第一章 通則

§ 1. 適用範圍

(1) 本法旨在：

1) 處理個人資料及該類資料自由流通時，保障自然人權益。闡述與補充歐洲議會及歐盟理事會通過之歐盟規則 2016/679《個人資料保護規則》規定，並取代歐盟指令 95/46/EC 相關條款。

2) 執法機構為預防、偵查、追溯刑事犯罪或執行刑罰之目的處理個人資料時，保護自然人權益。

(2) 本法作用為：

1）作為由歐盟規則 2016/679《個人資料保護規則》之履行標準（國內法實行標準）。

2）作為轉化（transposition）歐盟規則 2016/680 之實行標準，於執法機構為預防、偵查、追溯刑事犯罪或執行刑罰之目的處理個人資料；於該類資料自由流通時，保護自然人權益，並廢除理事會架構決定 2008/977/JHA 之相關規定。

3) 作為國家行使監督（資料使用者）遵照個人資料處理規定之程序規範。

4) 作為違反個人資料處理規定之課責依據。

§ 2. 歐洲議會與歐盟理事會通過之歐盟規則 2016/679 之適用標準

本法與歐洲議會與歐盟理事會通過之歐盟規則 2016/679《個人資料保護規則》適用於：

1) 根據程序法所規範之犯罪訴訟與司法訴訟程序。

2) 憲法機關，若涉及其憲法義務之履行，且不受與其相關之特定法律約束。

§ 3. 行政程序法之適用

考慮到本法詳細規範，《行政程序法》適用本法規定之行政程序。

第二章 為特定目的之個人資料處理規範

§ 4. 為新聞目的之個人資料處理

個人資料得於未經當事人同意之情況下，為媒體機構揭露與使用。但應符合公共利益及新聞倫理，且該資料之公開不得過度侵害當事人權利。

§ 5. 為學術、藝術與文學表達目的之個人資料處理

個人資料得於未經當事人同意之情況下，為學術、藝術或文學表達目的使用，該資料之公開不得過度侵害當事人權利。

§ 6. 為科學研究、歷史研究或官方統計研究目的之個人資料處理

(1) 個人資料得於未經當事人同意的情況下，為科學研究、歷史研究或官方統計研究目的使用，但應以假名化或其他具同等資料保護強度之方式使用資料。過去曾公開傳播，為科學研究、歷史研究或官方統計研究目的使用之個人資料，應以假名化或其他具同等資料保護強度的方式取代之。

(2) 假名化（depseudonymisation）或其他替代當事人身份而難以識別當事人之方式，仍屬於個人資料範疇，僅得為科學研究、歷史研究或官方統計研究目的使用。個人資料處理者應指定得存取化名化（pseudonymisation）資訊之特定個人。

(3) 個人資料於未經當事人同意的情況下，為科學研究、歷史研究或官方統計研究之目的，以允許資料被辨識出的格式使用，僅於下列情形允許之：

1) 移除可識別資料標籤後，將無法達成使用該資料之目的；

2) 科學、歷史研究或官方資料統計主持人評估具壓倒性之公共利益；

3) 當事人義務不因該資料處理而改變，或當事人權利不因其他任何方式遭受過度侵害。

(4) 若該科學或歷史研究採用特殊類別之個人資料，該領域之倫理委員會應該先查核其是否遵守本法規範及條件。若該科學領域無倫理委員會，則由愛沙尼亞資訊保護監督會查核是否符合本法規範。保存於國家檔案館中任何個人資料，國家檔案館對其有倫理委員會之權利。

(5) 就本法而言，行政機關為特定政策發展制定之經驗研究，同樣視為科學研究的範疇。為準備研究資料，行政機關有權查詢其他資料控管者或資料處理者之資料庫，並處理取得之資料。愛沙尼亞資訊保護監督會應於特定個人資料被處理前，查核其是否遵守本法規範與條件。政策研究之研究目的或個人資料處理規範來自法規者，不在此限。

(6) 為科學研究、歷史研究或官方統計研究目的使用之個人資料，如可能導致研究目標無法實現或嚴重阻礙研究進度，資料控管者或處理者得限制當事人依歐盟規則 2016/679《個人資料保護規則》第15條、第16條、第18條、第21條規定保障之權利。

§ 7. 為公共利益為目的之個人資料處理

(1) 為達成公共利益目的之個人資料處理，如可能導致研究目標無法實現或嚴重阻礙研究進度，資料控管者或處理者得限制當事人根據歐盟規則 2016/679《個人資料保護規則》第15條、第16條、第18條到21條之規定保障之權利。

(2) 為避免破壞紀錄之狀態、真實性、可靠性、完整性與可用性，得限制本條第1項規定之當事人權利。

第三章 其他類別個人資料處理案例

§ 8. 為提供資訊社會服務之兒童個人資料處理

(1) 歐盟規則 2016/679 《個人資料保護規則》第6條第1項第a款適用直接提供兒童資訊社會服務時，僅得處理13歲以上兒童之個人資料。

(2) 兒童年齡低於13歲時，兒童之個人資料處理僅得限於其法定監護人同意範圍。

§ 9. 死者之個人資料處理

(1) 當事人同意權於當事人生前及死後10年具有效力。當事人另有決定者，不在此限。若當事人死亡時仍未成年，則其資料同意權至死後20年具有效力。

(2) 當事人死亡後，其資料處理權僅限繼承者同意，以下情形不在此限：

1) 當事人死亡10年後；

2) 未成年當事人死亡20年後；

3) 根據其他法源之資料處理；

(3) 若有多位繼承者，則該當事人處理方式在其中任一位繼承者同意下，得允許之。

(4) 本條第1項規定之同意權，個人資料處理僅有姓名、性別、出生與死亡日期、死亡事實及埋葬的時間地點者，不在此限。

§ 10. 違反義務之個人資料處理

(1) 個人資料傳輸涉及違反任何對第三方義務及任何第三方處理之傳輸資料，應於評估當事人信譽目的及任何其他類似理由範圍內為之。個人資料傳輸為資料控管者或處理者驗證資料傳輸正確性，並具法源依據且有登記者，不在此限。

(2) 針對前項規定對第三方機構之資料蒐集與傳輸，有下列情形之一者，不得允許之：

1) 歐盟規則 2016/679 規定特殊類別個人資料處理

2) 資料涉及公開法庭審理前犯下之罪行、受害者、就罪行做出決定、或終止案件之訴訟程序；

3) 過度侵害當事人權利及自由；

4) 違反合約後30天內；

5) 違反義務期限結束超過5年；

§ 11. 公共場所之個人資料處理

在公共場合製作未來意圖公開之聲音或影像記錄時，當事人同意權應以通知當事人義務替代之，使個人瞭解聲音或影像紀錄存在之事實，並依其意願提供防止被記錄之機會。法律另有規定者，不在此限。通知義務不適用於公共活動，公共活動之紀錄得被合理推定用於後續之公開。

第4章 為執法機構為預防、偵查、追溯刑事犯罪或執行刑罰目的之個人資料處理

第1節 通則

§ 12. 本章適用範圍

(1) 本章適用執法機構為預防、偵查、追溯刑事犯罪或執行刑罰時之目的對個人資料之處理。

(2) 本章不適用國家與行政機關監控之個人資料處理。

(3) 本章為規定執法機關適用之規範。歐盟規則 2016/679 規範不適用於執法機關，本法另有規定者，不在此限。

§ 13. 用詞

(1) 本章用詞在歐盟規則 2016/679 第4條及第9條第1項有詳細說明。

(2) 為本章目的，執法機關係指依法有權預防、偵查、追溯刑事犯罪或執行刑罰之政府機關與行政法人。

第二節 原則

§ 14. 個人資料處理之原則

個人資料處理應遵循以下原則：

1) 合法公正原則－個人資料應合法公正處理；

2) 目的性原則－個人資料蒐集目的應特定、明確及合法正當，且不得進行違背目的之處理；

3) 優質原則－個人資料處理應適當、相關並限於處理目的所必要；

4) 正確性原則－個人資料處理應精確，必要時應即時更新。應採取一切措施，確保不正確個人資料立即被刪除或更正；

5) 保留原則－個人資料以可辨識當事人之方式保存，僅於達成個人資料處理目的條件下得為之；

6) 安全性原則－ 個人資料處理方式應具適當安全性，包括技術與組織措施，以有效防止未經授權或非法之處理、遺失、毀壞、或損壞。

§ 15. 個人資料處理之合法性

執法機關為預防、偵查、追溯刑事犯罪或執行刑罰之目的履行職能，有權依法處理個人資料。

§ 16. 與初始目的不同之個人資料處理

(1) 由相同或不同資料掌控者處理之個人資料，為本法第12條第1項規定範圍，僅於下列情形得允許之：

1) 資料控管者具依據法律或歐盟法規處理個人資料之目的；

2) 依法律或歐盟法規要求對此類個人資料進行處理，並與其所追求之目的符合比例原則；

(2) 依本法第12條第1項之目的，由執法機關蒐集或即將蒐集之個人資料，不得為其他目的處理。依本條第1項規定及法律或歐盟法規範圍允許之資料處理，不在此限。個人資料處理為上述其他目的時，適用歐盟規則 2016/679，除非個人資料之處理過程不在具體法規範圍內。資料處理之目的無具體法規規範時，適用愛沙尼亞國內法。

(3) 若執法機關依法行使本法第12條第1項規定目的外之其他職權，歐盟規則 2016/679 適用上述目的之資料處理。資料處理之目的無具體法規規範時，適用愛沙尼亞國內法。

§ 17. 保留個人資料

(1) 法律或規則應為被處理之個人資料設置保留期限。法律或規則無設置保留期限時，應由資料控管者設置期限。

(2) 依本條第1項設置之個人資料保留期限，僅得於正當案例中展延。法規另有規定者，不在此限。

(3) 若無法設置明確保留期限，資料控管者應採取法律及技術措施，使該措施能持續評估資料繼續處理之需要。

(4) 若個人資料保留期限屆滿，資料控管者和處理者應永久刪除個人資料。資料控管者應採取適當法律及技術措施。

§ 18. 當事人之不同分類

可行且適合之情況下，資料控管者應將當事人區分為受訴訟者、嫌疑犯、被告、受害者、證人、服刑人、受拘留者、緩刑犯與其他人為不同類別之當事人。

§ 19. 基於評估區分個人資料

資料控管者應盡可能區隔基於事實之個人資料與基於個人評估之個人資料。

§ 20. 特殊類別個人資料處理之規範

(1) 特殊類別個人資料處理，必要且具下列條件之一者，得允許之：

1) 處理之可採性 (admissibility) 受法律規定；

2) 為保護當事人或任何其他自然人之切身利益；

3) 處理過程涉及由當事人明確公開之個人資料；

(2) 保護當事人權利與自由，應採適當保障措施。該措施適用本條第1項規定之特殊類別個人資料處理。

§ 21. 自動化處理

(1) 若作成決定 (decision) 將對當事人帶來負面法律後果或任何其他顯著影響，不得僅以自動化處理做出決定，包括個人特徵分析 (profiling)。決定應於法律允許範圍內作成，並提供適當措施以保護當事人權利、自由、及法律權益。

(2) 當事人有權對資料控管者，為本條第1項規定之決定提出反對意見，以保障當事人法律權益。

(3) 本條第1項規定作成之決定，不得基於特殊類別之個人資料。有適當措施以保障當事人權利、自由、及法律權益者，不在此限。

(4) 自然人由特殊類別之個人資料區分，不得基於個人特徵分析作成決定。

第3節 當事人權利

§ 22. 當事人應獲得之資訊

(1) 資料控管者應揭露以下資訊：

1) 個人資料處理之目的；

2) 當事人取得或更正其資料、刪除或限制該資料處理之程度，及行使這些權利之程序；

3) 資料控管者及資料保護專家之名稱及聯絡方式；

4) 愛沙尼亞資訊保護監督會之聯絡方式；

5) 資料處理程序侵犯當事人權利時，當事人得向愛沙尼亞資訊保護監督會提出申訴；

(2) 資料控管者於網路或其他地方公開之資訊，若能輕易由當事人接收，即視為本條第1項規定之揭露方式。

§ 23. 通知當事人時提供之訊息

(1) 依法具義務通知當事人個人資料處理時，資料控管者應提供當事人下列補充資訊：

1) 本法第22條第1項規定之資訊；

2) 處理個人資料之法律依據；

3) 個人資料保留期限或資料保留期限設置之依據；

4) 允許傳輸個人資料之接收者類別；

5) 必要時，任何其他補充資訊。

(2) 法律規定情況下，有下述情形之一者，資料控管者得對當事人延後傳輸、限制傳輸、或不傳輸本條第1項規定之資訊：

1) 防止或損害預防、偵查、追溯刑事犯罪或執行刑罰；

2) 損害其他人權利與自由；

3) 危及國家利益；

4) 危及公共秩序；

5) 妨礙正式調查或訴訟。

§ 24. 當事人資訊及個人資料取得權

(1) 當事人得向其個人資料之處理者取得證明。個人資料處理者應就當事人要求，向當事人說明下列事項：

1) 當事人個人資料及該資料之類別；

2) 個人資料來源；

3) 處理個人資料之目的及法律根據；

4) 已向其公開當事人個資之接收者或接收者類別；

5) 個人資料之保留期限及決定保留期限之依據；

6) 向資料控管者申請修正、刪除、 或限制處理當事人個人資料之權利；

7) 向愛沙尼亞資料保護局提起申訴之權利與該機關之聯絡資訊；

(2) 法律規定之案例中，有下列情形之一者，資訊控管者得延後、限制、或拒絕提供當事人第1項規定資訊：

1) 阻止或妨害預防措施、檢測措施、違法訴訟程序、或處罰之執行；

2) 損害他人權利及自由；

3) 危害國家安全；

4) 危害公共秩序維護；

5) 妨礙正式調查或訴訟程序。

(3) 資料控管者應立即書面通知當事人，限制、禁止其取用第1項規定資訊之事由。有第2項規定情形之一者，資料控管者得不提供理由。

(4) 資訊控管者依本條第3項通知當事人時，應吿知當事人其得向愛沙尼亞資訊保護監督會或法庭提起上訴。

(5) 資訊管控者應記錄依本條第2項作成決定之事實或法律根據，並於必要時將此資訊提供愛沙尼亞資訊保護監督會。

§ 25. 當事人修正及刪除個人資料權之權利

(1) 當事人得基於事實，向資料處理者要求修改任何不正確之個人資料。

(2) 不違反個人資料處理目的時，當事人得向資料控管者要求刪除任何不完整之個人資料。

(3) 有下列情形之一者，當事人得向資料控管者要求刪除其個人資料：

1) 個人資料處理無法律根據；

2) 個人資料處理無顧及處理個人資料之原則；

3) 資料控管者應遵從法律、判決、國際協定或其他具約束力協議之義務刪除個人資料。

(4) 有下列情形之一者，資料控管者應限制處理而非刪除其個人資料：

1) 當事人質疑個人資料之正確性，且無法查明其正確與否；或

2) 為驗證之目的須保留其個人資料。

(5) 資料控管者已依第4項第1款規定限制處理而非刪除個人資料時，應通知當事人該限制之解除。

(6) 資料控管者拒絕修正、刪除、或限制處理當事人個人資料時，應立即書面通知當事人並說明拒絕之理由。有第24條第2項規定情形之一者，資料控管者得不提供理由。

(7) 資料控管者依本條第6項通知當事人時，資訊控管者應告知當事人其得向愛沙尼亞資訊保護監督會或法庭提起上訴。

§ 26. 資料控管者修正、刪除、及限制處理個人資料通報之義務

(1) 資料控管者修正個人資料時，應立即將修正之事實及內容通知接收錯誤個人資料之主管機關。

(2) 個人資料依本法第25條規定修正、刪除、或限制處理時，資料控管者應通知已取得該資料之接收者。

(3) 本條第2項規定之接收者應修正、刪除或限制處理其負責之個人資料。

§ 27. 當事人行使權利之程序

(1) 資料控管者應以簡單易達之形式及明確直白之文字，回應當事人任何請求。可能時，資料控管者須依當事人要求之方式回應。

(2) 資料控管者接收當事人請求後，須於一個月內通知當事人，不得有任何不當延遲。

(3) 資料控管者得要求當事人賠償任何因處理其請求造成之合理損失。當事人請求不合理或過度時，資料控管者得依法拒絕採取請求之措施。

(4) 資料控管者應識別當事人、其獲得資訊與個人資料之權利、或其請求修正、刪除個人資料之權利。

§ 28. 當事人向愛沙尼亞資訊保護監督會申訴之權利

(1) 當事人認為個人資料處理過程中有侵犯其權利之情形，得向愛沙尼亞資訊保護監督會提起申訴。

(2) 愛沙尼亞資訊保護監督會應告知當事人其就申訴內容做出之決定，且不服監督會決定時得向法庭提起上訴。

(3) 歐盟其他成員國之相關主管機關對當事人申訴具管轄權時，愛沙尼亞資料保護監督會應將當事人申訴提交至該機關。

第4節 資料控管者及資料處理者之義務

§ 29. 資料庫之控管者及處理者

(1) 資料控管者應實施適當技術及組織措施，確保處理個人資料時符合本法規定。資料控管者應於必要時證明其措施符合本法規定。

(2) 資料控管者應提供資料處理者處理個人資料之命令指示，且為資料處理者遵從個人資料處理規範與否負責。

(3) 資料控管者委託之資料處理者，應具充足證明能實施適當技術及組織措施，使個人資料之處理符合本法規定，並確實保障當事人權益。

(4) 資料處理者處理個人資料時，得納入其他資料處理者，但不得逾越法律規定或資料控管者書面許可之範圍。有資料控管者書面許可時，受託處理者應通知資料控管者其他資料處理者人事之異動。資料控管者得對異動提出反對。

(5) 資料處理者認定處理個人資料之目的及手段違反本法時，應成為該資料處理過程之資料控管者。

§ 30. 資料處理者之指派及義務

(1) 資料控管者得依法令、或載明工作主旨與時程、性質與目的、個人資料類別、當事人類別、資料控管者義務與權利之書面合約規定，指派資料處理者處理個人資料。

(2) 本條第1項規定之法令或合約，應要求資料處理者符合以下條件：

1) 遵照資料控管者命令行事；

2) 確保授權處理個人資料之人員，將為履行職責時得知之個人資料保密；

3) 確保當事人權益受到保障；

4) 結束提供資料處理服務後，按資料控管者選擇，刪除或歸還個人資料及任何備份。法律另有規定者，不在此限；

5) 提供資訊控管者任何個人資料處理相關資訊，證明其遵守本條規定之事實；

6) 遵守本法第29條第4項及本條規定其他資料處理者參與之條件。

§ 31. 聯合資料控管者

(1) 兩位或更多資料控管者共同決定處理個人資料之目的及手段時，為聯合資料控管者。

(2) 聯合資料控管者之責任及義務範圍，應由法令或聯合資料控管者間之合約確立。

(3) 使當事人得以行使權利之接觸點，應由本條第2項規定之合約，為當事人界定之。

(4) 當事人得對個別資料控管者依本法行使權利。

§ 32. 代表資料控管者及處理者處理個人資料

(1) 任何代表資料控管者或處理者處理個人資料之人員，應遵照資料控管者指示。法律另有規定者，不在此限。

(2) 代表資料控管者或處理者處理個人資料之人員權利，應由法令、資料控管者或資料處理者與該人員間之合約、或界定服務關係之法律文件確立。

§ 33. 設計及預設之資料保護

(1) 資料控管者及處理者決定處理個人資料之相關方法時，應採取技術及組織措施並確保執行之一致。

(2) 資料控管者及處理者應實施適當技術及組織措施，以確保預設情況下，僅處理為達成特定目的之個人資料。

§ 34. 個人資料處理規範

處理個人資料時，資料控管者及處理者應：

(1) 修正不正確之個人資料；

(2) 於依法不得處理個人資料或不符合個人資料處理原則時，刪除個人資料；

(3) 有違法傳輸個人資料或傳輸不正確個人資料情形時，通知接收人；

(4) 與愛沙尼亞資料保護監督會合作。

§ 35. 個人資料傳輸規範

(1) 資料控管者應採取及實施適當措施，避免傳輸或提供不完整、不正確、或過期之個人資料。

(2) 資料控管者須於可能之情況下，個人資料傳輸時附上必要資訊，以供接收資料之主管機關衡量個人資料之正確性、完整性、可靠性、及實用性。

(3) 有適用特殊條款及條件於個人資料處理之情形，資料控管者應於傳輸個人資料時，通知接收者該特殊條款及條件與須遵守之規範。

(4) 接收者在歐盟或依《歐洲聯盟運作條約》第5編第4章及第5章成立之機關時，傳輸個人資料時僅須適用該國內之規範，不再適用其他特殊條款及條件。

§ 36. 記錄

(1) 資料控管者及處理者應至少記錄以下自動化系統執行之個人資料處理活動：

1) 蒐集；

2) 修正；

3) 讀取；

4) 公開；

5) 傳輸；

6) 結合；

7) 刪除。

(2) 紀錄讀取、公開、及傳輸活動之記錄檔，應能查明進行特定活動之理由、日期與時間、讀取、公開、傳輸個人資料人員之相關資訊、個人資料接收者之姓名。

(3) 記錄檔得用於驗證個人資料處理活動之合法性、內部監督、保證個人資料之完整與安全、及違法訴訟程序。

(4) 資料控管者及處理者應就愛沙尼亞資料保護監督會之要求，提供其本條第1項規定之資訊。

(5) 資料控管者應設定記錄檔之保留期限。

§ 37. 個人資料活動紀錄

(1) 資料控管者須保留其負責之所有個人資料處理活動之紀錄，應記錄以下資訊：

1) 資料控管者（適當時，聯合資料管控者）姓名及聯絡方式；

2) 資料保護專家姓名及聯絡方式；

3) 處理個人資料之目的；

4) 個人資料已經或即將向其公開之接收者與其類別；

5) 當事人及個人資料類別資訊之描述；

6) 適當時，個人特徵分析之使用；

7) 適當時，傳輸個人資料至第三國或國際組織之傳輸方式；

8) 處理個人資料之法源相關資訊；

9) 可能時，刪除特殊類別之個人資料之期限；

10) 可能時，依本法第43條規定處理個人資料所採取之技術及組織措施。

(2) 資料處理者須記錄所有代表資料控管者處理個人資料之運作，應記錄以下資訊：

1) 資料處理者姓名及聯絡資訊，與其代表運作之資料控管者姓名及聯絡資訊；

2) 適當時，資料保護官員姓名及聯絡資訊；

3) 代表資料控管者執行之個人資料處理方式；

4) 適當時，至第三國或國際組織之個人資料傳輸，包含識別第三國或國際組織之資料；

5) 可能時，依本法第43條規定處理個人資料所採取之技術及組織措施。

(3) 本條第1、2項規定資訊應以可書面複製之形式記錄。

(4) 資料控管者及處理者應就愛沙尼亞資料保護監督會之要求，提供其本條第1、2項規定資訊。

§ 38. 資料保護衝擊評估

(1) 鑒於處理性質、範圍、脈絡及目的，處理個人資料之作為可能侵犯自然人個人權利及自由時，資料控管者應於處理個人資料前，評估該作為對保護個人資料產生之衝擊。

(2) 衝擊評估應至少包含以下資訊：

1) 對個人資料處理運作及目的之系統性描述；

2) 評估處理個人資料之必要性及比例原則；

3) 對當事人權利及風險之評估；

4) 風險應對措施，包括保密措施、安全措施、保護個人資料及證明符合本法之機制，並考量當事人與相關人員之權利及正當利益。

§ 39. 諮詢愛沙尼亞資料保護局

(1) 資料控管者或處理者預計處理儲於即將建立之新檔案系統之個人資料，有下列情形之一時，應預先向愛沙尼亞資料保護局諮詢：

1) 依本法第38條規定進行之資料保護衝擊評估，顯示欠缺資料控管者措施時，處理個人資料將具高風險；

2) 個人資料處理之性質極可能侵犯當事人權利及自由。

(2) 資料控管者應向愛沙尼亞資料保護監督會提交以下資訊，以評估其措施符合個人資料處理規範與否：

1) 本法第38條規定之資料保護衝擊評估；

2) 預計處理個人資料之目的及方式；

3) 保障當事人權利及自由之規定措施與保證；

4) 適用時，資料保護官員之聯絡方式；

5) 適當時，資料控管者、聯合資料控管者、及資料處理者處理個人資料時之責任；

6) 其他愛沙尼亞資料保護監督會要求之資訊。

(3) 愛沙尼亞資料保護監督會認定本條第1項規定個人資料處理預計有違本法規範，應以書面建議資料控管者（適當時，資料處理者）使資料處理符合本法規範。

(4) 愛沙尼亞資料保護監督會接收本條第2項規定資訊後，應於六週內建議資料控管者或處理

(5) 視個人資料處理預計複雜程度，本條第4項規定時限得延長1個月。愛沙尼亞資料保護監督會應於接收諮詢要求1個月內，通知資料控管者或處理者時限延長之事由。

(6) 有本條第1項規定預先諮詢之情形，愛沙尼亞資料保護監督會得準備一份個人資料處理運作清單。

第5節 資料保護專家

§ 40. 任命資料保護專家

(1) 資料保護專家由執法機構任命。法院為執行司法職能而無此義務。

(2) 執法機構得依據部會局處規模為數個組織任命一位資料保護專家。

(3) 資料保護專家之任命，應基於其專業能力、對資料保護法規與實務之專業知識、及其行使本法第41條規定職權之能力。

(4) 資料保護專家得為執法機構之官員或職員，或依據服務契約履行其職務。

§ 41. 資料保護專家之職權

(1) 資料保護專家應至少行使下列職權：

1) 向執法機構及代表官員處理個人資料之職員，提供歐盟或其會員國資料保護標準規定義務之資訊及建議；

2) 與本法案保持一致，必要時與歐盟或其會員國資料保護標準、涉及個人資料之保護原則、提高個人資料處理人員意識之控管者內部政策保持一致；

3) 依據本法第38條，就資料保護影響評估提供建議並監督其效用；

4) 與愛沙尼亞資訊保護監督會合作；

5) 於愛沙尼亞資訊保護監督會之個人資料處理問題中，包含本法第39條規定之早期諮詢過程，擔任聯絡人，並於必要時就其他問題提供諮詢。

(2) 法院資料保護專家不得從事前項規定行為，若該行為牽涉任何法院執行之司法活動。

(3) 資料保護專家可能行使其他職權和責任時，控管者或處理者應確保前述職權及責任不會造成資料保護專家之利益衝突。

§ 42. 資料保護專家之職位

(1) 資料控管者應確保資料保護專家及時且妥善地參與所有個人資料保護相關問題。

(2) 資料控管者應提供完成目標任務、存取個人資料與參與處理運作、及維持專業知識之必要資源，以協助資料保護專家行使本法第41條規定之職權。

(3) 歐洲議會和歐盟理事會 2016/679 規則第38條第3至6項規定適用資料保護專家之職位。

第6節 處理個人資料及通知個人資料相關違規行為之安全措施

§ 43. 處理個人資料之安全措施

要求資料控管者和處理者採取並執行保護個人資料的組織與技術安全措施，以達到：

1) 禁止未經授權人員存取用於處理個人資料之資料處理設備；

2) 防止未經授權之讀取、複製、修改和刪除儲存媒介；

3) 防止未經授權之個人資料輸入以及未經授權檢查、修改或刪除保留個人資料；

4) 防止未經授權人員透過資料通訊設備刪除資料處理系統；

5) 確保擁有自動資料處理系統授權之使用者僅能存取受用戶授權存取之個人資料；

6) 確保有機會驗證與確立，個人資料藉由資料通訊器材的使用，已經傳送、可能傳送、或可供使用於哪些機構；

7) 確保有機會驗證與確定，哪些個人資料、於何時、被誰輸入至自動資料處理系統；

8) 防止個人資料於傳輸或儲存媒介運輸中受到未經授權之讀取、複製、修改或刪除；

9) 確保有中斷情形時有機會恢復已安裝之資料處理系統；

10) 確保資料處理系統之運作，並通知任何運作故障；

11) 防止因系統故障導致對個人資料之不實陳述。

§ 44. 愛沙尼亞資訊保護監督會對個人資料外洩之通知

(1) 如個人資料外洩可能對自然人權利及自由造成高度風險，則在情況允許時，資料控管者應於認知事實72小時內，立即通知愛沙尼亞資訊保護監督會。

(2) 資料處理者應於認知個人資料外洩時立即通知資料控管者。

(3) 下列資訊應於本條第1項規定通知中提供：

1) 外洩之內容，包含個人資料外洩之性質，如果情況允許，相關資料之類型與其大致數量，及相關個人資料類型與其大致數量；

2) 資料保護官員之姓名及聯絡方式；

3) 個人資料外洩可能後果之描述；

4) 資料控管者為解決個人資料外洩而採取或打算採取之措施，包含減輕外洩造成不良影響之措施。

(4) 如愛沙尼亞資訊保護監督會於認知個人資料外洩72小時後方收到通知，資料控管者應說明原因。

(5) 如個人資料外洩涉及已由或已向歐盟另一會員國之資料控管者傳輸，則本條第3項規定資料應立即傳輸至相關會員國之資料控管者。

(6) 資料控管者應記錄本條第1項規定所有個人資料外洩事件，包含外洩之情況、影響、及補救措施。

§ 45. 通知個人資料外洩之當事人

(1) 如個人資料外洩可能對自然人權利及自由造成高度風險，資料控管者應立即通知個人資料外洩之當事人。

(2) 前項規定通知應簡單清楚描述個人資料外洩之性質，並至少提供本法第44條第3項第2至4款規定資訊。

(3) 如至少符合下列條件之一，則不需本條第1項規定通知：

1) 資料控管者已執行適當技術與組織防護措施，且這些防護措施已應用於外洩之個人資料；

2) 資料控管者已採取後續措施，排除本條第1項規定對當事人權利及自由造成高風險之影響；

3) 當事人之個人通知將導致負擔不成比例，且外洩事件已通知公眾。

(4) 如資料控管者尚未通知個人資料外洩當事人，愛沙尼亞資訊保護監督會得於評估資料外洩嚴重性後，決定是否需要通知個人資料外洩當事人，或判定前項規定情形是否已發生。

(5) 當有下列情事，得於一定程度延後或拒絕依本條第1項規定通知當事人：

1) 阻礙或減弱犯罪之預防、偵查及追溯刑事、或執行刑罰；

2) 侵害他人自由或權利；

3) 危害國家安全；

4) 危害社會秩序之保護；

5) 妨害正式調查或訴訟程序。

第7節 傳輸個人資料至第三國或國際組織

§ 46. 向第三國及國際組織傳輸個人資料之一般條款和條件

(1) 符合下列所有條款及條件時，得向第三國或國際組織傳輸個人資料：

1) 資料傳輸對預防犯罪、偵查或追訴刑事或執行刑罰是必要的；

2) 個人資料傳輸至任何有能力預防犯罪、偵查或追訴刑事或執行刑罰的第三國或國際組織之資料控管者；

3) 如已從另一歐盟會員國接收傳輸資料，進一步使用該資料應經其會員國同意。

4) 歐盟執委會已依歐盟規則 2016/680 第36條，作成有關保護是否充分之決定。如該決定不存在，則適用本法第47、48條規定之例外情境；

5) 確保傳輸個人資料時，傳輸資料之控管者已事先同意將個人資料進一步傳輸至另一第三國或國際組織。

(2) 如無法及時獲得本條第1項第3款規定授權以傳輸個人資料，且有對防止國家公共秩序或任何第三國立即且重大之威脅，或保護國家根本利益有根本必要，該個人資料得未經本條第1項第3款規定授權進行傳輸。傳輸個人資料之歐盟會員國主管機關應立即收到本條規定之資料交換通知。

(3) 給予本條第1項第5款規定之同意時，資料控管者或處理者應特別考量犯罪嚴重性、個人資料傳輸之原始目的、傳輸至第三國或國際組織之個人資料保護層級。

(4) 如歐盟執委會作成歐盟規則 2016/680 第36條第5項規定之決定，則個人資料得依本法第47、48條傳輸至第三國或國際組織。

§ 47. 個人資料傳輸受適當保護措施之約束

如缺乏本法第46條第1項第4款規定歐盟執委會就保護適當性作成之決定，有下列情形之一者，個人資料得以傳輸至第三國或國際組織：

1) 具法律約束力之法律文件已規定保護個人資料之適當保護措施；

2) 資料控管者已評估個人資料傳輸所有相關情況，並自保護個人資料觀點認定已採取所有適當之保護措施。

§ 48. 特殊情況下傳輸個人資料

如缺乏本法第46條第1項第4款規定歐盟執委會就保護適當性作成之決定，或缺乏本法第47條規定之適當保護措施，為了達成下列目的，得傳輸個人資料至第三國或國際組織：

1) 保護當事人或任何他人的權利與自由；

2) 保護當事人的合法利益；

3) 防止對公共秩序立即且嚴重的威脅；

4) 犯罪之預防、偵查或追訴刑事、或執行刑罰；

5) 為特定犯罪之預防、偵查或追訴刑事、或執行刑罰，編譯、送出、或捍衛特定法律主張。

(2) 如當事人權利超過前項規定之利益，不得傳輸個人資料。

§ 49. 將個人資料傳輸予第三國接收者

如符合以下所有條件，得將個人資料直接傳輸至任何第三國接收者：

1) 傳輸對於執法機構行使職權為絕對必要，個人資料傳輸用於犯罪預防、偵查或追訴刑事、或執行刑罰之目的；

2) 公眾利益超過當事人的權利與自由；

3) 將個人資料傳輸到任何有能力進行犯罪的預防、偵查或追訴刑事或執行刑罰的第三國機構，是無效或不適當的；

4) 有能力進行犯罪預防、偵查或追訴刑事、或執行刑罰之第三國機構應被立即通知。通知無效或不適當者，不在此限。

5) 應通知資料接收者處理個人資料之特定目的，並指示接收者僅能出於該目的處理個人資料。

§ 50. 通知愛沙尼亞資訊保護監督會與紀錄個人資料之傳輸

(1) 資料控管者或處理者應每年至少1次向愛沙尼亞資訊保護監督會提供依本法第47條第2項及第49條規定之總覽。

(2) 如個人資料依本法第47條第2項、第48條第1項、第49條進行傳輸，資料控管者或處理者應紀錄此傳輸之日期、時間、接收資料機構細節、傳輸說明、及被傳輸之個人資料。

(3) 就愛沙尼亞資料保護監督會要求，資料控管者或處理者應提供前項規定資訊。

第5章 國家與行政監督

第1節 監督機關

§ 51. 獨立監督機構的建立

(1) 就歐盟規則2016/679第51條第1項及歐盟規則2016/680第41條而言，獨立監督機構係指愛沙尼亞資訊保護監督會（Data Protection Inspectorate）。

(2) 依本法案與歐盟規則2016/679及依其制訂之法規，愛沙尼亞資訊保護監督會獨立行使職權。

§ 52. 愛沙尼亞資訊保護監督會會長應具有的資格

(1) 任何具管理能力、高等教育並具個人資料保護法律規範專業，或資訊系統及資訊與溝通科技專業者，皆得被任命為愛沙尼亞資料保護監督會會長。

(2) 愛沙尼亞資訊保護監督會會長，不得參與任何政黨活動、或擔任任何其他薪酬性職位或職務。教學或研究領域工作，不在此限。

§ 53. 愛沙尼亞資訊保護監督會會長的安全檢查

(1) 愛沙尼亞資訊保護監督會之會長候選人在被任命前應通過安全檢查。候選人具存取最高國家機密授權，或擔任具授權存取任何國家機密分類之職務者，不在此限。

(2) 愛沙尼亞資訊保護監督會會長候選人之安全檢查，應由保安警察委員會依《安全機構法》規定程序進行。

(3) 為通過安全檢查，愛沙尼亞資訊保護監督會會長候選人應經由法務部向保安警察委員會提交完整申請表格，以申請存取最高國家機密。並簽署同意書允許安全檢查執行機關於檢查期間，從自然人、法人、中央及地方政府機關取得其有關資訊。

(4) 保安警察委員會應於收到前項規定文件之日起3個月內，將安全檢查蒐集資訊轉達負責該業務之部長，並提供有關授權愛沙尼亞資訊保護監督會會長候選人存取國家機密之意見。

(5) 愛沙尼亞資訊保護監督會會長職權提前終止時，愛沙尼亞資訊保護監督會會長候選人之安全檢查應於收到本條第3項規定文件後1個月內開始。若符合《國家機密及外國機密訊息》第33條第4項第1、2款規定之情形，或1個月內有可能出現該條第3、4條規定情形，經國家機密保護委員會許可，安全檢查期限得延長1個月。

(6) 愛沙尼亞內政保安部隊將安全檢查蒐集資訊轉告於負責相關業務之部長，基於該資訊，愛沙尼亞資訊保護監督會會長候選人得於9個月內任職。通過新的安全檢查後，愛沙尼亞資訊保護監督會會長候選人得於上述期限後任職。

§ 54. 愛沙尼亞資訊保護監督會會長的任命與解職

(1) 聽取國會（Riigikogu）憲法委員會意見後，共和國政府應根據部會職責，任命愛沙尼亞資訊保護監督會會長，任期1至5年。

(2) 提早解職愛沙尼亞資訊保護監督會會長前，應聽取國會憲法委員會之意見。

§ 55. 愛沙尼亞資訊保護監督會獲證書頒發機構認證後之權限

就資料保護而言，符合歐盟規則2016/679第43條第1項之目的，專責認證具適當專業知識機關之主管機關為愛沙尼亞資訊保護監督會。

第2節 國家及行政監督權之行使

§ 56. 愛沙尼亞資料保護監督會行使國家及行政監督權之權限

(1) 監督遵循本法、基於本法之其他法規、歐盟規則2016/679《個人資料保護規則》、及其他個人資料處理法律規定之國家及行政監督權，應由愛沙尼亞資料保護監督會行使。

(2) 除歐盟規則2016/679《個人資料保護規則》第57條規定外，愛沙尼亞資料保護監督會亦有權行使下列職權：

1) 增進公眾、資料控管者及處理者對個人資料處理之風險、有效標準及安全措施、及相關權利的認知與理解；愛沙尼亞資料保護監督會得為此功能之發揮提供建議指示；

2) 提供當事人依本法規定權利請求之資訊。適當時，為此目的與其他歐盟會員國主管機關合作；

3) 若無其他行政措施可遵循法律或歐盟規則2016/679規範，必要時啟動輕罪訴訟程序並施以懲罰。

4) 與國際資料保護監督組織、其他資料保護監督機關、及其他外國主管機關及人員合作；

5) 監督衝擊個人資料保護相關開發項目，特別是資訊及通訊科技之開發；

6) 為本法第39條規定之個人資料處理運作提供建議；

7) 參與歐洲資料保護委員會；

8) 基於及遵循法定程序行使行政強制力；

9) 自發或基於請求，提供國會、共和國政府、司法大臣、其他機關及公眾個人資料保護相關議題之意見；

10) 執行本法規定之其他職責。

(3) 除歐盟規則2016/679第57條規定外，愛沙尼亞資料保護監督會亦得：

1) 警告資料控管者及處理者預計之處理行為可能違反本法；

2) 要求修正個人資料；

3) 要求刪除個人資料；

4) 要求限制處理個人資料；

5) 要求終止個人資料處理，包括銷毀或移送至檔案庫；

6) 為阻止侵害個人權利及自由，必要時應依《替代執行及罰款給付法》立即採取組織、實體或資訊科技安全措施保護個人資料。該個人資料由國家機關處理者，不在此限；

7) 暫時或永久限制個人資料處理，包括禁止處理個人資料；

8) 基於申訴或自發啟動監督訴訟程序。

§ 57. 特殊國家監督措施

為行使本法規定之國家監督權，愛沙尼亞資料保護監督會得採取《執法人員法》第30至32條、第44條、第49至53條規定之特定國家監督措施，並基於且遵循《執法人員法》規定程序。

§ 58. 國家監督之細節

(1) 愛沙尼亞資料保護監督會行使國家監督時，得實施歐盟規則2016/679第58條規定之措施。

(2) 愛沙尼亞資料保護監督會得向電子通訊產業查詢、公共電子通訊網路中識別終端使用者與權杖（token）關聯所需資料。如終端使用者與權杖關聯無法以任何其他方式識別，資訊傳輸之相關資料，不在此限。

§ 59. 行政監督之細節

(1) 愛沙尼亞資料保護監督會就未能遵循歐盟規則2016/679第83條第7項及《共和國政府法》第75條規定準則之事實行使行政監督時，得向接受者之上級機關、人員或實體，說明監督控管或對官員提起紀律訴訟之行事準則。

(2) 行使監督控管或有權提起紀律訴訟之個人，應於接收申請後1個月內進行審查，並向愛沙尼亞資料保護監督會提交據理之意見。監督控管或提起紀律訴訟時，行使監督控管或有權提起紀律訴訟之個人，應立即將相關程序結果通知愛沙尼亞資料保護監督會。

(3) 為個人資料處理者之國家機關未能遵循愛沙尼亞資料保護監督會規定之行事準則時，愛沙尼亞資料保護監督會應依《行政法庭程序法》規定程序，向行政法庭提出抗議。

§ 60. 罰款費率

未能遵循愛沙尼亞資料保護監督會之行事準則，其罰款費率實際上限，依《替代執行及罰款給付法》規定可至2000萬歐元，或該事業前一財政年度4%之全球營收總額，取金額較高者。

§ 61. 審查申訴之期限

(1) 愛沙尼亞資料保護監督會須於申訴提起後30日內解決該申訴。

(2) 愛沙尼亞資料保護監督會得延長申訴審查期限至60日，以釐清與解決申訴相關之狀況，並須書面通知提起申訴之個人期限延長之事實。

(3) 需與其他相關主管機關合作解決申訴時，申訴審查期限須延長至得聽取合作主管機關或說明監督會之意見所需之合理時間。

第6章 責任

§ 62. 違反資料控管者及處理者義務

(1) 違反歐盟規則2016/679第8條、第11條、第25至39條、第42條及第43條規定之資料控管者及處理者義務者，得處1000萬歐元以下罰款。

(2) 法律實體從事前項行為者，得處1000萬歐元意下罰款，或其前一財政年度2%之全球營收總額，取金額較高者。

§ 63. 違反驗證程序

(1) 違反歐盟規則2016/679第42、第43條規定驗證程序者，得處1000萬元以下罰款。

(2) 法律實體從事前項行為者，得處1000萬歐元意下罰款，或其前一財政年度2%之全球營收總額，取金額較高者。

§ 64. 違反監督行事準則遵循之程序

(1) 違反歐盟規則2016/679第41條第4項規定監督行事準則遵循之程序者，得處1000萬元以下罰款。

(2) 法律實體從事前項行為者，得處1000萬歐元以下罰款，或其前一財政年度2%之全球營收總額，取金額較高者。

§ 65. 違反個人資料處理原則

(1) 違反歐盟規則2016/679第5條規定之個人資料處理原則者，及違反該法第5至7條及第9條規定之當事人同意程序者，得處2000萬歐元以下罰款。

(2) 法律實體從事前項行為者，得處2000萬歐元意下罰款，或其前一財政年度4%之全球營收總額，取金額較高者。

§ 66. 侵犯當事人權益

(1) 侵犯歐盟規則2016/679第12至22條規定之當事人權益者，得處2000萬歐元以下罰款。

(2) 法律實體從事前項行為者，得處2000萬歐元意下罰款，或其前一財政年度4%之全球營收總額，取金額較高者。

§ 67. 違反個人資料傳輸程序

(1) 違反歐盟規則2016/679第44至49條規定之個人資料傳輸程序者，得處2000萬歐元以下罰款。

(2) 法律實體從事前項行為者，得處2000萬歐元意下罰款，或其前一財政年度4%之全球營收總額，取金額較高者。

§ 68. 違反為特殊個人資料處理原則建立之程序

(1) 違反本法第2章規定為為特殊個人資料處理原則建立之程序者，得處2000萬歐元以下罰款。

(2) 法律實體從事前項行為者，得處2000萬歐元以下罰款，或其前一財政年度4%之全球營收總額，取金額較高者。

§ 69. 未能遵守愛沙尼亞資料保護監督會之命令

(1) 未能遵守歐盟規則2016/679第58條第2項規定命令者，得處2000萬歐元以下罰款。

(2) 法律實體從事前項行為者，得處2000萬歐元以下罰款，或其前一財政年度4%之全球營收總額，取金額較高者。

§ 70. 拒絕授權愛沙尼亞資料保護監督會取得資料

(1) 未能遵守依歐盟規則2016/679第58條第1項規定調查權發佈之命令者，得處2000萬歐元以下罰款。

(2) 法律實體從事前項行為者，得處2000萬歐元以下罰款，或其前一財政年度4%之全球營收總額，取金額較高者。

§ 71. 工作或服務職責外之非法個人資料處理

因工作或服務職責而能存取個人資料之任何個人，非法蒐集、瀏覽、讀取、使用、啟用存取、詢問或提取個人資料者，若無牽涉《刑法》第157條、第157-1條規定構成犯罪之必要元素，得處以200罰款單位以下罰款。

§ 72. 違法其他個人資料處理規範

違反個人資料處理規範者，若無牽涉本法第62至71條及《刑法》第157條及第157-1條規定構成犯罪之要件，得處以200罰款單位以下罰款。

§ 73. 訴訟程序

愛沙尼亞資料保護監督會為執行本法規定輕罪訴訟程序之法外實體。

第7章 實施規範

§ 74. 註冊個人資料之資料處理者及負責保護個人資料之人員

(1) 個人資料處理者及個人資料保護人員之註冊庫資料，須以歸檔形式保存至自本法生效起5年。期限屆滿時，須刪除其註冊庫資料。

(2) 存取註冊資料，應向愛沙尼亞資料保護監督會提出申請。

(3) 處理敏感個人資料之註冊條目得提供訊息至其初始屆滿日期。

§ 75. 廢止個人資料保護法

《個人資料保護法》（RT I 2007, 24, 127）已廢止。

§ 76. 本法生效

本法於2019年1月15日正式生效。