第一部分 总则

1.概述

（1）本法对个人数据的处理作了规定。

（2）大多数个人数据的处理均受欧盟《一般数据保护条例》（GDPR）的约束。

（3）第二部分对GDPR进行了补充（参见第二章），并对GDPR不适用的某些数据处理类型，适用了大致等同的制度（参见第三章）。

（4）第三部分对有权当局为执法目的和执行《执法指令》而对个人数据进行的处理作了规定。

（5）第四部分对情报部门处理个人数据作了规定。

（6）第五部分对信息专员作了规定。

（7）第六部分对数据保护法规的实施作了规定。

（8）第七部分作了补充规定，包括关于本法适用于王室和议会的规定。

2.个人数据保护

（1）GDPR、适用的GDPR（the applied GDPR）和本法在个人数据处理方面对个人数据进行保护，尤其通过以下方式：

（a）要求在数据主体同意或其他特定基础上合法、公平地处理个人数据，

（b）赋予数据主体获取有关个人数据处理的信息并要求更正不准确的个人数据的权利，以及

（c）赋予专员职能，赋予该职位负责人监督和执行其规定的责任。

（2）在根据GDPR、适用GDPR和本法履行职能时，专员必须考虑确保个人数据得到适当保护的重要性，同时考虑到数据主体、控制者和其他人的利益以及公众利益。

3.与个人数据处理有关的术语

（1）本条定义了本法中使用的部分术语。

（2）“个人数据”是指与已识别或可识别的自然人有关的任何信息[根据第（14）款第（c）项的规定]。

（3）“可识别的自然人”是指一个可以直接或间接地被识别的自然人，尤其是通过参照：

（a）一个标识符，如名称、标识号、位置数据或线上标识符；或

（b）一个或多个与该个人的身体、生理、遗传、心理、经济、文化或社会身份有关的因素。

（4）“处理”，就信息而言，是指对信息或信息集执行的一个或一系列操作。例如：

（a）收集、记录、组织、结构化或储存，

（b）修正或替换，

（c）检索、咨询或使用，

（d）通过传输、传播或其他方式披露，

（e）排列或组合，或

（f）限制、删除或销毁。

[受限于第（14）款第（c）项和第5条第（7）款、29条第（2）款和82条第（3）款，上述条款涉及本法不同部分规定的处理]

（5）“数据主体”是指与个人数据相关的已识别或可识别的自然人。

（6）“控制者”和“处理者”，就第二部分、第三部分或第四部分第二章或第三章适用的个人数据处理而言，具有与该章或该部分相同的含义[见第5、6、32和83条，另见第（14）款第（d）项]。

（7）“档案系统”是指可以根据特定标准访问的任何结构化的个人数据集，无论是通过自动方式还是手动方式保存，也无论是基于功能或地理区域的中心化、去中心化或分散式的数据集。

（8） “专员”是指信息专员（见第114条）。

（9）“数据保护法规”是指：

（a）GDPR，

（b）适用的GDPR（the applied GDPR），

（c）本法，

（d）根据本法制定的法规，以及

（e）根据《1972年欧洲共同体法》第2条第（2）款制定的与GDPR或《执法指令》有关的法规。

（10）“GDPR”是指欧洲议会和理事会2016年4月27日在个人数据处理方面，保护自然人和此类数据自由流动的第2016/679号条例（一般数据保护条例）。

（11）“适用的GDPR（the applied GDPR）”是指第二部分第三章适用的GDPR（the applied GDPR）。

（12）“《执法指令》”是指欧洲议会和理事会2016年4月27日关于保护自然人的（EU）2016/680号指令，该指令涉及有权当局为预防、调查、起诉刑事犯罪或执行刑事处罚对个人数据进行的处理，以及此类数据的自由流动，并废除了理事会第2008/977/JHA号框架决定。

（13）“数据保护公约”是指自1981年1月28日起开放供签署并在本法通过之日已修订的针对个人数据自动处理的个人保护公约。

（14）在第五部分至七部分中，除非另有规定：

（a）凡提及GDPR的，是指本法第二部分第二章解读范围内的GDPR，包括第二部分第三章解读范围内的适用的GDPR（the applied GDPR）；

（b）凡提及第二部分第二章或该章的某一规定的，包括该章或第二部分第三章所适用的该规定；

（c）凡提及个人数据及个人数据的处理的，是指第二部分第二章或第三章、第三部分或第四部分所适用的个人数据及处理；

（d）凡提及控制者或处理者，即指与第二部分第二章或第三章、第三部分或第四部分所适用的个人数据处理相关的控制者或处理者。

（15）第206条中有定义表达的索引。