网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

9.合适的情况下，管理者应当寻求数据主体或者他们在预期处理方面的代表的观点，不能对商业利益保护、个人利益保护或者处理机制的安全保护持有偏见。

10.依据第六条第一款（c）项或（e）项的处理，有联盟法律或者成员国国内法的依据，在这些法律之中，管理者是一方主体。这些法律规制了具体的处理方式或者一系列仍受争议的的机制。数据保护影响评估方式已经被当做是一般影响评估的一个部分得到实施。第一款到第七款不能得到适用，除非成员国认为处理活动的事先评估确有必要。

11.必要时，如果处理方式是根据数据保护影响评估所作出的，在处理机制的风险出现变化的时候，处理管理者应当对评估进行审查。

第36条

事先咨询

1.第35条下的数据保护影响评估表明，如果控制者没有采取措施减少风险，那么处理过程将会是高风险的。因而，控制者应当在处理之前向监督机构进行咨询。

2.第一款中监管机构预期处理在控制者没有完全认定或者减少风险的情况，是对第一款规定的违反。监督机构应当至迟在8周以内向控制者提出书面建议，也可以使用第58条所规定的权力。考虑到预期处理的复杂性，这一期限可以延迟六周。监管机构应当就任何延长期间的情况通知控制者以及处理者，并且说明迟延理由。这些期间可以中止，直到监管机构实现它所要求的咨询目的。

3.根据第一款向监管机构咨询时候，管理者应当提供：

（a）控制者，控制者和处理者的联合部门的代表职责，尤其是关于处理过程的企业团体；

（b）预期处理的目的和手段；

（c）根据本法保护数据主体权利自由的保障措施；

（d）应用时，数据保护局的联系方式；

（e）35条所规定的数据保护影响评估；

（d）其他。

4.成员国应当在准备方案期间向监管机构咨询国家议会所指定的立法措施，或者基于这些立法措施且和数据处理有关的规章。

5.根据第一款，成员国的法律也许需要先向控制者咨询，对于涉及公共利益（包括社会保护和公众健康）的处理程序，应当获得监管机构的预先授权。

第四节

数据保护局

第37条

数据保护局人员的指派

1.在以下情况下，控制者和处理者应当指派数据保护人员：

（a）公共当局或者机构施行的处理措施，而非法院基于行使司法权进行的；

（b）控制者或者处理者数据处理机制的核心活动是性质、范围和（或者）目的，需要进行定期和系统的大规模数据主体监控；

（c）根据第9条的大规模特殊种类数据处理方式以及第10条的刑事指控和犯罪，控制者和处理者的核心活动构成大规模的特殊数据种类；

2.如果可以在企业指派数据保护人员，企业团体可以任命一个独立的数据保护人员。

3.鉴于控制者和肩负按部门是一种公共的部门或者机构，考虑到它们的组织结构和规模，独立的数据保护人员可以被一些这样的部门或者机构所指派。

4.除了第一款所涉及的情况，控制者、处理者、处理协会、其他代表不同种类的部门或者根据联盟或者成员国法律应当设立的部门，应当指派数据保护人员。数据保护人员可以根据这些机构以及代表控制不嗯或者处理者的其他主题进行活动。

5.数据保护人员的指派应当给予职业能力，尤其是关于数据保护法律的专业知识以及39条所提到的完成任务的经验和能力。

6.数据保护人员可以是控制者或者处理者的成员，他们基于一种服务上的联系完成任务。

7.控制者或者处理者应当公布数据保护人员的联系方式，并且将名旦告知监管机构。

第38条

数据保护人员的地位

1.在进行个人数据保护的任何相关活动时，控制者和处理者应当保证数据处理人员的参与是合适的而且及时的。

2.控制者和处理者应当对数据保护人员根据第39条所执行的活动予以支持（通过提供执行任务的必要资源、接触个人数据和处理机制的必要方式以及个人专业知识的培训）

3.控制者和处理者应当确保对数据保护人员不下达任何指令，他们不能因为执行任务的原因而被解雇或者受到刑事处罚。数据保护人员直接向最高管理者报告工作。和

4.数据主体可以就所有关于自身数据以及本章程规定下的自身权利问题，与数据保护人员进行联系。

5.根据联盟法律或者成员国法律，数据保护人员应当对其执行的任务内容进行保密。

6.数据保护人员也可以执行其他的任务，履行其他职责。控制者或者处理者应当确保这些执行活动不会导致利益冲突。

第39条

数据保护人员的任务

1.数据保护人员的任务至少包括：

（a）向控制者、处理者以及根据本章程或者根据其他联盟法律成员国法律规定的义务进行数据处理的人员，提出通知和建议。