Спільні кордони. Загальні рішення.
ALTHERA - Alternative Therapies in Maramureș and Ivano-Frankivsk
1HARD/4.1/37
Цей проект фінансується Європейським Союзом
РЕГУЛЮВАННЯ (ЄС) 2016/679 ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ ТА РАДИ
Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року
про захист фізичних осіб щодо обробки персональних даних та про вільне переміщення таких даних та скасування Директиви 95/46/ЄС (Загальний регламент про захист даних)
(Текст із актуальністю EE)
Що стосується Договору про функціонування Європейського Союзу, і зокрема статті 16 його, з урахуванням пропозиції Європейської Комісії, після передачі проекту законодавчого акта національним парламентам, з урахуванням думки Європейського економічного і соціального комітету (1), з урахуванням думки Комітету регіонів (2), діючи відповідно до звичайної законодавчої процедури (3),
(1) Захист фізичних осіб щодо обробки персональних даних є основоположним правом. Стаття 8(1) Хартії основних прав Європейського Союзу («Хартія») та статті 16(1) Договору про функціонування Європейського Союзу (TFEU) передбачає право будь-якої особи на захист персональних даних, що стосуються її.
(2) Принципи та правила, що стосуються захисту фізичних осіб щодо обробки їхніх персональних даних, повинні незалежно від громадянства або місця проживання фізичних осіб поважати їх основні права і свободи, зокрема право на захист персональних даних. Це Положення має на меті сприяти досягненню галузі свободи, безпеки та справедливості та економічного союзу, економічного та соціального прогресу, зміцнення та зближення економік на внутрішньому ринку та благополуччя окремих осіб.
(3) Директива 95/46/EC Європейського Парламенту та Ради (4) спрямована на гармонізування рівня захисту основних прав і свобод фізичних осіб щодо діяльності з обробки та забезпечення вільного переміщення персональних даних між державами-членами.
(4) Обробка персональних даних повинна бути на службі у громадян. Право на захист персональних даних не є абсолютним правом; вона повинна бути врахуй по відношенню до своєї функції в суспільстві і збалансована з іншими фундаментальними правами, відповідно до принципу пропорційності. Цей Регламент поважає всі основні права і свободи і принципи, визнані в Хартії, закріплені в Договорах, зокрема повагу до приватного і сімейного життя, проживання і спілкування, захисту персональних даних, свободи думки, совісті і релігії, свободи вираження поглядів і інформації, свободи ведення бізнесу , право на ефективний засіб правового захисту та справедливого суду, а також культурне, релігійне та мовне розмаїття.
(5) Економічна та соціальна інтеграція, що виникла в результаті функціонування внутрішнього ринку, призвела до значного збільшення транскордонних потоків персональних даних. Обмін персональними даними між державними та приватними суб’єктами, включаючи фізичних осіб, асоціації та бізнес, активізувався по всьому Союзу. Відповідно до законодавства Союзу, національні органи влади держав-членів за покликані співпрацювати та обмінюватися персональними даними, щоб мати можливість виконувати свої обов’язки або виконувати завдання від імені органу в іншій державі-члені.
(6) Швидкі технологічні розробки та глобалізація створили нові виклики для захисту персональних даних. Значно зросли обсяги збору та обміну персональними даними. Технологія дозволяє як приватним компаніям, так і державним органам використовувати персональні дані на безпрецедентному рівні в своїй діяльності. Все частіше люди роблять особисту інформацію публічною по всьому світу. Технології трансформували як економіку, так і соціальне життя і повинні сприяти подальшому вільному руху персональних даних всередині Союзу і передачі третім країнам і міжнародним організаціям, забезпечуючи при цьому високий рівень захисту персональних даних.
(7) Ці події вимагають сильної і більш узгодженої структури захисту даних в Союзі, що супроводжується суворим застосуванням правил з урахуванням важливості створення клімату довіри, який дозволить цифровій економіці розвиватися на внутрішньому ринку. Фізичні особи повинні мати контроль над своїми персональними даними, а також посилювати правову та практичну визначеність для фізичних осіб, економічних операторів та органів державної влади.
8. Якщо цей Регламент передбачає специфікацію або обмеження його правил національним законодавством, держави-члени можуть, в обсязі, необхідному для послідовності та забезпечення того, щоб національні положення були зрозумілі особам, до яких вони застосовуються, включити елементи цього Положення до свого національного законодавства.
(9) Цілі та принципи Директиви 95/46/ЄС залишаються обгрунтованими, але це не завадило фрагментації способу захисту даних, що впроваджується в Союзі, правової невизначеності або широкого суспільного сприйняття того, що існують значні ризики для захисту окремих осіб, зокрема у зв’язку з діяльністю в Інтернеті. Розбіжності в рівнях захисту прав і свобод фізичних осіб, зокрема право на захист персональних даних, у зв’язку з обробкою персональних даних в державах-членах можуть перешкоджати вільному переміщенню персональних даних по всьому Союзу. Таким чином, ці відмінності можуть стати перешкодою для здійснення господарської діяльності на рівні Союзу, спотворити конкуренцію та перешкодити владі виконувати свої обов’язки відповідно до законодавства Союзу. Така різниця між рівнями захисту обумовлена відмінностями в транспонуванні та застосуванні Директиви 95/46/ЄС.
(10) З метою забезпечення послідовного та високого рівня захисту фізичних осіб та усунення перешкод для переміщення персональних даних у межах Союзу рівень захисту прав і свобод фізичних осіб щодо обробки таких даних має бути еквівалентний у всіх державах-членах. Послідовне та однорідне застосування правил захисту основних прав і свобод фізичних осіб щодо обробки персональних даних має бути забезпечено на всій території Союзу. Що стосується обробки персональних даних з метою дотримання юридичного зобов’язання, виконання завдання, яке становить суспільний інтерес або яке є результатом здійснення державним органом, покладеним на контролера, державам-членам повинно бути дозволено підтримувати або впроваджувати положення національного законодавства, які додатково уточнюють застосування норм цього Положення. У поєднанні із загальним та горизонтальним законодавством про захист даних, що впроваджує Директиву 95/46/ЄС, держави-члени мають кілька специфічних галузевих законів у сферах, що вимагають більш точних положень. Цей Регламент також надає державам-членам право вказувати свої правила, в тому числі щодо обробки спеціальних категорій персональних даних («конфіденційних даних»). З цією метою цей Регламент не виключає права держав-членів визначати обставини, що стосуються конкретних ситуацій обробки, включаючи більш точне визначення умов, за яких обробка персональних даних є правомою.
(11) Ефективний захист персональних даних по всьому Союзу вимагає не тільки зміцнення та детального встановлення прав суб’єктів даних та обов’язків тих, хто обробляє та вирішує обробку персональних даних, а й рівнозначних повноважень щодо моніторингу та забезпечення дотримання правил захисту персональних даних та рівнозначних штрафних санкцій за правопорушення в державах-членах.
(12) Стаття 16(2) TFEU зобов’язана Європейському парламенту та Раді закласти правила захисту фізичних осіб щодо обробки персональних даних та правил вільного переміщення таких даних.
(13) З метою забезпечення єдиного рівня захисту фізичних осіб на всій території Союзу та запобігання розбіжностей, які перешкоджають вільному переміщенню даних на внутрішньому ринку, регулювання необхідне з метою забезпечення правової визначеності та прозорості для економічних операторів, у тому числі мікро- та малих та середніх підприємств, а також для надання фізичним особам у всіх державах-членах однакового юридично забезпеченого рівня прав, обов’язків та відповідальності для операторів та їх процесорів, з метою забезпечення послідовного моніторингу обробки персональних даних, рівноцінних штрафних санкцій у всіх державах-членах та ефективної співпраці контролюючих органів різних держав-членів. Для належного функціонування внутрішнього ринку необхідно, щоб вільне переміщення персональних даних всередині Союзу не було обмежено або заборонено з підстав, що стосуються захисту фізичних осіб щодо обробки персональних даних. З метою врахування конкретної ситуації мікро- та малих та середніх підприємств, це Положення включає відступ для організацій з менш ніж 250 працівниками щодо ведення обліку. Крім того, установам і органам Союзу та держав-членів та їх контролюючим органам рекомендується враховувати конкретні потреби мікро- та малих і середніх підприємств при застосуванні цього Положення. Поняття мікро- та малих та середніх підприємств має базуватися на статті 2 Рекомендації Комісії 2003/361/ЄС (5).
(14) Захист, надається цим Положенням, повинен охоплювати фізичних осіб, незалежно від їх громадянства або місця проживання, щодо обробки їх персональних даних. Це Положення не поширюється на обробку персональних даних щодо юридичних осіб і, зокрема, зобов’язань з юридичною особою, включаючи ім’я та тип юридичної особи та контактні дані юридичної особи.
(15) З метою запобігання серйозного ризику обходу, захист фізичних осіб повинен бути технологічно нейтральним і не залежати від використовуваних технологій. Захист фізичних осіб повинен застосовуватися до обробки персональних даних автоматизованими засобами, а також до ручної обробки, де персональні дані містяться або призначені для зберігання в системі подання. Досьє або набори досьє та їх чохли, які не структуровані відповідно до конкретних критеріїв, не повинні підпадати під сферу дії цього Положення.
(16) Це Положення не поширюється на питання захисту основних прав і свобод або до вільного переміщення персональних даних, що стосуються діяльності поза сферою права Союзу, наприклад, діяльності, що стосується національної безпеки. Цей Регламент не поширюється на обробку персональних даних державами-членами, коли вони здійснюють діяльність, пов’язану з зовнішньою політикою Союзу та спільною безпекою.
(17) Регламент (ЄС) No 1493/1999 повинен бути змінений з останніми змінами, внесеними Регламентом (ЄС Стаття 45/2001 Європейського Парламенту та Ради (6) поширюється на обробку персональних даних установами, органами, офісами та установами Союзу. (ЄС) No 1493/1999(3), як і У разі такої обробки персональних даних принципи та правила, викладені в цьому Регламенті та застосовані відповідно до цього Положення, повинні бути адаптовані до принципів та правил, викладених у цьому Регламенті. З метою забезпечення надійної та узгодженої системи захисту даних в Союзі, Регламент (ЄС) No 1493/1999 повинен бути створений після прийняття цього Положення. З цим Положенням можуть бути застосовані необхідні пристосування.
(18) Це Положення не поширюється на обробку персональних даних фізичною особою під час виключно особистої або внутрішньої діяльності і тому не пов’язане з професійною або комерційною діяльністю. Особиста або побутова діяльність може включати кореспонденцію та адресний репертуар або діяльність соціальних мереж та діяльність в Інтернеті, що здійснюється в контексті цих заходів. Однак це Положення поширюється на операторів або переробників, які надають засоби обробки персональних даних для такої особистої або внутрішньої діяльності.
(19) Захист фізичних осіб щодо обробки персональних даних компетентними органами з метою запобігання, розслідування, виявлення або притягнення до кримінальної відповідальності кримінальних правопорушень або виконання покарань, у тому числі захисту від загроз громадській безпеці та перешкоджання громадській безпеці, а також вільного переміщення таких даних, є предметом конкретного нормативно-правового акта Союзу. Таким чином, це Положення не повинно застосовуватися до обробки діяльності для цих цілей. Однак персональні дані, що обробляються державними органами відповідно до цього Регламенту, при використанні в цих цілях, повинні регулюватися більш конкретним правовим актом Союзу, а саме Директивою (ЄС) 2016/680 Європейського Парламенту та Ради (7). Держави-члени можуть доручати компетентним органам у значенні Директиви (ЄС) 2016/680 завдання, які не обов’язково виконуються з метою запобігання, розслідування, виявлення або притягнення до кримінальної відповідальності або виконання покарань, включаючи захист від загроз громадській безпеці та їх запобігання, так що обробка персональних даних для інших цілей, наскільки це підпадає під сферу права Союзу, підпадає під сферу дії цього Регламенту.
Що стосується обробки персональних даних цими компетентними органами для цілей, що підпадають під дію цього Положення, держави-члени повинні мати можливість підтримувати або впроваджувати більш детальні положення для адаптації застосування правил цього Положення. Ці положення можуть викласти більш точно конкретні вимоги до обробки персональних даних цими компетентними органами для цих інших цілей з урахуванням конституційної, організаційної та адміністративної структури відповідної держави-члена. Якщо обробка персональних даних приватними органами є предметом цього Положення, цей Регламент повинен забезпечити можливість для держав-членів, за певних умов, накладати обмеження на певні зобов’язання та права за законом, якщо такі обмеження є необхідним і пропорційним заходом у демократичному суспільстві з метою гарантування важливих конкретних інтересів , включаючи громадську безпеку та запобігання, розслідування, виявлення та притягнення до кримінальної відповідальності за кримінальні правопорушення або виконання покарань, включаючи захист та запобігання загроз громадській безпеці. Це актуально, наприклад, в боротьбі з відмиванням грошей або діяльністю судових лабораторій.
(20) Хоча це Положення застосовується, зокрема, до діяльності судів та інших судових органів, законодавство Союзу або держави-члена може вказувати операції та процедури обробки персональних даних судами та іншими судовими органами. Обробка персональних даних не повинна бути відповідальністю контролюючих органів, де суди здійснюють свої судові повноваження з метою гарантування незалежності судової системи при виконанні своїх судових завдань, у тому числі прийняття рішень. Нагляд за такими операціями з обробки даних повинен бути покладений на конкретні органи судової системи держави-члена, які повинні забезпечити, зокрема, дотримання правил, викладених у цьому Регламенті, підвищити обізнаність членів судової влади про свої зобов’язання за цим Положенням та розглядати скарги, пов’язані з такими операціями з обробки даних.
(21) Цей Регламент не шкодить застосуванню Директиви 2000/31/ЄС Європейського Парламенту та Ради (8), зокрема правил відповідальності проміжних постачальників послуг, згаданих у статтях 12-15 цієї Директиви. Ця Директива має на меті сприяти безперебійному функціонуванню внутрішнього ринку шляхом забезпечення вільного руху послуг інформаційного суспільства між державами-членами.
(22) Будь-яка обробка персональних даних в ході діяльності оператора або процесора в Союзі повинна здійснюватися відповідно до цього Положення, незалежно від того, відбувається обробка в межах Союзу чи ні. Створення передбачає ефективне та фактичне здійснення діяльності в рамках стабільних домовленостей. Юридична форма таких картель, через філію або дочірню компанію з юридичною особою, не є визначальним фактором у цьому відношенні.
(23) З метою забезпечення того, щоб фізичні особи не були позбавлені захисту, на який вони мають право відповідно до цього Положення, обробка персональних даних суб’єктів даних, які перебувають на території Союзу оператором або уповноваженою ним особою, яка не встановлена в Союзі, повинна бути предметом цього Положення, де обробка діяльності стосується постачання товарів або послуг таким суб’єктам даних. незалежно від того, чи пов’язані вони з платежем. Для того, щоб визначити, чи надає такий оператор або процесор товари або послуги суб’єктам даних, розташованим на території Союзу, слід встановити, чи очевидно, що контролер або процесор має намір надавати послуги суб’єктам даних в одній або інших державах-членах Союзу. Оскільки сам факт наявності доступу до веб-сайту контролера, процесора або посередника в Союзі, що доступна адреса електронної пошти та інші контактні дані, або що мова, як правило, використовується в третій країні, в якій встановлено контролер, є недостатнім для підтвердження такого наміру , такі фактори, як використання мови або валюти, які зазвичай використовуються в одній або декількох державах-членах з можливістю замовлення товарів і послуг цією мовою або згадування клієнтів або користувачів в межах Союзу, можуть призвести до висновку, що оператор має намір надавати товари або послуги суб’єктам даних в Союзі.
(24) Обробка персональних даних суб’єктів даних, які перебувають на території Союзу контролером або уповноваженою ним особою, яка не створена в Союзі, також повинна бути предметом цього Положення, де вона пов’язана з моніторингом поведінки таких суб’єктів даних, наскільки така поведінка відбувається на території Союзу. З метою визначення того, чи може обробка діяльності розглядатися як «моніторинг поведінки» суб’єктів даних, слід встановити, чи дотримуються фізичні особи в інтернеті, включаючи можливе подальше використання методів обробки персональних даних, що складаються зі створення профілю фізичної особи, зокрема з метою прийняття рішень щодо нього або аналізу або прогнозування щодо особистих уподобань. , його поведінка і ставлення.
(25) Якщо закон держави-члена застосовується відповідно до міжнародного публічного права, цей Регламент також повинен застосовуватися до оператора, який не встановлений в Союзі, але, наприклад, в дипломатичній місії або консульській посаді держави-члена.
(26) Принципи захисту даних повинні застосовуватися до будь-якої інформації, що стосується ідентифікованої або ідентифікованої фізичної особи. Персональні дані, які підлягати псевдонімізації, які можуть бути віднесені фізичній особі через використання додаткової інформації, слід розглядати як інформацію, що стосується ідентифікованої фізичної особи. При визначенні того, чи можна ідентифікувати фізичну особу, слід враховувати всі засоби, такі як індивідуалізація, які обґрунтовано можуть бути використані оператором або іншою особою з метою ідентифікації, прямо чи опосередковано, цієї фізичної особи. Для того, щоб визначити, чи обґрунтовано можуть бути використані засоби для ідентифікації фізичної особи, слід враховувати всі об’єктивні фактори, такі як витрати і терміни, необхідні для ідентифікації, з урахуванням як технології, доступної на момент обробки, так і технологічного розвитку. Таким чином, принципи захисту даних не повинні застосовуватися до анонімної інформації, тобто інформації, не пов’язаної з ідентифікованою або ідентифікованою фізичною особою, або персональних даних, які анонімізуються таким чином, що суб’єкт даних не є або більше не ідентифікується. Таким чином, це Положення не поширюється на обробку такої анонімної інформації, в тому числі там, де вона використовується в статистичних або дослідницьких цілях.
(27) Цей Регламент не поширюється на персональні дані, що стосуються померлих осіб. Держави-члени можуть закласти правила обробки персональних даних, що стосуються померлих осіб.
(28) Застосування псевдонімізації персональних даних може знизити ризики для суб’єктів даних та допомогти контролерам та їх процесорам виконати свої зобов’язання щодо захисту даних. Явне впровадження поняття «псевдонімізації» в цьому Регламенті не призначене для запобігання будь-яких інших можливих заходів захисту даних.
(29) З метою створення стимулів для застосування псевдонімізації при обробці персональних даних слід мати можливість використовувати заходи під псевдонімізації, дозволяючи при цьому загальний аналіз, в межах одного контролера, коли контролер вжито необхідних технічних та організаційних заходів для забезпечення реалізації цього Положення щодо цієї обробки даних, і що додаткова інформація для віднесення персональних даних до конкретного суб’єкта даних зберігається окремо. Контролер, який обробляє персональні дані, повинен вказувати уповноважених осіб у межах одного контролера.
(30) Фізичні особи можуть бути пов’язані з онлайн-ідентифікаторами, наданими їхніми пристроями, додатками, інструментами та протоколами, такими як IP-адреси, ідентифікатори файлів cookie або інші ідентифікатори, такі як теги ідентифікації радіочастот. Вони можуть залишати сліди, які, зокрема, в поєднанні з унікальними ідентифікаторами та іншою інформацією, отриманою серверами, можуть бути використані для створення профілів осіб та їх ідентифікації.
(31) Державні органи, яким розкриваються персональні дані відповідно до законного обов’язку виконувати свою службову функцію, такі як податкові та митні органи, підрозділи фінансових розслідувань, незалежні адміністративні органи або органи фінансового ринку, відповідальні за регулювання та нагляд за ринками цінних паперів, не повинні вважатися одержувачами, якщо вони отримують персональні дані, необхідні для проведення конкретного розслідування загальних інтересів , відповідно до законодавства Союзу або держави-члена. Запити на розкриття інформації, надіслані органами державної влади, завжди повинні подаватися в письмовій формі, обґґлено та час від часу і не повинні стосуватися повної системи обліку або призвести до взаємозв’язку систем подачі. Обробка персональних даних цими державними органами повинна відповідати чинним правилам захисту даних відповідно до цілей обробки.
(32) Згода повинна бути надана шляхом однозначної дії, що складається з вільно вираженого, конкретного, поінформованого та чіткого вираження угоди суб’єкта даних про обробку його персональних даних, таких як письмова заява, в тому числі в електронній або усній формі. Це може включати в себе галочку, коли людина відвідує веб-сайт, вибираючи технічні параметри для послуг інформаційного суспільства або будь-яку іншу заяву або дію, яка чітко вказує в цьому контексті прийняття суб’єктом даних запропонованої обробки своїх персональних даних. Тому відсутність відповіді, галочки, які були відмічені заздалегідь або відсутність дії, не повинні складати згоди. Згода повинна охоплювати всі переробні заходи, що проводяться з тією ж метою або з тією ж метою. Якщо обробка даних має на меті більше однієї мети, слід дати згоду на всі цілі обробки. Якщо згода суб’єкта даних повинна бути надана після електронного запиту, цей запит повинен бути чітким і лаконічним і не порушувати використання сервісу, на який надається згода.
(33) На момент збору персональних даних часто неможливо повністю визначити мету обробки даних для наукових досліджень. З цієї причини суб’єктам даних слід дозволити дати згоду на певні напрямки наукових досліджень, коли дотримані етичні стандарти, визнані для наукових досліджень. Суб’єкти даних повинні мати можливість висловити свою згоду лише на певні сфери досліджень або частини дослідницьких проектів у тій мірі, в якій це дозволено цільовим призначенням.
(34) Генетичні дані повинні бути визначені як персональні дані, що стосуються успадкованих або набутих генетичних характеристик фізичної особи в результаті аналізу зразка біологічного матеріалу відповідної фізичної особи, зокрема хромосомного аналізу, аналізу деоксирибонуклеїнової кислоти (ДНК) або рибонуклеїнової кислоти (РНК) або аналізу будь-якого іншого елемента, що дозволяє отримати еквівалентну інформацію.
(35) Персональні дані про здоров’я повинні включати всі дані, що стосуються стану здоров’я суб’єкта даних, що розкриває інформацію про минулий, теперішній або майбутній стан фізичного або психічного здоров’я суб’єкта даних. Це включає інформацію про фізичну особу, зібрану в рамках її зарахування до медичних послуг або при наданні цих послуг відповідної фізичній особі, як це йдеться в Директиві 2011/24/ЄС Європейського Парламенту та Ради (9); номер, символ або знак розрізнення, присвоєний фізичній особі для його синкулярної ідентифікації в медичних цілях; інформація, отримана в результаті перевірки або огляду частини тіла або речовини тіла, включаючи генетичні дані і зразки біологічного матеріалу; а також будь-яку інформацію, що стосується, наприклад, захворювання, інвалідності, ризику захворювання, історії хвороби, клінічного лікування або фізіологічного або біомедичного стану суб’єкта даних, незалежно від їх джерела, наприклад, лікаря або іншого медичного працівника, лікарні, медичного виробу або діагностичного тесту in vitro.
(36) Головний офіс оператора в Союзі повинен бути місцезнаходженням його центрального управління в Союзі, якщо рішення про цілі та засоби обробки персональних даних не приймаються в приміщенні іншого оператора в Союзі. У такому випадку останній слід розглядати як головний офіс. Головний офіс оператора в Союзі повинен визначатися за об’єктивними критеріями і передбачати ефективне і фактичне здійснення управлінської діяльності, які визначають основні рішення щодо цілей і засобів обробки в рамках стабільних домовленостей. Цей критерій не повинен залежати від обробки персональних даних у цьому місці. Наявність і використання технічних засобів і технологій для обробки персональних даних або діяльності з обробки не є головним офісом і тому не є визначальним критерієм для цієї мети. , місце, де основні переробні роботи здійснюються в Союзі. У випадках, коли йдеться як з контролером, так і з процесором, компетентний орган первинного нагляду повинен залишатися наглядовим органом держави-члена, в якому оператор має головний офіс, але наглядовий орган процесора повинен розглядатися як наглядовий орган, і що контролюючий орган повинен брати участь у процедурі співпраці, передбаченій цим Положенням. У будь-якому випадку, наглядові органи держав-членів або держав-членів, в яких процесор має одне або кілька приміщень, не повинні розглядатися як наглядові органи, пов’язані з тим, де проект рішення стосується тільки контролера. Якщо обробка здійснюється групою суб’єктів, головним офісом контрольного зобов’язання слід вважати основне місце ведення бізнесу, якщо цілі та засоби обробки не визначаються іншим суб’єктом.
(37) Група зобов’язань повинна складатися з контрольних зобов’язань та контрольованих ним зобов’язань, в яких контрольним зобов’язань має бути зобов’язань, які можуть здійснювати домінуючий вплив на інші зобов’язань, наприклад, в силу власності, фінансової участі або правил, що регулюють його або повноваження впроваджувати правила захисту персональних даних. Зобов’язаний контролювати обробку персональних даних у пов’язаних з ними починаннях слід розглядати разом з останнім як «групу зобов’язань».
(38) Діти потребують особливого захисту своїх персональних даних, оскільки вони можуть бути менш обізнані про ризики, наслідки, гарантії та свої права щодо обробки персональних даних. Цей конкретний захист повинен застосовуватися, зокрема, до використання персональних даних дітей в маркетингових цілях або для створення особистості або профілів користувачів, а також до збору персональних даних про дітей при використанні послуг, пропонованих безпосередньо дітям. Згода власника батьківської відповідальності не повинна бути необхідною в контексті профілактичних або консультаційних послуг, пропонованих безпосередньо дітям.
(39) Будь-яка обробка персональних даних повинна бути законною і справедливою. Фізичні особи повинні бути прозорими, щоб персональні дані, що їх стосуються, збиралися, використовувалися, консультувалися або іншим чином оброблялися і якою мірою персональні дані є або будуть оброблятися. Принцип прозорості передбачає, що будь-яка інформація та комунікація, пов’язана з обробкою таких персональних даних, є легкодоступною та зрозумілою, і що використовується проста та зрозуміла мова. Цей принцип стосується, зокрема, інформації, наданої особам про особу контролера та цілі обробки, а також надання додаткової інформації з метою забезпечення справедливої та прозорої обробки зацікавлених фізичних осіб та їх права на підтвердження та донести до них персональні дані, що їх обробляються. Фізичні особи повинні бути поінформовані про ризики, правила, гарантії та права, пов’язані з обробкою персональних даних та про те, як реалізувати свої права у зв’язку з обробкою. Зокрема, конкретні цілі, для яких обробляються персональні дані, повинні бути явними і законними і визначатися на момент збору цих даних. Персональні дані повинні бути відповідними, актуальними і обмежуватися тим, що необхідно для цілей, для яких вони обробляються. Це вимагає, зокрема, забезпечення того, щоб період, протягом якого зберігаються персональні дані, строго обмежувався мінімумом. Персональні дані повинні оброблятися тільки в тому випадку, якщо мета обробки не може бути обґрунтовано досягнута іншими способами. Для того, щоб персональні дані не зберігалися довше, ніж потрібно, оператор повинен встановити терміни для видалення або періодичного перегляду. Необхідно вжити всіх розумних заходів для того, щоб неточні персональні дані були виправлені або видалені. Персональні дані повинні оброблятися таким чином, щоб належним чином забезпечити їх безпеку та конфіденційність, у тому числі з метою запобігання несанкціонованому доступу до них або несанкціонованого використання персональних даних та обладнання, що використовується для обробки.
(40) Для того, щоб обробка персональних даних була законною, вона повинна здійснюватися на підставі згоди суб’єкта даних або на підставі іншої законної причини, передбаченої законом, або в цьому Регламенті, або в іншому акті Союзу або національному законодавстві, як це передбачено цим Положенням, включаючи необхідність дотримання юридичних зобов’язань, на які підпорядковує контролер, або необхідність виконання договору, стороною якого є суб’єкт даних, або для виконання кроків, передбачених цим Положенням. до укладення договору, на вимогу суб’єкта даних.
(41) Щоразу, коли це Положення посилається на правову основу або законодавчий захід, воно не обов’язково вимагає законодавчого акту, прийнятого парламентом, без шкоди для вимог, що випливають з конституційного ладу відповідної держави-члена. Однак така правова основа або законодавчий захід повинні бути чіткими і точними, і його застосування повинно бути передбачуваним для зацікавлених осіб, відповідно до судової справи Суду Європейського Союзу («Суд справедливості») та Європейського суду з прав людини.
(42) Якщо обробка ґрунтується на згоді суб’єкта даних, контролер повинен мати можливість продемонструвати, що суб’єкт даних дав свою згоду на операцію обробки. Зокрема, в контексті письмової заяви з іншого пункту, запобіжники повинні забезпечити, щоб суб’єкт даних знав, що він дав свою згоду і наскільки він це зробив. Відповідно до Директиви Ради 93/13/ЄЕС (10), слід надати попередню декларацію згоди, зроблену оператором у зрозумілій і легкодоступній формі з використанням чіткої та простої мови, і ця декларація не повинна містити несправедливих термінів. Для того, щоб про згоду було відомо, суб’єкт даних повинен принаймні знати про особу контролера та цілі обробки, для яких призначені персональні дані. Згода не повинна розглядатися як вільна, якщо суб’єкт даних насправді не має свободи вибору або не може відмовити або відкликати свою згоду без шкоди.
(43) З метою забезпечення його вільного надання, згода не повинна бути дійсною правовою підставою для обробки персональних даних у конкретному випадку, коли існує явний дисбаланс між суб’єктом даних та контролером, зокрема там, де контролер є державним органом, і це робить малоймовірним, що згода є вільною за будь-яких обставин, пов’язаних з цією конкретною ситуацією. Згода вважається такою, що не надається вільно, якщо вона не дозволяє давати окрему згоду на різну обробку персональних даних, хоча це доречно в конкретному випадку, або якщо виконання договору, включаючи надання послуги, підлягає згоді, незважаючи на те, що дана згода не є необхідною для виконання договору.
(44) Обробка повинна вважатися законним там, де це необхідно за договором або для укладення договору.
(45) Якщо обробка здійснюється відповідно до юридичного зобов’язання оператора або якщо обробка необхідна для виконання завдання, яке становить суспільний інтерес або яке є частиною здійснення державних повноважень, обробка повинна мати основу в Союзі або національному праві. Це Положення не вимагає існування конкретного закону для кожної окремої обробки. Єдиний закон може бути достатнім як підстава для декількох операцій з обробки, що здійснюються відповідно до юридичного зобов’язання оператора або якщо обробка необхідна для виконання завдання, яке служить суспільним інтересам або що є частиною здійснення державних повноважень. Мета обробки також повинна бути встановлена в Союзі або національному законодавстві. Крім того, це право може визначати загальні умови цього Положення, що регулюють законність обробки персональних даних, визначати специфікації для визначення контролера, тип персональних даних, що підлягають обробці, суб’єктів даних, суб’єктів, яким можуть бути розкриті персональні дані, обмеження на основі мети, строк зберігання та інші заходи щодо забезпечення юридичної та справедливої обробки. Він також повинен бути встановлений в Союзі або національному законодавстві, незалежно від того, чи оператор, який виконує завдання, що сяяє суспільним інтересом або є частиною здійснення державної влади, повинен бути державним органом або іншою фізичною або юридичною особою, що регулюється публічним правом, або, якщо причини суспільного інтересу , в тому числі в медичних цілях, таких як охорона здоров’я та соціальний захист, а також управління медичними послугами, відповідно до приватного права, наприклад, професійне об’єднання.
(46) Обробка персональних даних також повинна вважатися правомоютою там, де це необхідно для забезпечення захисту інтересу, який має важливе значення для життя суб’єкта даних або для життя іншої фізичної особи. Обробка персональних даних на основі життєво важливих інтересів іншої фізичної особи повинна здійснюватися тільки в тому випадку, якщо обробка не може чітко ґрунтуватися на іншій правовій основі. Деякі види обробки можуть служити як важливими причинами суспільного інтересу, так і життєво важливими інтересами суб’єкта даних, наприклад, якщо обробка необхідна в гуманітарних цілях, в тому числі з метою моніторингу епідемії та її поширення, або в гуманітарних надзвичайних ситуаціях, зокрема в ситуаціях природних або техногенних катастроф.
(47) Законні інтереси оператора, у тому числі інтересів оператора, якому персональні дані можуть бути розкриті або третій стороні, можуть бути правовою підставою для обробки, за умови, що інтереси або основні права і свободи суб’єкта даних не переважають, враховуючи обґрунтовані очікування суб’єктів даних на основі їх відносин з контролером. Цей законний інтерес може існувати, наприклад, за наявності відповідного та відповідного зв’язку між суб’єктом даних та контролером, наприклад, коли суб’єкт даних є клієнтом контролера або знаходиться в його службі. У будь-якому випадку, наявність законного інтересу вимагатиме ретельної оцінки, включаючи те, чи може суб’єкт даних обґрунтовано презумувати, в той час і в контексті збору персональних даних, для можливості обробки з цією метою. Інтереси та основні права суб’єкта даних можуть переважати, зокрема, щодо інтересів контролера даних, коли персональні дані обробляються в умовах, коли суб’єкти даних не обґрунтовано передбачають подальшу обробку. Оскільки законодавчий орган повинен забезпечити правові підстави для обробки персональних даних органами державної влади, ця правова підстава не повинна застосовуватися до обробки органами державної влади при виконанні своїх завдань. Обробка персональних даних, суворо необхідних для запобігання шахрайству, також є законним інтересом зацікавленості зацікавленого контролера даних. Обробка персональних даних, спрямованих на прямий маркетинг, може розглядатися як здійснена в законних інтересах.
(48) Оператори, що належать до групи зобов’язань або установ, афілійованих з центральним органом, можуть мати законний інтерес у передачі персональних даних у межах групи зобов’язань у внутрішніх адміністративних цілях, у тому числі з метою обробки персональних даних клієнтів або працівників. Загальні принципи передачі персональних даних, в рамках групи зобов’язуючих, до зобов’язуючих, розташованих у третій країні, залишаються незмінними.
(49) Обробка персональних даних в обсязі, строго необхідному і пропорційному з метою забезпечення безпеки мереж та інформації, тобто здатності мережі або інформаційної системи справлятися, на певному рівні довіри, з випадковими подіями або незаконними або зловмисними діями, які порушують доступність, достовірність, цілісність і конфіденційність персональних даних, що зберігаються або передаються , а також безпека супутніх послуг, що надаються або доступні через такі мережі та системи органами державної влади, групами реагування на комп’ютерні надзвичайні ситуації, групами реагування на інциденти, що впливають на комп’ютерну безпеку, постачальниками електронних комунікаційних мереж і послуг, а також постачальниками послуг безпеки та технологіями, становлять законний інтерес відповідного контролера даних. Це може включати, наприклад, запобігання несанкціонованому доступу до мереж електронного зв’язку та поширення шкідливих кодів та припинення атак блокування послуг, а також запобігання пошкодженню комп’ютерів та систем електронного зв’язку.
(50) Обробка персональних даних для інших цілей, крім цілей, для яких спочатку збиралися персональні дані, повинна дозволятися лише тоді, коли обробка сумісна з тими цілями, для яких спочатку збиралися персональні дані. При цьому окрема правова підстава не потрібна з того, на якому дозволений збір персональних даних. Якщо обробка необхідна для виконання завдання, яке служить суспільним інтересам або яке є результатом здійснення державним органом, покладеним на оператора, Союз або національне законодавство може закласти і вказати завдання і цілі, для яких подальша обробка повинна вважатися сумісною і законною. Подальша обробка для архівних цілей в суспільних інтересах, для наукових або історичних досліджень або для статистичних цілей повинна розглядатися як сумісні операції з юридичної обробки. Правова основа, закладена в Союзі або національному законодавстві для обробки персональних даних, також може бути правовою підставою для подальшої обробки. З метою визначення сумісності мети подальшої обробки з метою, з якою спочатку збиралися персональні дані, контролер, виконавши всі вимоги, що стосуються законності первинної обробки, повинен враховувати, серед іншого, будь-який зв’язок між цими цілями і цілями подальшої обробки передбачав контекст, в якому були зібрані персональні дані. , зокрема обґрунтовані очікування суб’єктів даних, засновані на їх взаємозв’язку з контролером, щодо подальшого використання даних, характеру персональних даних, наслідків очікуваної подальшої обробки суб’єктів даних, а також наявності відповідних гарантій як у початкових операціях обробки, так і в очікуваних подальших операціях обробки.
Якщо суб’єкт даних дав свою згоду або обробку на основі Союзу або національного законодавства, яке є необхідним і пропорційним заходом у демократичному суспільстві для захисту, зокрема, важливих цілей загального суспільного інтересу, контролер повинен мати можливість надалі обробляти персональні дані, незалежно від сумісності цілей. У будь-якому випадку, має бути гарантовано застосування принципів, викладених у цьому Регламенті, і, зокрема, інформація суб’єкта даних про ці інші цілі та його права, включаючи право на заперечення. Зазначення контролером можливих правопорушень або загроз громадській безпеці та передача компетентному органу відповідних персональних даних в окремих випадках або в ряді випадків, пов’язаних з одним і тим же правопорушенням або загрозою громадській безпеці, слід вважати в законних інтересах, переслідуваних контролером. Однак така передача в законних інтересах контролера або подальша обробка персональних даних повинна бути заборонена, якщо обробка не сумісна з юридичним, професійним або іншим зобов’язанням щодо конфіденційності.
(51) Персональні дані, які за своєю природою особливо чутливі до основних прав і свобод, потребують особливого захисту, оскільки контекст їх обробки може призвести до значних ризиків для основних прав і свобод. Такі персональні дані повинні включати персональні дані, що розкривають расове або етнічне походження, використання в цьому Регламенті терміну «расове походження», що не передбачає прийняття Союзом теорій, спрямованих на встановлення існування окремих людських рас. Обробка фотографій не повинна систематично розглядатися як обробка спеціальних категорій персональних даних, оскільки фотографії підпадають під визначення біометричних даних тільки в тих випадках, коли вони обробляються конкретними технічними засобами, що дозволяють унікальну ідентифікацію або аутентифікацію фізичної особи. Такі персональні дані не повинні оброблятися, якщо обробка не дозволена в конкретних випадках, передбачених цим Положенням, враховуючи, що закон держав-членів може закладати конкретні положення про захист даних з метою адаптації застосування правил цього Положення з метою дотримання юридичного зобов’язання або виконання завдання, яке служить суспільним інтересам або яке є результатом здійснення державним органом, покладеним на контролера. Крім конкретних вимог до такої обробки, повинні застосовуватися загальні принципи та інші правила, викладені в цьому Регламенті, зокрема щодо умов юридичної обробки. Винятки із загальної заборони на обробку цих спеціальних категорій персональних даних повинні бути прямо передбачені, зокрема, коли суб’єкт даних дає явну згоду або стосується конкретних потреб, зокрема, коли обробка здійснюється в ході законної діяльності певними асоціаціями або фондами, метою яких є забезпечення реалізації основних свобод.
(52) Відступ від заборони на обробку спеціальних категорій персональних даних також повинен бути дозволений там, де Союз або національне законодавство таким чином забезпечує і має підлягати відповідним гарантіям, щоб захистити персональні дані та інші основні права, які обґрунтовані на підставі суспільних інтересів , зокрема, у разі обробки персональних даних у сфері трудового законодавства, соціального захисту, у тому числі пенсій, а також з метою безпеки, спостереження та оповіщення про стан здоров’я, для профілактики або контролю інфекційних захворювань та інших серйозних загроз здоров’ю. Це відступ може бути надано в медичних цілях, включаючи охорону здоров’я та управління медичними послугами, зокрема з метою забезпечення якості та економічної ефективності процедур, що використовуються для вирішення претензій на послуги та послуги в рамках системи медичного страхування, або для архівування цілей, що стандаються в суспільних інтересах, для наукових або історичних дослідницьких цілей або для статистичних цілей. Обробка таких персональних даних також повинна бути дозволена шляхом відступу, якщо це необхідно для встановлення, здійснення або захисту законного права, незалежно від того, чи має він місце у провадженні перед судом, в адміністративному провадженні або поза судом.
(53) Спеціальні категорії персональних даних, що потребують більш високого рівня захисту, повинні оброблятися лише для цілей, пов’язаних зі здоров’ям, якщо це необхідно для досягнення цих цілей в інтересах фізичних осіб та суспільства в цілому, зокрема в контексті управління медичними або соціальними послугами та системами, включаючи обробку таких даних органами управління та національними центральними органами охорони здоров’я з метою контролю якості , надання управлінської інформації та загального нагляду за системою охорони здоров’я або соціальної допомоги на національному та місцевому рівнях, а також в контексті забезпечення безперервності охорони здоров’я або соціальної допомоги та транскордонної охорони здоров’я, або для охорони здоров’я, спостереження та оповіщення або для архівування цілей в суспільних інтересах, для наукових або історичних дослідницьких цілей або для статистичних цілей відповідно до Союзу або національного законодавства , яка повинна переслідувати мету в суспільних інтересах, а також у випадку досліджень суспільних інтересів у сфері охорони здоров’я. Таким чином, цей Регламент повинен забезпечити гармонізовані умови обробки спеціальних категорій персональних даних щодо конкретних потреб, зокрема, коли обробка таких даних здійснюється з певними цілями, пов’язаними зі здоров’ям особами, на які накладає юридичний обов’язок зберігати професійну таємницю. Профспілкове право або національне законодавство повинні забезпечити конкретні та відповідні заходи для захисту основних прав та персональних даних фізичних осіб. Держави-члени повинні мати можливість підтримувати або вводити додаткові умови, включаючи обмеження, що стосуються обробки генетичних даних, біометричних даних або даних про здоров’я. Однак це не повинно перешкоджати вільному руху персональних даних всередині Союзу, де ці умови поширюються на транскордонну обробку таких даних.
(54) Обробка спеціальних категорій персональних даних може бути необхідною з міркувань, що стан суспільних інтересів у сферах охорони здоров’я без згоди суб’єкта даних. Така обробка повинна підлягати відповідним і конкретним заходам, спрямованим на захист прав і свобод фізичних осіб. У цьому контексті поняття «громадське здоров’я» слід тлумачити як визначене в Регламенті (ЄС) No 1493/1999. 1338/2008 Європейського Парламенту та Ради (11), тобто всі елементи, що стосуються охорони здоров’я, а саме стан здоров’я, включаючи захворюваність або інвалідність, детермінанти, що впливають на стан здоров’я, потреби в охороні здоров’я, ресурси, виділені на охорону здоров’я, надання медичної допомоги та забезпечення загального доступу до неї, а також витрати і джерела фінансування охорони здоров’я та причини смертності. Така обробка даних про стан здоров’я з міркувань, що стан станів суспільного інтересу, не повинна призвести до обробки таких даних для інших цілей третіми особами, такими як роботодавці або страхові компанії та банки.
(55) Крім того, обробка персональних даних органами державної влади з метою досягнення цілей, викладених конституційним правом або публічним міжнародним правом офіційно визнаних релігійних об’єднань, здійснюється на підставі суспільних інтересів.
(56) Якщо в контексті виборчої діяльності функціонування демократичної системи вимагає від політичних партій у державі-члені збирати персональні дані про політичні погляди фізичних осіб, обробка таких даних може бути дозволена з міркувань суспільного інтересу за умови забезпечення відповідних гарантій.
(57) Якщо персональні дані, що обробляються контролером, не дозволяють контролеру ідентифікувати фізичну особу, контролер даних не повинен бути зобов’язаний отримувати додаткову інформацію з метою ідентифікації суб’єкта даних, з єдиною метою дотримання будь-якого з положень цього Положення. Однак контролер не повинен відмовлятися від додаткової інформації, наданої суб’єктом даних, з метою підтримки реалізації його прав. Ідентифікація повинна включати цифрову ідентифікацію суб’єкта даних, наприклад, через механізми автентифікації, такі як ті самі облікові дані, що використовуються суб’єктом даних для доступу до онлайн-послуг, пропонованих контролером даних.
(58) Принцип прозорості передбачає, що будь-яка інформація, адресована громадськості або суб’єкту даних, є лаконічною, легкодоступною і легкою для розуміння, і що використовується проста і зрозуміла мова, а також перегляд там, де це необхідно. Ця інформація може бути надана в електронному вигляді, наприклад, при адресі громадськості через веб-сайт. Це особливо важливо в ситуаціях, коли через кратність суб’єктів і технологічну складність практики, дані, які підлягають, важко знати і розуміти, чи збираються персональні дані про нього, ким і з якою метою, як у випадку з онлайн-рекламою. Оскільки діти вимагають особливого захисту, будь-якої інформації та будь-якого спілкування, якщо обробка стосується дитини, слід виражти простою та зрозумілою мовою, щоб дитина легко розуміла це.
(59) Домовленості повинні бути викладені для полегшення здійснення суб’єктом даних прав, що надаються йому цим Положенням, включаючи механізми, за допомогою яких він може вимагати і, за необхідності, отримати, безкоштовно, зокрема, доступ до персональних даних, а також їх виправлення або видалення, а також реалізацію права на заперечення. Контролер також повинен надати способи подання заявок в електронному вигляді, зокрема там, де персональні дані обробляються електронними засобами. Контролер повинен відповідати на запити суб’єктів даних без зайвих затримок і не пізніше протягом одного місяця і, якщо він не має наміру виконувати ці запити, давати підстави для такої відмови.
(60) Відповідно до принципів справедливої та прозорої обробки, суб’єкт даних повинен бути поінформований про існування операції обробки та її цілі. Контролер повинен надати суб’єкту даних будь-яку додаткову інформацію, необхідну для забезпечення справедливої та прозорої обробки, з урахуванням конкретних обставин та контексту, в якому обробляються персональні дані. Крім того, суб’єкт даних повинен бути поінформований про створення профілів та їх наслідки. Якщо персональні дані збираються від суб’єкта даних, він також повинен бути поінформований про необхідність надання персональних даних і які наслідки мають у разі відмови. Ця інформація може бути надана в поєднанні зі стандартизованими іконками, щоб забезпечити легко видимим, зрозумілим і чітко розбірливим чином значний огляд обробки, що передбачається. Якщо іконки представлені в електронному вигляді, вони повинні бути зчитувані автоматично.
(61) Інформація, що стосується обробки персональних даних, що стосуються суб’єкта даних, повинна бути надана суб’єкту даних під час збору від суб’єкта даних або, якщо персональні дані отримані з іншого джерела, протягом розумного періоду, залежно від обставин справи. Якщо персональні дані можуть бути законно розкриті іншому одержувачу, суб’єкт даних повинен бути проінформований, коли персональні дані вперше розкриваються одержувачу. Якщо контролер має намір обробляти персональні дані з іншою метою, ніж та, для якої вона була зібрана, контролер повинен надати суб’єкту даних перед такою подальшою обробкою інформацію про цю другорядну мету та іншу необхідну інформацію. Якщо походження персональних даних не могло бути повідомлено суб’єкту даних, оскільки використовувалися різні джерела, слід надати загальну інформацію.
(62) Однак не обов’язково накладати обов’язок надавати інформацію там, де суб’єкт даних вже має інформацію, де запис або розголошення персональних даних прямо передбачені законом або коли інформація суб’єкта даних виявляється неможливою або може включати непропорційні зусилля. Останнє може бути, зокрема, там, де обробка здійснюється з метою архівації в суспільних інтересах, для наукових або історичних досліджень або для статистичних цілей. У зв’язку з цим слід враховувати кількість суб’єктів даних, вік даних та будь-які прийняті відповідні гарантії.
(63) Суб’єкт даних повинен мати право доступу до персональних даних, зібраних стосовно нього, і повинен здійснювати це право легко і через розумні проміжки часу, щоб бути поінформованим про обробку та перевірити її законність. Це включає право суб’єктів даних мати доступ до своїх даних про здоров’я, наприклад, дані з їх медичних записів, що містять таку інформацію, як діагнози, результати обстежень, оцінки лікарів та будь-яке лікування або втручання, що проводяться. Таким чином, будь-який суб’єкт даних повинен мати право знати та бути поінформованим, зокрема про цілі, для яких обробляються дані, якщо це можливо, період обробки персональних даних, одержувачів персональних даних, логіку автоматичної обробки персональних даних та, принаймні, якщо вони засновані на створенні профілів , наслідки такої обробки. По можливості контролер даних повинен мати можливість забезпечити віддалений доступ до захищеної системи, яка надає суб’єкту даних прямий доступ до своїх персональних даних. Це право повинно бути без шкоди для прав і свобод інших осіб, включаючи комерційну таємницю або інтелектуальну власність і, зокрема, авторські права, які забезпечують захист програмного забезпечення. Однак зазначені вище міркування не повинні призвести до відмови надати всю інформацію суб’єкту даних. Коли контролер обробляє великий обсяг інформації про суб’єкта даних, контролер повинен мати можливість вимагати, щоб перед тим, як інформація була надана, суб’єкт даних вкаже інформацію або обробку діяльності, до якої відноситься його запит.
(64) Контролер повинен вжити всіх розумних заходів для перевірки особи суб’єкта даних, який запитує доступ до даних, зокрема в контексті онлайн-сервісів та онлайн-ідентифікаторів. Оператор не повинен зберігати персональні дані з єдиною метою мати можливість реагувати на потенційні запити.
(65) Суб’єкт даних повинен мати право на виправлення персональних даних щодо нього та «право бути забутим», якщо збереження таких даних порушує це Положення або закон Союзу або національне законодавство, якому підпорядковується контролер. Зокрема, суб’єкти даних повинні мати право видаляти та більше не обробляти свої персональні дані, якщо персональні дані більше не потрібні для цілей, для яких вони збираються або обробляються, де суб’єкти даних відкликали свою згоду на обробку або якщо вони виступають проти обробки персональних даних щодо них, або якщо обробка даних їхні особисті права не відповідають цьому Регламенту. Це право особливо актуальне, коли суб’єкт даних дав свою згоду в дитинстві і не був повністю обізнаний про ризики, пов’язані з обробкою і в подальшому бажає видалити такі персональні дані, зокрема з Інтернету. Суб’єкт даних повинен мати можливість скористатися цим правом, незважаючи на те, що він більше не є дитиною. Однак подальше зберігання персональних даних має бути законним там, де це необхідно для реалізації права на свободу вираження поглядів та інформації, для виконання юридичного зобов’язання, для виконання завдання, яке служить суспільним інтересам або яке є результатом здійснення державним органом, покладеним на контролера, на підставі суспільного інтересу у сфері охорони здоров’я. , для архівування в суспільних інтересах, для наукових або історичних досліджень або для статистичних цілей, або для встановлення, здійснення або захисту права в суді.
(66) З метою зміцнення «права бути забутим» в онлайн-середовищі, право на видалення повинно бути розширено, щоб оператор, який зробив персональні дані публічними, повинен повідомити контролерів, які обробляють ці персональні дані, видалити будь-які посилання на ці дані або їх копії або репродукції. З цією метою зацікавлений контролер повинен вжити розумних заходів, враховуючи наявні технології та засоби, що є в його розпорядженні, включаючи технічні заходи, для інформування контролерів, які опрацьняють персональні дані, щодо запиту суб’єкта даних.
(67) Методи обмеження обробки персональних даних можуть включати, зокрема, тимчасове переміщення обраних персональних даних в іншу систему обробки, або скасування доступу користувачів до обраних даних або тимчасове видалення опублікованих даних з веб-сайту. Що стосується автоматизованих систем обліку даних, то обмеження обробки, в принципі, повинно бути забезпечено технічними засобами таким чином, щоб персональні дані не підлягати подальшій обробці і не можуть бути змінені. Той факт, що обробка персональних даних обмежена, повинен бути чітко вказаний в системі.
(68) З метою подальшого підвищення контролю над своїми даними суб’єкт даних повинен, де персональні дані обробляються автоматичним способом, мати можливість отримувати персональні дані, що стосуються нього, і надаватися контролеру в структурованому, часто використовуваному, машинообмінний і сумісному форматі і мати можливість передавати їх іншому контролеру. Контролери даних повинні заохочуватися до розробки сумісних форматів, які дозволяють перелітність даних. Це право застосовується там, де суб’єкт даних надав персональні дані на підставі власної згоди або там, де обробка даних необхідна для виконання договору. Це право не повинно застосовуватися там, де обробка ґрунтується на правових підставах, крім згоди або договору. За своєю природою це право не повинно здійснюватися проти операторів, які здійснюють обробку персональних даних при меяні своїх публічних функцій. Він не повинен застосовуватися, зокрема, там, де обробка персональних даних необхідна для виконання юридичного зобов’язання, якому підлягає контролер або де завдання, яке служить суспільним інтересам або є результатом здійснення суб’єктом владних повноважень, покладеним на контролера. Право суб’єкта даних на передачу або отримання персональних даних щодо нього не повинно створювати зобов’язання для операторів приймати або підтримувати системи обробки, які є технічно сумісними. Якщо більше однієї особи беруть участь у певному наборі персональних даних, право на отримання персональних даних має бути без шкоди для прав і свобод інших суб’єктів даних відповідно до цього Положення. Крім того, це право не повинно обмежувати право суб’єкта даних на отримання видалення персональних даних та обмеження цього права, як це передбачено цим Положенням, і не повинно, зокрема, передбачати видалення тих персональних даних, що стосуються суб’єкта даних, які були надані цією особою для виконання договору , в обсязі і до тих пір, поки такі дані необхідні для виконання договору. Суб’єкт даних повинен мати право на обробку персональних даних безпосередньо від одного контролера до іншого, якщо це технічно можливо.
(69) У випадках, коли персональні дані можуть бути юридично оброблені, оскільки обробка необхідна для виконання завдання, яке становить суспільний інтерес або яке є результатом здійснення суб’єктом владних повноважень, покладеним на контролера або на підставі законних інтересів оператора або третьої сторони, суб’єкт даних все одно повинен мати право заперечувати проти обробки будь-яких персональних даних, що стосуються його конкретної ситуації. Контролер повинен продемонструвати, що його законні та переконливі інтереси переважають над інтересами або основними правами та свободами суб’єкта даних.
(70) Якщо персональні дані обробляються в цілях прямого маркетингу, суб’єкт даних повинен мати право заперечувати проти такої обробки, включаючи профілювання настільки, наскільки це стосується прямого маркетингу, незалежно від того, чи є обробка, про яку йде мова, початковою або наступною обробкою, в будь-який час і безкоштовно. Це право повинно бути явно доведено до уваги суб’єкта даних і представлено чітко і окремо від будь-якої іншої інформації.
(71) Суб’єкт даних повинен мати право не бути суб’єктом рішення, яке може включати в себе міру, яка оцінює особисті аспекти, що стосуються суб’єкта даних, які ґрунтуються виключно на автоматичній обробці і які виробляють правові наслідки, які стосуються або аналогічно впливають на суб’єкта даних значною мірою, такі як автоматична відмова від онлайн-заявки на кредит або електронної практики підбору персоналу без втручання людини. Така обробка повинна включати в себе «створення профілю», що складається з будь-якої форми автоматичної обробки персональних даних шляхом оцінки особистих аспектів, що стосуються фізичної особи, зокрема з метою аналізу або прогнозування певних аспектів роботи суб’єкта даних на роботі, економічної ситуації, стану здоров’я, особистих уподобань або інтересів, надійності або поведінки, місцезнаходження або рухів , де він має правові наслідки щодо суб’єкта даних або аналогічно впливає на нього значною мірою. Однак прийняття рішень на основі такої обробки, включаючи профілювання, повинно бути дозволено там, де прямо дозволено в Союзі або національному законодавстві, що застосовується до контролера, в тому числі з метою моніторингу та запобігання податковим шахрайствам та ухиленням від сплати податків, що здійснюється відповідно до правил, стандартів та рекомендацій союзних установ або національних наглядових органів , а також з метою забезпечення безпеки та надійності послуги, що надається оператором, або там, де це необхідно для укладення або виконання договору між суб’єктом даних та оператором, або там, де суб’єкт даних явно дав свою згоду. У будь-якому випадку така обробка повинна бути предметом відповідних гарантій, які повинні включати конкретну інформацію суб’єкта даних та його право на отримання втручання людини, висловлювати свої погляди, отримувати роз’яснення щодо рішення, прийнятого після такої оцінки, і право оскаржити рішення. Такий захід не повинен стосуватися дитини.
З метою забезпечення справедливої та прозорої обробки суб’єкта даних, з огляду на конкретні обставини та контекст обробки персональних даних, контролер повинен використовувати відповідні математичні або статистичні процедури для профілювання, впроваджувати відповідні технічні та організаційні заходи для забезпечення, зокрема, того, що фактори, що призводять до неточностей у персональних даних, виправляються і що ризик помилок мінімізується до мінімуму , а також для захисту персональних даних таким чином, щоб врахувати потенційну небезпеку для інтересів і прав суб’єкта даних і запобігає, серед іншого, дискримінаційним впливам на осіб за ознакою расового або етнічного походження, політичним поглядам, релігії або переконанню, членству в профспілках, генетичним характеристикам, стану здоров’я або сексуальної орієнтації або веде до заходів, що мають такі наслідки. Автоматизоване прийняття рішень та профілювання на основі спеціальних категорій персональних даних повинно допускатися лише за певних умов.
(72) Побудова профілю підпадає під дію правил цього Положення, що регулюють обробку персональних даних, таких як правові засади обробки або принципи захисту даних. Європейський комітет із захисту даних, створений цим Регламентом (“Комітет”), повинен мати можливість видати рекомендації в цьому контексті.
(73) Закон Союзу або національне законодавство може накладати обмеження на конкретні принципи, що стосуються права на інформацію, права доступу та видалення персональних даних, права на перепроникність даних, права на заперечення, рішень, заснованих на профілюванні, та розкриття порушення персональних даних суб’єкта даних та певних пов’язаних з цим зобов’язань контролерів , наскільки це необхідно і пропорційно в демократичному суспільстві з метою забезпечення громадської безпеки, включаючи захист людського життя, зокрема у відповідь на природні або людино-наслідки стихійних лих, запобігання, розслідування і притягнення до кримінальної відповідальності за кримінальні правопорушення або виконання покарань, включаючи захист від загроз громадській безпеці або етичних порушень у разі регульованих професій і їх запобігання , інші важливі цілі загального суспільного інтересу Союзу або держави-члена, зокрема важливий економічний або фінансовий інтерес Союзу або держави-члена, ведення публічних реєстрів з міркувань загального суспільного інтересу, подальша обробка персональних даних, заархівованих з метою передачі конкретної інформації, що стосується політичної поведінки під час режимів колишніх тоталітарних держав , захист суб’єкта даних або прав і свобод третіх осіб, включаючи соціальний захист, охорону здоров’я та гуманітарні цілі. Ці обмеження мають відповідати вимогам Хартії та Європейської конвенції про захист прав людини і основоположних свобод.
(74) Відповідальність і відповідальність контролера за будь-яку обробку персональних даних або від його імені повинна бути встановлена. Зокрема, оператор повинен бути зобов’язаний вжити відповідних та ефективних заходів та мати можливість продемонструвати відповідність переробної діяльності цьому Регламенту, включаючи ефективність заходів. Такі заходи повинні враховувати характер, обсяг, контекст і цілі обробки, а також ризик для прав і свобод фізичних осіб.
(75) Ризик для прав і свобод фізичних осіб, з різним ступенем ймовірності матеріалізації та серйозності, може бути наслідком обробки персональних даних, які можуть призвести до фізичної, матеріальної або моральної шкоди, зокрема у випадках, коли: обробка може призвести до дискримінації, крадіжки або шахрайства, фінансової втрати, репутаційної шкоди, втрати конфіденційності персональних даних, захищених професійною таємницею. , несанкціонований розворот псевдонімізації або будь-який інший істотний недолік економічного або соціального характеру; суб’єкти даних можуть бути позбавлені своїх прав і свобод або перешкоджати здійснювати контроль над своїми персональними даними; оброблені персональні дані – це дані, що розкривають расове або етнічне походження, політичні погляди, релігію або філософські переконання, членство в профспілках; обробляються генетичні дані, дані про здоров’я або дані про сексуальне життя або кримінальні засудження та пов’язані з ними правопорушення або заходи безпеки; оцінюються аспекти особистого характеру, зокрема аналіз або прогнозування аспектів ефективності роботи, економічної ситуації, стану здоров’я, особистих уподобань або інтересів, надійності або поведінки, місцезнаходження або подорожей, з метою створення або використання особистих профілів; обробляються персональні дані вразливих осіб, зокрема дітей; або обробка включає в себе великий обсяг персональних даних і впливає на велику кількість суб’єктів даних.
(76) Ймовірність матеріалізації та серйозність ризику для прав і свобод суб’єкта даних визначається виходячи з характеру, обсягу, контексту та цілей обробки персональних даних. Ризик повинен оцінюватися на основі об’єктивної оцінки того, чи є операції з обробки даних високим ризиком або ризиком.
(77) Керівні принципи здійснення відповідних заходів та демонстрації дотримання контролером або процесором, зокрема щодо виявлення ризику, пов’язаного з обробкою, його оцінки з точки зору походження, характеру, ймовірності матеріальності та тяжкості, а також виявлення належної практики пом’якшення ризику може бути надана, зокрема, затвердженими кодексами поведінки , затверджені сертифікати, керівні принципи комітету або керівництвом, наданим співробітником із захисту даних. Комітет також може видати рекомендації щодо обробки операцій, які вважаються малоймовірними, що може призвести до високого ризику для прав і свобод фізичних осіб і вказати заходи, які можуть виявитися достатніми в таких випадках для вирішення такого ризику.
(78) Захист прав і свобод фізичних осіб у зв’язку з обробкою персональних даних вимагає прийняття відповідних технічних та організаційних заходів для забезпечення виконання вимог цього Положення. Для того, щоб продемонструвати відповідність цьому Регламенту, контролер повинен прийняти внутрішню політику та впровадити заходи, які відповідають, зокрема, принципу захисту даних з моменту зачаття та неявного захисту даних. Такі заходи можуть полягав, зокрема, у мінімізації обробки персональних даних, якнайшвидшому підміні такими даними, прозорості функцій та обробці персональних даних, наділі повноваженнями суб’єкта даних контролювати обробку даних, наділяючи контролера повноваженнями створювати та покращувати функції безпеки. При розробці, розробці, виборі та використанні додатків, послуг і продуктів, які покладаються на обробку персональних даних або які переробають персональні дані для виконання своєї ролі, виробникам цих продуктів і постачальникам цих послуг і додатків слід заохочувати враховувати право на захист даних при розробці і розробці таких продуктів , послуги та додатки і, з урахуванням поточного стану розробки, забезпечити, щоб оператори і процесори могли виконувати свої зобов’язання щодо захисту даних. Принцип захисту даних з моменту зачаття і принцип неявного захисту даних також повинні враховуватися в контексті публічних тендерів.
(79) Захист прав і свобод суб’єктів даних та відповідальність контролерів і процесорів, у тому числі щодо моніторингу контролюючими органами та вжитих ними заходів, вимагають чіткого віднесення відповідальності за цим Положенням, у тому числі, коли оператор визначає цілі та засоби обробки з іншими контролерами або де операція з обробки здійснюється від імені оператора.
(80) Якщо оператор або обробник, який не встановлений в Союзі, обробляє персональні дані суб’єктів даних, які знаходяться на території Союзу, і його переробна діяльність пов’язана з наданням товарів або послуг таким суб’єктам даних в Союзі, незалежно від того, чи вимагається оплата суб’єктом даних , або з моніторингом поведінки суб’єктів даних, якщо це відбувається в межах Союзу, контролер або процесор повинен призначити представника, якщо обробка не має випадкового характеру, не включає широку обробку спеціальних категорій персональних даних або обробку даних, пов’язаних з кримінальними переконаннями та кримінальними правопорушеннями , і навряд чи породжує ризик для прав і свобод фізичних осіб, з огляду на характер, контекст, обсяг і цілі обробки, а також там, де оператор є державним органом або державним органом. Представник повинен діяти від імені контролера або процесора і може зв’язатися з будь-яким наглядовим органом. Представник повинен бути явно призначений письмовим мандатом контролера або процесора, діяти від його імені щодо своїх зобов’язань за цим Положенням. Призначення такого представника без шкоди для відповідальності або відповідальності контролера або процесора відповідно до цього Положення. Такий представник повинен виконувати свої обов’язки відповідно до мандата, отриманого від контролера або процесора, в тому числі співпрацювати з компетентними контролюючими органами в будь-яких діях, вжитих для забезпечення дотримання цього Положення. Призначений представник повинен підлягати виконавчим процедурам у разі недотримання цього Регламенту контролером або процесором.
(81) З метою забезпечення відповідності вимогам цього Регламенту щодо обробки, що здійснюється від імені контролера процесором, при присвоєнні переробної діяльності процесору, останній повинен використовувати тільки процесори, які надають достатні гарантії, зокрема щодо експертних знань , надійність і ресурси, для здійснення технічних та організаційних заходів, що відповідають вимогам цього Положення, в тому числі для безпеки обробки. Членство процесора в затвердженому кодексі поведінки або затвердженому механізмі сертифікації може бути використане як елемент, що демонструє відповідність контролеру. Обробка процесором повинна регулюватися договором або іншим видом правового акта, відповідно до Союзу або національного законодавства, який створює зобов’язання для процесора по відношенню до контролера і який визначає предмет і тривалість обробки, характер і цілі обробки, тип персональних даних і категорії суб’єктів даних , і слід враховувати конкретні завдання та обов’язки процесора в контексті обробки, що підлягає здійсненню, а також ризик для прав і свобод суб’єкта даних. Контролер і процесор можуть вибрати використання індивідуального контракту або стандартних договірних положень, які прийняті безпосередньо Комісією або наглядовим органом відповідно до механізму узгодженості, а потім прийняті Комісією. Після завершення обробки від імені контролера, процесор повинен повернути або видалити, залежно від опції оператора, персональні дані, якщо немає вимоги зберігати персональні дані відповідно до Союзу або національного законодавства, що накладаючи зобов’язання на процесор.
(82) Для того, щоб продемонструвати відповідність цьому Регламенту, контролер або процесор повинен вести облік діяльності з обробки під його відповідальністю. Кожен контролер і процесор повинні бути зобов’язані співпрацювати з наглядовим органом і робити такі записи доступними для нього, за запитом, щоб вони могли бути використані з метою моніторингу відповідної обробки операцій.
(83) З метою підтримки безпеки та запобігання обробці з порушенням цього Регламенту, контролер або процесор повинен оцінити ризики, притаманні обробці та вжити заходів для пом’якшення цих ризиків, таких як шифрування. Ці заходи повинні забезпечити належний рівень безпеки, включаючи конфіденційність, з урахуванням поточного стану розробки та витрат на реалізацію у зв’язку з ризиками та характером персональних даних, що підлякаються захисту. При оцінці ризику для безпеки персональних даних слід звернути увагу на ризики, пов’язані з обробкою даних, такими як знищення, втрата, модифікація, несанкціоноване розкриття або несанкціонований доступ до персональних даних, що передаються, зберігаються або іншим чином обробляються, випадково або незаконно, що, зокрема, може призвести до фізичної, матеріальної або моральної шкоди.
(84) З метою сприяння дотриманням положень цього Положення у випадках, коли операції з обробки, ймовірно, породжує високий ризик для прав і свобод фізичних осіб, контролер повинен нести відповідальність за проведення оцінки впливу на захист даних, оцінюючи, зокрема, походження, природу, специфіку та серйозність цього ризику. Результати оцінки повинні бути враховані при визначенні відповідних заходів, які необхідно вжити, щоб продемонструвати, що обробка персональних даних відповідає цьому Регламенту. Якщо оцінка впливу на захист даних показує, що операції з обробки пов’язані з високим ризиком, який оператор не може пом’якшити відповідними заходами з точки зору наявних технологій та витрат на впровадження, перед обробкою повинна відбутися консультація наглядового органу.
(85) Якщо не вирішено своєчасно та належним чином, порушення безпеки персональних даних може призвести до фізичної, матеріальної або моральної шкоди фізичним особам, таких як втрата контролю над своїми персональними даними або обмеження їхніх прав, дискримінація, крадіжка особистих даних або шахрайство, фінансова втрата, несанкціоноване скасування псевдонімізації, репутаційний компроміс, втрата конфіденційності персональних даних, захищених професійною таємницею або будь-яким іншим значним економічним або соціальним недоліком. фізичної особи. Тому, як тільки стане відомо про порушення персональних даних, контролер повинен повідомити контролюючий орган без зайвих затримок і, по можливості, не пізніше ніж через 72 години після того, як стало відомо про його існування, якщо контролер не зможе продемонструвати , відповідно до принципу відповідальності, що порушення безпеки персональних даних навряд чи створить ризик для прав і свобод фізичних осіб. Якщо повідомлення не може бути зроблено протягом 72 годин, воно повинно включати причини затримки і інформація може бути надана поступово без подальших затримок.
(86) Контролер повинен повідомляти суб’єкта даних про порушення безпеки персональних даних, без зайвих затримок, де порушення, ймовірно, може призвести до високого ризику для прав і свобод фізичної особи, щоб дозволити йому вжити необхідних запобіжних заходів. Зв’язок повинен описувати характер порушення персональних даних і включати рекомендації для відповідної фізичної особи з метою забезпечення будь-яких негативних наслідків. Комунікація з суб’єктами даних повинна бути здійснена якомога швидше і в тісній співпраці з контролюючим органом, відповідно до керівних принципів, наданих ним або іншими компетентними органами, такими як правоохоронні органи. Наприклад, необхідність пом’якшення негайного ризику травмування спричинить за собою оперативну комунікацію з суб’єктами даних, а необхідність здійснення відповідних заходів проти подальшого порушення безпеки персональних даних або подібних порушень безпеки персональних даних може виправдати більш тривалий період для спілкування.
(87) Слід визначити, чи були вжиті всі відповідні технологічні заходи захисту та організаційні заходи для того, щоб негайно встановити, чи сталося порушення персональних даних, та негайно повідомити контролюючий орган та суб’єкта даних. Той факт, що повідомлення було зроблено без зайвих затримок, має бути встановлено з урахуванням, зокрема, характеру та серйозності порушення персональних даних та його несприятливих наслідків та впливу на суб’єкта даних. Таке повідомлення може призвести до втручання контролюючого органу відповідно до завдань та повноважень, зазначених у цьому Регламенті.
(88) При встановленні детальних правил щодо формату та процедур, що застосовуються для повідомлення про порушення персональних даних, слід враховувати обставини, за яких сталося порушення, включаючи забезпечення захисту персональних даних відповідними технічними гарантіями, що фактично обмежує ймовірність шахрайства з ідентифікацією або інших форм неправомірного використання. Крім того, такі правила та процедури повинні враховувати законні інтереси правоохоронних органів у випадках, коли раннє розголошення може ускладнити розслідування обставин, за яких сталося порушення персональних даних.
(89) Директива 95/46/ЄС передбачла загальне зобов’язання повідомляти про обробку персональних даних контролюючим органам. Хоча це зобов’язання створює адміністративне та фінансове навантаження, воно не завжди сприяло покращенню захисту персональних даних. Таким чином, такі не диференційовані загальні зобов’язання щодо повідомлення повинні бути скасовані та замінені ефективними процедурами та механізмами, які зосереджуються, натомість, на тих видах операцій обробки, які можуть створити високий ризик для прав і свобод фізичних осіб за своєю природою, обсягом, контекстом та цілями. Такими видами операцій з обробки можуть бути ті, що стосуються, зокрема, використання нових технологій або представлення нового виду операцій, для яких раніше контролером не проводилася оцінка впливу на захист даних або які стають необхідними з огляду на період часу з моменту первинної обробки.
(90) У таких випадках контролер повинен провести перед обробкою оцінку впливу на захист даних з метою оцінки конкретної ймовірності матеріалізації високого ризику та його тяжкості з урахуванням характеру, обсягу, контексту та цілей обробки, а також джерел ризику. Ця оцінка впливу повинна включати, зокрема, заходи, гарантії та механізми, передбачені для пом’якшення цього ризику, забезпечення захисту персональних даних та демонстрації дотримання цього Положення.
(91) Це повинно стосуватися, зокрема, масштабних операцій з обробки, які спрямовані на обробку значної кількості персональних даних на регіональному, національному або наднаціональному рівні, які можуть вплинути на велику кількість суб’єктів даних і які, ймовірно, можуть призвести до високого ризику, наприклад, через їх чутливість, якщо вони , відповідно до досягнутого рівня технологічних знань, широко використовуються нові технології та інші операції з обробки, які становлять високий ризик для прав і свобод суб’єктів даних, зокрема там, де ці операції обмежують здатність суб’єктів даних здійснювати свої права. Оцінка впливу на захист даних також повинна проводитися в ситуаціях, коли персональні дані обробляються з метою прийняття рішень, орієнтованих на конкретних фізичних осіб після систематичної та всебічної оцінки персональних аспектів, що стосуються фізичних осіб, на основі профілювання цих даних або після обробки спеціальних категорій персональних даних , біометричні дані або дані про кримінальні засудження та пов’язані з ними правопорушення або заходи безпеки. Оцінка впливу на захист даних однаково необхідна для масштабного моніторингу публічно доступних областей, зокрема у випадку використання оптоелектронних пристроїв або для будь-якої іншої операції, де компетентний контролюючий орган вважає, що обробка, ймовірно, може приростити до високого ризику для прав і свобод суб’єктів даних, зокрема тому, що вони перешкоджають суб’єктам даних здійснювати право або користуватися послугою або договором , або тому, що вони проводяться систематично у великих масштабах. Обробка персональних даних не повинна вважатися поширеною, якщо обробка стосується персональних даних пацієнтів або клієнтів конкретним лікарем, іншим медичним працівником або адвокатом. У таких випадках оцінка впливу на захист даних не повинна бути обов’язковою.
(92) За певних обставин може бути розумним та економічно корисним для оцінки впливу на захист даних, щоб мати більш широку перспективу, ніж в одному проекті, наприклад, коли державні органи або органи мають намір створити спільну платформу для застосування або обробки або де більш ніж один оператор має намір запровадити спільне середовище застосування або обробки в секторі або промислового сегмента або для широко використовуваної горизонтальної діяльності.
(93) У контексті прийняття національного законодавства, на якому ґрунтуються завдання органу державної влади або державного органу, які регулюють операцію обробки або серію, держави-члени можуть вважати за необхідне провести таку оцінку перед проведенням обробки.
(94) Якщо оцінка впливу на захист даних показує, що обробка, за відсутності гарантій, заходів безпеки та механізмів зниження ризику, призведе до високого ризику для прав і свобод фізичних осіб, і контролер вважає, що ризик не може бути пом’якшений розумними засобами з точки зору наявних технологій та витрат на впровадження, наглядовий орган повинен бути проконсультований до початку обробки діяльності. Такий високий ризик, швидше за все, буде породжений певними видами обробки, а також масштабами і частотою обробки, що також може призвести до пошкодження або вплинути на права і свободи фізичних осіб. Контролюючий орган повинен відповісти на запит про консультацію протягом певного періоду часу. Однак відсутність реакції контролюючого органу протягом цього періоду має бути без шкоди для будь-якого втручання контролюючого органу відповідно до його завдань та повноважень відповідно до цього Положення, включаючи повноваження щодо заборони операцій з обробки. В рамках цього процесу консультацій результати оцінки впливу на захист даних, проведеної щодо даної обробки, можуть бути направлені до контролюючого органу, зокрема заходи, передбачені для зменшення ризику для прав і свобод фізичних осіб.
(95) Процесор повинен допомогти контролеру, у разі необхідності та за запитом, у забезпеченні дотримання зобов’язань, що випливають з проведення оцінки впливу на захист даних та попередньої консультації наглядового органу.
(96) Консультація контролюючого органу також повинна відбутися під час підготовки законодавчого або нормативного заходу, що передбачає обробку персональних даних з метою забезпечення відповідності обробки, передбаченої цим Положенням, і, зокрема, пом’якшити ризик, до якого суб’єкт даних піддається впливу.
(97) Якщо обробка здійснюється суб’єктом владних повноважень, за винятком судів або незалежних судових органів при діях у своїй судовій спроможності, де в приватному секторі обробка здійснюється оператором, основна діяльність якого полягає в обробці операцій, що вимагають регулярного та систематичного моніторингу суб’єктів даних у великих масштабах , або якщо основна діяльність контролера або процесора полягає у широкій обробці спеціальних категорій персональних даних та даних про кримінальні засудження та правопорушення, особа, яка має досвід у законодавстві та практиці захисту даних, повинна допомогти контролеру або процесору у , внутрішньо, з цим Положенням. У приватному секторі основні напрямки діяльності оператора стосуються його основної діяльності, а не обробки персональних даних як допоміжної діяльності. Необхідний рівень експертизи повинен бути визначений, зокрема, на основі проведених операцій з обробки даних і рівня захисту, необхідного для обробки персональних даних контролером або процесором. Ці співробітники із захисту даних, незалежно від того, чи є вони співробітниками контролера, повинні мати можливість самостійно виконувати свої обов’язки та завдання.
(98) Асоціаціям або іншим органам, що представляють категорії операторів або переробників, слід заохочуватися до прийняття кодексів поведінки в межах цього Положення з таким чином, щоб полегшити ефективне застосування цього Положення з урахуванням специфічних особливостей обробки, що здійснюється в певних секторах, і конкретних потреб мікро-, малих і середніх підприємств. Зокрема, такі кодекси поведінки могли б коригувати зобов’язання операторів і переробників з урахуванням ризику, пов’язаного з обробкою, який, ймовірно, буде сформований для прав і свобод фізичних осіб.
(99) При складаванні кодексу поведінки або внесення змін або розширення такого кодексу асоціації та інші органи, що представляють категорії операторів або процесорів, повинні проконсультуватися з відповідними зацікавленими сторонами, включаючи суб’єктів даних, де це можливо, і враховувати подані внески та думки, висловлені в таких консультаціях.
(100) З метою підвищення прозорості та відповідності цьому Регламенту слід заохочувати створення механізмів сертифікації, а також печаток та позначок захисту даних, щоб суб’єкти даних могли швидко оцінити рівень захисту даних відповідних продуктів та послуг.
(101) Потоки персональних даних до та з країн за межами Союзу та міжнародних організацій необхідні для розвитку міжнародної торгівлі та міжнародного співробітництва. Зростання цих потоків створило нові виклики та занепокоєння щодо захисту персональних даних. Однак, якщо персональні дані з Союзу передаються контролерам, обробникам або іншим одержувачам з третіх країн або міжнародних організацій, рівень захисту фізичних осіб, передбачений цим Положенням, не повинен знижуватися, в тому числі у випадках подальшої передачі персональних даних з третьої країни або міжнародної організації операторам , процесори операторів з тієї ж або іншої третьої країни або міжнародної організації. У будь-якому випадку передача в треті країни та міжнародні організації може здійснюватися тільки в повній відповідності з цим Регламентом. Передача може відбутися тільки в тому випадку, якщо при дотриманні інших положень цього Регламенту контролер або процесор задовольняє умови, викладені в положеннях цього Положення про передачу персональних даних третім країнам або міжнародним організаціям.
(102) Цей Регламент не шкодить міжнародним угодам, укладеним між Союзом та третіми країнами з урахуванням регулювання передачі персональних даних, включаючи належні гарантії для суб’єктів даних. Держави-члени можуть укладати міжнародні угоди, що стосуються передачі персональних даних третім країнам або міжнародним організаціям, оскільки такі угоди не впливають на цей Регламент або інші положення права Союзу і включають належний рівень захисту основних прав суб’єктів даних.
(103) Комісія може вирішити, по суті, по всьому Союзу, що третя країна, територія або сектор третьої країни або міжнародної організації забезпечує належний рівень захисту даних, тим самим забезпечуючи правову визначеність і однорідність в Союзі щодо третьої країни або міжнародної організації, яка вважається забезпеченням такого рівня захисту. У таких випадках передача персональних даних третій країні або міжнародній організації може відбуватися без необхідності подальшого дозволу. Комісія також може прийняти рішення, надіславши повне повідомлення та обґрунтування третій країні або міжнародній організації, анулюувати таке рішення.
(104) Відповідно до фундаментальних цінностей, на яких засновано Союз, зокрема захисту прав людини, Комісія повинна при своїй оцінці третьої країни або зазначеної території чи сектору третьої країни враховувати спосіб дотримання нею верховенства права, доступу до правосуддя, а також міжнародних правил і стандартів прав людини та його загального та галузевого законодавства. , включаючи законодавство про публічну безпеку, оборону і національну безпеку, а також про громадський порядок і кримінальне право. Прийняття рішення про адекватність рівня захисту певної території або сектору в третій країні має враховувати чіткі та об’єктивні критерії, такі як конкретна переробна діяльність та обсяг чинних правових стандартів та законодавства, що діє в цій третій країні. Третя країна повинна забезпечити гарантії забезпечення належного рівня захисту, по суті еквівалентного тому, що надається в межах Союзу, зокрема, коли персональні дані обробляються в одному або декількох конкретних секторах. Зокрема, третя країна повинна забезпечити ефективне незалежне спостереження за захистом даних і забезпечити механізми співпраці з органами захисту даних держав-членів, а суб’єкти даних повинні користуватися ефективними і забезпеченими правами та ефективними адміністративними та судовими рішеннями.
(105) На додаток до міжнародних зобов’язань, взятих третьою країною або міжнародною організацією, Комісія повинна враховувати зобов’язання, що випливають з участі третьої країни або міжнародної організації в багатосторонніх або регіональних системах, зокрема щодо захисту персональних даних, і виконання таких зобов’язань. Зокрема, слід звернути увагу на приєднання третьої країни до Конвенції Ради Європи від 28 січня 1981 року про захист фізичних осіб від автоматизованої обробки персональних даних та Додаткового протоколу до них. Комісія повинна проконсультуватися з Комітетом при оцінці рівня захисту в третіх країнах або міжнародних організаціях.
(106) Комісія повинна стежити за функціонуванням рішень про рівень захисту в третій країні або конкретній території або секторі третьої країни або міжнародної організації і стежити за функціонуванням рішень, прийнятих відповідно до ст 25(6) або статті 26(4) Директиви 95/46/ЄС. У своїх рішеннях щодо адекватності рівня захисту Комісія має забезпечити механізм регулярного перегляду їх функціонування. Цей періодичний огляд повинен проводитися в консультаціях з третьою відповідною країною або міжнародною організацією і повинен враховувати всі відповідні події в третій країні або міжнародній організації. З метою моніторингу та проведення регулярних перевірок Комісія повинна враховувати погляди та висновки Європейського Парламенту та Ради, а також інших відповідних органів та джерел. Комісія повинна у розумні строки оцінити функціонування останніх рішень та повідомити про всі відповідні висновки Комітету у значенні Регламенту (ЄС) No 1493/1999. 182/2011 Європейського Парламенту та Ради (12), як це встановлено цим Регламентом, Європейським парламентом та Радою.
Цей веб-сайт створено за підтримки Європейського Союзу. Зміст цього веб-сайту є відповідальністю Ради повіту Марамуреш і не обов’язково відображає офіційну позицію Європейського Союзу або управлінських структур Спільної операційної програми Румунії та України на 2014-2021 роки.
© 2020-2021 Рада Марамуреша. Всі права захищені.
Контакти:
Адреса: Strada Gheorghe Șincai 46, Baia Mare 430311
телефон : +40 262.212.110
E-mail: office@cjmaramures.ro