部分的责任,除非这些责任是根据或依据一项成文法确定的。
(3)该安排必须指定一名控制者,作为数据主体联络点。
59.处理者
(1)本条适用于控制者利用处理者代表其进行个人数据处理的情形。
(2)控制者只能利用能够保证实施适当的技术和组织措施的处理者以保证:
(a)满足本部分的要求,并且
(b)确保数据主体的权利得到保护。
(3)未经控制者的事先书面授权(可能是具体的或一般的),控制者所利用的处理者不得与其他处理者(“子处理者”)合作。
(4)在控制者给予处理者一般书面授权的情况下,如果处理者建议增加其所利用的子处理者的数量或替换其中的任何子处理者,则处理者必须通知控制者(以便控制者有反对提议的机会)。
(5)处理者的处理必须受控制者与处理者之间的书面合同约束,并规定以下内容:
(a)处理的主要事项和持续时间;
(b)处理的性质和目的;
(c)涉及的个人数据类型和数据主体类别;
(d)控制者和处理者的义务和权利。
(6)合同必须特别规定处理者须:
(a)仅根据控制者的指示行事;
(b)确保被授权处理个人数据的人员应承担适当的保密义务;
(c)通过任何适当手段协助控制者,以确保其遵守本部分规定的数据主体的权利;
(d)当处理者向控制者提供服务的条款即将到期时,控制者:
(i)将与服务相关的个人数据删除或返回给控制者(由控制者选择),以及
(ii)除非有存储副本的法律义务,否则删除这些个人数据的副本,
(e)向控制者提供证明遵守本条规定所需的所有必要信息;以及
(f)符合本条有关聘用子处理者的要求。
(7)根据第(6)款第(a)项,合同中包含的条款必须规定,处理者只有在控制者指示进行特定传输的情况下,才可以将个人数据传输到第三国或国际组织。
(8)如果处理者确定违反本部分的处理目的和手段,则就本部分而言,该处理者应被视为该项处理的控制者。
60.在控制者或处理者的授权下进行的处理
处理者以及在控制者或处理者授权下有权访问个人数据的任何人,不得处理数据,除非:
(a)按照控制者的指示,或
(b)履行法律义务。
61.处理活动的记录
(1)每个控制者必须保存其负责的所有处理活动类别的记录。
(2)控制者的记录必须包含以下信息:
(a)控制者的姓名和联系方式;
(b)在适用的情况下,联合控制者的姓名和联系方式;
(c)在适用的情况下,数据保护主管的姓名和联系方式;
(d)处理的目的;
(e)已经或将向其披露个人数据的接收者类别(包括第三国或国际组织的接收者);
(f)对以下事项的类别之描述:
(i)数据主体,以及
(ii)个人数据;
(g)在适用的情况下,使用画像的详细信息;
(h)在适用的情况下,向第三国或国际组织传输个人数据的类别;
(i)说明处理操作(包括传输)的法律依据,其中包括个人数据的目的;
(j)在可能的情况下,为删除不同类别的个人数据所设的时间限制;
(k)在可能的情况下,对第66条中提到的技术和组织安全措施的一般性描述。
(3)每个处理者必须保留代表控制者执行的所有类别处理活动的记录。
(4)处理者的记录必须包含以下信息:
(a)处理者和处理者按照第59条第(3)款聘用的任何其他处理者的姓名和联系方式;
(b)处理者所代表的控制者的姓名和联系方式;
(c)在适用的情况下,数据保护主管的姓名和联系方式;
(d)代表控制者进行的处理的类别;
(e)在适用的情况下,在控制者明确指示时,向第三国或国际组织传输个人数据的详细信息,包括该第三国或国际组织的身份证明;
(f)如可能,对第66条中提到的技术和组织安全措施的一般性描述。
(5)控制者及处理者须应要求向专员提供根据本条备存的记录。
62.记录
(1)控制者(或个人数据由处理者代表控制者处理时,处理者)必须至少为自动化处理系统中的以下处理操作保存记录:
(a)收集;
(b)变更;
(c)咨询;
(d)披露(包括传输);
(e)合并;
(f)删除。
(2)咨询记录必须记载:
(a)咨询的理由、日期和时间,以及
(b)尽可能提供咨询数据的人的身份。
(3)披露记录必须记载:
(a)披露的理由、日期和时间,以及
(b)尽可能地记载:
(i)披露数据的人的身份,以及
(ii)数据接收者的身份。
(4)根据第(1)款备存的记录只能用于以下一个或多个目的:
(a)核实处理的合法性;
(b)协助控制者或(视情况而定)处理者的自我监控,包括进行内部纪律处理;
(c)确保个人数据的完整性及安全性;
(d)刑事诉讼的目的。
(5)控制者或(视情况而定)处理者必须应要求向专员提供记录。
63.与专员的合作
每名控制者和每名处理者必须应要求与专员合作,以执行专员的任务。
64.数据保护影响评估
(1)如果某类处理可能对个人的权利和自由造成高风险,则控制者在进行处理之前必须进行数据保护影响评估。
(2)数据保护影响评估是对设想的处理操作对个人数据保护的影响的评估。
(3)数据保护影响评估必须包括以下内容:
(a)设想的处理操作的一般说明;
(b)评估数据主体的权利和自由所面临的风险;
(c)为解决这些风险而设想的措施;
(d)保障措施、安全措施和机制,以确保个人数据得到保护,并证明遵守了本部分规定,同时考虑到数据主体和其他有关人员的权利和合法利益。
(4)在决定某类处理是否可能对个人的权利和自由造成高风险时,控制者必须考虑处理的性质、范围、背景和目的。
65.事先向专员咨询
(1)本条适用于控制者要创建一个档案系统并处理构成其一部分的个人数据的情况。
(2)如果根据第64条制作的数据保护影响评估表明数据处理可能会对个人的权利和自由造成高风险(在没有减轻风险的措施的情况下),控制者必须在处理之前咨询专员。
(3)当根据第(2)款要求控制者向专员咨询时,控制者向专员提交:
(a)根据第64条制作的数据保护影响评估,以及
(b)专员要求的任何其他信息,以使专员能够对是否遵守了本部分对处理的要求进行评估。
(4)如果专员认为第(1)款中拟进行的处理会违反本部分的任何条文,则专员须向控制者提供书面意见,并且,如控制者正在利用处理者代为处理,则须向处理者提供书面意见。
(5)书面通知必须在收到控制者或处理者的咨询请求之日起6周结束前提供。
(6)考虑到预处理的复杂性,专员可将6周的期限再延长1个月。
(7)如果专员延长6周的期限,则必须:
(a)在收到咨询请求后的1个月期限结束前,通知控制者和处理者(如适用);并且
(b)告知延期的原因。
与安全有关的义务
66.处理的安全性
(1)每个控制者和每个处理者必须采取适当的技术和组织措施,以确保与处理个人数据所产生的风险相适应的安全水平。
(2)在自动化处理的情况下,每个控制者和每个处理者必须在风险评估之后,实施被设计用于以下目的的事项:
(a)防止未经授权处理或未经授权干涉与之相关的系统;
(b)确保能够确定所进行的任何处理的精确细节;
(c)确保与自动化处理相关的任何系统正常工作,并且在中断的情况下可以恢复;以及
(d)如果与处理相关的系统出现故障,确保存储的个人数据不会损坏。
与个人数据泄露有关的义务
67.向专员发出个人数据泄露的通知
(1)如果控制者意识到其负责的个人数据发生泄露,则控制者必须将该泄露事件通知专员,而且:
(a)不得无故拖延,并且
(b)在可行的情况下,不迟于发现后的72小时。
(2)如果个人数据泄露不太可能会对个人的权利和自由造成风险,则第(1)款不适用。
(3)如果未在72小时内通知专员,则通知必须附有延误的原因。
(4)除第(5)款另有规定外,通知必须包括:
(a)对个人数据泄露的性质、相关数据主体的类别和大致数量(如可能),以及相关个人数据记录的类别和大致数量的说明;
(b)数据保护主管或其他联系人的姓名和联系方式,以便从中获得更多信息;
(c)对个人数据泄露可能造成的后果的说明;
(d)控制者为解决个人数据泄露问题而采取或拟采取的措施的说明,包括在适当情况下减轻其可能的不利影响的措施。
(5)如果不可能同时提供第(4)款中提到的所有信息,在不会造成不必要的进一步延误的情况下,则可以分阶段提供这些信息。
(6)控制者必须记录与个人数据泄露相关的以下信息:
(a)与泄露有关的事实,
(b)泄露的影响,以及
(c)采取的补救措施。
(7)第(6)款所述的信息,必须以专员能核实是否符合本条规定的方式进行记录。
(8)如果个人数据泄露涉及另一成员国法律下的控制者或向其传输的个人数据,则第(6)款中提及的信息必须及时传达给该人。
(9)如果处理者意识到个人数据的泄露(与处理者处理的个人数据有关),处理者必须立即通知控制者。
68.告知数据主体个人数据泄露
(1)如果个人数据泄露可能会对个人的权利和自由造成高风险,控制者必须立即通知数据主体,不得无故拖延。
(2)提供给数据主体的信息必须包括以下内容:
(a)数据泄露性质的说明;
(b)数据保护主管或可从其获得更多信息的其他联系人的姓名和联系方式;
(c)对个人数据泄露可能造成的后果的说明;
(d)控制者为解决个人数据泄露所采取或拟采取的措施的说明,包括在适当情况下减轻其可能的不利影响的措施。
(3)第(1)款下的责任不适用于:
(a)控制者已实施适当的、对受数据泄露影响的个人数据进行的技术和组织保护措施。
(b)控制者已采取后续措施,以确保第(1)款所述数据主体的权利和自由面临的高风险不再可能发生,或
(c)这可能涉及不成比例的努力。
(4)可能属于第(3)款第(a)项的一个例子是,已采取措施使个人数据对未经授权访问数据的任何人是无法识别的,如加密。
(5)在属于第(3)款第(c)项[但不属于第(3)款第(a)或(b)项]的情况下,第(2)款所述的信息必须以其他同样有效的方式提供给数据主体,如通过公共通信。
(6)如果控制者没有将该数据泄露通知数据主体,专员在接到根据第67条发出的通知并在考虑该泄露可能导致高风险后,可:
(a)要求控制者通知数据主体数据泄露,或
(b)决定适用第(3)款第(a)至(c)项中的任何一项,因此不要求控制者作出通知。
(7)在考虑到数据主体的基本权利和合法利益后,控制者可全部或部分限制依据第(1)款向数据主体提供信息,只要该限制是为了以下目的而必要且合适的措施:
(a)避免妨碍官方或法律询问、调查或诉讼;
(b)避免妨碍刑事犯罪的预防、侦查、调查、起诉或者刑罚的执行;
(c)保护公共安全;
(d)保护国家安全;
(e)保护他人的权利和自由。
(8)第(6)款不适用于依据第(7)款作出的不通知数据主体数据泄露的决定。
(9)第52条第(1)和(2)款中的职责,与控制者依据第三章向数据主体提供信息的职责相同,适用于控制者根据本条被要求向数据主体提供的信息。
数据保护主管
69.指定数据保护主管
(1)控制者必须指定一名数据保护主管,除非控制者是以其司法身份行事的法院或其他司法机构。
(2)在指定数据保护主管时,控制者必须考虑拟任主管的专业素质,尤其是:
(a)拟任主管在数据保护法律和实践方面的专业知识,以及
(b)拟任主管执行第71条所述任务的能力。
(3)考虑到他们的组织结构和规模,同一个人可以被几个控制者指定为数据保护主管。
(4)控制者必须公布数据保护主管的详细联系方式,并就这些事项与专员沟通。
70.数据保护主管职位
(1)控制者必须确保数据保护主管及时、恰当地参与与个人数据保护有关的所有问题。
(2)控制者必须向数据保护主管提供必要的资源和访问个人数据和处理操作的权限,以使数据保护主管能够:
(a)执行第71条中规定的任务,以及
(b)保持其对数据保护法律和实践的专业知识。
(3)控制者:
(a)必须确保数据保护主管不会收到有关执行第71条所述任务的任何指示;
(b)必须确保数据保护主管不执行本部分所述任务或职责以外的任务或职责,当此类任务或职责可能会导致利益冲突时;
(c)不得因数据保护主管执行第71条中规定的任务而予以解雇或处罚。
(4)数据主体可就所有下列事项与数据保护主管取得联系:
(a)对该数据主体的个人数据进行的处理,或
(b)该数据主体行使本部分规定的权利。
(5)数据保护主管在履行这一职责时,必须向控制者的最高管理层报告。
71.数据保护主管的任务
(1)控制者必须委托数据保护主管至少完成以下任务:
(a)通知并建议控制者、由控制者雇用的任何处理者以及负责处理个人数据的控制者的任何雇员他们在该部分下的义务;
(b)就根据第64条进行数据保护影响评估和监督该条的遵守情况提供建议;
(c)与专员合作;
(d)就有关处理的事宜,包括第65条所述的咨询,担任专员的联络人,并酌情就任何其他事宜咨询专员;
(e)监督控制者对个人数据保护政策的遵守情况;以及
(f)监督控制者对本部分的遵守情况。
(2)就第(1)款第(e)项所述的政策而言,数据保护主管的职责包括:
(a)根据这些政策分配职责,
(b)提高对这些政策的认识,
(c)培训参与处理操作的员工,以及
(d)执行这些政策要求的审计。
(3)在执行第(1)和(2)款中规定的任务时,数据保护主管必须考虑与处理操作相关的风险,同时考虑处理的性质、范围、背景和目的。
第五章 个人数据向第三国等传输
概述和解释
72.概述和解释
(1)本章涉及向第三国或国际组织传输个人数据,具体如下:
(a)第73至76条规定了适用的一般条件;
(b)第77条规定了当个人数据的预接收者不是第三国有关当局或国际组织时适用的特殊条件;
(c)第78条对个人数据的后续传输作了特别规定。
(2)在本章中,与第三国有关的“有关当局”是指驻扎在第三国并具有(在该国)与有权当局职能相当的任何人员。
传输的一般原则
73.个人数据传输的一般原则
(1)控制者不得向第三国或国际组织传输个人数据,除非:
(a)满足第(2)至(4)款中规定的三个条件,以及
(b)如果个人数据最初是由英国以外的成员国发送或提供给控制者或有权当局。该成员国或驻扎在该成员国、符合《执法指令》的有权当局中的任何人,已经依据其本国的法律授权该传输。
(2)条件1是传输是出于任何执法目的所必需的。
(3)条件2是传输须:
(a)基于充分性决策(见第74条);
(b)如果不是基于充分性决策,则是基于有适当的保障措施(见第75条);或
(c)如果不是基于充分性决策或有适当的保障措施,则是基于特殊情况(见第76条)。
(4)条件3是:
(a)预接收方是第三国的相关有权当局或相关国际组织,或
(b)如果是附表7第5至17、21、24至28、34至51、54及56段所指明的有权当局:
(i)预期接收者是相关当局以外的第三国的人员,以及
(ii)符合第77条的附加条件。
(5)在下列情况下,不需要第(1)款第(b)项所述的授权:
(a)为防止对一成员国或第三国的公共安全或成员国的基本利益造成直接和严重的威胁,该传输是必要的;并且
(b)不能及时获得授权。
(6)如果未经第(1)款第(b)项所述授权进行传输,则必须立即通知成员国负责决定是否授权传输的机构。
(7)在本条中,“相关国际组织”是指为任何执法目的履行职能的国际组织。
74.基于充分性决策的传输
向第三国或国际组织传输个人数据的依据是一项充分性决策,其中:
(a)欧盟委员会根据《执法指令》第36条决定:
(i)在该第三国或在其领域内或该第三国的一个或多个指定部门,或
(ii)(视情况而定)国际组织,确保对个人数据提供适当程度的保护,及
(b)这项决定没有被废除或中止,也没有以表明委员会不再认为有充分程度的个人数据保护的方式加以修正。
75.基于适当保障措施的传输
(1)向第三国或国际组织传输个人数据时,必须有适当的保障措施:
(a)载有保护个人数据的适当保障措施的法律文书对数据预接收者具有约束力,或
(b)控制者在评估了向第三国或国际组织传输此类个人数据的所有情况后,得出结论认为存在适当的保障措施来保护这些数据。
(2)控制者必须将依据第(1)款第(b)项进行的数据传输类别告知专员。
(3)依据第(1)款进行的数据传输:
(a)传输必须记录在案;
(b)应专员要求,必须向其提供文件;以及
(c)文件必须特别包括:
(i)传输的日期和时间,
(ii)接收者的姓名和任何其他相关信息,
(iii)传输的正当理由,以及
(iv)对所传输的个人数据的描述。
76.特殊情况下的传输
(1)若向第三国或国际组织传输个人数据是基于下列情形所必要,则属于特殊情况:
(a)为了保护数据主体或其他人的重大利益,
(b)为维护数据主体的合法权益,
(c)为防止成员国或第三国的公共安全受到直接和严重的威胁,
(d)在个别案件中出于任何执法目的,或
(e)在个别案件中出于法律目的。
(2)但是,如果控制者认为数据主体的基本权利和自由高于传输中的公共利益,则第(1)款第(d)和(e)项不适用。
(3)依据第(1)款进行的数据传输:
(a)传输必须记录在案,
(b)依要求,必须向专员提供文件,以及
(c)文件必须特别包括:
(i)传输的日期和时间,
(ii)接收者的姓名和任何其他相关信息,
(iii)传输的正当理由,以及
(iv)对所传输的个人数据的描述。
(4)就本条而言,在下列情况下,出于法律目的的传输是必要的,如果:
(a)为与任何执法目的有关的任何法律诉讼(包括预期的法律程序)的目的或与之相关的目的之必需,
(b)为获得与任何执法目的有关的法律建议之必需;或
(c)或者为确立、行使或保护与任何执法目的有关的法律权利之必需。
向特定接收者传输
77.向有关当局以外的人传输个人数据
(1)第73条第(4)款第(b)项第(ii)目中提到的附加条件是以下四个条件。
(2)条件1是,在特定情况下,该传输是为履行法律或任何执法目的而执行传输控制者的任务所严格必要的。
(3)条件2是,传输控制者已确定相关数据主体的基本权利和自由并不高于使得传输有必要进行的公共利益。
(4)条件3是,传输控制者认为将个人数据传输给第三国的有关当局将是无效的或不适当的(例如,无法在足够的时间内进行传输以实现其目的)。
(5)条件4是,传输控制者将个人数据可能在必要时进行处理的具体目的通知预接收者。
(6)如果将个人数据传输给相关当局以外的第三国的人员,传输控制者必须立即通知该第三国的有关当局,不得无故拖延,除非这是无效或不适当的。
(7)传输控制者必须:
(a)记录向第三国(相关当局除外)的接收者的任何传输,以及
(b)通知专员有关传输的情况。
(8)本条不影响成员国与第三国在刑事司法合作和警察合作领域的任何现行国际协定的实施。
后续传输
78.后续传输
(1)如果根据第73条传输个人数据,传输控制者必须规定,未经传输控制者或其他有权当局授权,不得将数据进一步传输给第三国或国际组织。
(2)有权当局可根据第(1)款给予授权,但仅在为执法目的需要进一步传输的情况下。
(3)在决定是否给予授权时,有权当局必须考虑(除任何其他相关因素外):
(a)导致授权请求的严重性,
(b)最初传输个人数据的目的,以及
(c)适用于将个人数据传输到第三国或国际组织的个人数据保护标准。
(4)如果个人数据最初是由英国以外的成员国传输或以其他方式提供给传输控制者或另一个有权当局,则不得根据第(1)款给予授权,除非在《执法指令》的目的下,该成员国或任何在该成员国的个人是有权当局,并已根据该成员国的法律授权了此次传输。
(5)在下列情况下,不需要第(4)款所述的授权:
(a)为了防止对一成员国或第三国的公共安全或对一成员国的基本利益造成直接和严重的威胁,传输是必要的;以及
(b)不能及时获得授权。
(6)如果未经第(4)款中的授权进行传输,必须立即通知成员国负责决定是否授权传输的有权当局。
第六章 补充
79.国家安全:证书
(1)就第44条第(4)款、45条第(4)款、48条第(3)款或68条第(7)款而言,王室大臣可签发证书,证明限制是保护国家安全的必要和适当的措施。
(2)证书可以:
(a)是关于控制者根据第44条第(4)款、45条第(4)款、48条第(3)款或68条第(7)款已经或拟施加的特定限制(在证书中描述),或
(b)通过一般性描述确定与之相关的任何限制。
(3)在不抵触第(6)款的情况下,根据第(1)款发出的证书即为决定性证据,以证明该项特定限制或(视情况而定)属一般描述范围内的任何限制,或在以往任何时候是保护国家安全的必要且相称的措施。
(4)根据第(1)款发出的证书,可表明具有预期效力。
(5)任何受依据第(1)款发出的证书直接影响的人,可就该证书向法庭提出上诉。
(6)根据第(5)款提出的上诉中,如果法庭发现,在适用法院对司法审查申请适用的原则时,部长没有合理的理由签发证书,则法庭可以:
(a)允许上诉,并且
(b)撤销证书。
(7)在根据本法或依据本法进行的任何诉讼中,控制者声称某项限制属于根据第(1)款签发的证书中的一般性描述,则该诉讼的任何其他当事方可以以该限制不属于该一般性描述为由向法庭提出上诉。
(8)但是,在不抵触根据第(9)款作出的任何裁定的情况下,该项限制须被最终推定为属一般描述的范围。
(9)在根据第(7)款提出的上诉中,法庭可裁定该证书并不适用。
(10)根据第(1)款发出的证书的文件可以:
(a)作为证据,并且
(b)除非相反证明成立,否则视为该证书。
(11)一份声称是由皇室部长或其代表证明为该部长根据第(1)款签发的证书的真实副本的文件,是:
(a)在任何法律诉讼中,该证书的证据;以及
(b)在苏格兰的任何法律诉讼中,该证书的充分证据。
(12)第(1)款授予皇室部长的权力只能由以下人员执行:
(a)作为内阁成员的部长,或
(b)总检察长或苏格兰总检察长。
(13)第六部分任何条文所赋予的权力,不得施加:
(a)根据第(1)款对证书的特定限制,或
(b)在这种证书中属于一般描述的限制。
80.特殊处理的限制
(1)第(3)和(4)款适用于出于执法目的,控制者向欧盟接收者或非欧盟接收者传输或以其他方式提供个人数据的情况。
(2)在本条中,“欧盟接收者”是指:
(a)英国以外的成员国的接收者,或
(b)根据《欧洲联盟运作条约》第5编第4章和第5章设立的代理、办事处或机构;
“非欧盟接收者”是指:
(a)第三国的接收者,或
(b)国际组织。
(3)控制者必须考虑,如果个人数据是在英国境内传输或以其他方式提供给另一个有权当局,则另一个有权当局对数据的处理是否会因任何成文法或法律规则而受到任何限制。
(4)在这种情况下,控制者必须通知欧盟接收者或非欧盟接收者,数据是在该人遵守相同限制的情况下传输或以其他方式提供的(必须在提供给该人的信息中列出)。
(5)除第(4)款另有规定外,控制者不得对控制者传输或以其他方式提供给欧盟接收者的个人数据的处理施加限制。
(6)第(7)款适用于:
(a)英国以外的成员国的有权当局为《执法指令》目的向控制者传输或以其他方式提供可供使用的个人数据,以及
(b)另一成员国的有权当局根据该成员国实施《执法指令》第9条第(3)和(4)款的任何法律的,应通知控制者该数据是在控制者遵守有权当局规定的限制的条件下被传输或以其他方式提供的。
(7)控制者必须遵守限制。
81.违规行为报告
(1)每个控制者必须实施有效的机制,鼓励报告违反本部分规定的行为。
(2)根据第(1)款实施的机制必须规定,违规行为可以向以下任何人报告:
(a)控制者;
(b)专员。
(3)根据第(1)款实施的机制必须包括:
(a)提高对1996年《就业权法》第4A部分和1996年《就业权(北爱尔兰)令》[S.I.1996/1919(N.I.16)]第5A部分所提供保护的认识,以及
(b)控制者认为适当的对举报违反本协议的人的其他保护措施。
(4)举报违反本部分规定的人并不违反:
(a)该人所承担的保密义务,或
(b)对信息披露的任何其他限制(不论如何施加)。
(5)第(4)款不适用于本报告包含2016年《调查权力法案》第一至七部分或第九部分第一章禁止的披露。
(6)在通过2016年《调查权力法案》附表10第45段和第54段完全废除2000年《调查权力法案》第一部分之前,第(5)款具有效力,视同其包含了对该部分的引用。