第二部分 一般處理

第一章 適用范圍和定義

4.適用本部分的處理

（1）本部分與大多數個人數據處理有關。

（2）本部分第二章：

（a）適用于依據GDPR第2條規定，適用GDPR的個人數據處理的類型；并且

（b）附錄，且必須結合GDPR一同閱讀。

（3）本部分第三章：

（a）適用于GDPR不適用的某些類型的個人數據處理（參閱第21條），并且

（b）規定了大致等同于GDPR的制度以適用于此類處理。

5.定義

（1）本部分第二章和GDPR中使用的術語，在第二章中具有與其在GDPR中相同的含義。

（2）在第（1）款中，凡提及GDPR中的術語的，指的是其在GDPR及其與第二章任何規定一同閱讀的含義——該部分為契合GDPR的目的調整了該術語的含義。

（3）第（1）款受第二章中任何明確規定該術語具有不同含義的規定的約束，并受第204條的約束。

（4）本部分第三章和適用的GDPR（the applied GDPR）中使用的術語，在第三章中具有與適用的GDPR（the applied GDPR）中相同的含義。

（5）在第（4）款中，提及的適用的GDPR（the applied GDPR）中的術語含義，指的是其在GDPR中，并應與第二章（被第三章適用的）或第三章任何規定一同閱讀的含義——該部分為契合GDPR的目的調整了該術語的含義。

（6）第（4）款受第二章（被第三章適用的）或第三章中任何明確規定該術語具有不同含義的規定的約束。

（7）在本部分第二章或第三章中，個人數據的處理是指本章所適用的處理。

（8）第3條和第205條包括本部分中使用的其他表達的定義。

第二章 GDPR

GDPR中使用的某些術語的含義

6.“控制者”的含義

（1）GDPR第4條第（7）款中的“控制者”的定義具有效力，但受下列規定限制：

（a）第（2）款，

（b）第209條，及

（c）第210條。

（2）就GDPR而言，僅按照下列方式處理個人數據的：

（a）依照法規要求的目的進行處理，以及

（b）依照法規要求的方式進行處理。

承擔該法規（或，如果不同，其中一部法規）規定的數據處理義務的人是控制者。

7.“公共當局”與“公共機構”的含義

（1）就GDPR而言，以下（且僅以下）是英國法律規定的“公共當局”和“公共機構”：

（a）2000年《信息自由法案》定義的公共當局，

（b）2002年（蘇格蘭） 《信息自由法案》定義的蘇格蘭公共當局，以及

（c）國務卿在條例中指定或說明的當局或機構。

第（2）、（3）及（4）款另有規定的除外。

（2）第（1）款所述的當局或機構，僅指為公共利益或行使賦予其的官方權力而執行任務時，符合GDPR目的之“公共當局”或“公共機構”。

（3）第（1）款第（a）和（b）項中提及的公共當局和蘇格蘭公共當局，如2000年《信息自由法案》和2002年（蘇格蘭） 《信息自由法案》所定義，不包括屬于這些定義范圍內的任何以下內容：

（a）英格蘭的教區議會；

（b）威爾士的社區委員會；

（c）蘇格蘭的社區委員會；

（d）根據1972年《地方政府法》第13條成立的教區議會；

（e）根據該法第27條召開的社區委員會；

（f）依據下列規定組成的憲章受托人：

（i）根據前述法案第246條，

（ii）根據2007年《地方政府和公眾參與健康法》第一部分，或

（iii）1996年《憲章受托人規定》（S.I.1996/263）。

（4）國務卿可通過法規規定，法規中指定或說明的人是第（1）款第（a）或（b）項所述的公共當局，而不是GDPR中的“公共當局”或“公共機構”。

（5）依據本條制定的條例適用積極決議程序。

處理的合法性

8.處理的合法性：公共利益等

在GDPR第6條第（1）款（處理的合法性）之第（e）項中規定的，為執行公共利益領域的任務或行使控制者既定的公務職權，出于下列職能所需而必須對個人數據進行的處理：

（a）司法行政，

（b）行使議會兩院的職能，

（c）行使成文法或法律規則賦予某人的職能，

（d）行使皇室、皇室的大臣或政府部門的職能，或

（e）支持或促進民主參與的活動。

9.與信息社會服務有關的兒童同意

GDPR第8條第（1）款（信息社會服務中兒童同意的適用條件）：

（a）“16歲”應解讀為“13歲”，以及

（b）“信息社會服務”不包括預防或咨詢服務。

特殊類別的個人數據處理

10.個人數據和刑事定罪等數據的特殊類別

（1）第（2）和（3）款規定了GDPR第9條第（1）款（禁止處理特殊類別的個人數據）中所述的個人數據的處理，依據第9條第（2）款規定的下列任一項例外情況：

（a）第（b）項（就業，社會保障和社會保護）；

（b）第（g）項（重大公共利益）；

（c）第（h）項（衛生和社會保?。?；

（d）第（i）項（公共衛生）；

（e）第（j）項（存檔、研究和統計）。

（2）只有在滿足附表1第一部分中的條件時，處理才符合GDPR第9條第（2）款第（b）、（h）、（i）或（j）項中關于英國或英國部分地區法律授權或依據的要求。

（3）只有在滿足附表1第二部分中的條件時，該處理才符合GDPR第9條第（2）款第（g）項中關于以英國或英國某一部分的法律為依據的要求。

（4）第（5）款規定了處理與刑事定罪和罪行有關，或不在公共當局控制下的相關安全措施有關的個人數據處理。

（5）只有在滿足附表1第一、二或三部分的條件時，該處理才符合GDPR第10條關于英國或英國部分地區法律授權的要求。

（6）國務卿可通過制定條例：

（a）修訂附表1：

（i）通過增加或改變條件或保障措施，以及

（ii）刪去根據本條制定的條例所增加的條件或保障措施，及

（b）相應地修改本條。

（7）依據本條制定的條例適用積極決議程序。

11.特殊類別的個人數據等：增補

（1）就GDPR第9條第（2）款第（h）項（基于衛生或社會保健目的的處理等）而言，在進行個人數據處理的情況下，應遵守GDPR（保密義務）第9條第（3）款中的條件和保護措施，包括由下列人員執行的場景：

（a）由衛生專業人員或社會工作專業人員承擔或由其負責，或

（b）在該情況下根據法令或法律規則負有保密義務的其他人。

（2）在GDPR第10條和本法第10條中，提及與刑事定罪和罪行或相關安全措施有關的個人數據包括：

（a）數據主體涉嫌犯罪，或

（b）就數據主體所犯或被指控已犯罪行而提起的法律程序，或對該等法律程序的處置，包括判刑在內。

數據主體的權利

12.控制者可收取的費用限額

（1）國務卿可通過條例規定控制者可依據以下條款收取的費用限額：

（a）GDPR第12條第（5）款（對明顯無根據或過度請求作出響應時可以收取合理費用），或

（b）GDPR第15條第（3）款（提供更多副本可收取的合理費用）。

（2）國務卿可通過制定條例：

（a）要求控制者對法規中明確規定的情況進行描述，以形成并發布有關他們依據這些規定收取的費用的指南；并且

（b）說明指南中必須包括的內容。

（3）依據本條制定的條例適用消極決議程序。

13.信用咨詢機構的義務

（1）控制者是信用咨詢機構[1974年《消費者信貸法》第145條第（8）款規定含義]時，適用本條規定。

（2）根據GDPR第15條第（1）至（3）款，控制者的義務（確認處理、訪問數據和向第三國傳輸的保障措施）僅適用于與數據主體財務狀況有關的個人數據，除非數據主體表明相反意圖。

（3）如果控制者依據GDPR第15條第（1）至（3）款披露個人數據，則披露時必須附有聲明，告知消費者該數據主體根據1974年《消費者信貸法》（錯誤信息的更正）第159條享有的權利。

14.法律授權的自動化決策：保障措施

（1）本條對GDPR第22條第（2）款第（b）項的目的作出了規定[免受GDPR第22條第（1）款規定的例外情形僅適用于依法授權并提供保護數據主體的權利、自由和合法利益的保障措施下的基于自動化處理作出的重大決策]。

（2）本條中，就某數據主體而言，某項決策是“重大決策”，如果該決策：

（a）對數據主體產生法律效力，或

（b）對數據主體產生同樣顯著的影響。

（3）本條中，一項決策構成本條規定的“符合條件的重大決策”，如果該決策：

（a）對于數據主體而言，是一項重大決策，

（b）它是法律要求或授權的，并且

（c）它不屬于GDPR第22條第（2）款第（a）或（c）項（合同所必需或在數據主體同意下作出的決定）的范圍。

（4）如控制者僅基于自動化處理作出與數據主體相關的符合條件的重大決策，則：

（a）控制者必須在合理可行的范圍內盡快以書面形式通知數據主體，該決定僅基于自動化處理作出；并且

（b）數據主體可在自收到通知的1個月內，要求控制者：

（i）重新考慮該決策，或

（ii）作出不完全基于自動化處理的新決策。

（5）如果數據主體根據第（4）款向控制者提出要求，則控制者必須在GDPR第12條第（3）款規定的期限內：

（a）考慮該請求，包括數據主體提供的與其相關的任何信息；

（b）滿足要求；及

（c）以書面形式將以下事項通知數據主體：

（i）為滿足要求而采取的步驟，以及

（ii）滿足要求后的結果。

（6）就本條而言，控制者具有GDPR第12條規定的權利和義務（透明度、根據請求延長行動時間的程序、費用、明顯無根據或過度的請求等），這些權利和義務適用于GDPR第22條。

（7）國務卿可通過條例作出其認為適當的進一步規定，以提供適當的措施來保障數據主體僅基于自動化處理而作出符合條件的重大決策時的權利、自由和合法權益。

（8）第（7）款所提及的條例：

（a）可修訂本條，并且

（b）受積極決議程序的約束。

數據主體權利的限制

15.豁免等

（1）附表2、3和4就GDPR規則的豁免、限制和適用的調整作出了規定。

（2）在附表2中：

（a）第一部分作出了在GDPR第6條第（3）款和第23條第（1）款所允許的特定情況下適應或限制GDPR第13至21和34條所包含的規則的規定；

（b）第二部分規定了GDPR第23條第（1）款允許的在特定情況下限制GDPR第13至21和34條所包含的規則的適用；

（c）第三部分規定了GDPR第23條第（1）款所允許的、在必須保護他人權利的情況下限制GDPR第15條的適用；

（d）第四部分規定了GDPR第23條第（1）款允許的在特定情況下限制GDPR第13至15條所包含的規則的適用；

（e）第五部分出于GDPR第85條第（2）款允許的表達自由的原因，對GDPR第二、三、四、五和七章作出了包含豁免或減損的規定；

（f）如第89條第（2）款所允許的，第六部分規定了對GDPR第15、16、18、19、20和21條所載權利的減損規定，以供科學或歷史研究、統計和存檔之用。

（3）附表3作出了將GDPR第13至21條所載規則的適用范圍限制在GDPR第23條第（1）款所允許的衛生、社會工作、教育和虐待兒童數據的規定。

（4）附表4規定了GDPR第13至21條所載規則的適用范圍，該限制適用于GDPR第23條第（1）款所規定的法規禁止或限制其披露的信息。

（5）關于維護國家安全和國防，參閱本部分第三章和第26條中的豁免規定。

16.根據條例作出進一步豁免等的權力

（1）國務卿可根據本條規定，行使以下權力，以制定變更適用GDPR的規定：

（a）第6條第（3）款中規定成員國法律有權制定法律依據，其中包含適用GDPR規則的具體規定，也即為遵守法律義務、公共利益或行使官方權力而執行任務所需的處理；

（b）第23條第（1）款規定，有權在必要和適當的情況下，采取立法措施，限制該條所述義務和權利的范圍，以保障某些公眾利益的目標；

（c）第85條第（2）款規定在必要時免除或放寬GDPR某些章節的權力，以協調個人數據的保護與言論和信息自由。

（2）本條規定的條例可：

（a）修訂附表2至4：

（i）通過增加或改變條款，以及

（ii）略去根據本條制定的條例所增補的條文。

（b）相應地修改第15條。

（3）依據本法制定的條例適用積極決議程序。

認證提供者的認證

17.認證提供者的認證

（1）獲得有效的認證提供者資質，需經由以下人員作出認證：

（a）專員，或者

（b）國家認證機構。

（2）專員只有在以下情況下才可以認證某人為認證提供者：

（a）已發表聲明，說明專員將進行此類認證；并且

（b）尚未發布撤回該聲明的通知。

（3）國家認證機構只能在以下情況下認定某人可以成為認證提供者：

（a）專員已發表聲明，該機構可以進行這種認證；并且

（b）專員未發布撤回該聲明的通知。

（4）根據第（2）款第（b）項或第（3）款第（b）項發布的聲明，對聲明發布之前進行的任何認證的有效性不產生影響。

（5）附表5規定了認證某人為認證提供者有關的決定的審查和上訴。

（6）國家認證機構可根據GDPR第5和43條規定，為執行其職能而收取相關或附帶的合理費用。

（7）國家認證機構必須向國務卿提供國務卿合理要求的與其在GDPR第5條和第43條規定職能有關的信息。

（8）在本條中：

“認證提供者”是指根據GDPR第42條的規定簽發認證的人；

“國家認證機構”是指符合2008年7月9日歐洲議會和理事會（EC）765/2008號條例第4條第（1）款規定的認證機構，該條例規定了有關產品營銷認證和市場監督的要求，并廢除了（EC）339/93號條例。

向第三國傳輸個人數據

18.將個人數據傳輸到第三國等

（1）為GDPR第49條第（1）款第（d）項之目的，國務卿可制定條例規定：

（a）出于公共利益的重要原因，有必要將個人數據傳輸到第三國或國際組織的情況；以及

（b）不屬于公共利益的重要原因，將法規未要求的個人數據傳輸到第三國或國際組織的情況。

（2）在以下情況下，國務卿可通過條例限制將一類個人數據傳輸到第三國或國際組織：

（a）未經GDPR第45條第（3）款的充分性決策授權的傳輸，并且

（b）國務卿認為出于公共利益的重要原因該限制是必要的。

（3）依據本條制定的條例：

（a）在國務卿已就其作出緊急聲明的情況下，須遵守已作出的積極決議程序；

（b）否則，應遵循積極決議程序。

（4）就本條而言，緊急聲明是指國務卿認為為立即實施法規而有必要作出的合理的聲明。

具體的數據處理

19.為歸檔、研究和統計目的的處理：保障措施

（1）本條規定了以下事項：

（a）為公共利益所需對個人數據進行的歸檔處理，

（b）為科學或歷史研究目的所需的個人數據的處理，

（c）為統計目的所需的個人數據的處理。

（2）如果該處理可能對數據主體造成實質損害或實質困擾，則此類處理不符合GDPR第89條第（1）款關于處理必須對數據主體的權利和自由給予適當保障措施的規定。

（3）如果處理的目的是實施關于某一特定數據主體的措施或決策，則此類處理不滿足要求，除非處理的目的包括經批準的醫學研究的目的。

（4）在本條中：

“經批準的醫學研究”是指由從以下各方獲得批準開展該研究的人員進行的醫學研究：

（a）根據2014年《護理法》第三部分第二章，由健康研究機構認證或成立的研究倫理委員會批準，或

（b）由以下任何一方任命的，旨在評估涉及個人的研究倫理的機構批準：

（i）國務卿、蘇格蘭部長、威爾士部長或北愛爾蘭部門；

（ii）相關的英國國家醫療服務機構；

（iii）英國研究與創新機構或1965年《科學技術法案》中的研究委員會；

（iv）2003年《所得稅（收入和養老金）法》第七部分第4A章（見該法案第457條）中的研究機構。

“相關的英國國家醫療服務機構”是指：

（a）英國國家醫療服務機構信托或英國國家醫療服務機構基金會信托，

（b）英國國家醫療服務機構信托或威爾士地方衛生委員會，

（c）根據1978年《國家衛生服務（蘇格蘭）法》第2條成立的衛生委員會或特別衛生委員會，

（d）蘇格蘭衛生服務共同服務機構，或

（e）北愛爾蘭2009年《衛生和社會保?。ǜ母铮┓ā?[c.1（N.I）]第1條第（5）款第（a）至（e）項中規定的任何衛生與社會保健機構。

（5）就本條而言，國務卿可通過條例改變“獲批準的醫學研究”的含義，包括修改第（4）款。

（6）第（5）款中的條例受積極決議程序的約束。

次要定義

20.“法院”的含義

第5條第（1）款（本章所用的術語與GDPR中的含義相同）不適用于本章所提及的法院，相應地，此類引述不包括裁判庭。

第三章 其他一般處理

范圍

21.本章適用的處理

（1）本章適用于在以下情況下對個人數據的自動或結構化處理：

（a）超出歐盟法律范圍的活動，或

（b）屬于GDPR第2條第（2）款第（b）項范圍內的活動（共同的外交和安全政策活動）。

但該項處理并非由有權當局為任何執法目的（如第三部分所界定）或第四部分（情報機構處理）所適用的處理。

（2）本章也適用于信息自由（FOI）公共機構對個人數據的手動非結構化處理。

（3）本章不適用于個人在純粹的個人或家庭活動過程中對個人數據的處理。

（4）在本條中：

“自動或結構化的個人數據處理”是指：

（a）全部或者部分地使用自動化的方式處理個人數據，以及

（b）對構成檔案系統一部分或預成為檔案系統一部分的個人數據進行的非自動化處理。

“手動對個人數據進行非結構化處理”是指非自動化或結構化的個人數據處理。

（5）在本章中，“信息自由公共機構”是指：

（a）2000年《信息自由法案》中所定義的公共機構，或

（b）2002年（蘇格蘭）《信息自由法案》中定義的蘇格蘭公共機構。

（6）本章中對由信息自由公共機構“持有”的個人數據的引用應解釋為：

（a）關于英格蘭、威爾士和北愛爾蘭，與2000年《信息自由法案》第3條第（2）款相符；以及

（b）關于蘇格蘭，與2002年（蘇格蘭）《信息自由法案》第3條第（2）、（4）和（5）款相符。

但此類引用不包括情報部門代表信息自由公共機構持有的信息（如第82條所定義的）。

（7）但是，就本章而言，個人數據不被視為信息自由公共機構“持有”的個人數據，其中：

（a）2000年《信息自由法案》第7條禁止該法第一至五部分適用的個人數據，或

（b）2002年（蘇格蘭）《信息自由法案》第7條第（1）款禁止該法案適用的個人數據。

GDPR的適用

22.GDPR對本章適用的處理的適用

（1）GDPR中對個人數據處理的適用同樣適用于本章，但是應視為英格蘭和威爾士、蘇格蘭和北愛爾蘭的法案的一部分加以適用。

（2）本部分第二章就適用的GDPR（the applied GDPR）之適用而言，與GDPR的適用相同。

（3）本章中，“適用的第二章”是指本章適用的本部分第二章。

（4）附表6包含條款修改：

（a）根據第（1）款適用的GDPR（the applied GDPR）（參見第一部分）；

（b）根據第（2）款適用的本部分的第二章（參見第二部分）。

（5）關于適用的GDPR（the applied GDPR）或適用的第二章的規定的含義或效力問題，應與GDPR或本部分第二章（而非本章）的同等條款的解釋一致，除非附表6要求不同的解釋。

23.根據與GDPR相關的法規制定條款的權力

（1）國務卿可通過法規制定與本章適用的個人數據處理相關的規定，該規定等同于GDPR法規中的規定，但需進行國務卿認為適當的修改。

（2）在本條中：

“GDPR法規”是指根據1972年《歐洲共同體法》第2條第（2）款制定的法規，其中制定的條款與GDPR相關。

（3）第（1）款中的法規可在修改或不修改的情況下適用GDPR法規的條款。

（4）根據第（1）款的規定可修訂或廢除：

（a）適用的GDPR（the applied GDPR）；

（b）本章；

（c）第五至七部分，只要它們適用于相關的適用的GDPR（the applied GDPR）中的條款。

（5）依據本條制定的條例適用積極決議程序。

豁免等

24.信息自由公共機構持有的手動非結構化數據

（1）適用的GDPR（the applied GDPR）的條文和第（2）款中列出的本法的條文不適用于本章依據第21條第（2）款（由信息自由公共機構持有的手動非結構化個人數據）的個人數據。

（2）這些規定是：

（a）在適用的GDPR（the applied GDPR）（原則）的第二章中：

（i）第5條第（1）款第（a）至（c）、（e）和（f）項（與加工有關的原則，但精度原則除外），

（ii）第6條（合法性），

（iii）第7條（同意條件），

（iv）第8條第（1）和（2）款（兒童的同意），

（v）第9條（處理特殊類別的個人數據），

（vi）第10條（與刑事定罪等有關的數據），以及

（vii）第11條第（2）款（不需要識別的處理）；

（b）在適用的GDPR（the applied GDPR）的第三章中（數據主體的權利）：

（i）第13條第（1）至（3）款（從數據主體處收集的個人數據：應提供的信息），

（ii）第14條第（1）至（4）款（非從數據主體處收集的個人數據：應提供的信息），

（iii）第20條（數據攜帶權），以及

（iv）第21條第（1）款（反對處理）；

（c）在適用的GDPR（the applied GDPR）第五章第44至49條（將個人數據傳輸到第三國或國際組織）中；

（d）本法第170和171條；

[另見附表18第1條第（2）款]。

（3）此外，第（4）款中所列的適用的GDPR（the applied GDPR）的條文不適用于本章第21條第（2）款所適用的個人數據，即與任命、免職、薪酬、紀律、退休金相關，或其他與下列方面有關的人事事項相關的個人數據：

（a）在任何皇家武裝部隊中服役；

（b）在任何皇家或公共機構任職或受雇提供服務；

（c）任職于任何職位或工作，或根據任何服務合同提供服務，而在此類事務中采取行動或決定或批準所采取行動的權力屬于：

（i）女王陛下，

（ii）皇家大臣，

（iii）威爾士國民議會，

（iv）威爾士部長，

（v）北愛爾蘭部長（根據2000年《信息自由法案》），

（vi）信息自由公共機構。

（4）這些規定是：

（a）第二章和第三章（數據主體的原則和權利）的其余規定；

（b）第四章（控制者和處理者）；

（c）第九章（具體處理情況）。

（5）根據第21條第（2）款的規定，控制者無義務遵守適用的GDPR（the applied GDPR） （數據主體訪問權）第15條第（1）至（3）款關于本章適用的個人數據的規定，如果：

（a）該條下的請求不包含對個人數據的描述，或

（b）控制者估計，遵從該項就個人數據而言的要求的費用將超過適當的最高限額。

（6）第（5）款第（b）項并不免除控制者確認有關數據主體的個人數據是否正在處理的義務，除非僅就個人數據遵守該義務的估計成本將超過適當的最高限額。

（7）就本條而言，必須根據2000年《信息自由法案》第12條第（5）款的規定進行估算。

（8）在第（5）和（6）款中，“適當的最高限額”是指國務卿通過條例規定的最高限額。

（9）第（8）款下的條例受消極決議程序的約束。

25.長期歷史研究中使用的手動非結構化數據

（1）第（2）款中所列的適用的GDPR（the applied GDPR）的規定，不適用于本章根據第21條第（2）款適用的個人數據（由信息自由公共機構持有的手動非結構化個人數據），如果：

（a）該個人數據：

（i）在緊接1998年10月24日之前已經被用于處理，并且

（ii）只為歷史研究的目的而處理，及

（b）該處理并非以下情況：

（i）為了作出與特定數據主體有關的措施或決定，或

（ii）處理所采用的方式會對數據主體造成或相當可能造成實質性損害或實質性危害。

（2）這些規定是：

（a）在適用的GDPR（the applied GDPR） （原則）第二章中，第5條第（1）款第（d）項（準確性原則），以及

（b）在適用的GDPR（the applied GDPR）（數據主體的權利）第三章中：

（i）第16條（更正權），以及

（ii）第17條第（1）和（2）款（刪除權）。

（3）本條中的豁免適用于第24條中的豁免。

26.國家安全和國防豁免

（1）適用的GDPR（the applied GDPR）或本法第（2）款中提及的某條規定不適用于本章適用的個人數據，如果該規定中要求的豁免是為了：

（a）維護國家安全的目的，或

（b）國防目的。

（2）這些規定是：

（a）適用的GDPR（the applied GDPR）（原則）第二章，下列條款除外：

（i）第5條第（1）款第（a）項（合法、公平和透明的處理），只要其要求處理個人數據是合法的；

（ii）第6條（處理的合法性）；

（iii）第9條（特殊類別的個人數據的處理）。

（b）適用的GDPR（the applied GDPR）第三章（數據主體的權利）。

（c）適用的GDPR（the applied GDPR）第四章：

（i）第33條（向專員發出個人數據泄露通知）；

（ii）第34條（向數據主體通報個人數據泄露）。

（d）適用的GDPR（the applied GDPR）第五章（向第三國或國際組織傳輸個人數據）。

（e）適用的GDPR（the applied GDPR）第六章：

（i）第57條第（1）款第（a）和（h）項[專員監督和執行適用的GDPR（the applied GDPR）和進行調查的職責]；

（ii）第58條（專員的調查、更正、授權和咨詢權力）。

（f）適用的GDPR（the applied GDPR）第八章（補救措施、責任和處罰），除了：

（i）第83條（施加行政罰款的一般條款）。

（ii）第84條（處罰）。

（g）本法第五部分：

（i）第115條（專員的一般職能）第（3）及（8）款；

（ii）第115條第（9）款，只要其與適用的GDPR（the applied GDPR）第58條第（2）款第（i）項有關；

（iii）第119條（為履行國際義務進行的檢查）。

（h）在本法第六部分中：

（i）第142至154條和附表15（專員的通知以及進入和檢查的權力）；

（ii）第170至173條（與個人數據有關的犯罪）；

（i）本法第七部分第187條（數據主體的陳述）。

27.國家安全：證書

（1）除第（3）款另有規定外，對于第26條第（2）款所列全部或任何條款的豁免而言，由皇室部長簽署以證明該項與任何個人數據相關的豁免是為保障國家安全所必要或曾經必要的證書是這一事實的決定性證據。

（2）根據第（1）款發出的證書：

（a）可通過一般描述來識別其適用的個人數據，以及

（b）可用于表達具有預期效果。

（3）任何直接受第（1）款所指的證書影響的人，可就該證書向法庭提出上訴。

（4）在根據第（3）款提出的上訴中，如果法庭發現，在適用法院對司法審查申請適用的原則時，部長沒有合理的理由簽發證書，則法庭可以：

（a）允許上訴，并且

（b）撤銷證書。

（5）在根據或基于適用的GDPR（the applied GDPR）或本法進行的任何法律程序訴訟中，如果控制者主張第（1）款下的證書（該證書通過適用于任何個人數據的一般描述確定其適用的個人數據），則該訴訟的另一方可基于該證書不適用于有關的個人數據這一理由，向法庭提出上訴。

（6）但是，除根據第（7）款作出的任何裁定另有規定外，該證書須被最終推定為照此適用。

（7）在根據第（5）款提出的上訴中，法庭可裁定該證書并不照此適用。

（8）依據第（1）款看似是證書的文件：

（a）需要作為證據收取，以及

（b）除非相反證明成立，否則視為證書。

（9）一份表明是由皇家部長或代表皇室部長依據第（1）款簽發的證書的副本文件，是：

（a）在任何訴訟中，該證書的證據；

（b）在蘇格蘭的任何訴訟中，該證書的充分證據。

（10）第（1）款授予皇室部長的權力只能由以下人員實施：

（a）內閣成員的部長，或

（b）總檢察長或蘇格蘭總檢察長。

28.國家安全與國防：對適用的GDPR（the applied GDPR）第9和32條的修改

（1）適用的GDPR（the applied GDPR）第9條第（1）款（禁止處理特殊類別的個人數據）并不禁止在以下情況下對本章適用的個人數據進行處理：

（a）為維護國家安全或者國防目的，以及

（b）為數據主體的權利和自由提供適當的保障。

（2）適用的GDPR（the applied GDPR）第32條（處理安全）不適用于正在處理本章所適用的個人數據的控制者或處理者（視情況而定）：

（a）維護國家安全的目的，或

（b）國防目的。

（3）如果適用的GDPR（the applied GDPR）第32條不適用，控制者或處理者必須采取與處理個人數據所產生的風險相適應的安全措施。

（4）就第（3）款而言，如果個人數據的處理全部或部分是通過自動方式進行的，則控制者或處理者必須在風險評估后，實施相應措施，以：

（a）防止未經授權的處理或未經授權干擾與處理相關的過程，

（b）確保能夠確定所進行的任何處理的精確細節，

（c）確保與處理相關的任何系統正常工作，并且在中斷的情況下可以恢復，以及

（d）確保存儲的個人數據在系統使用與處理出現故障時不會被破壞。