Правила о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC (Общие положения о защите данных) ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,
Принимая во внимание Договор о функционировании Европейского Союза и, в частности, его Статью 16,
Принимая во внимание предложение Европейской комиссии,
После передачи проекта законодательного акта национальным парламентам,
Принимая во внимание мнение Европейского экономического и социального комитета ( 1 ) ,
Принимая во внимание мнение Комитета регионов ( 2 ) ,
Действуя в соответствии с обычной законодательной процедурой ( 3 ) ,
В то время как:
(1) | Защита физических лиц в отношении обработки персональных данных является фундаментальным правом. Статья 8 (1) Хартии основных прав Европейского Союза («Хартия») и статья 16 (1) Договора о функционировании Европейского Союза (TFEU) предусматривают, что каждый имеет право на защиту личные данные, касающиеся его или ее. |
(2) | Принципы и правила защиты физических лиц при обработке их персональных данных должны, независимо от их гражданства или места жительства, уважать их основные права и свободы, в частности, их право на защиту персональных данных. Этот Регламент призван содействовать достижению области свободы, безопасности и справедливости и экономического союза, экономическому и социальному прогрессу, укреплению и сближению экономик на внутреннем рынке, а также благополучию физических лиц. |
(3) | Директива 95/46 / EC Европейского парламента и Совета ( 4 ) направлена на гармонизацию защиты основных прав и свобод физических лиц в отношении обработки и обеспечения свободного обмена персональными данными между государствами-членами. |
(4) | Обработка персональных данных должна быть предназначена для обслуживания человечества. Право на защиту персональных данных не является абсолютным правом; он должен рассматриваться в связи с его функцией в обществе и быть сбалансированным с другими основными правами в соответствии с принципом пропорциональности. В этом Регламенте соблюдаются все основные права и соблюдаются свободы и принципы, признанные в Уставе и закрепленные в Договорах, в частности уважение частной и семейной жизни, жилища и общения, защита личных данных, свобода мысли, совести и религии, свобода выражения мнений и информации, свобода ведения бизнеса, право на эффективные средства правовой защиты и справедливое судебное разбирательство, а также культурное, религиозное и языковое разнообразие. |
(5) | Экономическая и социальная интеграция в результате функционирования внутреннего рынка привела к существенному увеличению трансграничных потоков персональных данных. Обмен личными данными между государственными и частными субъектами, включая физических лиц, ассоциации и предприятия по всему Союзу, расширился. В соответствии с законодательством Союза национальные органы власти в государствах-членах должны сотрудничать и обмениваться личными данными, чтобы иметь возможность выполнять свои обязанности или выполнять задачи от имени органа в другом государстве-члене. |
(6) | Быстрые технологические разработки и глобализация поставили новые задачи по защите персональных данных. Масштабы сбора и обмена персональными данными значительно возросли. Технология позволяет частным компаниям и государственным органам использовать личные данные в беспрецедентных масштабах для осуществления своей деятельности. Физические лица все чаще делают личную информацию общедоступной и глобальной. Технологии изменили как экономику, так и социальную жизнь, и должны еще больше способствовать свободному потоку персональных данных внутри Союза и их передаче в третьи страны и международные организации, обеспечивая при этом высокий уровень защиты персональных данных. |
(7) | Эти события требуют сильной и более последовательной системы защиты данных в Союзе, подкрепленной сильным правоприменением, учитывая важность создания доверия, которое позволит цифровой экономике развиваться на внутреннем рынке. Физические лица должны иметь контроль над своими личными данными. Юридическая и практическая определенность для физических лиц, субъектов экономической деятельности и органов государственной власти должна быть усилена |
(8) | В тех случаях, когда этот Регламент предусматривает спецификации или ограничения его правил в соответствии с законодательством государств-членов, государства-члены могут, насколько это необходимо для обеспечения согласованности и придания национальным положениям понятности для лиц, к которым они применяются, включать элементы настоящего Регламента в свое национальное законодательство. , |
(9) | Цели и принципы Директивы 95/46 / ЕС остаются здравыми, но это не предотвратило фрагментации при внедрении защиты данных в рамках Союза, правовой неопределенности или широко распространенного общественного мнения о том, что существуют значительные риски для защиты физических лиц, в особенно в отношении онлайн-активности. Различия в уровне защиты прав и свобод физических лиц, в частности права на защиту персональных данных, в отношении обработки персональных данных в государствах-членах могут препятствовать свободному распространению персональных данных на всей территории Союза. Следовательно, эти различия могут стать препятствием для осуществления экономической деятельности на уровне Союза, исказить конкуренцию и помешать органам власти выполнять свои обязанности в соответствии с законодательством Союза. |
(10) | Чтобы обеспечить постоянный и высокий уровень защиты физических лиц и устранить препятствия для потоков персональных данных в рамках Союза, уровень защиты прав и свобод физических лиц в отношении обработки таких данных должен быть эквивалентен во всех государствах-членах. На всей территории Союза должно быть обеспечено последовательное и единообразное применение правил защиты основных прав и свобод физических лиц в отношении обработки персональных данных. Относительно обработки персональных данных для соответствия законному обязательству, для выполнения задачи, выполняемой в общественных интересах или в исполнении официальных полномочий, предоставленных контролеру, Государствам-членам должно быть разрешено сохранять или вводить национальные положения для дальнейшего уточнения применения правил настоящего Регламента. В сочетании с общим и горизонтальным законом о защите данных, реализующим директиву 95/46 / ЕС, государства-члены имеют несколько отраслевых законов в областях, где требуются более конкретные положения. Этот Регламент также предоставляет государствам-членам свободу маневра для определения его правил, в том числе для обработки специальных категорий персональных данных («конфиденциальных данных»). В этом отношении настоящий Регламент не исключает права государств-членов, которые устанавливают обстоятельства для конкретных ситуаций обработки, включая более точное определение условий, при которых обработка персональных данных является законной. В сочетании с общим и горизонтальным законом о защите данных, реализующим директиву 95/46 / ЕС, государства-члены имеют несколько отраслевых законов в областях, где требуются более конкретные положения. Этот Регламент также предоставляет государствам-членам свободу маневра для определения его правил, в том числе для обработки специальных категорий персональных данных («конфиденциальных данных»). В этом отношении настоящий Регламент не исключает права государств-членов, которые устанавливают обстоятельства для конкретных ситуаций обработки, включая более точное определение условий, при которых обработка персональных данных является законной. В сочетании с общим и горизонтальным законом о защите данных, реализующим директиву 95/46 / ЕС, государства-члены имеют несколько отраслевых законов в областях, где требуются более конкретные положения. Этот Регламент также предоставляет государствам-членам свободу маневра для определения его правил, в том числе для обработки специальных категорий персональных данных («конфиденциальных данных»). В этом отношении настоящий Регламент не исключает права государств-членов, которые устанавливают обстоятельства для конкретных ситуаций обработки, включая более точное определение условий, при которых обработка персональных данных является законной. в том числе для обработки специальных категорий персональных данных («конфиденциальные данные»). В этом отношении настоящий Регламент не исключает права государств-членов, которые устанавливают обстоятельства для конкретных ситуаций обработки, включая более точное определение условий, при которых обработка персональных данных является законной. в том числе для обработки специальных категорий персональных данных («конфиденциальные данные»). В этом отношении настоящий Регламент не исключает права государств-членов, которые устанавливают обстоятельства для конкретных ситуаций обработки, включая более точное определение условий, при которых обработка персональных данных является законной. |
(11) | Эффективная защита персональных данных на всей территории Союза требует усиления и детального изложения прав субъектов данных и обязательств тех, кто обрабатывает и определяет обработку персональных данных, а также эквивалентных полномочий по мониторингу и обеспечению соблюдения правил. для защиты персональных данных и эквивалентных санкций за нарушения в государствах-членах. |
(12) | Статья 16 (2) TFEU уполномочивает Европейский парламент и Совет устанавливать правила, касающиеся защиты физических лиц в отношении обработки персональных данных, и правила, касающиеся свободного перемещения личных данных. |
(13) | Надлежащее функционирование внутреннего рынка требует, чтобы свободное перемещение личных данных внутри Союза не было ограничено или запрещено по причинам, связанным с защитой физических лиц в отношении обработки личных данных. Чтобы учесть особую ситуацию микро-, малых и средних предприятий, этот Регламент предусматривает отступления для организаций, в которых менее 250 сотрудников, в отношении ведения учета. Кроме того, учреждениям и органам Союза, а также государствам-членам и их надзорным органам рекомендуется учитывать конкретные потребности микро-, малых и средних предприятий при применении настоящего Регламента. Понятие микро, малых и средних предприятий должно основываться на статье 2 Приложения к Рекомендации Комиссии 2003/361 / ЕС Чтобы принять во внимание специфическое положение микро-, малых и средних предприятий, этот Регламент включает отступления для организаций, в которых менее 250 сотрудников, в отношении ведения учета. Кроме того, учреждениям и органам Союза, а также государствам-членам и их надзорным органам рекомендуется учитывать конкретные потребности микро-, малых и средних предприятий при применении настоящего Регламента. Понятие микро, малых и средних предприятий должно основываться на статье 2 Приложения к Рекомендации Комиссии 2003/361 / ЕС. Чтобы принять во внимание специфическое положение микро-, малых и средних предприятий, этот Регламент включает отступления для организаций, в которых менее 250 сотрудников, в отношении ведения учета. Кроме того, учреждениям и органам Союза, а также государствам-членам и их надзорным органам рекомендуется учитывать конкретные потребности микро-, малых и средних предприятий при применении настоящего Регламента. Понятие микро, малых и средних предприятий должно основываться на статье 2 Приложения к Рекомендации Комиссии 2003/361 / ЕС. Рекомендуется учитывать конкретные потребности микро-, малых и средних предприятий при применении настоящего Регламента. Понятие микро, малых и средних предприятий должно основываться на статье 2 Приложения к Рекомендации Комиссии 2003/361 / ЕС. Рекомендуется учитывать конкретные потребности микро-, малых и средних предприятий при применении настоящего Регламента. Понятие микро, малых и средних предприятий должно основываться на статье 2 Приложения к Рекомендации Комиссии 2003/361 / ЕС. ( 5 ) . |
(14) | Защита, предоставляемая настоящим Регламентом, должна применяться к физическим лицам независимо от их национальности или места жительства в отношении обработки их персональных данных. Настоящий Регламент не распространяется на обработку персональных данных, касающихся юридических лиц и, в частности, предприятий, созданных в качестве юридических лиц, включая имя и форму юридического лица, а также контактные данные юридического лица. |
(15) | Чтобы предотвратить создание серьезного риска обхода, защита физических лиц должна быть технологически нейтральной и не должна зависеть от используемых методов. Защита физических лиц должна применяться к обработке персональных данных автоматизированными средствами, а также к ручной обработке, если персональные данные содержатся или предназначены для хранения в системе регистрации. Файлы или наборы файлов, а также их титульные страницы, которые не структурированы в соответствии с конкретными критериями, не должны входить в сферу применения настоящего Регламента. |
(16) | Настоящий Регламент не применяется к вопросам защиты основных прав и свобод или свободному потоку персональных данных, связанных с деятельностью, которая выходит за рамки законодательства Союза, например с деятельностью, касающейся национальной безопасности. Настоящий Регламент не распространяется на обработку персональных данных государствами-членами при осуществлении деятельности, связанной с общей внешней политикой и политикой безопасности Союза. |
(17) | Регламент (ЕС) № 45/2001 Европейского парламента и Совета ( 6 ) применяется к обработке персональных данных учреждениями, органами, учреждениями и агентствами Союза. Регламент (ЕС) № 45/2001 и другие правовые акты Союза, применимые к такой обработке персональных данных, должны быть адаптированы к принципам и правилам, установленным в настоящем Регламенте и применяемым в свете настоящего Регламента. Чтобы обеспечить надежную и согласованную структуру защиты данных в Союзе, после принятия этого Регламента должны следовать необходимые изменения Регламента (ЕС) № 45/2001, чтобы обеспечить возможность их применения одновременно с настоящим Регламентом. |
(18) | Настоящий Регламент не применяется к обработке персональных данных физическим лицом в ходе чисто личной или семейной деятельности и, следовательно, без связи с профессиональной или коммерческой деятельностью. Личные или домашние действия могут включать переписку и хранение адресов, а также социальные сети и онлайн-действия, предпринимаемые в контексте таких действий. Однако этот Регламент применяется к контролерам или обработчикам, которые предоставляют средства для обработки персональных данных для такой личной или домашней деятельности. |
(19) | Защита физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, выявления или преследования за совершение уголовных преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и их предотвращение и свободное перемещение таких данных, является предметом конкретного правового акта Союза. Следовательно, настоящий Регламент не должен применяться к процессам обработки для этих целей. Однако персональные данные, обрабатываемые государственными органами в соответствии с настоящим Регламентом, должны, при использовании в этих целях, регулироваться более конкретным правовым актом Союза, а именно Директивой (ЕС) 2016/680 Европейского парламента и Совета ( 7 )., Государства-члены могут поручить компетентным органам по смыслу Директивы (ЕС) 2016/680 выполнять задачи, которые необязательно выполняются в целях предотвращения, расследования, выявления или судебного преследования за совершение уголовных преступлений или исполнения уголовных наказаний, включая защиту противодействие угрозам общественной безопасности и их предотвращение, с тем чтобы обработка персональных данных для этих других целей в той мере, в какой это входит в сферу действия законодательства Союза, подпадает под действие настоящего Регламента.Что касается обработки персональных данных этими компетентными органами в целях, подпадающих под действие настоящего Регламента, государства-члены должны иметь возможность поддерживать или вводить более конкретные положения для адаптации применения правил настоящего Регламента. Такие положения могут более точно определять конкретные требования к обработке персональных данных этими компетентными органами для этих других целей с учетом конституционной, организационной и административной структуры соответствующего государства-члена. Когда обработка персональных данных частными органами подпадает под действие настоящего Регламента, этот Регламент должен предусматривать возможность для государств-членов при определенных условиях ограничивать законом определенные обязательства и права, когда такое ограничение представляет собой необходимую и соразмерную меру в демократическом обществе для защиты конкретных важных интересов, включая общественную безопасность и предотвращение, расследование, обнаружение или преследование за совершение уголовных преступлений или исполнение уголовных наказаний, включая защиту и предотвращение угроз общественной безопасности. Это относится, например, к борьбе с отмыванием денег или к деятельности судебно-медицинских лабораторий. включая защиту от и предотвращение угроз общественной безопасности. Это относится, например, к борьбе с отмыванием денег или к деятельности судебно-медицинских лабораторий. включая защиту от и предотвращение угроз общественной безопасности. Это относится, например, к борьбе с отмыванием денег или к деятельности судебно-медицинских лабораторий. |
(20) | Хотя настоящий Регламент применяется, в частности, к деятельности судов и других судебных органов, в законодательстве Союза или государства-члена могут быть определены операции обработки и процедуры обработки в отношении обработки персональных данных судами и другими судебными органами. Компетенция надзорных органов не должна охватывать обработку персональных данных, когда суды действуют в своем судебном качестве, чтобы гарантировать независимость судебной власти при выполнении ее судебных задач, включая принятие решений. Должна быть возможность поручить надзор за такими операциями обработки данных конкретным органам судебной системы государства-члена, которые должны, в частности, обеспечить соблюдение правил настоящего Регламента, |
(21) | Этот Регламент не наносит ущерба применению Директивы 2000/31 / EC Европейского Парламента и Совета ( 8 ) , в частности, правил ответственности поставщиков услуг-посредников в статьях 12-15 этой Директивы. Эта Директива направлена на содействие надлежащему функционированию внутреннего рынка путем обеспечения свободного перемещения услуг информационного общества между государствами-членами. |
(22) | Любая обработка персональных данных в контексте деятельности учреждения контролера или процессора в Союзе должна осуществляться в соответствии с настоящим Регламентом независимо от того, происходит ли сама обработка в рамках Союза. Создание предполагает эффективное и реальное осуществление деятельности через стабильные договоренности. Юридическая форма таких соглашений, будь то через филиал или дочернюю компанию с правосубъектностью, не является определяющим фактором в этом отношении. |
(23) | Для обеспечения того, чтобы физические лица не были лишены защиты, на которую они имеют право в соответствии с настоящим Регламентом, обработка персональных данных субъектов данных, находящихся в Союзе, контролером или процессором, не учрежденным в Союзе, должна подлежать этот Регламент, где действия по обработке связаны с предложением товаров или услуг таким субъектам данных независимо от того, связаны ли они с платежом. Чтобы определить, предлагает ли такой контроллер или процессор товары или услуги субъектам данных, которые находятся в Союзе, следует выяснить, не очевидно ли, что контроллер или процессор предполагает предоставление услуг субъектам данных в одном или нескольких государствах-членах в Союз. Принимая во внимание, что простая доступность веб-сайта контролера, процессора или посредника в Союзе, |
(24) | Обработка персональных данных субъектов данных, находящихся в Союзе, контроллером или процессором, не учрежденным в Союзе, также должна регулироваться настоящим Регламентом, если он связан с мониторингом поведения таких субъектов данных в части их поведения. происходит в рамках Союза. Чтобы определить, можно ли рассматривать процесс обработки для мониторинга поведения субъектов данных, следует выяснить, отслеживаются ли физические лица в Интернете, включая потенциальное последующее использование методов обработки персональных данных, которые включают профилирование физического лица, особенно в приказ принимать решения, касающиеся ее или его или для анализа или прогнозирования ее или его личных предпочтений, поведения и отношений. |
(25) | В тех случаях, когда законодательство государства-члена применяется на основании публичного международного права, настоящий Регламент должен также применяться к контролеру, не учрежденному в Союзе, например в дипломатическом представительстве или консульском учреждении государства-члена. |
(26) | Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Персональные данные, подвергшиеся псевдонимизации, которые могут быть приписаны физическому лицу путем использования дополнительной информации, должны рассматриваться как информация об идентифицируемом физическом лице. Чтобы определить, является ли физическое лицо идентифицируемым, необходимо принять во внимание все средства, которые, вероятно, будут использоваться, такие как выделение, либо контролером, либо другим лицом для прямой или косвенной идентификации физического лица. Чтобы выяснить, насколько разумно вероятно использовать средства для идентификации физического лица, следует принять во внимание все объективные факторы, такие как затраты и время, необходимое для идентификации, принимая во внимание имеющиеся технологии во время обработки и технологических разработок. Поэтому принципы защиты данных не должны применяться к анонимной информации, а именно к информации, которая не относится к идентифицированному или идентифицируемому физическому лицу или к персональным данным, предоставляемым анонимно таким образом, что субъект данных не является или более не идентифицируется. Поэтому настоящий Регламент не касается обработки такой анонимной информации, в том числе для статистических или исследовательских целей. а именно, информация, которая не относится к идентифицированному или идентифицируемому физическому лицу или к персональным данным, предоставленным анонимно таким образом, что субъект данных не является или более не может быть идентифицирован. Поэтому настоящий Регламент не касается обработки такой анонимной информации, в том числе для статистических или исследовательских целей. а именно, информация, которая не относится к идентифицированному или идентифицируемому физическому лицу или к персональным данным, предоставленным анонимно таким образом, что субъект данных не является или более не может быть идентифицирован. Поэтому настоящий Регламент не касается обработки такой анонимной информации, в том числе для статистических или исследовательских целей. |
(27) | Настоящий Регламент не распространяется на персональные данные умерших лиц. Государства-члены могут предусмотреть правила обработки персональных данных умерших лиц. |
(28) | Применение псевдонима к персональным данным может снизить риски для соответствующих субъектов данных и помочь контролерам и обработчикам выполнить свои обязательства по защите данных. Явное введение «псевдонима» в этом Регламенте не имеет целью исключить какие-либо другие меры защиты данных. |
(29) | В целях создания стимулов для применения псевдонимизации при обработке персональных данных меры псевдонима должны, хотя и позволяют общий анализ, быть возможными в рамках одного и того же контролера, когда этот контролер принял технические и организационные меры, необходимые для обеспечения, для соответствующей обработки, что настоящие Правила и дополнительная информация для отнесения персональных данных к конкретному субъекту данных хранится отдельно. Контролер, обрабатывающий личные данные, должен указать уполномоченных лиц в том же контроллере. |
(30) | Физические лица могут быть связаны с онлайн-идентификаторами, предоставляемыми их устройствами, приложениями, инструментами и протоколами, такими как адреса интернет-протоколов, идентификаторы файлов cookie или другие идентификаторы, такие как теги радиочастотной идентификации. Это может оставить следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, получаемой серверами, могут использоваться для создания профилей физических лиц и их идентификации. |
(31) | Государственные органы, которым раскрываются персональные данные в соответствии с юридическим обязательством по выполнению их официальной миссии, такие как налоговые и таможенные органы, органы финансового расследования, независимые административные органы или органы финансового рынка, отвечающие за регулирование и надзор за рынками ценных бумаг не должны рассматриваться как получатели, если они получают персональные данные, которые необходимы для проведения конкретного запроса в общих интересах в соответствии с законодательством Союза или государства-члена. Запросы на раскрытие, направляемые государственными органами, всегда должны быть в письменном виде, аргументированными и случайными и не должны касаться всей системы регистрации или приводить к взаимосвязи систем регистрации. |
(32) | Согласие должно быть дано четким положительным актом, устанавливающим свободно предоставленное, конкретное, информированное и недвусмысленное указание на согласие субъекта данных на обработку относящихся к нему персональных данных, таких как письменное заявление, в том числе с помощью электронных средств, или устное заявление. Это может включать отметку во время посещения веб-сайта в Интернете, выбор технических параметров для услуг информационного общества или другое заявление или поведение, которое четко указывает в этом контексте на принятие субъектом данных предполагаемой обработки его или ее личных данных. Поэтому молчание, заранее помеченные ячейки или бездействие не должны являться согласием. Согласие должно охватывать все действия по обработке, выполняемые для той же цели или целей. Когда обработка имеет несколько целей, необходимо дать согласие на все из них. |
(33) | Часто во время сбора данных невозможно полностью определить цель обработки персональных данных для целей научных исследований. Следовательно, субъекты данных должны иметь возможность давать свое согласие на определенные области научных исследований в соответствии с признанными этическими стандартами для научных исследований. Субъекты данных должны иметь возможность дать свое согласие только на определенные области исследований или части исследовательских проектов в той степени, в которой это предусмотрено предполагаемой целью. |
(34) | Генетические данные должны быть определены как личные данные, относящиеся к унаследованным или приобретенным генетическим характеристикам физического лица, которые являются результатом анализа биологического образца от данного физического лица, в частности хромосомной, дезоксирибонуклеиновой кислоты (ДНК) или рибонуклеиновой кислоты (РНК). ) анализ или из анализа другого элемента, позволяющего получить эквивалентную информацию. |
(35) | Личные данные, касающиеся здоровья, должны включать все данные, относящиеся к состоянию здоровья субъекта данных, которые раскрывают информацию, касающуюся прошлого, текущего или будущего состояния физического или психического здоровья субъекта данных. Это включает в себя информацию о физическом лице, собранную в ходе регистрации или оказания медицинских услуг, как указано в Директиве 2011/24 / EU Европейского парламента и Совета ( 9 )этому физическому лицу; номер, символ или конкретный номер, присвоенный физическому лицу для однозначной идентификации физического лица в медицинских целях; информация, полученная в результате тестирования или исследования части тела или телесного вещества, в том числе из генетических данных и биологических образцов; и любую информацию, например, о заболевании, инвалидности, риске заболевания, истории болезни, клиническом лечении или физиологическом или биомедицинском состоянии субъекта данных независимо от его источника, например, от врача или другого медицинского работника, больницы, медицинское устройство или диагностический тест in vitro. |
(36) | Основным учреждением контролера в Союзе должно быть место его центральной администрации в Союзе, если решения о целях и способах обработки персональных данных не принимаются в другом учреждении контролера в Союзе, и в этом случае это другое учреждение следует считать основным учреждением. Основное учреждение контролера в Союзе должно определяться в соответствии с объективными критериями и должно подразумевать эффективное и реальное осуществление управленческой деятельности, определяющей основные решения в отношении целей и средств обработки посредством стабильных соглашений. Этот критерий не должен зависеть от того, осуществляется ли обработка персональных данных в этом месте. Наличие и использование технических средств и технологий для обработки персональных данных или действий по обработке сами по себе не являются основным учреждением и, следовательно, не определяют критерии для основного учреждения. Основным учреждением, занимающимся обработкой, должно быть место его центральной администрации в Союзе или, если у него нет центральной администрации в Союзе, место, где осуществляется основная обработка в Союзе. В случаях, касающихся как контроллера, так и процессора, компетентный ведущий надзорный орган должен оставаться надзорным органом государства-члена, в котором контролер имеет свое основное учреждение, но орган надзора за обработчиком следует рассматривать как соответствующий орган надзора, и этот орган надзора должен участвовать в процедуре сотрудничества, предусмотренной настоящим Регламентом. В любом случае, надзорные органы государства-члена или государств-членов, в которых у перерабатывающего предприятия имеется одно или несколько предприятий, не должны рассматриваться как соответствующие надзорные органы, если проект решения касается только контролера. Если обработка выполняется группой предприятий, основным учреждением контролирующего предприятия следует считать основное учреждение группы предприятий, за исключением случаев, когда цели и средства обработки определяются другим предприятием. надзорные органы государства-члена или государств-членов, в которых у перерабатывающего предприятия имеется одно или несколько предприятий, не должны рассматриваться в качестве соответствующих надзорных органов, если проект решения касается только контролера. Если обработка выполняется группой предприятий, основным учреждением контролирующего предприятия следует считать основное учреждение группы предприятий, за исключением случаев, когда цели и средства обработки определяются другим предприятием. надзорные органы государства-члена или государств-членов, в которых у перерабатывающего предприятия имеется одно или несколько предприятий, не должны рассматриваться в качестве соответствующих надзорных органов, если проект решения касается только контролера. Если обработка выполняется группой предприятий, основным учреждением контролирующего предприятия следует считать основное учреждение группы предприятий, за исключением случаев, когда цели и средства обработки определяются другим предприятием. |
(37) | Группа предприятий должна охватывать контролирующее предприятие и его контролируемые предприятия, причем контролирующее предприятие должно быть предприятием, которое может оказывать доминирующее влияние на другие предприятия в силу, например, права собственности, финансового участия или правил, которые его регулируют или возможность применять правила защиты личных данных. Предприятие, которое контролирует обработку персональных данных на предприятиях, связанных с ним, следует рассматривать вместе с этими предприятиями как группу предприятий. |
(38) | Дети заслуживают особой защиты в отношении своих персональных данных, так как они могут быть менее осведомлены о рисках, последствиях и гарантиях, а также о своих правах в отношении обработки персональных данных. Такая конкретная защита должна, в частности, применяться к использованию персональных данных детей в целях маркетинга или создания личных или пользовательских профилей и сбора персональных данных в отношении детей при использовании услуг, предлагаемых непосредственно ребенку. Согласие владельца родительской ответственности не должно быть необходимым в контексте профилактических или консультационных услуг, предлагаемых непосредственно ребенку. |
(39) | Любая обработка персональных данных должна быть законной и справедливой. Для физических лиц должно быть прозрачно, что персональные данные, касающиеся их, собираются, используются, проверяются или обрабатываются иным образом, и в какой степени персональные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любая информация и сообщения, связанные с обработкой этих персональных данных, были легко доступны и понятны, а также использовался ясный и понятный язык. Этот принцип касается, в частности, информации для субъектов данных о личности контролера и целях обработки, а также дополнительной информации для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и передачу личных данных. данные о них, которые обрабатываются. Физические лица должны быть осведомлены о рисках, правилах, гарантиях и правах в отношении обработки персональных данных и о том, как осуществлять свои права в отношении такой обработки. В частности, конкретные цели, для которых обрабатываются персональные данные, должны быть явными, законными и определенными во время сбора персональных данных. Персональные данные должны быть адекватными, актуальными и ограниченными тем, что необходимо для целей, для которых они обрабатываются. Это требует, в частности, обеспечения того, чтобы период хранения персональных данных был ограничен строгим минимумом. Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть разумно выполнена другими способами. Для того, чтобы личные данные не хранились дольше, чем необходимо, Сроки должны быть установлены контроллером для стирания или для периодического пересмотра. Следует предпринять все разумные меры для обеспечения того, чтобы неточные личные данные были исправлены или удалены. Персональные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность и конфиденциальность персональных данных, в том числе для предотвращения несанкционированного доступа или использования персональных данных и оборудования, используемого для обработки. |
(40) | Для того чтобы обработка была законной, персональные данные должны обрабатываться на основе согласия соответствующего субъекта данных или какой-либо другой законной основы, установленной законом, либо в настоящем Регламенте, либо в другом законодательстве Союза или государства-члена, как указано в в этом Регламенте, включая необходимость соблюдения юридического обязательства, которому подчиняется контролер, или необходимость выполнения контракта, участником которого является субъект данных, или для принятия мер по запросу субъекта данных до заключение договора. |
(41) | В тех случаях, когда этот Регламент ссылается на правовую основу или законодательную меру, это не обязательно требует законодательного акта, принятого парламентом, без ущерба для требований в соответствии с конституционным порядком соответствующего государства-члена. Тем не менее, такая правовая основа или законодательная мера должны быть четкими и точными, и их применение должно быть предсказуемым для лиц, подпадающих под него, в соответствии с прецедентным правом Суда Европейского Союза («Суд справедливости») и Европейский суд по правам человека. |
(42) | Если обработка основана на согласии субъекта данных, контроллер должен иметь возможность продемонстрировать, что субъект данных дал согласие на операцию обработки. В частности, в контексте письменного заявления по другому вопросу, гарантии должны гарантировать, что субъект данных осведомлен о факте и степени, в которой дается согласие. В соответствии с Директивой Совета 93/13 / EEC ( 10 )Заявление о согласии, предварительно сформулированное контролером, должно быть предоставлено в понятной и легкодоступной форме, используя ясные и понятные формулировки, и не должно содержать несправедливых терминов. Для получения согласия субъект информации должен знать, по крайней мере, личность контроллера и цели обработки, для которой предназначены личные данные. Согласие не должно рассматриваться как предоставленное свободно, если субъект данных не имеет подлинного или свободного выбора или не может отказаться или отозвать согласие без ущерба. |
(43) | Чтобы гарантировать, что согласие дается свободно, согласие не должно обеспечивать законное основание для обработки персональных данных в конкретном случае, когда существует явный дисбаланс между субъектом данных и контроллером, в частности, когда контроллер является публичным власти, и поэтому маловероятно, чтобы согласие было свободно дано при всех обстоятельствах этой конкретной ситуации. Предполагается, что согласие не дается свободно, если оно не позволяет давать отдельное согласие на различные операции по обработке персональных данных, несмотря на то, что это уместно в конкретном случае, или если выполнение договора, включая предоставление услуги, зависит на согласие, несмотря на такое согласие не является необходимым для такого исполнения. |
(44) | Обработка должна быть законной, если это необходимо в контексте договора или намерения заключить договор. |
(45) | Если обработка выполняется в соответствии с юридическим обязательством, которому подчиняется контролер, или если обработка необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, обработка должна основываться на Союзе. или закон государства-члена. Этот Регламент не требует конкретного закона для каждой отдельной обработки. Закон в качестве основы для нескольких операций обработки, основанных на юридическом обязательстве, которому подчиняется контролер, или в тех случаях, когда обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, может быть достаточной. Кроме того, закон Союза или государства-члена должен определять цель обработки. Более того, этот закон мог бы определять общие условия настоящего Регламента, регулирующие законность обработки персональных данных, устанавливать спецификации для определения контроллера, тип персональных данных, подлежащих обработке, субъекты данных, субъекты, к которым могут относиться персональные данные раскрываются цели ограничения, срок хранения и другие меры по обеспечению законной и справедливой обработки. Законодательство Союза или государства-члена также должно определить, должен ли контролер, выполняющий задачу, выполняемую в общественных интересах, или при исполнении официальных полномочий, быть государственным органом или другим физическим или юридическим лицом, регулируемым публичным правом, или, если это отвечает общественным интересам, в том числе в целях здравоохранения, таких как общественное здравоохранение и социальная защита, а также управление службами здравоохранения, |
(46) | Обработка персональных данных также должна считаться законной, если это необходимо для защиты интересов, существенных для жизни субъекта данных или другого физического лица. Обработка персональных данных, основанная на жизненно важных интересах другого физического лица, в принципе должна осуществляться только тогда, когда обработка не может быть явно основана на другой правовой основе. Некоторые виды обработки могут служить как важным основанием, представляющим общественный интерес, так и жизненно важными интересами субъекта данных, например, когда обработка необходима для гуманитарных целей, в том числе для мониторинга эпидемий и их распространения, или в ситуациях чрезвычайных гуманитарных ситуаций, в частности в ситуациях природные и техногенные катастрофы. |
(47) | Законные интересы контролера, включая интересы контролера, которому могут быть раскрыты персональные данные, или третьей стороны, могут обеспечить правовую основу для обработки при условии, что интересы или основные права и свободы субъекта данных являются не переопределяя, принимая во внимание разумные ожидания субъектов данных, основанные на их отношениях с контроллером. Такой законный интерес может существовать, например, когда существует релевантная и соответствующая связь между субъектом данных и контроллером в ситуациях, например, когда субъект данных является клиентом или в службе контроллера. В любом случае наличие законного интереса потребует тщательной оценки, в том числе того, может ли субъект данных разумно ожидать в то время и в контексте сбора персональных данных, что обработка для этой цели может иметь место. Интересы и основные права субъекта данных могут, в частности, перекрывать интересы контроллера данных, когда персональные данные обрабатываются в обстоятельствах, когда субъекты данных не ожидают дальнейшей обработки. С учетом того, что законодатель должен законодательно предусмотреть правовую основу для обработки государственными органами персональных данных, эта правовая основа не должна применяться к обработке государственными органами при выполнении их задач. Обработка персональных данных, строго необходимая для предотвращения мошенничества, также представляет законный интерес соответствующего контроллера данных. Обработка персональных данных в целях прямого маркетинга может рассматриваться как осуществляемая для законного интереса. |
(48) | Контролеры, являющиеся частью группы предприятий или учреждений, связанных с центральным органом, могут иметь законную заинтересованность в передаче личных данных внутри группы предприятий для внутренних административных целей, включая обработку личных данных клиентов или сотрудников. Общие принципы передачи персональных данных в рамках группы предприятий организации, расположенной в третьей стране, остаются в силе. |
(49) | Обработка персональных данных в степени, строго необходимой и соразмерной для целей обеспечения сетевой и информационной безопасности, то есть способности сети или информационной системы противостоять на определенном уровне доверия случайным событиям или незаконным или злонамеренным действиям, которые поставить под угрозу доступность, подлинность, целостность и конфиденциальность хранимых или передаваемых личных данных, а также безопасность связанных с ними услуг, предлагаемых или доступных через эти сети и системы государственными органами, группами компьютерного реагирования на чрезвычайные ситуации (CERT), компьютерной безопасностью Группы реагирования на инциденты (CSIRT), провайдерами сетей и услуг электронных коммуникаций и провайдерами технологий и услуг безопасности, представляют законный интерес соответствующего контроллера данных. Это может, например, |
(50) | Обработка персональных данных в целях, отличных от тех, для которых персональные данные были первоначально собраны, должна разрешаться только в том случае, если обработка совместима с целями, для которых персональные данные были первоначально собраны. В таком случае не требуется никакой правовой основы, отдельной от той, которая позволила сбор личных данных. Если обработка необходима для выполнения задачи, выполняемой в общественных интересах или для осуществления официальных полномочий, предоставленных контролеру, законодательство Союза или государства-члена может определять и указывать задачи и цели, для которых должна рассматриваться дальнейшая обработка. как совместимый и законный. Дальнейшая обработка для целей архивирования в общественных интересах, научные или исторические исследовательские или статистические цели должны рассматриваться как совместимые законные операции обработки. Правовая основа, предусмотренная законодательством Союза или государства-члена для обработки персональных данных, может также обеспечить правовую основу для дальнейшей обработки. Чтобы выяснить, совместима ли цель дальнейшей обработки с целью, для которой первоначально собирались персональные данные, контроллер, выполнив все требования законности первоначальной обработки, должен учитывать, среди прочего: связь между этими целями и целями предполагаемой дальнейшей обработки; контекст, в котором собраны персональные данные, в частности разумные ожидания субъектов данных на основе их отношений с контроллером в отношении их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки для субъектов данных; и наличие соответствующих гарантий как в исходных, так и в предполагаемых дальнейших операциях обработки.Если субъект данных дал согласие или обработка основана на законодательстве Союза или государства-члена, которое представляет собой необходимую и соразмерную меру в демократическом обществе для защиты, в частности, важных целей, представляющих общественный интерес, контролеру следует разрешить дальнейшую обработку персональные данные независимо от совместимости целей. В любом случае должно быть обеспечено применение принципов, изложенных в настоящем Регламенте, и, в частности, информация субъекта данных об этих других целях и о его или ее правах, включая право на возражение. Указание возможных преступных действий или угроз общественной безопасности со стороны контролера и передача соответствующих личных данных в отдельных случаях или в нескольких случаях, связанных с одним и тем же преступным действием или угрозами общественной безопасности, компетентному органу должны рассматриваться как отвечающие законным интересам, преследуемым контроллером. Однако такая передача в законных интересах контроллера или дальнейшая обработка персональных данных должна быть запрещена, если обработка не совместима с юридическим, профессиональным или другим обязывающим обязательством секретности. |
(51) | Персональные данные, которые по своей природе особенно чувствительны в отношении основных прав и свобод, заслуживают особой защиты, поскольку контекст их обработки может создавать значительные риски для основных прав и свобод. Эти персональные данные должны включать персональные данные, раскрывающие расовое или этническое происхождение, в связи с чем использование термина «расовое происхождение» в настоящих Правилах не подразумевает принятия Союзом теорий, которые пытаются определить существование отдельных человеческих рас. Систематическая обработка фотографий не должна систематически рассматриваться как обработка специальных категорий персональных данных, поскольку они охватываются определением биометрических данных только в тех случаях, когда они обрабатываются специальными техническими средствами, позволяющими уникальную идентификацию или аутентификацию физического лица. Такие персональные данные не должны обрабатываться, если только обработка не разрешена в конкретных случаях, указанных в настоящих Правилах, с учетом того, что в законодательстве государств-членов могут содержаться конкретные положения о защите данных для адаптации применения правил настоящего Регламента к соблюдению. с юридическим обязательством или для выполнения задачи, выполняемой в общественных интересах, или для осуществления официальных полномочий, возложенных на контролера. Помимо особых требований к такой обработке, должны применяться общие принципы и другие правила настоящего Регламента, в частности, что касается условий законной обработки. Отступления от общего запрета на обработку таких специальных категорий персональных данных должны быть прямо указаны, среди прочего, |
(52) | Отступление от запрета на обработку специальных категорий персональных данных также должно быть разрешено, если это предусмотрено законодательством Союза или государства-члена и при условии соблюдения надлежащих гарантий, с тем чтобы защитить персональные данные и другие основные права, если это отвечает общественным интересам. так, в частности, обработка персональных данных в области трудового права, законодательства о социальной защите, включая пенсии и в целях обеспечения безопасности здоровья, мониторинга и оповещения, предотвращения или контроля инфекционных заболеваний и других серьезных угроз для здоровья. Такое отступление может быть сделано в целях здравоохранения, включая здравоохранение и управление службами здравоохранения, особенно для обеспечения качества и экономической эффективности процедур, используемых для урегулирования претензий в отношении пособий и услуг в системе медицинского страхования, или для целей архивирования в общественных интересах, научных или исторических исследованиях или статистических целях. Отступы также должны позволять обработку таких персональных данных, когда это необходимо для установления, осуществления или защиты судебных исков, будь то в ходе судебного разбирательства или в административном или внесудебном порядке. |
(53) | основаны на законодательстве Союза или государства-члена, которое должно отвечать интересам общества, а также на исследованиях, проводимых в интересах общества в области общественного здравоохранения. Таким образом, этот Регламент должен предусматривать согласованные условия для обработки особых категорий персональных данных, касающихся здоровья, в отношении конкретных потребностей, в частности, когда обработка таких данных осуществляется для определенных связанных со здоровьем целей лицами, на которых распространяется действие закона. обязанность профессиональной тайны. Законодательство Союза или государства-члена должно предусматривать конкретные и подходящие меры для защиты основных прав и личных данных физических лиц. Государствам-членам должно быть разрешено поддерживать или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья. |
(54) | Обработка специальных категорий персональных данных может быть необходима по причинам общественного интереса в областях общественного здравоохранения без согласия субъекта данных. На такую обработку должны распространяться подходящие и конкретные меры для защиты прав и свобод физических лиц. В этом контексте «общественное здравоохранение» следует толковать в соответствии с определением, приведенным в Регламенте (ЕС) № 1338/2008 Европейского парламента и Совета ( 11 )а именно все элементы, относящиеся к здоровью, а именно состояние здоровья, включая заболеваемость и инвалидность, детерминанты, влияющие на это состояние здоровья, потребности в здравоохранении, ресурсы, выделяемые на здравоохранение, предоставление и всеобщий доступ к здравоохранению, а также как расходы и финансирование здравоохранения, так и причины смертности. Такая обработка данных, касающихся здоровья, по причинам, представляющим общественный интерес, не должна приводить к обработке персональных данных для других целей третьими лицами, такими как работодатели или страховые и банковские компании. |
(55) | Кроме того, обработка персональных данных официальными властями с целью достижения целей, установленных конституционным законом или международным публичным правом официально признанных религиозных объединений, осуществляется на основе общественных интересов. |
(56) | Если в ходе избирательной деятельности функционирование демократической системы в государстве-члене требует, чтобы политические партии собирали личные данные о политических убеждениях людей, обработка таких данных может быть разрешена по соображениям общественного интереса при условии установления соответствующих гарантий. , |
(57) | Если персональные данные, обрабатываемые контроллером, не позволяют контролеру идентифицировать физическое лицо, контроллер данных не должен быть обязан получать дополнительную информацию для идентификации субъекта данных с единственной целью соблюдения любого положения настоящего Регламента. Однако контролер не должен отказываться принимать дополнительную информацию, предоставленную субъектом данных, для поддержки реализации его или ее прав. Идентификация должна включать цифровую идентификацию субъекта данных, например, с помощью механизма аутентификации, такого как те же учетные данные, которые используются субъектом данных для входа в онлайн-сервис, предлагаемый контроллером данных. |
(58) | Принцип прозрачности требует, чтобы любая информация, адресованная общественности или субъекту данных, была краткой, легко доступной и понятной, а также использовалась ясная и понятная формулировка и, кроме того, при необходимости, визуализация. Такая информация может быть предоставлена в электронном виде, например, при обращении к общественности через веб-сайт. Это особенно актуально в ситуациях, когда из-за большого количества действующих лиц и технологической сложности практики субъекту данных трудно узнать и понять, кто, с какой целью и с какой целью собирает относящиеся к нему личные данные, такие как в случае интернет-рекламы. Учитывая, что дети заслуживают особой защиты, любая информация и коммуникации, где обработка адресована ребенку, |
(59) | Должны быть предусмотрены условия для облегчения осуществления прав субъекта данных в соответствии с настоящим Регламентом, включая механизмы запроса и, если применимо, бесплатного получения, в частности, доступа и исправления или удаления персональных данных и осуществления права. для объекта. Контролер должен также предоставить средства для запросов, которые должны быть сделаны в электронном виде, особенно если личные данные обрабатываются электронными средствами. Контролер должен быть обязан отвечать на запросы субъекта данных без неоправданной задержки и не позднее, чем в течение одного месяца, и указывать причины, по которым контроллер не намеревается выполнять любые такие запросы. |
(60) | Принципы справедливой и прозрачной обработки требуют, чтобы субъект данных был информирован о существовании операции обработки и ее целях. Контролер должен предоставить субъекту данных любую дополнительную информацию, необходимую для обеспечения справедливой и прозрачной обработки с учетом конкретных обстоятельств и контекста, в котором обрабатываются личные данные. Кроме того, субъект данных должен быть проинформирован о существовании профилирования и последствиях такого профилирования. Если личные данные собираются от субъекта данных, субъект данных также должен быть проинформирован о том, обязан ли он или она предоставлять личные данные, и о последствиях, когда он или она не предоставляет такие данные. Эта информация может быть предоставлена в сочетании со стандартными значками для того, чтобы понятным и четким образом, содержательный обзор предполагаемой обработки. Там, где значки представлены в электронном виде, они должны быть машиночитаемыми. |
(61) | Информация, касающаяся обработки персональных данных, относящихся к субъекту данных, должна предоставляться ему или ей во время сбора данных от субъекта данных или, если персональные данные получены из другого источника, в течение разумного периода времени, в зависимости от на обстоятельствах дела. Если персональные данные могут быть законно раскрыты другому получателю, субъект данных должен быть проинформирован, когда персональные данные впервые раскрываются получателю. В тех случаях, когда контроллер намеревается обрабатывать персональные данные для целей, отличных от тех, для которых они были собраны, контролер должен предоставить субъекту данных перед дальнейшей обработкой информацию об этой другой цели и другую необходимую информацию. |
(62) | Тем не менее, нет необходимости налагать обязательство предоставлять информацию, если субъект данных уже обладает информацией, когда запись или раскрытие персональных данных прямо установлены законом или когда предоставление информации субъекту данных оказывается невозможно или потребует непропорциональных усилий. Последнее может, в частности, иметь место, когда обработка выполняется для целей архивирования в интересах общества, научных или исторических исследований или в статистических целях. В этой связи следует учитывать количество субъектов данных, возраст данных и любые соответствующие принятые меры предосторожности. |
(63) | Субъект данных должен иметь право доступа к личным данным, которые были собраны относительно него или нее, и осуществлять это право легко и через разумные промежутки времени, чтобы знать и проверять законность обработки. Это включает в себя право субъектов данных иметь доступ к данным, касающимся их здоровья, например, данных в их медицинских записях, содержащих такую информацию, как диагнозы, результаты обследований, оценки лечащих врачей и любое предоставленное лечение или вмешательства. Поэтому каждый субъект данных должен иметь право знать и получать информацию, в частности, в отношении целей, для которых обрабатываются персональные данные, где это возможно, период, за который обрабатываются персональные данные, получатели персональных данных, логика, используемая в любой автоматической обработке персональных данных и, по крайней мере, в случае профилирования, последствия такой обработки. Где возможно, контроллер должен иметь возможность предоставлять удаленный доступ к защищенной системе, которая предоставит субъекту данных прямой доступ к его или ее персональным данным. Это право не должно отрицательно влиять на права или свободы других лиц, включая коммерческую тайну или интеллектуальную собственность, и в частности на авторские права, защищающие программное обеспечение. Однако результатом этих соображений не должен быть отказ предоставить всю информацию субъекту данных. В тех случаях, когда контроллер обрабатывает большое количество информации, касающейся субъекта данных, он должен иметь возможность запросить, что до доставки информации, |
(64) | Контролер должен использовать все разумные меры для проверки личности субъекта данных, который запрашивает доступ, в частности в контексте онлайн-сервисов и онлайн-идентификаторов. Контролер не должен хранить персональные данные с единственной целью иметь возможность реагировать на потенциальные запросы. |
(65) | Субъект данных должен иметь право на исправление личных данных, касающихся его или ее, и «право быть забытым», если хранение таких данных нарушает настоящий Регламент или закон Союза или государства-члена, которому подчиняется контролер. В частности, субъект данных должен иметь право на удаление его или ее персональных данных и их дальнейшую обработку в тех случаях, когда персональные данные больше не нужны по отношению к целям, для которых они собираются или иным образом обрабатываются, когда субъект данных был изъят его или ее согласие или возражения против обработки персональных данных, касающихся его или ее, или если обработка его или ее персональных данных иным образом не соответствует настоящему Регламенту Это право особенно актуально, когда субъект данных дал свое согласие в детстве и не в полной мере осознает риски, связанные с обработкой, а затем хочет удалить такие персональные данные, особенно в Интернете. Субъект данных должен иметь возможность воспользоваться этим правом, несмотря на то, что он или она больше не ребенок. Однако дальнейшее хранение персональных данных должно быть законным там, где это необходимо, для реализации права на свободу выражения мнений и информации, для соблюдения законного обязательства, для выполнения задачи, выполняемой в общественных интересах или в осуществление официальных полномочий, возложенных на контролера, исходя из интересов общества в области общественного здравоохранения, для целей архивирования в интересах общества, |
(66) | Чтобы укрепить право быть забытым в онлайн-среде, право на стирание также должно быть расширено таким образом, чтобы контроллер, который обнародовал персональные данные, был обязан информировать контроллеров, которые обрабатывают такие персональные данные, для удаления любых ссылки или копии или репликации этих личных данных. При этом этот контроллер должен предпринять разумные шаги, принимая во внимание доступные технологии и доступные контроллеру средства, включая технические меры, для информирования контроллеров, обрабатывающих личные данные, о запросе субъекта данных. |
(67) | Методы, с помощью которых можно ограничить обработку персональных данных, могут включать, среди прочего, временное перемещение выбранных данных в другую систему обработки, предоставление выбранных персональных данных недоступным для пользователей или временное удаление опубликованных данных с веб-сайта. В автоматизированных системах регистрации ограничение обработки в принципе должно обеспечиваться техническими средствами таким образом, чтобы личные данные не подвергались дальнейшей обработке и не могли быть изменены. Тот факт, что обработка персональных данных ограничена, должен быть четко указан в системе. |
(68) | Для дальнейшего усиления контроля над его или ее собственными данными, когда обработка персональных данных осуществляется автоматизированными средствами, субъекту данных также должно быть разрешено получать персональные данные, касающиеся его или ее, которые он или она предоставил контролеру в структурированный, широко используемый, машиночитаемый и совместимый формат и для передачи его на другой контроллер. Контроллеры данных следует поощрять к разработке совместимых форматов, которые обеспечивают переносимость данных. Это право должно применяться в тех случаях, когда субъект данных предоставил персональные данные на основании своего согласия или если обработка необходима для выполнения контракта. Он не должен применяться, если обработка основана на законном основании, отличном от согласия или договора. По самой своей природе, это право не должно применяться против контролеров, обрабатывающих личные данные при исполнении ими своих публичных обязанностей. Следовательно, он не должен применяться в тех случаях, когда обработка персональных данных необходима для соблюдения юридического обязательства, которому подчиняется контролер, или для выполнения задачи, выполняемой в общественных интересах или для осуществления официальных полномочий, возложенных на контроллер. Право субъекта данных передавать или получать личные данные, касающиеся его или ее, не должно создавать для контроллеров обязательства принимать или поддерживать системы обработки, которые технически совместимы. Если в определенном наборе персональных данных речь идет о нескольких субъектах данных, Право на получение персональных данных должно быть без ущерба для прав и свобод других субъектов данных в соответствии с настоящим Положением. Кроме того, это право не должно наносить ущерба праву субъекта данных на получение стирания персональных данных и ограничениям этого права, изложенным в настоящих Правилах, и, в частности, не должно подразумевать удаление персональных данных, относящихся к субъекту данных, которые были предоставлены им или ей для выполнения контракта в той мере, в которой и до тех пор, пока личные данные необходимы для выполнения этого контракта. Там, где это технически возможно, субъект данных должен иметь право на передачу персональных данных непосредственно от одного контроллера к другому. это право не должно наносить ущерба праву субъекта данных на получение стирания персональных данных и ограничениям этого права, изложенным в настоящих Правилах, и, в частности, не должно подразумевать удаление персональных данных, относящихся к субъекту данных, которые были предоставленные им или ею для исполнения договора в той мере, в которой и до тех пор, пока личные данные необходимы для исполнения этого договора. Там, где это технически возможно, субъект данных должен иметь право на передачу персональных данных непосредственно от одного контроллера к другому. это право не должно наносить ущерба праву субъекта данных на получение стирания персональных данных и ограничениям этого права, изложенным в настоящих Правилах, и, в частности, не должно подразумевать удаление персональных данных, относящихся к субъекту данных, которые были предоставленные им или ею для исполнения договора в той мере, в которой и до тех пор, пока личные данные необходимы для исполнения этого договора. Там, где это технически возможно, субъект данных должен иметь право на передачу персональных данных непосредственно от одного контроллера к другому. не подразумевает удаление персональных данных, касающихся субъекта данных, которые были предоставлены им или ею для исполнения контракта, в той мере, в которой и до тех пор, пока персональные данные необходимы для выполнения этого контракта. Там, где это технически возможно, субъект данных должен иметь право на передачу персональных данных непосредственно от одного контроллера к другому. не подразумевает удаление персональных данных, касающихся субъекта данных, которые были предоставлены им или ею для исполнения контракта, в той мере, в которой и до тех пор, пока персональные данные необходимы для выполнения этого контракта. Там, где это технически возможно, субъект данных должен иметь право на передачу персональных данных непосредственно от одного контроллера к другому. |
(69) | Если персональные данные могут обрабатываться на законных основаниях, потому что обработка необходима для выполнения задачи, выполняемой в общественных интересах или для осуществления официальных полномочий, предоставленных контролеру, или на основании законных интересов контролера или третьей стороны, тем не менее субъект данных должен иметь право возражать против обработки любых персональных данных, относящихся к его конкретной ситуации. Контролер должен продемонстрировать, что его неотразимые законные интересы превосходят интересы или основные права и свободы субъекта данных. |
(70) | Если личные данные обрабатываются для целей прямого маркетинга, субъект данных должен иметь право возражать против такой обработки, включая профилирование в той степени, в которой оно связано с таким прямым маркетингом, будь то в отношении начальной или дальнейшей обработки, на любом время и бесплатно. Это право должно быть четко доведено до сведения субъекта данных и представлено четко и отдельно от любой другой информации. |
(71) | Субъект данных должен иметь право не подвергаться решению, которое может включать в себя меру, оценку личных аспектов, касающихся его или ее, которая основана исключительно на автоматизированной обработке и которая оказывает правовые последствия в отношении него или ее или аналогичным образом существенно влияет на него или ее, например, автоматический отказ в заявке на получение кредита онлайн или практика электронного рекрутинга без какого-либо вмешательства человека. Такая обработка включает в себя «профилирование», которое состоит из любой формы автоматизированной обработки персональных данных, оценивающей личные аспекты, относящиеся к физическому лицу, в частности, для анализа или прогнозирования аспектов, касающихся эффективности работы субъекта данных на работе, экономической ситуации, состояния здоровья, личных предпочтений или интересы, надежность или поведение, местоположение или движения, если это создает правовые последствия в отношении него или ее или аналогичным образом существенно влияет на него или нее. Однако принятие решений на основе такой обработки, включая профилирование, должно быть разрешено, если это прямо разрешено законодательством Союза или государства-члена, которому подчиняется контролер, в том числе для целей мониторинга и предотвращения мошенничества и уклонения от уплаты налогов, проводимых в соответствии с правилами, стандарты и рекомендации учреждений Союза или национальных надзорных органов, а также для обеспечения безопасности и надежности услуги, предоставляемой контролером, или необходимой для заключения или исполнения контракта между субъектом данных и контролером, или когда субъект данных предоставил его или ее явное согласие. В любом случае такая обработка должна подвергаться соответствующим гарантиям, которая должна включать конкретную информацию для субъекта данных и право на вмешательство человека, чтобы выразить свою точку зрения, получить объяснение решения, принятого после такой оценки, и оспорить решение. Такая мера не должна касаться ребенка.или это приводит к мерам, имеющим такой эффект. Автоматическое принятие решений и профилирование на основе специальных категорий персональных данных должно быть разрешено только при определенных условиях. |
(72) | Профилирование регулируется правилами настоящего Положения, регулирующими обработку персональных данных, такими как правовые основания для обработки или принципы защиты данных. Европейский совет по защите данных, учрежденный этим Регламентом («Совет»), должен иметь возможность издавать руководящие указания в этом контексте. |
(73) | другие важные цели, представляющие общественный интерес для Союза или государства-члена, в частности, важные экономические или финансовые интересы Союза или государства-члена, ведение государственных реестров по причинам, представляющим общественный интерес, дальнейшая обработка архивированных данных персональные данные для предоставления конкретной информации, связанной с политическим поведением при прежних тоталитарных государственных режимах или защитой субъекта данных или прав и свобод других лиц, включая социальную защиту, здравоохранение и гуманитарные цели. Эти ограничения должны соответствовать требованиям, изложенным в Уставе и Европейской конвенции о защите прав человека и основных свобод. в частности, важные экономические или финансовые интересы Союза или государства-члена, ведение публичных реестров по причинам, представляющим общий общественный интерес, дальнейшая обработка архивных персональных данных для предоставления конкретной информации, связанной с политическим поведением при прежних тоталитарных государственных режимах или защита субъекта данных или прав и свобод других лиц, включая социальную защиту, здравоохранение и гуманитарные цели. Эти ограничения должны соответствовать требованиям, изложенным в Уставе и Европейской конвенции о защите прав человека и основных свобод. в частности, важные экономические или финансовые интересы Союза или государства-члена, ведение публичных реестров по причинам, представляющим общий общественный интерес, дальнейшая обработка архивных персональных данных для предоставления конкретной информации, связанной с политическим поведением при прежних тоталитарных государственных режимах или защита субъекта данных или прав и свобод других лиц, включая социальную защиту, здравоохранение и гуманитарные цели. Эти ограничения должны соответствовать требованиям, изложенным в Уставе и Европейской конвенции о защите прав человека и основных свобод. дальнейшая обработка архивных персональных данных для предоставления конкретной информации, связанной с политическим поведением при прежних тоталитарных государственных режимах или защитой субъекта данных или прав и свобод других лиц, включая социальную защиту, здравоохранение и гуманитарные цели. Эти ограничения должны соответствовать требованиям, изложенным в Уставе и Европейской конвенции о защите прав человека и основных свобод. дальнейшая обработка архивных персональных данных для предоставления конкретной информации, связанной с политическим поведением при прежних тоталитарных государственных режимах или защитой субъекта данных или прав и свобод других лиц, включая социальную защиту, здравоохранение и гуманитарные цели. Эти ограничения должны соответствовать требованиям, изложенным в Уставе и Европейской конвенции о защите прав человека и основных свобод. |
(74) | Должна быть установлена ответственность и ответственность контроллера за любую обработку персональных данных, осуществляемую контроллером или от его имени. В частности, контролер должен быть обязан принять надлежащие и эффективные меры и быть в состоянии продемонстрировать соответствие процессов обработки данным Правилам, включая эффективность мер. Эти меры должны учитывать характер, объем, контекст и цели обработки, а также риск для прав и свобод физических лиц. |
(75) | Риск для прав и свобод физических лиц с различной вероятностью и степенью серьезности может возникнуть в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности: там, где обработка может привести к дискриминации, краже личных данных или мошенничество, финансовые потери, ущерб репутации, потеря конфиденциальности личных данных, защищенных профессиональной тайной, несанкционированное восстановление псевдонима или любой другой значительный экономический или социальный ущерб; когда субъекты данных могут быть лишены своих прав и свобод или лишены возможности осуществлять контроль над своими личными данными; где обрабатываются личные данные, которые выявляют расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах и обработку генетических данных, данные о здоровье или данные о сексуальной жизни или осуждении и преступлениях или связанных с этим мерах безопасности; где оцениваются личные аспекты, в частности анализ или прогнозирование аспектов, касающихся производительности на работе, экономической ситуации, здоровья, личных предпочтений или интересов, надежности или поведения, местоположения или перемещений, для создания или использования личных профилей; где обрабатываются личные данные уязвимых физических лиц, в частности детей; или когда обработка включает в себя большое количество личных данных и затрагивает большое количество субъектов данных. надежность или поведение, местоположение или движения, для создания или использования личных профилей; где обрабатываются личные данные уязвимых физических лиц, в частности детей; или когда обработка включает в себя большое количество личных данных и затрагивает большое количество субъектов данных. надежность или поведение, местоположение или движения, для создания или использования личных профилей; где обрабатываются личные данные уязвимых физических лиц, в частности детей; или когда обработка включает в себя большое количество личных данных и затрагивает большое количество субъектов данных. |
(76) | Вероятность и серьезность риска для прав и свобод субъекта данных должны определяться с учетом характера, объема, контекста и целей обработки. Риск должен оцениваться на основе объективной оценки, с помощью которой устанавливается, связаны ли операции обработки данных с риском или высоким риском. |
(77) | Руководство по осуществлению соответствующих мер и демонстрации соответствия контроллером или обработчиком, особенно в отношении выявления риска, связанного с обработкой, их оценки с точки зрения происхождения, характера, вероятности и серьезности, а также определения Передовая практика по снижению риска может быть предоставлена, в частности, посредством утвержденных кодексов поведения, утвержденных сертификатов, руководств, представленных Советом, или указаний, предоставленных сотрудником по защите данных. Правление может также издать руководящие принципы по операциям обработки, которые, как считается, вряд ли приведут к высокому риску для прав и свобод физических лиц, и указать, какие меры могут быть достаточными в таких случаях для устранения такого риска. |
(78) | Защита прав и свобод физических лиц в отношении обработки персональных данных требует принятия соответствующих технических и организационных мер для обеспечения соблюдения требований настоящего Регламента. Для того, чтобы продемонстрировать соответствие настоящему Регламенту, контролер должен принять внутреннюю политику и принять меры, которые, в частности, соответствуют принципам защиты данных по конструкции и защите данных по умолчанию. Такие меры могут состоять, в частности, в минимизации обработки персональных данных, псевдониме персональных данных в кратчайшие сроки, прозрачности в отношении функций и обработке персональных данных, что позволяет субъекту данных контролировать обработку данных, позволяя контроллеру создавать и улучшать функции безопасности. При разработке, проектировании, При выборе и использовании приложений, услуг и продуктов, которые основаны на обработке личных данных или обработке личных данных для выполнения своих задач, производителям продуктов, услуг и приложений следует поощрять учитывать право на защиту данных при разработке и проектировании. такие продукты, услуги и приложения и, с учетом современного уровня техники, чтобы гарантировать, что контроллеры и процессоры могут выполнять свои обязательства по защите данных. Принципы защиты данных по проекту и по умолчанию также должны быть приняты во внимание в контексте публичных тендеров. сервисы и приложения должны поощряться к учету права на защиту данных при разработке и проектировании таких продуктов, сервисов и приложений и, с учетом современного уровня техники, для обеспечения того, чтобы контроллеры и процессоры могли выполнять свои данные обязательства по защите. Принципы защиты данных по проекту и по умолчанию также должны быть приняты во внимание в контексте публичных тендеров. сервисы и приложения должны поощряться к учету права на защиту данных при разработке и проектировании таких продуктов, сервисов и приложений и, с учетом современного уровня техники, для обеспечения того, чтобы контроллеры и процессоры могли выполнять свои данные обязательства по защите. Принципы защиты данных по проекту и по умолчанию также должны быть приняты во внимание в контексте публичных тендеров. |
(79) | Защита прав и свобод субъектов данных, а также ответственности и ответственности контроллеров и процессоров, в том числе в отношении мониторинга и мер надзорных органов, требует четкого распределения обязанностей в соответствии с настоящим Регламентом, в том числе в тех случаях, когда контролер определяет цели и средства обработки совместно с другими контроллерами или где операция обработки выполняется от имени контроллера. |
(80) | объем и цели обработки или если контроллер является государственным органом или органом. Представитель должен действовать от имени контролера или обработчика и может рассматриваться любым надзорным органом. Представитель должен быть прямо назначен письменным мандатом контролера или обработчика действовать от его имени в отношении его обязательств по настоящим Правилам. Назначение такого представителя не влияет на ответственность или ответственность контроллера или процессора в соответствии с настоящими Правилами. Такой представитель должен выполнять свои задачи в соответствии с мандатом, полученным от диспетчера или обработчика, включая сотрудничество с компетентными надзорными органами в отношении любых действий, предпринимаемых для обеспечения соблюдения настоящего Регламента. |
(81) | Для обеспечения соответствия требованиям настоящих Правил в отношении обработки, выполняемой процессором от имени контроллера, при поручении процессору операций по обработке контроллер должен использовать только процессоры, обеспечивающие достаточные гарантии, в частности с точки зрения экспертные знания, надежность и ресурсы для реализации технических и организационных мер, которые будут соответствовать требованиям настоящего Регламента, в том числе для обеспечения безопасности обработки. Приверженность обработчика утвержденному кодексу поведения или утвержденному механизму сертификации может использоваться в качестве элемента для демонстрации соответствия обязательствам контролера. Выполнение обработки процессором должно регулироваться договором или иным правовым актом в соответствии с законодательством Союза или государства-члена, привязка процессора к контроллеру с указанием предмета и продолжительности обработки, характера и целей обработки, типа персональных данных и категорий субъектов данных с учетом конкретных задач и обязанностей процессора в контекст обработки, подлежащей выполнению, и риск для прав и свобод субъекта данных. Контролер и обработчик могут выбрать использование индивидуального контракта или стандартных договорных положений, которые принимаются либо Комиссией напрямую, либо надзорным органом в соответствии с механизмом согласованности, а затем принимаются Комиссией. После завершения обработки от имени контроллера процессор должен по выбору контроллера вернуть или удалить личные данные, |
(82) | Для того чтобы продемонстрировать соблюдение настоящих Правил, контролер или обработчик должны вести учет операций обработки под своей ответственностью. Каждый контроллер и процессор должны быть обязаны сотрудничать с надзорным органом и делать эти записи по запросу доступными для него, чтобы он мог служить для мониторинга этих операций обработки. |
(83) | В целях обеспечения безопасности и предотвращения обработки в нарушение настоящих Правил, контролер или процессор должны оценить риски, присущие обработке, и принять меры по снижению этих рисков, такие как шифрование. Эти меры должны обеспечивать надлежащий уровень безопасности, включая конфиденциальность, принимая во внимание современное состояние и затраты на внедрение в отношении рисков и характера защищаемых персональных данных. При оценке риска безопасности данных следует учитывать риски, возникающие при обработке персональных данных, такие как случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие или доступ к передаваемым, хранящимся или иным образом персональным данным, которые могут в частности привести к физическому, материальному или нематериальному ущербу. |
(84) | В целях обеспечения более строгого соблюдения настоящего Регламента, когда операции обработки могут привести к высокому риску для прав и свобод физических лиц, контролер должен нести ответственность за проведение оценки воздействия на защиту данных для оценки, в частности, происхождение, характер, особенности и серьезность этого риска. Результаты оценки должны быть приняты во внимание при определении соответствующих мер, которые необходимо предпринять, чтобы продемонстрировать, что обработка персональных данных соответствует настоящему Регламенту. Если оценка воздействия на защиту данных указывает на то, что операции обработки сопряжены с высоким риском, который контроллер не может уменьшить с помощью соответствующих мер с точки зрения доступной технологии и затрат на внедрение, |
(85) | Нарушение персональных данных может, если оно не устранено надлежащим и своевременным образом, привести к физическому, материальному или нематериальному ущербу физическим лицам, таким как потеря контроля над их личными данными или ограничение их прав, дискриминация, кража личных данных или мошенничество. финансовые потери, несанкционированное восстановление псевдонима, ущерб репутации, потеря конфиденциальности личных данных, защищенных профессиональной тайной, или любой другой значительный экономический или социальный ущерб, причиненный соответствующему физическому лицу. Поэтому, как только контролеру станет известно о том, что произошло нарушение персональных данных, он должен уведомить орган надзора о нарушении персональных данных без неоправданной задержки и, по возможности, не позднее, чем через 72 часа после того, как стало известно об этом, если только контроллер может продемонстрировать, в соответствии с принципом подотчетности, нарушение персональных данных вряд ли приведет к риску для прав и свобод физических лиц. Если такое уведомление не может быть достигнуто в течение 72 часов, причины задержки должны сопровождать уведомление, и информация может предоставляться поэтапно без неоправданной дополнительной задержки. |
(86) | Контролер должен сообщить субъекту данных о нарушении персональных данных без неоправданной задержки, когда такое нарушение персональных данных может привести к высокому риску в отношении прав и свобод физического лица, чтобы позволить ему или ей принять необходимые меры предосторожности. Сообщение должно содержать описание характера нарушения персональных данных, а также рекомендации для заинтересованного физического лица по смягчению потенциальных неблагоприятных последствий. Такие сообщения субъектам данных должны быть сделаны как можно скорее и в тесном сотрудничестве с надзорным органом, с учетом указаний, данных им или другими соответствующими органами, такими как правоохранительные органы. Например, |
(87) | Следует удостовериться, были ли приняты все соответствующие технологические меры защиты и организационные меры, чтобы немедленно установить, имело ли место нарушение персональных данных, и своевременно проинформировать орган надзора и субъект данных. Тот факт, что уведомление было сделано без неоправданной задержки, должен быть установлен с учетом, в частности, характера и серьезности нарушения персональных данных, его последствий и неблагоприятных последствий для субъекта данных. Такое уведомление может привести к вмешательству надзорного органа в соответствии с его задачами и полномочиями, изложенными в настоящем Регламенте. |
(88) | При разработке подробных правил, касающихся формата и процедур, применимых к уведомлению о нарушениях персональных данных, следует должным образом учитывать обстоятельства этого нарушения, в том числе то, были ли личные данные защищены соответствующими мерами технической защиты, эффективно ограничивая вероятность подделка личных данных или другие формы неправомерного использования. Более того, такие правила и процедуры должны учитывать законные интересы правоохранительных органов, когда раннее раскрытие может излишне затруднять расследование обстоятельств нарушения личных данных. |
(89) | Директива 95/46 / EC предусматривает общее обязательство уведомлять контролирующие органы об обработке персональных данных. Хотя это обязательство создает административное и финансовое бремя, оно не во всех случаях способствует улучшению защиты личных данных. Таким образом, такие неизбирательные обязательства по общему уведомлению должны быть отменены и заменены эффективными процедурами и механизмами, которые вместо этого сосредоточены на тех видах операций по обработке, которые могут привести к высокому риску в отношении прав и свобод физических лиц в силу их характера, масштаба , контекст и цели. Такими типами операций обработки могут быть такие, которые, в частности, включают использование новых технологий или являются новыми, и когда контроллером ранее не проводилась оценка воздействия на защиту данных, |
(90) | В таких случаях контроллер должен проводить оценку воздействия на защиту данных до обработки, чтобы оценить конкретную вероятность и серьезность высокого риска, принимая во внимание характер, объем, контекст и цели обработки и источники риска. Такая оценка воздействия должна включать, в частности, меры, гарантии и механизмы, предусмотренные для снижения этого риска, обеспечения защиты персональных данных и демонстрации соответствия настоящему Регламенту. |
(91) | Оценка воздействия на защиту данных должна также проводиться, когда личные данные обрабатываются для принятия решений в отношении конкретных физических лиц после любой систематической и всесторонней оценки личных аспектов, касающихся физических лиц, на основе профилирования этих данных или после обработки специальных категорий личных данных, биометрические данные или данные об уголовных приговорах и правонарушениях или связанных с ними мерах безопасности. Оценка воздействия на защиту данных в равной степени требуется для мониторинга общедоступных областей в больших масштабах, особенно при использовании оптико-электронных устройств или для любых других операций, когда компетентный надзорный орган считает, что обработка может привести к высокому риску для прав и свободы субъектов данных, в частности потому, что они мешают субъектам данных пользоваться правом или использовать услугу или контракт, или потому что они выполняются систематически в больших масштабах. Обработка персональных данных не должна считаться крупномасштабной, если обработка касается персональных данных пациентов или клиентов отдельным врачом, другим медицинским работником или юристом. В таких случаях оценка воздействия на защиту данных не должна быть обязательной. |
(92) | Существуют обстоятельства, при которых может оказаться разумным и экономичным, чтобы предмет оценки воздействия на защиту данных был шире, чем отдельный проект, например, когда государственные органы или органы намереваются создать общую платформу для обработки приложений или обработки или когда несколько контролеров планируют внедрить общую среду применения или обработки в отраслевом секторе или сегменте или для широко используемой горизонтальной деятельности. |
(93) | В контексте принятия закона государства-члена, на котором основано выполнение задач государственного органа или государственного органа и который регулирует конкретную операцию обработки или набор рассматриваемых операций, государства-члены могут счесть необходимым выполнить такая оценка до обработки деятельности. |
(94) | В тех случаях, когда оценка воздействия на защиту данных указывает на то, что обработка в отсутствие мер безопасности и мер по снижению риска приведет к высокому риску для прав и свобод физических лиц, и контролер считает, что риск не могут быть смягчены разумными средствами с точки зрения доступных технологий и затрат на внедрение, с надзорным органом следует проконсультироваться до начала обработки. Такой высокий риск может быть вызван определенными видами обработки, а также степенью и частотой обработки, что может также привести к оскорблению или нарушению прав и свобод физического лица. Надзорный орган должен ответить на запрос о консультации в течение определенного периода. Тем не мение, отсутствие реакции надзорного органа в течение этого периода не должно наносить ущерба какому-либо вмешательству надзорного органа в соответствии с его задачами и полномочиями, установленными в настоящем Регламенте, включая полномочия запрещать операции по обработке. В рамках этого процесса консультаций результаты оценки воздействия на защиту данных, проведенной в отношении рассматриваемой обработки, могут быть представлены в контролирующий орган, в частности, меры, предусмотренные для снижения риска для прав и свобод физических лиц. |
(95) | Обработчик должен помогать контроллеру, когда это необходимо и по запросу, обеспечивать соблюдение обязательств, вытекающих из проведения оценок воздействия на защиту данных и из предварительной консультации с надзорным органом. |
(96) | Консультация надзорного органа также должна проводиться в ходе подготовки законодательной или нормативной меры, которая предусматривает обработку персональных данных, чтобы обеспечить соответствие предполагаемой обработки настоящему Регламенту и, в частности, для уменьшения риска участвует для предмета данных. |
(97) | В тех случаях, когда обработка осуществляется государственным органом, за исключением судов или независимых судебных органов, действующих в своем судебном качестве, когда в частном секторе обработка выполняется контролером, основная деятельность которого состоит из операций обработки, которые требуют регулярных и систематический мониторинг субъектов данных в больших масштабах или в тех случаях, когда основная деятельность контроллера или процессора состоит из обработки в большом масштабе специальных категорий персональных данных и данных, касающихся уголовных приговоров и правонарушений, лица с экспертными знаниями Закон и практика защиты данных должны помогать контроллеру или процессору контролировать внутреннее соблюдение настоящих Правил. В частном секторе, основные виды деятельности контролера относятся к его основной деятельности и не относятся к обработке персональных данных в качестве вспомогательной деятельности. Необходимый уровень экспертных знаний должен определяться, в частности, в соответствии с выполняемыми операциями обработки данных и защитой, необходимой для персональных данных, обрабатываемых контроллером или процессором. Такие сотрудники по защите данных, независимо от того, являются ли они сотрудниками контролера, должны иметь возможность самостоятельно выполнять свои обязанности и задачи. |
(98) | Ассоциациям или другим органам, представляющим категории контроллеров или переработчиков, следует рекомендовать составлять кодексы поведения в рамках настоящих Правил, с тем чтобы содействовать эффективному применению настоящих Правил с учетом конкретных характеристик обработки, проводимой в определенные сектора и специфические потребности микро-, малых и средних предприятий. В частности, такие кодексы поведения могут калибровать обязательства контролеров и переработчиков с учетом риска, который может возникнуть в результате обработки прав и свобод физических лиц. |
(99) | При разработке кодекса поведения или при внесении поправок или расширении такого кодекса ассоциации и другие органы, представляющие категории контроллеров или обработчиков, должны консультироваться с соответствующими заинтересованными сторонами, включая субъекты данных, где это возможно, и учитывать полученные представления и мнения, выраженные в ответ на такие консультации. |
(100) | В целях повышения прозрачности и соблюдения этого Регламента следует поощрять создание механизмов сертификации, а также печатей и знаков защиты данных, что позволит субъектам данных быстро оценить уровень защиты данных соответствующих продуктов и услуг. |
(101) | Потоки персональных данных в и из стран, не входящих в Союз и международные организации, необходимы для расширения международной торговли и международного сотрудничества. Увеличение таких потоков породило новые проблемы и проблемы в отношении защиты личных данных. Однако когда личные данные передаются из Союза контролерам, обработчикам или другим получателям в третьих странах или международным организациям, уровень защиты физических лиц, обеспечиваемый в Союзе настоящим Регламентом, не должен подрываться, в том числе в случаях дальнейшей передачи. персональных данных из третьей страны или международной организации контролерам, обработчикам в той же или другой третьей стране или международной организации. В любом случае, Передача третьим странам и международным организациям может осуществляться только в полном соответствии с настоящим Регламентом. Передача может осуществляться только в том случае, если с учетом других положений настоящих Правил условия, изложенные в положениях настоящих Правил, касающихся передачи персональных данных в третьи страны или международные организации, выполняются контроллером или обработчиком. |
(102) | Настоящий Регламент не наносит ущерба международным соглашениям, заключенным между Союзом и третьими странами, регулирующим передачу персональных данных, включая соответствующие гарантии для субъектов данных. Государства-члены могут заключать международные соглашения, которые предусматривают передачу персональных данных третьим странам или международным организациям, поскольку такие соглашения не влияют на настоящий Регламент или любые другие положения законодательства Союза и включают соответствующий уровень защиты основных прав данные субъекты. |
(103) | Комиссия может на практике решить для всего Союза, что третья страна, территория или определенный сектор в пределах третьей страны или международная организация предлагают адекватный уровень защиты данных, обеспечивая тем самым правовую определенность и единообразие во всем Союзе в отношении третья страна или международная организация, которая, как считается, обеспечивает такой уровень защиты. В таких случаях передача личных данных в эту третью страну или международную организацию может осуществляться без необходимости получения какого-либо дополнительного разрешения. Комиссия также может принять решение, после направления уведомления и полного заявления с изложением причин для третьей страны или международной организации, отменить такое решение. |
(104) | В соответствии с фундаментальными ценностями, на которых основан Союз, в частности защитой прав человека, Комиссия должна в своей оценке третьей страны или территории или определенного сектора в третьей стране учитывать, как Особая третья страна уважает верховенство права, доступ к правосудию, а также международные нормы и стандарты в области прав человека и ее общее и отраслевое право, включая законодательство, касающееся общественной безопасности, обороны и национальной безопасности, а также общественного порядка и уголовного права. Принятие решения об адекватности в отношении территории или определенного сектора в третьей стране должно учитывать четкие и объективные критерии, такие как конкретные виды деятельности по переработке и объем применимых правовых стандартов и законодательства, действующего в третьей стране. Третья страна должна предложить гарантии, обеспечивающие адекватный уровень защиты, по существу эквивалентный тому, который обеспечивается в Союзе, в частности, когда личные данные обрабатываются в одном или нескольких конкретных секторах. В частности, третья страна должна обеспечить эффективный независимый надзор за защитой данных и обеспечить механизмы сотрудничества с органами по защите данных государств-членов, а субъектам данных должны быть предоставлены эффективные и осуществимые права и эффективное административное и судебное возмещение. |
(105) | Помимо международных обязательств, принятых третьей страной или международной организацией, Комиссия должна учитывать обязательства, вытекающие из участия третьей страны или международной организации в многосторонних или региональных системах, в частности в отношении защиты персональных данных, а также выполнение таких обязательств. В частности, следует учитывать присоединение третьей страны к Конвенции Совета Европы о защите физических лиц от 28 января 1981 года в отношении автоматической обработки персональных данных и Дополнительному протоколу к ней. Комиссия должна консультироваться с Комиссией при оценке уровня защиты в третьих странах или международных организациях. |
(106) | Комиссия должна следить за функционированием решений об уровне защиты в третьей стране, на территории или в указанном секторе в третьей стране или международной организации, а также следить за функционированием решений, принятых на основании статьи 25 (6) или Статья 26 (4) Директивы 95/46 / ЕС. В своих решениях об адекватности Комиссия должна предусматривать периодический обзор механизма их функционирования. Этот периодический обзор следует проводить в консультации с третьей страной или соответствующей международной организацией и учитывать все соответствующие события в третьей стране или международной организации. В целях мониторинга и проведения периодических проверок, Комиссия должна учитывать мнения и выводы Европейского парламента и Совета, а также других соответствующих органов и источников. Комиссия должна в разумные сроки оценить функционирование последних решений и сообщить Комитету о любых соответствующих выводах в значении Регламента (ЕС) № 182/2011 Европейского парламента и Совета. ( 12 ) как установлено в настоящем Регламенте, в Европейский парламент и Совет. |
(107) | Комиссия может признать, что третья страна, территория или определенный сектор в третьей стране или международная организация более не обеспечивают адекватный уровень защиты данных. Следовательно, передача персональных данных в эту третью страну или международную организацию должна быть запрещена, если не выполнены требования настоящего Регламента, касающиеся передачи, подлежащей соответствующим гарантиям, включая обязательные корпоративные правила и отступления для конкретных ситуаций. В этом случае следует предусмотреть возможность проведения консультаций между Комиссией и такими третьими странами или международными организациями. Комиссия должна своевременно проинформировать третью страну или международную организацию о причинах и начать консультации с ней, чтобы исправить ситуацию. |
(108) | При отсутствии решения об адекватности контролер или процессор должны принять меры для компенсации отсутствия защиты данных в третьей стране посредством соответствующих мер защиты для субъекта данных. Такие надлежащие меры предосторожности могут включать использование обязательных корпоративных правил, стандартных положений о защите данных, принятых Комиссией, стандартных положений о защите данных, принятых надзорным органом, или договорных положений, утвержденных надзорным органом. Эти гарантии должны обеспечивать соблюдение требований защиты данных и прав субъектов данных, подходящих для обработки в рамках Союза, включая доступность прав субъектов данных, подлежащих исполнению, и эффективных средств правовой защиты, включая получение эффективного административного или судебного возмещения и требования компенсации, в союзе или в третьей стране. Они должны относиться, в частности, к соблюдению общих принципов, касающихся обработки персональных данных, принципов защиты данных по конструкции и по умолчанию. Передача может также осуществляться государственными органами или органами с государственными органами или органами в третьих странах или международными организациями, имеющими соответствующие обязанности или функции, в том числе на основе положений, которые должны быть включены в административные договоренности, таких как меморандум о взаимопонимании, предусматривающий для осуществимых и эффективных прав для субъектов данных. Разрешение компетентного надзорного органа должно быть получено, когда гарантии предусмотрены в административных договоренностях, которые не имеют обязательной юридической силы. принципы защиты данных по конструкции и по умолчанию. Передача может также осуществляться государственными органами или органами с государственными органами или органами в третьих странах или международными организациями, имеющими соответствующие обязанности или функции, в том числе на основе положений, которые должны быть включены в административные договоренности, таких как меморандум о взаимопонимании, предусматривающий для осуществимых и эффективных прав для субъектов данных. Разрешение компетентного надзорного органа должно быть получено, когда гарантии предусмотрены в административных договоренностях, которые не имеют обязательной юридической силы. принципы защиты данных по конструкции и по умолчанию. Передача может также осуществляться государственными органами или органами с государственными органами или органами в третьих странах или международными организациями, имеющими соответствующие обязанности или функции, в том числе на основе положений, которые должны быть включены в административные договоренности, таких как меморандум о взаимопонимании, предусматривающий для осуществимых и эффективных прав для субъектов данных. Разрешение компетентного надзорного органа должно быть получено, когда гарантии предусмотрены в административных договоренностях, которые не имеют обязательной юридической силы. в том числе на основе положений, подлежащих включению в административные договоренности, таких как меморандум о взаимопонимании, предусматривающий осуществимые и эффективные права субъектов данных. Разрешение компетентного надзорного органа должно быть получено, когда гарантии предусмотрены в административных договоренностях, которые не имеют обязательной юридической силы. в том числе на основе положений, подлежащих включению в административные договоренности, таких как меморандум о взаимопонимании, предусматривающий осуществимые и эффективные права субъектов данных. Разрешение компетентного надзорного органа должно быть получено, когда гарантии предусмотрены в административных договоренностях, которые не имеют обязательной юридической силы. |
(109) | Возможность для контроллера или процессора использовать стандартные положения о защите данных, принятые Комиссией или надзорным органом, не должна препятствовать тому, чтобы контролеры или процессоры не включали стандартные положения о защите данных в более широкий контракт, такой как контракт между процессором и другой обработчик, ни от добавления других положений или дополнительных гарантий при условии, что они не противоречат, прямо или косвенно, стандартным договорным положениям, принятым Комиссией или надзорным органом, или ущемляют основные права или свободы субъектов данных. Контроллеры и процессоры следует поощрять к предоставлению дополнительных гарантий через договорные обязательства, которые дополняют стандартные положения о защите. |
(110) | Группа предприятий или группа предприятий, осуществляющих совместную экономическую деятельность, должны иметь возможность использовать утвержденные обязательные корпоративные правила для своих международных трансфертов из Союза организациям, входящим в одну и ту же группу предприятий, или группе предприятий, занимающихся совместная экономическая деятельность, при условии, что такие корпоративные правила включают в себя все основные принципы и осуществимые права для обеспечения надлежащих гарантий для передач или категорий передачи персональных данных. |
(111) | Должны быть предусмотрены возможности для передачи в определенных обстоятельствах, когда субъект данных дал свое явное согласие, когда передача является случайной и необходимой в связи с контрактом или судебным иском, независимо от того, находится ли он в судебном порядке или в административном или ином внесудебном порядке, включая процедуры в регулирующих органах. Следует также предусмотреть возможность передачи, если этого требуют важные основания общественного интереса, установленные законодательством Союза или государства-члена, или если передача производится из реестра, установленного законом и предназначенного для консультаций с общественностью или лицами, имеющими законную интерес. В последнем случае такая передача не должна включать полные персональные данные или целые категории данных, содержащихся в реестре, и, |
(112) | Эти отступления должны, в частности, применяться к передаче данных, необходимой и необходимой по важным причинам, представляющим общественный интерес, например, в случаях международного обмена данными между конкурентными ведомствами, налоговыми или таможенными администрациями, между органами финансового надзора, между службами, компетентными в вопросах социального обеспечения, или для общественного здравоохранения, например, в случае отслеживания контактов при инфекционных заболеваниях или для уменьшения и / или устранения допинга в спорте. Передача персональных данных также должна считаться законной, если это необходимо для защиты интересов, которые важны для жизненно важных интересов субъекта данных или другого лица, включая физическую неприкосновенность или жизнь, если субъект данных не может дать согласие. При отсутствии решения об адекватности закон Союза или государства-члена может, по важным причинам, представляющим общественный интерес, четко установить ограничения на передачу определенных категорий данных третьей стране или международной организации. Государства-члены должны уведомлять Комиссию о таких положениях. Любая передача международной гуманитарной организации персональных данных субъекта данных, который физически или юридически неспособен дать согласие, с целью выполнения задачи, налагаемой согласно Женевским конвенциям, или соблюдения международного гуманитарного права, применимого в вооруженных конфликтах, может быть считается необходимым по важной причине общественного интереса или потому, что это отвечает жизненным интересам субъекта данных. Государства-члены должны уведомлять Комиссию о таких положениях. Любая передача международной гуманитарной организации персональных данных субъекта данных, который физически или юридически неспособен дать согласие, с целью выполнения задачи, налагаемой согласно Женевским конвенциям, или соблюдения международного гуманитарного права, применимого в вооруженных конфликтах, может быть считается необходимым по важной причине общественного интереса или потому, что это отвечает жизненным интересам субъекта данных. Государства-члены должны уведомлять Комиссию о таких положениях. Любая передача международной гуманитарной организации персональных данных субъекта данных, который физически или юридически неспособен дать согласие, с целью выполнения задачи, налагаемой согласно Женевским конвенциям, или соблюдения международного гуманитарного права, применимого в вооруженных конфликтах, может быть считается необходимым по важной причине общественного интереса или потому, что это отвечает жизненным интересам субъекта данных. |
(113) | Передачи, которые могут быть квалифицированы как неповторяющиеся и которые касаются только ограниченного числа субъектов данных, также могут быть возможны для целей неотразимых законных интересов, преследуемых контролером, когда эти интересы не отменяются интересами или правами и свободами субъект данных и когда контролер оценил все обстоятельства передачи данных. Контролер должен уделять особое внимание характеру персональных данных, цели и продолжительности предполагаемой операции или операций обработки, а также ситуации в стране происхождения, третьей стране и стране конечного назначения, и должен предоставить подходящие гарантии защиты основных прав и свобод физических лиц в отношении обработки их персональных данных. Такие переводы должны быть возможны только в остаточных случаях, когда ни одно из других оснований для передачи не применимо. В научных или исторических исследовательских или статистических целях следует принимать во внимание законные ожидания общества в отношении увеличения знаний. Контролер должен сообщить контролирующему органу и субъекту данных о передаче. |
(114) | В любом случае, когда Комиссия не приняла решения относительно адекватного уровня защиты данных в третьей стране, контролер или процессор должны использовать решения, которые предоставляют субъектам данных осуществимые и эффективные права в отношении обработки их данных в Объедините эти данные после того, как эти данные будут переданы, чтобы они продолжали пользоваться основными правами и гарантиями. |
(115) | Некоторые третьи страны принимают законы, нормативные акты и другие правовые акты, направленные на непосредственное регулирование деятельности по обработке физических и юридических лиц, находящихся под юрисдикцией государств-членов. Это может включать решения судов или трибуналов или решения административных органов третьих стран, требующие от диспетчера или обработчика передавать или раскрывать личные данные, и которые не основаны на международном соглашении, таком как договор о взаимной правовой помощи, действующем между запрашивая третью страну и Союз или государство-член. Экстерриториальное применение этих законов, нормативных актов и других правовых актов может нарушать нормы международного права и может препятствовать достижению защиты физических лиц, гарантируемой в Союзе настоящим Регламентом. Передача разрешается только в том случае, если соблюдены условия настоящего Регламента для передачи в третьи страны. Это может быть в том числе, в частности, когда раскрытие необходимо для важного основания, представляющего общественный интерес, признанного в законодательстве Союза или государства-члена, которому подчиняется контролер. |
(116) | Когда личные данные перемещаются за пределы Союза, это может подвергнуть повышенному риску способность физических лиц осуществлять права на защиту данных, в частности, для защиты от незаконного использования или раскрытия этой информации. В то же время надзорные органы могут обнаружить, что они не могут подавать жалобы или проводить расследования, связанные с деятельностью за пределами их границ. Их усилиям по совместной работе в трансграничном контексте могут также препятствовать недостаточные профилактические или коррективные полномочия, непоследовательные правовые режимы и практические препятствия, такие как нехватка ресурсов. Следовательно, существует необходимость содействовать более тесному сотрудничеству между надзорными органами по защите данных, чтобы помочь им обмениваться информацией и проводить расследования со своими международными партнерами. |
(117) | Создание надзорных органов в государствах-членах, уполномоченных выполнять свои задачи и осуществлять свои полномочия с полной независимостью, является важным компонентом защиты физических лиц в отношении обработки их личных данных. Государства-члены должны иметь возможность создать более одного надзорного органа, отражающего их конституционную, организационную и административную структуру. |
(118) | Независимость надзорных органов не должна означать, что надзорные органы не могут подвергаться контрольным или контрольным механизмам в отношении их финансовых расходов или судебному контролю. |
(119) | Если государство-член создает несколько надзорных органов, оно должно законодательно установить механизмы для обеспечения эффективного участия этих надзорных органов в механизме согласованности. Это государство-член должно, в частности, назначить надзорный орган, который функционирует в качестве единого контактного лица для эффективного участия этих органов в механизме, чтобы обеспечить быстрое и беспрепятственное сотрудничество с другими надзорными органами, Советом и Комиссией. |
(120) | Каждый надзорный орган должен быть обеспечен финансовыми и людскими ресурсами, помещениями и инфраструктурой, необходимыми для эффективного выполнения их задач, в том числе связанных с взаимопомощью и сотрудничеством с другими надзорными органами на всей территории Союза. Каждый орган надзора должен иметь отдельный публичный годовой бюджет, который может быть частью общего государственного или национального бюджета. |
(121) | Общие условия для члена или членов надзорного органа должны быть установлены законом в каждом государстве-члене и должны, в частности, предусматривать, что эти члены должны назначаться посредством прозрачной процедуры либо парламентом, правительством или глава государства-члена на основе предложения правительства, члена правительства, парламента или палаты парламента или независимого органа, уполномоченного в соответствии с законодательством государства-члена. Чтобы обеспечить независимость надзорного органа, член или члены должны действовать честно, воздерживаться от любых действий, несовместимых с их обязанностями, и не должны в течение срока своих полномочий заниматься какой-либо несовместимой деятельностью, будь то прибыльной или нет , Надзорный орган должен иметь свой собственный персонал, |
(122) | Каждый контролирующий орган должен быть компетентным на территории своего государства-члена осуществлять полномочия и выполнять возложенные на него задачи в соответствии с настоящим Регламентом. Это должно охватывать, в частности, обработку в контексте деятельности учреждения контролера или процессора на территории его собственного государства-члена, обработку персональных данных, осуществляемую государственными органами или частными органами, действующими в общественных интересах, обработку воздействие на субъекты данных на его территории или обработка, выполняемая контроллером или процессором, не установленным в Союзе, при нацеливании на субъекты данных, проживающие на его территории. Это должно включать рассмотрение жалоб, поданных субъектом данных, проведение расследований по применению настоящего Регламента и повышение осведомленности общественности о рисках, правилах, |
(123) | Надзорные органы должны следить за применением положений в соответствии с настоящим Регламентом и содействовать его последовательному применению на всей территории Союза в целях защиты физических лиц в связи с обработкой их персональных данных и содействия свободному потоку персональных данных в рамках внутренний рынок. Для этой цели надзорные органы должны сотрудничать друг с другом и с Комиссией без необходимости какого-либо соглашения между государствами-членами о предоставлении взаимной помощи или о таком сотрудничестве. |
(124) | В тех случаях, когда обработка персональных данных происходит в контексте деятельности учреждения контроллера или процессора в Союзе, а контроллер или процессор создается более чем в одном государстве-члене, или когда обработка происходит в контексте деятельность одного учреждения контроллера или процессора в Союзе существенно влияет или может оказать существенное влияние на субъекты данных в более чем одном государстве-члене, орган надзора за основным учреждением контроллера или процессора или за одно учреждение контроллера или процессор должен действовать как ведущий орган. Он должен сотрудничать с другими заинтересованными органами, потому что контроллер или обработчик имеет предприятие на территории своего государства-члена, потому что субъекты данных, проживающие на их территории, существенно пострадали, или потому что жалоба была подана с ними. Кроме того, если субъект данных, не проживающий в этом государстве-члене, подал жалобу, надзорный орган, которому была подана такая жалоба, также должен быть соответствующим надзорным органом. В рамках своих задач по выпуску руководящих указаний по любому вопросу, касающемуся применения настоящего Регламента, Комитет должен иметь возможность издавать руководящие указания, в частности в отношении критериев, которые следует принимать во внимание, чтобы установить, действительно ли рассматриваемая обработка в значительной степени затрагивает субъектов данных в одно государство-член и что является уместным и обоснованным возражением. надзорный орган, которому была подана такая жалоба, также должен быть соответствующим надзорным органом. В рамках своих задач по выпуску руководящих указаний по любому вопросу, касающемуся применения настоящего Регламента, Комитет должен иметь возможность издавать руководящие указания, в частности в отношении критериев, которые следует принимать во внимание, чтобы установить, действительно ли рассматриваемая обработка в значительной степени затрагивает субъектов данных в одно государство-член и что является уместным и обоснованным возражением. надзорный орган, которому была подана такая жалоба, также должен быть соответствующим надзорным органом. В рамках своих задач по выпуску руководящих указаний по любому вопросу, касающемуся применения настоящего Регламента, Комитет должен иметь возможность издавать руководящие указания, в частности в отношении критериев, которые должны приниматься во внимание, с тем чтобы установить, оказывает ли рассматриваемая обработка существенное влияние на субъектов данных в более чем одно государство-член и что является уместным и обоснованным возражением. |
(125) | Ведущий орган должен обладать компетенцией для принятия обязательных решений, касающихся мер, связанных с предоставлением ему полномочий в соответствии с настоящим Положением. В качестве ведущего органа надзорный орган должен тесно привлекать и координировать соответствующие надзорные органы в процессе принятия решений. Если решение состоит в том, чтобы отклонить жалобу субъекта данных полностью или частично, это решение должно быть принято органом надзора, которому была подана жалоба. |
(126) | Решение должно быть согласовано совместно ведущим надзорным органом и соответствующими надзорными органами и должно быть направлено на основное или единственное учреждение контроллера или процессора и должно быть обязательным для контроллера и процессора. Контролер или обработчик должны принять необходимые меры для обеспечения соблюдения настоящего Регламента и выполнения решения, заявленного ведущим надзорным органом главному учреждению контролера или процессора в отношении деятельности по обработке в Союзе. |
(127) | Каждый надзорный орган, не выступающий в качестве ведущего надзорного органа, должен обладать компетенцией для рассмотрения локальных случаев, когда контроллер или обработчик установлен более чем в одном государстве-члене, но предмет конкретной обработки касается только обработки, осуществляемой в одном государстве-члене, и затрагивает только субъекты данных в этом единственном государстве-члене, например, когда предмет касается обработки личных данных работников в конкретном контексте занятости государства-члена. В таких случаях надзорный орган должен незамедлительно проинформировать ведущий надзорный орган по этому вопросу. После получения информации ведущий надзорный орган должен принять решение, будет ли он рассматривать дело в соответствии с положением о сотрудничестве между ведущим надзорным органом и другими заинтересованными надзорными органами («механизм единого окна»), или орган надзора, который проинформировал его, должен рассматривать дело на местном уровне. При принятии решения о том, будет ли он рассматривать дело, ведущий надзорный орган должен принимать во внимание, существует ли учреждение контролера или процессора в государстве-члене надзорного органа, который проинформировал его, чтобы обеспечить эффективное исполнение решения.по отношению к контроллеру или процессору. Если ведущий надзорный орган решает рассмотреть дело, надзорный орган, который проинформировал его, должен иметь возможность представить проект решения, о котором ведущий надзорный орган должен максимально учитывать при подготовке своего проекта решения в рамках этого единого окна. магазинный механизм. |
(128) | Правила о главном надзорном органе и механизме «единого окна» не должны применяться, если обработка осуществляется государственными органами или частными организациями в общественных интересах. В таких случаях единственным надзорным органом, компетентным осуществлять полномочия, предоставленные ему в соответствии с настоящим Регламентом, должен быть надзорный орган государства-члена, в котором создан государственный орган или частный орган. |
(129) | Чтобы обеспечить постоянный контроль и применение настоящего Регламента на всей территории Союза, надзорные органы должны иметь в каждом государстве-члене одинаковые задачи и эффективные полномочия, включая полномочия по расследованию, корректирующие полномочия и санкции, а также полномочия по разрешению и консультированию, в частности в случаи жалоб физических лиц и без ущерба для полномочий органов прокуратуры в соответствии с законодательством государств-членов доводить нарушения настоящего Регламента до сведения судебных органов и участвовать в судебных разбирательствах. Такие полномочия должны также включать полномочия налагать временные или окончательные ограничения, включая запрет на обработку. Государства-члены могут определять другие задачи, связанные с защитой личных данных в соответствии с настоящим Регламентом. Полномочия надзорных органов должны осуществляться в соответствии с надлежащими процессуальными гарантиями, установленными в законодательстве Союза и государств-членов, беспристрастно, справедливо и в разумные сроки. В частности, каждая мера должна быть уместной, необходимой и пропорциональной с точки зрения обеспечения соблюдения настоящего Регламента с учетом обстоятельств каждого отдельного случая, уважения права каждого человека быть заслушанным до принятия какой-либо отдельной меры, которая могла бы неблагоприятно повлиять на него. принимаются и избегают лишних затрат и чрезмерных неудобств для заинтересованных лиц. Следственные полномочия в отношении доступа к помещениям должны осуществляться в соответствии с конкретными требованиями процессуального права государств-членов, такими как требование получения предварительного судебного разрешения. Каждая юридически обязательная мера надзорного органа должна быть в письменной форме, быть четкой и недвусмысленной, указывать надзорный орган, который издал меру, дату выпуска меры, иметь подпись руководителя или члена надзорного органа уполномоченный им или ей, указать причины для меры и сослаться на право эффективного средства правовой защиты. Это не должно исключать дополнительных требований в соответствии с процессуальным законодательством государства-члена. Принятие юридически обязательного решения подразумевает, что оно может привести к судебному пересмотру в государстве-члене надзорного органа, который принял это решение. или член надзорного органа, уполномоченный им или ею, указать причины меры и сослаться на право эффективного средства правовой защиты. Это не должно исключать дополнительных требований в соответствии с процессуальным законодательством государства-члена. Принятие юридически обязательного решения подразумевает, что оно может привести к судебному пересмотру в государстве-члене надзорного органа, который принял это решение. или член надзорного органа, уполномоченный им или ею, указать причины меры и сослаться на право эффективного средства правовой защиты. Это не должно исключать дополнительных требований в соответствии с процессуальным законодательством государства-члена. Принятие юридически обязательного решения подразумевает, что оно может привести к судебному пересмотру в государстве-члене надзорного органа, который принял это решение. |
(130) | Если надзорный орган, с которым была подана жалоба, не является ведущим надзорным органом, главный надзорный орган должен тесно сотрудничать с надзорным органом, которому подана жалоба, в соответствии с положениями о сотрудничестве и последовательности, изложенными в настоящих Правилах. , В таких случаях ведущему надзорному органу следует при принятии мер, направленных на создание правовых последствий, включая наложение административных штрафов, максимально учитывать мнение надзорного органа, которому была подана жалоба и который должен оставаться компетентным для ее рассмотрения. любое расследование на территории его собственного государства-члена в контакте с компетентным надзорным органом. |
(131) | Если другой надзорный орган должен действовать в качестве ведущего надзорного органа для обработки операций контроллера или обработчика, но конкретный предмет жалобы или возможного нарушения касается только обработки действий контроллера или обработчика в государстве-члене, в котором была подана жалоба или обнаружены возможные нарушения, и вопрос не оказывает существенного влияния или вряд ли существенно повлияет на субъекты данных в других государствах-членах, надзорному органу, получающему жалобу или обнаруживающему или информированному в противном случае о ситуациях, которые влекут за собой возможные нарушения настоящего Регламента, следует искать мировое соглашение с контролером и, если это окажется безуспешным, использовать все его полномочия. Это должно включать: специальная обработка, выполняемая на территории государства-члена надзорного органа или в отношении субъектов данных на территории этого государства-члена; обработка, которая осуществляется в контексте предложения товаров или услуг, специально предназначенных для субъектов данных на территории государства-члена надзорного органа; или обработка, которая должна быть оценена с учетом соответствующих правовых обязательств в соответствии с законодательством государства-члена. |
(132) | Мероприятия по надзору за общественностью, направленные на повышение осведомленности общественности, должны включать конкретные меры, направленные на контролеров и переработчиков, включая микро-, малые и средние предприятия, а также на физических лиц, в частности в контексте образования. |
(133) | Надзорные органы должны помогать друг другу в выполнении их задач и оказывать взаимную помощь, с тем чтобы обеспечить последовательное применение и применение настоящего Регламента на внутреннем рынке. Надзорный орган, запрашивающий взаимную помощь, может принять временную меру, если он не получит ответа на запрос о взаимной помощи в течение одного месяца после получения этого запроса другим надзорным органом. |
(134) | Каждый орган надзора должен, в случае необходимости, участвовать в совместных операциях с другими органами надзора. Запрашиваемый надзорный орган должен быть обязан ответить на запрос в течение определенного периода времени. |
(135) | Чтобы обеспечить последовательное применение этого Регламента на всей территории Союза, должен быть создан механизм согласованности сотрудничества между надзорными органами. Этот механизм должен, в частности, применяться в тех случаях, когда надзорный орган намеревается принять меру, направленную на создание правовых последствий в отношении операций обработки, которые существенно затрагивают значительное число субъектов данных в нескольких государствах-членах. Он также должен применяться в тех случаях, когда любой контролирующий орган или Комиссия требуют, чтобы такой вопрос рассматривался в механизме согласованности. Этот механизм не должен наносить ущерба любым мерам, которые Комиссия может принять при осуществлении своих полномочий в соответствии с договорами. |
(136) | Применяя механизм согласованности, Совет должен в течение определенного периода времени выдать заключение, если большинство его членов примет такое решение или по просьбе какого-либо соответствующего контролирующего органа или Комиссии. Совет также должен быть уполномочен принимать юридически обязательные решения в случае возникновения споров между надзорными органами. Для этой цели он должен, в принципе, большинством в две трети своих членов, принимать юридически обязательные решения в четко определенных случаях, когда существуют противоречивые мнения между надзорными органами, в частности в отношении механизма сотрудничества между ведущим надзорным органом и надзорными органами. обеспокоен по существу дела, в частности, имеет ли место нарушение настоящего Регламента. |
(137) | Может возникнуть острая необходимость действовать, чтобы защитить права и свободы субъектов данных, в частности, когда существует опасность, что реализация права субъекта данных может быть значительно затруднена. Поэтому надзорный орган должен иметь возможность принимать должным образом обоснованные временные меры на своей территории с указанным сроком действия, который не должен превышать трех месяцев. |
(138) | Применение такого механизма должно являться условием законности меры, предназначенной для создания правовых последствий контролирующим органом в тех случаях, когда его применение является обязательным. В других случаях трансграничной значимости следует применять механизм сотрудничества между ведущим надзорным органом и соответствующими надзорными органами, и взаимная помощь и совместные операции могут проводиться между соответствующими надзорными органами на двусторонней или многосторонней основе без задействования механизма согласованности. , |
(139) | Чтобы способствовать последовательному применению этого Регламента, Совет должен быть создан как независимый орган Союза. Для выполнения своих задач совет должен обладать правосубъектностью. Правление должно быть представлено его Председателем. Он должен заменить Рабочую группу по защите физических лиц в отношении обработки персональных данных, учрежденную Директивой 95/46 / ЕС. Он должен состоять из главы надзорного органа каждого государства-члена и европейского надзорного органа по защите данных или их соответствующих представителей. Комиссия должна участвовать в деятельности Совета без права голоса, а Европейский супервизор по защите данных должен иметь определенные права голоса. Правление должно способствовать последовательному применению этого Регламента на всей территории Союза, в том числе путем консультирования Комиссии, в частности, на уровне защиты в третьих странах или международных организациях, а также содействие сотрудничеству надзорных органов по всему Союзу. Совет должен действовать самостоятельно при выполнении своих задач. |
(140) | Правлению должен оказывать содействие секретариат, предоставленный Европейским надзорным органом по защите данных. Сотрудники Европейского супервизора по защите данных, участвующие в выполнении задач, возложенных на Совет в соответствии с настоящим Регламентом, должны выполнять свои задачи исключительно в соответствии с инструкциями и подотчетны Председателю Совета. |
(141) | Каждый субъект данных должен иметь право подать жалобу в один надзорный орган, в частности в государстве-члене своего обычного места жительства, и право на эффективное средство судебной защиты в соответствии со статьей 47 Устава, если субъект данных считает, что его или ее права в соответствии с настоящим Регламентом нарушены или если орган надзора не принимает меры по жалобе, частично или полностью отклоняет или отклоняет жалобу или не предпринимает действий, когда такие действия необходимы для защиты прав субъекта данных. Расследование по жалобе должно проводиться при условии судебного контроля в той мере, в которой это уместно в конкретном случае. Надзорный орган должен проинформировать субъекта данных о ходе и результатах жалобы в течение разумного периода времени. Если дело требует дальнейшего расследования или координации с другим надзорным органом, промежуточная информация должна быть предоставлена субъекту данных. Чтобы облегчить подачу жалоб, каждый надзорный орган должен принять такие меры, как предоставление формы подачи жалобы, которая также может быть заполнена в электронном виде, без исключения других средств связи. |
(142) | Если субъект данных считает, что его или ее права в соответствии с настоящим Регламентом нарушены, он или она должны иметь право поручить некоммерческому органу, организации или ассоциации, которая учреждена в соответствии с законодательством государства-члена, уставные цели, которые отвечают общественным интересам и являются активными в области защиты персональных данных, чтобы подать жалобу от его или ее имени в надзорный орган, воспользоваться правом на судебную защиту от имени субъектов данных или, если это предусмотрено в соответствии с законодательством государства-члена, осуществлять право на получение компенсации от имени субъектов данных. Государство-член может предусмотреть, чтобы такой орган, организация или ассоциация имели право подать жалобу в этом государстве-члене независимо от мандата субъекта данных, и право на эффективное средство судебной защиты, если у него есть основания полагать, что права субъекта данных были нарушены в результате обработки персональных данных, что нарушает настоящий Регламент. Этот орган, организация или ассоциация могут не иметь права требовать компенсацию от имени субъекта данных независимо от мандата субъекта данных. |
(143) | Любое физическое или юридическое лицо имеет право подать иск об аннулировании решений Совета в Суде на условиях, предусмотренных статьей 263 TFEU. Как адресаты таких решений, соответствующие надзорные органы, которые хотят оспорить их, должны предпринять действия в течение двух месяцев после их уведомления в соответствии со статьей 263 TFEU. В тех случаях, когда решения Совета имеют непосредственное и индивидуальное отношение к контроллеру, обработчику или заявителю, последний может подать иск об аннулировании этих решений в течение двух месяцев после их публикации на веб-сайте Совета в соответствии со статьей 263 TFEU. Без ущерба для этого права в соответствии со статьей 263 TFEU, каждое физическое или юридическое лицо должно иметь эффективные средства судебной защиты в компетентном национальном суде в отношении решения надзорного органа, которое создает правовые последствия в отношении этого лица. Такое решение касается, в частности, осуществления контролирующими органами следственных, исправительных и разрешительных полномочий или отклонения или отклонения жалоб. Тем не менее, право на эффективное судебное средство правовой защиты не включает в себя меры, принимаемые надзорными органами, которые не имеют обязательной юридической силы, такие как заключения или рекомендации, представленные надзорным органом. Производство в отношении надзорного органа должно быть передано в суды государства-члена, в котором учрежден надзорный орган, и должно проводиться в соответствии с процессуальным законодательством этого государства-члена.Если жалоба была отклонена или отклонена надзорным органом, заявитель может подать иск в суд в том же государстве-члене. В контексте средств правовой защиты, связанных с применением настоящего Регламента, национальные суды, которые рассматривают решение по вопросу, необходимому для того, чтобы дать им возможность вынести решение, могут или в случае, предусмотренном статьей 267 TFEU, должны обратиться в Суд Правосудие выносит предварительное постановление о толковании законодательства Союза, в том числе настоящего Регламента. Кроме того, если решение надзорного органа, исполняющего решение Совета, оспаривается в национальном суде и обоснованность решения Совета ставится под сомнение, этот национальный суд не уполномочен объявлять Совет ». Решение является недействительным, но должно передать вопрос о действительности в Суд в соответствии со статьей 267 TFEU в интерпретации Суда, где он считает это решение недействительным. Однако национальный суд не может передавать вопрос о действительности решения Совета по запросу физического или юридического лица, которое имело возможность подать иск об отмене этого решения, в частности, если оно было прямо и индивидуально обеспокоен этим решением, но не сделал этого в течение срока, установленного в статье 263 TFEU. |
(144) | Если у суда, рассматривающего дело против решения надзорного органа, есть основания полагать, что разбирательство, касающееся одной и той же обработки, такой как тот же предмет, что и обработка одним и тем же контролером или обработчиком, или та же причина иска, было возбуждено до компетентный суд в другом государстве-члене, он должен связаться с этим судом, чтобы подтвердить наличие таких связанных разбирательств. Если соответствующее разбирательство находится на рассмотрении в суде в другом государстве-члене, любой суд, кроме суда, который в первый раз обратился в суд, может приостановить свое разбирательство или может, по требованию одной из сторон, отказаться от юрисдикции в пользу суда, который был впервые возбужден, если этот суд обладает юрисдикцией в отношении рассматриваемого разбирательства и его законодательства разрешает объединение таких связанных разбирательств. |
(145) | В случае судебного разбирательства против контролера или обработчика истец должен иметь возможность подать иск в суды государств-членов, в которых у контролера или обработчика есть предприятие или где находится субъект данных, если контролер не является публичным органом государства-члена. Государство действует в осуществлении своих публичных полномочий. |
(146) | Контроллер или процессор должны компенсировать любой ущерб, который может понести человек в результате обработки, которая нарушает настоящие Правила. Контроллер или процессор должны быть освобождены от ответственности, если докажет, что не несет никакой ответственности за ущерб. Понятие ущерба должно широко толковаться в свете прецедентного права Суда таким образом, чтобы оно полностью отражало цели настоящего Регламента. Это не наносит ущерба любым искам о возмещении ущерба в результате нарушения других правил в законодательстве Союза или государства-члена. Обработка, которая нарушает настоящий Регламент, также включает обработку, которая нарушает делегированные и исполняющие акты, принятые в соответствии с настоящим Регламентом и законодательством государств-членов, определяющим правила настоящего Регламента. Данные субъекты должны получить полную и эффективную компенсацию за причиненный им ущерб. Если контроллеры или процессоры участвуют в одной и той же обработке, каждый контроллер или процессор должен нести ответственность за весь ущерб. Однако, если они присоединяются к одному и тому же судебному разбирательству, в соответствии с законодательством государства-члена компенсация может быть распределена в соответствии с ответственностью каждого контроллера или процессора за ущерб, причиненный обработкой, при условии, что полная и эффективная компенсация субъекта данных кому нанесен ущерб, обеспечен. Любой контроллер или процессор, выплативший полную компенсацию, может впоследствии возбудить судебное разбирательство против других контроллеров или процессоров, участвующих в той же обработке. каждый контроллер или процессор должен нести ответственность за весь ущерб. Однако, если они присоединяются к одному и тому же судебному разбирательству, в соответствии с законодательством государства-члена компенсация может быть распределена в соответствии с ответственностью каждого контроллера или процессора за ущерб, причиненный обработкой, при условии, что полная и эффективная компенсация субъекта данных кому нанесен ущерб, обеспечен. Любой контроллер или процессор, выплативший полную компенсацию, может впоследствии возбудить судебное разбирательство против других контроллеров или процессоров, участвующих в той же обработке. каждый контроллер или процессор должен нести ответственность за весь ущерб. Однако, если они присоединяются к одному и тому же судебному разбирательству, в соответствии с законодательством государства-члена компенсация может быть распределена в соответствии с ответственностью каждого контроллера или процессора за ущерб, причиненный обработкой, при условии, что полная и эффективная компенсация субъекта данных кому нанесен ущерб, обеспечен. Любой контроллер или процессор, выплативший полную компенсацию, может впоследствии возбудить судебное разбирательство против других контроллеров или процессоров, участвующих в той же обработке. компенсация может быть распределена в соответствии с ответственностью каждого контроллера или процессора за ущерб, причиненный обработкой, при условии, что обеспечена полная и эффективная компенсация субъекта данных, понесшего ущерб. Любой контроллер или процессор, выплативший полную компенсацию, может впоследствии возбудить судебное разбирательство против других контроллеров или процессоров, участвующих в той же обработке. компенсация может быть распределена в соответствии с ответственностью каждого контроллера или процессора за ущерб, причиненный обработкой, при условии, что обеспечена полная и эффективная компенсация субъекта данных, понесшего ущерб. Любой контроллер или процессор, выплативший полную компенсацию, может впоследствии возбудить судебное разбирательство против других контроллеров или процессоров, участвующих в той же обработке. |
(147) | В тех случаях, когда в настоящем Регламенте содержатся конкретные правила в отношении юрисдикции, в частности, в отношении разбирательств, требующих средств судебной защиты, включая компенсацию, в отношении контролера или процессора, общие правила юрисдикции, такие как правила Регламента (ЕС) № 1215/2012 Европейского парламента и Совет ( 13 ) не должен наносить ущерба применению таких конкретных правил. |
(148) | В целях обеспечения более строгого соблюдения правил настоящего Регламента за любое нарушение настоящего Регламента следует налагать штрафы, в том числе административные штрафы, в дополнение или вместо соответствующих мер, налагаемых надзорным органом в соответствии с настоящим Регламентом. В случае незначительного нарушения или если штраф, который может быть наложен, представляет собой непропорциональное бремя для физического лица, выговор может быть выдан вместо штрафа. Однако следует уделять должное внимание характеру, серьезности и продолжительности нарушения, преднамеренному характеру нарушения, действиям, предпринятым для смягчения причиненного ущерба, степени ответственности или любых соответствующих предыдущих нарушений, способу, которым нарушение стало известно надзорный орган, соблюдение мер, предписанных в отношении контроллера или процессора, соблюдение кодекса поведения и любых других отягчающих или смягчающих факторов. Наложение наказаний, включая административные штрафы, должно подлежать соответствующим процессуальным гарантиям в соответствии с общими принципами права Союза и Устава, включая эффективную судебную защиту и надлежащую процедуру. |
(149) | Государства-члены должны иметь возможность устанавливать правила уголовного наказания за нарушения настоящего Регламента, в том числе за нарушения национальных правил, принятых в соответствии с настоящим Регламентом и в рамках него. Эти уголовные санкции могут также допускать лишение прибыли, полученной в результате нарушений этого Регламента. Однако наложение уголовных наказаний за нарушение таких национальных правил и административных наказаний не должно приводить к нарушению принципа ne bis in idem , как это истолковано Судом. |
(150) | Для усиления и согласования административных взысканий за нарушения настоящего Регламента каждый орган надзора должен иметь право налагать административные штрафы. В настоящих Правилах должны указываться нарушения, а также верхний предел и критерии для установления соответствующих административных штрафов, которые должны определяться компетентным надзорным органом в каждом отдельном случае с учетом всех соответствующих обстоятельств конкретной ситуации, с должным учетом, в частности, характер, серьезность и продолжительность нарушения и его последствий, а также меры, принятые для обеспечения соблюдения обязательств по настоящему Регламенту и предотвращения или смягчения последствий нарушения. Если на предприятие наложены административные штрафы, для этих целей следует понимать обязательство в соответствии со статьями 101 и 102 TFEU. Если административные штрафы налагаются на лиц, которые не являются предприятием, надзорный орган должен учитывать общий уровень доходов в государстве-члене, а также экономическое положение лица при рассмотрении соответствующей суммы штрафа. Механизм согласованности может также использоваться для обеспечения согласованного применения административных штрафов. Государства-члены должны определить, должны ли и в какой степени государственные органы подвергаться административным штрафам. Наложение административного штрафа или предупреждение не влияет на применение других полномочий надзорных органов или других штрафов в соответствии с настоящим Регламентом. |
(151) | Правовые системы Дании и Эстонии не допускают административных штрафов, указанных в настоящем Регламенте. Правила об административных штрафах могут применяться таким образом, что в Дании компетентные национальные суды налагают штраф в качестве уголовного наказания, а в Эстонии штраф налагается надзорным органом в рамках процедуры административного правонарушения при условии, что такой Применение правил в этих государствах-членах равноценно административным штрафам, налагаемым надзорными органами. Поэтому компетентные национальные суды должны учитывать рекомендации надзорного органа, инициирующего штраф. В любом случае налагаемые штрафы должны быть эффективными, пропорциональными и сдерживающими. |
(152) | В тех случаях, когда настоящий Регламент не гармонизирует административные штрафы или, где это необходимо, в других случаях, например, в случае серьезных нарушений настоящего Регламента, государства-члены должны внедрить систему, которая предусматривает эффективные, соразмерные и сдерживающие санкции. Характер таких наказаний, уголовных или административных, должен определяться законодательством государства-члена. |
(153) | Законодательство государств-членов должно привести в соответствие правила, регулирующие свободу выражения мнений и информацию, включая журналистское, академическое, художественное или литературное выражение, с правом на защиту личных данных в соответствии с настоящим Положением. Обработка персональных данных исключительно для журналистских целей или для целей академического, художественного или литературного выражения должна подлежать отступлениям или исключениям из определенных положений настоящего Регламента, если это необходимо для примирения права на защиту персональных данных с правом на свобода выражения и информации, закрепленная в статье 11 Устава. Это должно относиться, в частности, к обработке персональных данных в аудиовизуальной области, а также в архивах новостей и пресс-библиотеках. Следовательно, Государствам-членам следует принять законодательные меры, предусматривающие исключения и отступления, необходимые для сбалансирования этих основных прав. Государства-члены должны принять такие исключения и отступления от общих принципов, прав субъекта данных, контроллера и обработчика, передачи персональных данных третьим странам или международным организациям, независимым контролирующим органам, сотрудничества и согласованности, а также конкретных данных. обработка ситуаций. Если такие исключения или отступления отличаются от одного государства-члена к другому, должно применяться законодательство государства-члена, которому подчиняется контролер. Чтобы учитывать важность права на свободу выражения мнений в каждом демократическом обществе, необходимо широко интерпретировать понятия, касающиеся этой свободы, такие как журналистика. |
(154) | Этот Регламент позволяет учитывать принцип публичного доступа к официальным документам при применении данного Регламента. Публичный доступ к официальным документам может считаться в общественных интересах. Личные данные в документах, находящихся в распоряжении государственного органа или государственного органа, должны быть доступны для публичного раскрытия этим органом или органом, если раскрытие предусмотрено законодательством Союза или государства-члена, которому подчиняется государственный орган или государственный орган. Такие законы должны согласовывать публичный доступ к официальным документам и повторное использование информации государственного сектора с правом на защиту персональных данных и, следовательно, могут предусматривать необходимое согласование с правом на защиту персональных данных в соответствии с настоящим Регламентом. Ссылка на государственные органы и органы должна в этом контексте включать все органы или другие органы, на которые распространяется законодательство государств-членов о публичном доступе к документам. Директива 2003/98 / EC Европейского Парламента и Совета ( 14 ) оставляет нетронутым и никоим образом не влияет на уровень защиты физических лиц в отношении обработки персональных данных в соответствии с положениями законодательства Союза и государств-членов и, в частности, не меняет обязательств и прав, изложенных в настоящем Регламенте. , В частности, эта Директива не должна применяться к документам, доступ к которым исключен или ограничен в силу режимов доступа на основании защиты персональных данных, а также к частям документов, доступным в силу тех режимов, которые содержат персональные данные, для повторного использования из которых было предусмотрено законом как несовместимое с законом о защите физических лиц в отношении обработки персональных данных. |
(155) | Законодательство или коллективные договоры государств-членов, в том числе «трудовые договоры», могут предусматривать конкретные правила обработки персональных данных работников в контексте занятости, в частности, для условий, при которых персональные данные в контексте занятости могут обрабатываться на основе согласия работника, целей найма, исполнения трудового договора, в том числе выполнения обязательств, установленных законом или коллективными договорами, управления, планирования и организации труда, равенства и разнообразия на рабочем месте, здоровья и безопасность на работе, а также в целях осуществления и пользования на индивидуальной или коллективной основе прав и льгот, связанных с трудоустройством, и в целях прекращения трудовых отношений. |
(156) | Обработка персональных данных для целей архивирования в общественных интересах, научных или исторических исследованиях или статистических целях должна подлежать соответствующим гарантиям прав и свобод субъекта данных в соответствии с настоящим Регламентом. Эти меры предосторожности должны обеспечивать принятие технических и организационных мер для обеспечения, в частности, принципа минимизации данных. Дальнейшая обработка персональных данных для целей архивирования в общественных интересах, научных или исторических исследованиях или статистических целях должна осуществляться, когда контролер оценил выполнимость этих целей путем обработки данных, которые не разрешают или больше не разрешают идентификация субъектов данных при условии наличия соответствующих мер защиты (таких как, например, псевдонимы данных). Государствам-членам следует предусмотреть надлежащие меры предосторожности для обработки персональных данных в целях архивирования в общественных интересах, научных или исторических исследованиях или статистических целях. Государства-члены должны быть уполномочены предоставлять при определенных условиях и при условии соблюдения надлежащих мер защиты субъектов данных, спецификаций и отступлений в отношении требований к информации и прав на исправление, стирание, забвение, ограничение обработки, переносимость данных, и возражать при обработке персональных данных для целей архивирования в общественных интересах, научных или исторических исследованиях или статистических целях. Рассматриваемые условия и гарантии могут предусматривать конкретные процедуры для субъектов данных для осуществления этих прав, если это целесообразно в свете целей, которые преследует конкретная обработка, наряду с техническими и организационными мерами, направленными на минимизацию обработки персональных данных в соответствии с принципы пропорциональности и необходимости. Обработка персональных данных в научных целях также должна соответствовать другим соответствующим законам, таким как клинические испытания. |
(157) | Объединяя информацию из реестров, исследователи могут получить новые знания, представляющие большую ценность в отношении распространенных заболеваний, таких как сердечно-сосудистые заболевания, рак и депрессия. На основе реестров можно улучшить результаты исследований, поскольку они опираются на большую популяцию. В рамках социальных наук исследования на основе реестров позволяют исследователям получать необходимые знания о долгосрочной взаимосвязи ряда социальных условий, таких как безработица и образование, с другими условиями жизни. Результаты исследований, полученные через реестры, дают надежные, высококачественные знания, которые могут послужить основой для разработки и реализации политики, основанной на знаниях, улучшить качество жизни ряда людей и повысить эффективность социальных услуг. Для облегчения научных исследований, |
(158) | Если персональные данные обрабатываются для целей архивирования, настоящий Регламент должен также применяться к такой обработке с учетом того, что настоящий Регламент не должен применяться к умершим лицам. Государственные органы или государственные или частные органы, которые хранят записи, представляющие общественный интерес, должны быть службами, которые в соответствии с законодательством Союза или государства-члена имеют юридическое обязательство приобретать, сохранять, оценивать, организовывать, описывать, сообщать, рекламировать, распространять и предоставлять доступ к записи непреходящей ценности для общего общественного интереса. Государства-члены также должны быть уполномочены обеспечивать дальнейшую обработку персональных данных для целей архивирования, например, с целью предоставления конкретной информации, связанной с политическим поведением при бывших тоталитарных государственных режимах, геноцидом, преступлениями против человечества, в частности Холокостом, или военные преступления. |
(159) | В тех случаях, когда персональные данные обрабатываются для целей научных исследований, настоящий Регламент должен также применяться к такой обработке. Для целей настоящего Регламента обработка персональных данных для целей научных исследований должна интерпретироваться в широком смысле, включая, например, технологическое развитие и демонстрацию, фундаментальные исследования, прикладные исследования и исследования, финансируемые из частных источников. Кроме того, он должен принимать во внимание цель Союза в соответствии со статьей 179 (1) TFEU по достижению европейского исследовательского пространства. Цели научных исследований должны также включать исследования, проводимые в общественных интересах в области общественного здравоохранения. Чтобы соответствовать специфике обработки персональных данных в научных целях, Особые условия должны применяться, в частности, в отношении публикации или иного раскрытия персональных данных в контексте научных исследований. Если результат научных исследований, в частности в контексте здравоохранения, дает основание для дальнейших мер в интересах субъекта данных, с учетом этих мер должны применяться общие правила настоящего Регламента. |
(160) | В тех случаях, когда личные данные обрабатываются для целей исторических исследований, настоящий Регламент должен также применяться к такой обработке. Это также должно включать исторические исследования и исследования в генеалогических целях, принимая во внимание, что настоящий Регламент не должен применяться к умершим. |
(161) | В целях согласия на участие в научно-исследовательской деятельности в клинических испытаниях должны применяться соответствующие положения Регламента (ЕС) № 536/2014 Европейского парламента и Совета ( 15 ) . |
(162) | Если персональные данные обрабатываются для статистических целей, к этой обработке следует применять настоящие Правила. Законодательство Союза или государства-члена должно, в рамках настоящего Регламента, определять статистическое содержание, контроль доступа, спецификации для обработки персональных данных в статистических целях и соответствующие меры для защиты прав и свобод субъекта данных и обеспечения статистической конфиденциальности. , Статистические цели означают любую операцию сбора и обработки персональных данных, необходимых для статистических обследований или для получения статистических результатов. Эти статистические результаты могут в дальнейшем использоваться для различных целей, включая цели научных исследований. Статистическая цель подразумевает, что результатом обработки для статистических целей являются не личные данные, а совокупные данные, |
(163) | Конфиденциальная информация, которую Союз и национальные статистические органы собирают для производства официальной европейской и официальной национальной статистики, должна быть защищена. Европейская статистика должна разрабатываться, производиться и распространяться в соответствии со статистическими принципами, изложенными в Статье 338 (2) TFEU, тогда как национальная статистика также должна соответствовать законодательству государств-членов. Регламент (EC) № 223/2009 Европейского парламента и Совета ( 16 ) содержит дополнительные спецификации статистической конфиденциальности для европейской статистики. |
(164) | Что касается полномочий контролирующих органов по получению от контролера или процессора доступа к персональным данным и доступу к их помещениям, государства-члены могут в соответствии с законом в рамках настоящего Регламента принять конкретные правила для защиты профессионального или другого аналога. обязательства в отношении секретности в той мере, в которой это необходимо для согласования права на защиту персональных данных с обязательством соблюдения профессиональной тайны. Это не наносит ущерба существующим обязательствам государств-членов по принятию правил о профессиональной тайне, когда это требуется законодательством Союза. |
(165) | Этот Регламент уважает и не наносит ущерба статусу в соответствии с действующим конституционным правом церквей и религиозных объединений или общин в государствах-членах, как это признано в Статье 17 TFEU. |
(166) | Для достижения целей настоящего Регламента, а именно для защиты основных прав и свобод физических лиц и, в частности, их права на защиту персональных данных и обеспечения свободного перемещения персональных данных в рамках Союза, право принимать акты в соответствии со статьей 290 TFEU должен быть делегирован в Комиссию. В частности, должны быть приняты делегированные акты в отношении критериев и требований к механизмам сертификации, информация должна быть представлена стандартными значками и процедурами для предоставления таких значков. Особенно важно, чтобы Комиссия проводила соответствующие консультации в ходе своей подготовительной работы, в том числе на уровне экспертов. Комиссия при подготовке и составлении делегированных актов должна обеспечивать одновременное |
(167) | В целях обеспечения единых условий для осуществления настоящего Регламента, полномочия по осуществлению должны быть предоставлены Комиссии, если это предусмотрено настоящим Регламентом. Эти полномочия должны осуществляться в соответствии с Регламентом (ЕС) № 182/2011. В этом контексте Комиссии следует рассмотреть конкретные меры для микро-, малых и средних предприятий. |
(168) | Процедура экспертизы должна использоваться для принятия исполнительных актов по стандартным договорным положениям между контроллерами и процессорами и между процессорами; нормы поведения; технические стандарты и механизмы сертификации; адекватный уровень защиты, предоставляемый третьей страной, территорией или определенным сектором в пределах этой третьей страны или международной организацией; стандартные положения о защите; форматы и процедуры для обмена информацией с помощью электронных средств между контролерами, процессорами и контролирующими органами для обязательных корпоративных правил; взаимопомощь; и договоренности об обмене информацией с помощью электронных средств между надзорными органами, а также между надзорными органами и Советом. |
(169) | Комиссия должна незамедлительно принять применимые исполнительные акты, если имеющиеся доказательства свидетельствуют о том, что третья страна, территория или определенный сектор в пределах этой третьей страны или международная организация не обеспечивают адекватный уровень защиты, и этого требуют императивные причины срочности. |
(170) | Поскольку цель настоящего Регламента, а именно обеспечение эквивалентного уровня защиты физических лиц и свободного распространения персональных данных по всему Союзу, не может быть в достаточной мере достигнута государствами-членами, и скорее она может быть достигнута из-за масштаба или последствий Если действия будут лучше достигнуты на уровне Союза, Союз может принять меры в соответствии с принципом субсидиарности, изложенным в Статье 5 Договора о Европейском Союзе (TEU). В соответствии с принципом пропорциональности, изложенным в этой статье, настоящий Регламент не выходит за рамки того, что необходимо для достижения этой цели. |
(171) | Директива 95/46 / EC должна быть отменена настоящими Правилами. Обработка, уже начатая в день применения настоящих Правил, должна быть приведена в соответствие с настоящими Правилами в течение двухлетнего периода, после которого настоящие Правила вступают в силу. Если обработка основана на согласии в соответствии с Директивой 95/46 / EC, субъекту данных нет необходимости повторно давать свое согласие, если способ, которым было дано согласие, соответствует условиям настоящего Регламента, чтобы позволить контролеру продолжить такую обработку после даты применения настоящих Правил. Принятые решения Комиссии и разрешения надзорных органов на основании Директивы 95/46 / ЕС остаются в силе до тех пор, пока они не будут изменены, заменены или отменены. |
(172) | С Европейским надзорным органом по защите данных были проведены консультации в соответствии со статьей 28 (2) Регламента (ЕС) № 45/2001, и 7 марта 2012 года ( 17 ) было вынесено заключение . |
(173) | Этот Регламент должен применяться ко всем вопросам, касающимся защиты основных прав и свобод в отношении обработки персональных данных, на которые не распространяются конкретные обязательства с той же целью, изложенной в Директиве 2002/58 / EC Европейского парламента и Совета ( 18 ) , в том числе обязанности контролера и права физических лиц. Чтобы прояснить взаимосвязь между настоящим Регламентом и Директивой 2002/58 / EC, в эту Директиву должны быть внесены соответствующие изменения. После принятия этого Регламента Директива 2002/58 / EC должна быть пересмотрена, в частности, для обеспечения соответствия с этим Регламентом, |
ПРИНЯЛИ ЭТОТ ПРАВИЛА:
ГЛАВА I
Основные положения
Статья 1
Предмет и задачи
1. Настоящий Регламент устанавливает правила, касающиеся защиты физических лиц при обработке персональных данных, и правила, касающиеся свободного перемещения персональных данных.
2. Настоящий Регламент защищает основные права и свободы физических лиц и, в частности, их право на защиту персональных данных.
3. Свободное перемещение персональных данных внутри Союза не должно быть ни ограничено, ни запрещено по причинам, связанным с защитой физических лиц при обработке персональных данных.
Статья 2
Материальная сфера
1. Настоящий Регламент применяется к обработке персональных данных полностью или частично с помощью автоматических средств и к обработке, отличной от автоматизированных средств персональных данных, которые образуют часть системы регистрации или предназначены для формирования части системы регистрации.
2. Настоящий Регламент не распространяется на обработку персональных данных:
(А) | в ходе деятельности, которая выходит за рамки законодательства Союза; |
(Б) | государствами-членами при проведении мероприятий, подпадающих под сферу действия главы 2 раздела V TEU; |
(С) | физическим лицом в ходе чисто личной или бытовой деятельности; |
(Д) | компетентными органами в целях предотвращения, расследования, выявления или судебного преследования за совершение уголовных преступлений или исполнения уголовных наказаний, включая защиту и предотвращение угроз общественной безопасности. |
3. Для обработки персональных данных учреждениями, органами, учреждениями и агентствами Союза применяется Регламент (ЕС) № 45/2001. Регламент (ЕС) № 45/2001 и другие правовые акты Союза, применимые к такой обработке персональных данных, должны быть адаптированы к принципам и правилам настоящего Регламента в соответствии со Статьей 98.
4. Настоящие Правила не должны наносить ущерба применению Директивы 2000/31 / ЕС, в частности правил ответственности поставщиков услуг-посредников, указанных в статьях 12-15 этой Директивы.
Статья 3
Территориальный охват
1. Настоящий Регламент применяется к обработке персональных данных в контексте деятельности учреждения контролера или процессора в Союзе, независимо от того, происходит ли обработка в Союзе или нет.
2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контроллером или процессором, не учрежденным в Союзе, где действия по обработке связаны с:
(А) | предложение товаров или услуг, независимо от того, требуется ли оплата субъекта данных, таким субъектам данных в Союзе; или же |
(Б) | контроль за их поведением в той мере, в какой это происходит в Союзе. |
3. Настоящий Регламент применяется к обработке персональных данных контролером, не учрежденным в Союзе, но в месте, где законодательство государств-членов применяется на основании публичного международного права.
Статья 4
Определения
Для целей настоящих Правил:
(1) | «персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на такой идентификатор, как имя, идентификационный номер, данные о местоположении, сетевой идентификатор или на один или несколько факторов, специфичных для физического, физиологического, генетическая, психическая, экономическая, культурная или социальная идентичность этого физического лица; |
(2) | «обработка» означает любую операцию или набор операций, которые выполняются с персональными данными или с наборами персональных данных, независимо от того, выполняются ли они автоматическими средствами, такими как сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, выравнивание или сочетание, ограничение, удаление или уничтожение; |
(3) | «ограничение обработки» означает маркировку хранимых персональных данных с целью ограничения их обработки в будущем; |
(4) | «Профилирование» означает любую форму автоматизированной обработки персональных данных, состоящую из использования персональных данных для оценки определенных личных аспектов, относящихся к физическому лицу, в частности для анализа или прогнозирования аспектов, касающихся работы этого физического лица на работе, экономической ситуации, состояния здоровья, личные предпочтения, интересы, надежность, поведение, местоположение или движения; |
(5) | «псевдонимизация» означает обработку персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и подвергается техническим и организационным мерам. обеспечить, чтобы личные данные не были отнесены к идентифицированному или идентифицируемому физическому лицу; |
(6) | «система регистрации» означает любой структурированный набор персональных данных, которые доступны в соответствии с конкретными критериями, централизованными, децентрализованными или распределенными на функциональной или географической основе; |
(7) | «контролер» означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; если цели и средства такой обработки определяются законодательством Союза или государства-члена, контролирующий орган или конкретные критерии его назначения могут быть предусмотрены законодательством Союза или государства-члена; |
(8) | «обработчик» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера; |
(9) | «Получатель» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, которому раскрываются персональные данные, независимо от того, является ли это третьей стороной или нет. Однако государственные органы, которые могут получать персональные данные в рамках конкретного запроса в соответствии с законодательством Союза или государства-члена, не должны рассматриваться как получатели; обработка этих данных этими государственными органами должна осуществляться в соответствии с применимыми правилами защиты данных в соответствии с целями обработки; |
(10) | «третье лицо» означает физическое или юридическое лицо, государственный орган, учреждение или орган, помимо субъекта данных, контролера, обработчика и лиц, которые под непосредственным руководством контроллера или обработчика уполномочены обрабатывать персональные данные; |
(11) | «согласие» субъекта данных означает любое свободно предоставленное, конкретное, информированное и недвусмысленное указание желаний субъекта данных, посредством которого он или она посредством заявления или явного позитивного действия означает согласие на обработку относящихся к нему персональных данных или ее; |
(12) | «Нарушение персональных данных» означает нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к передаваемым, хранимым или иным образом персональным данным; |
(13) | «генетические данные» означают личные данные, относящиеся к унаследованным или приобретенным генетическим характеристикам физического лица, которые предоставляют уникальную информацию о физиологии или здоровье этого физического лица и которые, в частности, являются результатом анализа биологического образца из природного лицо, о котором идет речь; |
(14) | «биометрические данные» означают личные данные, полученные в результате специальной технической обработки, связанной с физическими, физиологическими или поведенческими характеристиками физического лица, которые позволяют или подтверждают уникальную идентификацию этого физического лица, например изображения лица или дактилоскопические данные; |
(15) | «данные о здоровье» означают личные данные, относящиеся к физическому или психическому здоровью физического лица, включая предоставление медицинских услуг, которые раскрывают информацию о его или ее состоянии здоровья; |
(16) | «Основное заведение» означает:(А)в отношении контролера, имеющего предприятия в более чем одном государстве-члене, место его центральной администрации в Союзе, если только решения о целях и средствах обработки персональных данных не приняты в другом учреждении контролера в Союзе и последнее учреждение имеет право осуществлять такие решения, и в этом случае учреждение, принявшее такие решения, следует считать основным учреждением;(Б)в отношении процессора, имеющего предприятия в более чем одном государстве-члене, место его центральной администрации в Союзе или, если процессор не имеет центральной администрации в Союзе, создание процессора в Союзе, где основная деятельность по обработке в контекст деятельности предприятия по обработке данных происходит в той мере, в которой на процессор распространяются особые обязательства согласно настоящему Регламенту; |
(17) | «представитель» означает физическое или юридическое лицо, учрежденное в Союзе и назначенное контролером или обработчиком в письменной форме в соответствии со статьей 27, представляющее контролера или обработчика в отношении их соответствующих обязательств по настоящему Регламенту; |
(18) | «предприятие» означает физическое или юридическое лицо, занимающееся экономической деятельностью независимо от ее правовой формы, включая партнерства или ассоциации, регулярно занимающиеся экономической деятельностью; |
(19) | «группа предприятий» означает контролирующее предприятие и его контролируемые предприятия; |
(20) | «Обязательные корпоративные правила» означают политики защиты персональных данных, которые применяются контроллером или процессором, установленным на территории государства-члена для передачи или набора передач персональных данных контроллеру или процессору в одной или нескольких третьих странах в пределах группа предприятий или группа предприятий, занимающихся совместной экономической деятельностью; |
(21) | «контролирующий орган» означает независимый государственный орган, который создается государством-членом в соответствии со статьей 51; |
(22) | «Надзорный орган» означает надзорный орган, который занимается обработкой персональных данных, потому что:(А)контроллер или обработчик устанавливается на территории государства-члена этого надзорного органа;(Б)субъекты данных, проживающие в государстве-члене этого надзорного органа, существенно затронуты или, вероятно, будут существенно затронуты обработкой; или(С)жалоба была подана в этот надзорный орган; |
(23) | «трансграничная обработка» означает либо:(А)обработка персональных данных, которая происходит в контексте деятельности предприятий более чем в одном государстве-члене контроллера или обработчика в Союзе, где контроллер или обработчик установлен в более чем одном государстве-члене; или(Б)обработка персональных данных, которая происходит в контексте деятельности одного учреждения контроллера или процессора в Союзе, но которая существенно влияет или может оказать существенное влияние на субъектов данных в более чем одном государстве-члене. |
(24) | «Актуальное и обоснованное возражение» означает возражение против проекта решения о том, имеет ли место нарушение настоящих Правил или соответствует ли предусмотренное действие в отношении контроллера или процессора данному Правилу, что четко демонстрирует значимость рисков, связанных с проект решения, касающийся основных прав и свобод субъектов данных и, где это применимо, свободного потока персональных данных в рамках Союза; |
(25) | «Служба информационного общества» означает службу, определенную в пункте (b) статьи 1 (1) Директивы (ЕС) 2015/1535 Европейского парламента и Совета ( 19 ) ; |
(26) | «международная организация» означает организацию и ее подчиненные органы, регулируемые публичным международным правом, или любой другой орган, созданный или основанный на соглашении между двумя или более странами. |
Глава II
принципы
Статья 5
Принципы обработки персональных данных
1. Персональные данные должны быть:
(А) | обрабатываются законно, справедливо и прозрачно в отношении субъекта данных («законность, справедливость и прозрачность»); |
(Б) | собраны для определенных, явных и законных целей и не обрабатываются в дальнейшем способом, несовместимым с этими целями; дальнейшая обработка для целей архивирования в общественных интересах, научных или исторических исследованиях или статистических целях, в соответствии со статьей 89 (1), не считается несовместимой с первоначальными целями («ограничение цели»); |
(С) | адекватны, актуальны и ограничены тем, что необходимо в связи с целями, для которых они обрабатываются («минимизация данных»); |
(Д) | точный и, при необходимости, обновленный; должен быть предпринят каждый разумный шаг для обеспечения того, чтобы личные данные, которые являются неточными, с учетом целей, для которых они обрабатываются, стирались или исправлялись без задержки («точность»); |
(Е) | хранится в форме, которая позволяет идентифицировать субъекты данных не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные; Персональные данные могут храниться в течение более длительных периодов, поскольку персональные данные будут обрабатываться исключительно для целей архивирования в общественных интересах, научных или исторических исследованиях или статистических целях в соответствии со статьей 89 (1) при условии выполнения соответствующих технических и организационных меры, требуемые настоящим Регламентом для защиты прав и свобод субъекта данных («ограничение хранения»); |
(Е) | обрабатываются таким образом, который обеспечивает надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер («целостность и конфиденциальность»). |
2. Контролер должен нести ответственность и быть в состоянии продемонстрировать соответствие пункту 1 («подотчетность»).
Статья 6
Законность обработки
1. Обработка должна быть законной только в том случае, если применимо хотя бы одно из следующего:
(А) | субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей; |
(Б) | обработка необходима для исполнения договора, участником которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора; |
(С) | обработка необходима для соблюдения юридического обязательства, которому подчиняется контролер; |
(Д) | обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица; |
(Е) | обработка необходима для выполнения задачи, выполняемой в общественных интересах или для осуществления официальных полномочий, предоставленных контролеру; |
(Е) | обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности, когда данные субъект ребенок. |
Пункт (f) первого подпункта не распространяется на обработку, осуществляемую государственными органами при выполнении своих задач.
2. Государства-члены могут сохранить или ввести более конкретные положения, чтобы адаптировать применение правил настоящего Регламента в отношении обработки к соответствию пунктам (с) и (е) пункта 1 путем более точного определения конкретных требований к обработке и других меры по обеспечению законной и справедливой обработки, в том числе для других конкретных ситуаций обработки, как это предусмотрено в главе IX.
3. Основа для обработки, упомянутой в пунктах (с) и (е) пункта 1, должна быть установлена:
(А) | Союзное право; или же |
(Б) | Закон государства-члена, которому подчиняется контролер. |
Цель обработки определяется на этой правовой основе или, что касается обработки, упомянутой в пункте (е) пункта 1, необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении служебных обязанностей. полномочия принадлежат контролеру. Эта правовая основа может содержать конкретные положения для адаптации применения правил настоящего Регламента, в частности: общие условия, регулирующие законность обработки контролером; типы данных, которые подлежат обработке; соответствующие субъекты данных; субъекты и цели, для которых персональные данные могут быть раскрыты; ограничение цели; сроки хранения; и операции обработки и процедуры обработки, включая меры по обеспечению законной и справедливой обработки, например, для других конкретных ситуаций обработки, как это предусмотрено в главе IX. Закон Союза или государства-члена должен отвечать целям общественных интересов и быть соразмерным преследуемой законной цели.
4. В тех случаях, когда обработка для целей, отличных от той, для которой были собраны личные данные, не основана на согласии субъекта данных или на законе Союза или государства-члена, который представляет собой необходимую и соразмерную меру в демократическом обществе для защиты целей упомянутый в Статье 23 (1), контроллер должен, чтобы установить, совместима ли обработка для другой цели с целью, для которой персональные данные были первоначально собраны, принять во внимание, среди прочего:
(А) | любая связь между целями, для которых были собраны персональные данные, и целями предполагаемой дальнейшей обработки; |
(Б) | контекст, в котором собраны персональные данные, в частности, относительно отношений между субъектами данных и контроллером; |
(С) | характер персональных данных, в частности, обрабатываются ли специальные категории персональных данных в соответствии со статьей 9, или обрабатываются ли персональные данные, относящиеся к уголовным осуждениям и преступлениям, в соответствии со статьей 10; |
(Д) | возможные последствия предполагаемой дальнейшей обработки для субъектов данных; |
(Е) | наличие соответствующих гарантий, которые могут включать шифрование или псевдоним. |
Статья 7
Условия для согласия
1. Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку его или ее личных данных.
2. Если согласие субъекта данных дается в контексте письменного заявления, касающегося также других вопросов, запрос о согласии должен быть представлен таким образом, который будет четко отличим от других вопросов, в понятной и легко доступной форме, используя ясным и понятным языком. Любая часть такой декларации, которая представляет собой нарушение настоящего Регламента, не является обязательной.
3. Субъект данных имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва. Прежде чем дать согласие, субъект данных должен быть проинформирован об этом. Его так же легко снять, как дать согласие.
4. При оценке того, дается ли согласие на свободу, следует в максимальной степени учитывать, зависит ли, в частности , выполнение договора, включая предоставление услуги, от согласия на обработку персональных данных, которое не является необходимым для выполнение этого контракта.
Статья 8
Условия, применимые к согласию ребенка в отношении услуг информационного общества
1. Если пункт (а) статьи 6 (1) применяется в отношении предложения услуг информационного общества непосредственно ребенку, обработка личных данных ребенка должна быть законной, если ребенку не менее 16 лет. , Если ребенок не достиг 16-летнего возраста, такая обработка должна быть законной, только если и в той степени, в которой это согласие дано или разрешено владельцем родительской ответственности за ребенка.
Государства-члены могут предусмотреть в законе более низкий возраст для этих целей при условии, что такой более низкий возраст не ниже 13 лет.
2. Контролер прилагает разумные усилия для проверки в таких случаях согласия или согласия владельца родительской ответственности за ребенка с учетом доступных технологий.
3. Пункт 1 не влияет на общее договорное право государств-членов, такое как правила о действительности, образовании или действии договора в отношении ребенка.
Статья 9
Обработка специальных категорий персональных данных
1. Обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзе, а также обработка генетических данных, биометрических данных с целью однозначной идентификации физического лица, данных о состоянии здоровья или данных, касающихся половая жизнь или сексуальная ориентация физического лица запрещены.
2. Пункт 1 не применяется, если применяется одно из следующих:
(А) | субъект данных дал явное согласие на обработку этих персональных данных для одной или нескольких указанных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что запрет, упомянутый в пункте 1, не может быть снят субъектом данных; |
(Б) | обработка необходима в целях выполнения обязательств и реализации конкретных прав контролера или субъекта данных в области законодательства о занятости и социальном обеспечении и социальной защите, если это разрешено законодательством Союза или государства-члена или коллективное соглашение в соответствии с законодательством государств-членов, предусматривающее надлежащие гарантии основных прав и интересов субъекта данных; |
(С) | обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица, если субъект данных физически или юридически не способен дать согласие; |
(Д) | обработка осуществляется в ходе его законной деятельности с соответствующими гарантиями фонда, ассоциации или любого другого некоммерческого органа с политической, философской, религиозной или профсоюзной целью и при условии, что обработка относится исключительно к членам или бывшим членам этого органа или лицам, которые регулярно контактируют с ним в связи с его целями и что личные данные не разглашаются за пределами этого органа без согласия субъектов данных; |
(Е) | обработка относится к персональным данным, которые явно публикуются субъектом данных; |
(Е) | обработка необходима для установления, осуществления или защиты судебных исков или в случаях, когда суды действуют в своем судебном качестве; |
(грамм) | обработка необходима по причинам, представляющим значительный общественный интерес, на основе законодательства Союза или государства-члена, которое должно быть соразмерно преследуемой цели, уважать суть права на защиту данных и предусматривать подходящие и конкретные меры для защиты основных прав и интересы субъекта данных; |
(час) | обработка необходима в целях профилактической медицины или медицины труда, для оценки работоспособности работника, постановки медицинского диагноза, оказания медицинской или социальной помощи или лечения или управления системами и услугами здравоохранения или социальной защиты на основе Закон Союза или государства-члена или в соответствии с договором с медицинским работником и при условии соблюдения условий и гарантий, указанных в пункте 3; |
(я) | обработка необходима по причинам общественного интереса в области общественного здравоохранения, таких как защита от серьезных трансграничных угроз для здоровья или обеспечение высоких стандартов качества и безопасности медицинской помощи, а также лекарственных средств или медицинских изделий на основе Союза или закон государства-члена, который предусматривает надлежащие и конкретные меры для защиты прав и свобод субъекта данных, в частности профессиональной тайны; |
(К) | обработка необходима для целей архивирования в общественных интересах, научных или исторических исследованиях или статистических целях в соответствии со статьей 89 (1) на основании законодательства Союза или государств-членов, которая должна быть пропорциональна преследуемой цели, уважать суть права на защита данных и предусмотреть подходящие и конкретные меры для защиты основных прав и интересов субъекта данных. |
3. Персональные данные, упомянутые в пункте 1, могут обрабатываться для целей, указанных в пункте (h) пункта 2, когда эти данные обрабатываются профессиональным субъектом или под его ответственностью в соответствии с обязательством соблюдения профессиональной тайны в рамках Союза или государства-члена. Закон или правила, установленные национальными компетентными органами или другим лицом, также подпадают под действие обязательства о секретности в соответствии с законодательством Союза или государства-члена или правилами, установленными национальными компетентными органами.
4. Государства-члены могут поддерживать или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья.
Статья 10
Обработка персональных данных, касающихся уголовных приговоров и преступлений
Обработка персональных данных, касающихся уголовных приговоров и правонарушений или связанных с ними мер безопасности, основанных на статье 6 (1), должна осуществляться только под контролем официальных властей или когда обработка разрешена законодательством Союза или Государства-члена, предусматривающим надлежащие гарантии для права и свободы субъектов данных. Любой всеобъемлющий реестр обвинительных приговоров должен вестись только под контролем официальных властей.
Статья 11
Обработка, которая не требует идентификации
1. Если для целей, для которых контроллер обрабатывает персональные данные, не требуется или больше не требуется идентификация субъекта данных контроллером, контроллер не обязан хранить, получать или обрабатывать дополнительную информацию для идентификации субъекта данных. с единственной целью соблюдения настоящих Правил.
2. В тех случаях, когда в случаях, указанных в пункте 1 настоящей статьи, контролер может продемонстрировать, что он не в состоянии идентифицировать субъект данных, контроллер должен по возможности соответствующим образом информировать субъект данных. В таких случаях статьи 15–20 не применяются, за исключением случаев, когда субъект данных в целях осуществления своих прав в соответствии с этими статьями предоставляет дополнительную информацию, позволяющую идентифицировать его или ее.
Глава III
Права субъекта данных
Секция 1
Прозрачность и условия
Статья 12
Прозрачная информация, коммуникация и условия для реализации прав субъекта данных
1. Контролер должен принять надлежащие меры для предоставления любой информации, упомянутой в статьях 13 и 14, и любого сообщения в соответствии со статьями 15-22 и 34, касающегося обработки субъекта данных, в краткой, прозрачной, понятной и легкодоступной форме с использованием четких и простым языком, в частности, для любой информации, адресованной конкретно ребенку. Информация предоставляется в письменном виде или иными способами, в том числе, при необходимости, электронными средствами. По запросу субъекта данных информация может предоставляться в устной форме при условии, что личность субъекта данных подтверждается другими способами.
2. Контролер должен содействовать осуществлению прав субъекта данных в соответствии со статьями 15-22. В случаях, упомянутых в статье 11 (2), контролер не должен отказывать в действиях по запросу субъекта данных для осуществления его или ее прав. согласно статьям 15-22, если только контролер не продемонстрирует, что он не в состоянии идентифицировать субъект данных.
3. Контролер должен предоставить информацию о действиях, предпринятых по запросу в соответствии со статьями 15-22, субъекту данных без неоправданной задержки и в любом случае в течение одного месяца с момента получения запроса. Этот период может быть продлен еще на два месяца, если это необходимо, с учетом сложности и количества запросов. Контролер должен сообщить субъекту данных о любом таком продлении в течение одного месяца с момента получения запроса вместе с причинами задержки. Если субъект данных делает запрос с помощью электронных средств, информация должна предоставляться электронными средствами, если это возможно, если субъект данных не потребует иного.
4. Если контролер не предпринимает действий по запросу субъекта данных, он должен незамедлительно и не позднее чем в течение одного месяца после получения запроса проинформировать субъекта данных о причинах отказа от действий и о возможности подача жалобы в надзорный орган и поиск средства правовой защиты.
5. Информация, предоставляемая в соответствии со статьями 13 и 14, и любые сообщения и любые действия, предпринимаемые в соответствии со статьями 15-22 и 34, предоставляются бесплатно. Если запросы субъекта данных явно необоснованны или чрезмерны, в частности из-за их повторяющегося характера, контроллер может:
(А) | взимать разумную плату, принимая во внимание административные расходы на предоставление информации или сообщений или выполнение запрошенных действий; или |
(Б) | отказаться от действий по запросу. |
Контролер должен нести бремя демонстрации явно необоснованного или чрезмерного характера запроса.
6. Без ущерба для статьи 11, когда у контролера имеются разумные сомнения относительно личности физического лица, делающего запрос, упомянутый в статьях 15–21, контролер может запросить предоставление дополнительной информации, необходимой для подтверждения личности субъекта данных. ,
7. Информация, которая должна предоставляться субъектам данных в соответствии со статьями 13 и 14, может предоставляться в сочетании со стандартными значками, чтобы дать легко видимым, понятным и четким образом понятный обзор предполагаемой обработки. Если значки представлены в электронном виде, они должны быть машиночитаемыми.
8. Комиссия уполномочена принимать делегированные акты в соответствии со статьей 92 с целью определения информации, представляемой значками, и процедур предоставления стандартизированных значков.
Раздел 2
Информация и доступ к персональным данным
Статья 13
Информация, которая должна предоставляться, когда личные данные собираются от субъекта данных
1. Если персональные данные, относящиеся к субъекту данных, собираются от субъекта данных, контроллер в момент получения персональных данных предоставляет субъекту данных всю следующую информацию:
(А) | личность и контактные данные контроллера и, где это применимо, представителя контроллера; |
(Б) | контактные данные сотрудника по защите данных, где это применимо; |
(С) | цели обработки, для которой предназначены персональные данные, а также правовое основание для обработки; |
(Д) | если обработка основана на пункте (f) статьи 6 (1), законные интересы преследуются контролером или третьей стороной; |
(Е) | получатели или категории получателей персональных данных, если таковые имеются; |
(Е) | где это применимо, тот факт, что контролер намеревается передать личные данные в третью страну или международную организацию, а также наличие или отсутствие решения об адекватности Комиссии, или в случае передач, упомянутых в статьях 46 или 47, или второго в подпункте статьи 49 (1), ссылка на соответствующие или подходящие гарантии и средства, с помощью которых можно получить их копию или где они были предоставлены. |
2. В дополнение к информации, указанной в пункте 1, контролер должен в момент получения персональных данных предоставить субъекту данных следующую дополнительную информацию, необходимую для обеспечения справедливой и прозрачной обработки:
(А) | период, в течение которого будут храниться личные данные, или, если это невозможно, критерии, используемые для определения этого периода; |
(Б) | наличие права запрашивать у диспетчера доступ и исправление или удаление персональных данных или ограничение обработки, касающейся субъекта данных или объекта обработки, а также право на переносимость данных; |
(С) | если обработка основана на пункте (а) статьи 6 (1) или пункте (а) статьи 9 (2), наличие права на отзыв согласия в любое время, не затрагивая законность обработки на основе согласия до его снятие; |
(Д) | право подать жалобу в надзорный орган; |
(Е) | является ли предоставление персональных данных законодательным или договорным требованием или требованием, необходимым для заключения договора, а также обязан ли субъект данных предоставлять персональные данные и о возможных последствиях непредоставления таких данных; |
(Е) | наличие автоматизированного процесса принятия решений, включая профилирование, о котором говорится в статье 22 (1) и (4), и, по крайней мере, в этих случаях, значимую информацию о соответствующей логике, а также о значении и предполагаемых последствиях такой обработки для предмета данных. |
3. Если контроллер намеревается дополнительно обрабатывать персональные данные для целей, отличных от тех, для которых они были собраны, контроллер должен предоставить субъекту данных перед дальнейшей обработкой информацию об этой другой цели и любую соответствующую дополнительную информацию как указано в пункте 2.
4. Пункты 1, 2 и 3 не применяются в тех случаях, когда субъект данных уже обладает информацией.
Статья 14
Информация, которая должна быть предоставлена, если личные данные не были получены от субъекта данных
1. Если личные данные не были получены от субъекта данных, контролер должен предоставить субъекту данных следующую информацию:
(А) | личность и контактные данные контроллера и, где это применимо, представителя контроллера; |
(Б) | контактные данные сотрудника по защите данных, где это применимо; |
(С) | цели обработки, для которой предназначены персональные данные, а также правовое основание для обработки; |
(Д) | соответствующие категории персональных данных; |
(Е) | получатели или категории получателей персональных данных, если таковые имеются; |
(Е) | где это применимо, что контроллер намеревается передать личные данные получателю в третьей стране или международной организации, а также при наличии или отсутствии решения об адекватности Комиссии, или в случае передач, упомянутых в статьях 46 или 47, или второй подпункт статьи 49 (1), ссылка на соответствующие или подходящие гарантии и способы получения их копии или там, где они были предоставлены. |
2. В дополнение к информации, указанной в пункте 1, контролер должен предоставить субъекту данных следующую информацию, необходимую для обеспечения справедливой и прозрачной обработки в отношении субъекта данных:
(А) | период, в течение которого будут храниться личные данные, или, если это невозможно, критерии, используемые для определения этого периода; |
(Б) | если обработка основана на пункте (f) статьи 6 (1), законные интересы преследуются контролером или третьей стороной; |
(С) | наличие права запрашивать у контроллера доступ и исправление или удаление персональных данных или ограничение обработки, касающейся субъекта данных и объекта обработки, а также право на переносимость данных; |
(Д) | если обработка основана на пункте (а) статьи 6 (1) или пункте (а) статьи 9 (2), наличие права на отзыв согласия в любое время, не затрагивая законность обработки на основе согласия до его вывод; |
(Е) | право подать жалобу в надзорный орган; |
(Е) | из какого источника происходят персональные данные и, если применимо, получены ли они из общедоступных источников; |
(грамм) | наличие автоматизированного процесса принятия решений, включая профилирование, о котором говорится в статье 22 (1) и (4), и, по крайней мере, в этих случаях, значимую информацию о соответствующей логике, а также о значении и предполагаемых последствиях такой обработки для предмета данных. |
3. Контролер должен предоставить информацию, указанную в пунктах 1 и 2:
(А) | в течение разумного периода времени после получения персональных данных, но не позднее одного месяца с учетом конкретных обстоятельств, при которых обрабатываются персональные данные; |
(Б) | если личные данные должны использоваться для связи с субъектом данных, самое позднее на момент первого обращения к этому субъекту данных; или |
(С) | если предполагается раскрытие другому получателю, самое позднее, когда персональные данные впервые раскрываются. |
4. Если контроллер намеревается дополнительно обрабатывать персональные данные для целей, отличных от тех, для которых были получены персональные данные, контролер должен предоставить субъекту данных перед дальнейшей обработкой информацию об этой другой цели и любую соответствующую дополнительную информацию как указано в пункте 2.
5. Пункты с 1 по 4 не применяются в тех случаях, когда:
(А) | субъект данных уже имеет информацию; |
(Б) | предоставление такой информации оказывается невозможным или предполагает непропорциональные усилия, в частности, для обработки в целях архивирования в общественных интересах, научных или исторических исследованиях или статистических целях, с учетом условий и гарантий, указанных в статье 89 (1), или поскольку обязательство, упомянутое в пункте 1 настоящей статьи, может сделать невозможным или нанести серьезный ущерб достижению целей такой обработки. В таких случаях контролер должен принять соответствующие меры для защиты прав и свобод субъекта данных и законных интересов, в том числе сделать информацию общедоступной; |
(С) | получение или разглашение прямо предусмотрено законодательством Союза или государства-члена, которому подчиняется контролер и которое предусматривает надлежащие меры для защиты законных интересов субъекта данных; или |
(Д) | где персональные данные должны оставаться конфиденциальными с обязательством соблюдения профессиональной тайны, регулируемым законодательством Союза или государств-членов, в том числе обязательством соблюдения тайны. |
Статья 15
Право доступа субъекта данных
1. Субъект данных имеет право получить от диспетчера подтверждение о том, обрабатываются ли персональные данные, касающиеся его или ее, и, в этом случае, доступ к персональным данным и следующей информации:
(А) | цели обработки; |
(Б) | соответствующие категории персональных данных; |
(С) | получатели или категории получателей, которым были или будут раскрыты персональные данные, в частности получатели в третьих странах или международных организациях; |
(Д) | где это возможно, предполагаемый период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода; |
(Е) | наличие права запрашивать у контроллера исправление или удаление персональных данных или ограничение обработки персональных данных, относящихся к субъекту данных или к возражению против такой обработки; |
(Е) | право подать жалобу в надзорный орган; |
(грамм) | если личные данные не собраны у субъекта данных, любая доступная информация об их источнике; |
(час) | наличие автоматизированного процесса принятия решений, включая профилирование, о котором говорится в статье 22 (1) и (4), и, по крайней мере, в этих случаях, значимую информацию о соответствующей логике, а также о значении и предполагаемых последствиях такой обработки для предмета данных. |
2. В случае передачи персональных данных в третью страну или международную организацию субъект данных имеет право на получение информации о соответствующих гарантиях в соответствии со статьей 46, касающейся передачи.
3. Контролер должен предоставить копию персональных данных, проходящих обработку. За любые дополнительные копии, запрашиваемые субъектом данных, контролер может взимать разумную плату, основанную на административных расходах. Если субъект данных делает запрос с помощью электронных средств, и если субъект данных запрашивает иное, информация предоставляется в широко используемой электронной форме.
4. Право на получение копии, упомянутой в пункте 3, не должно отрицательно влиять на права и свободы других лиц.
Раздел 3
Исправление и стирание
Статья 16
Право на исправление
Субъект данных имеет право без промедления получить от диспетчера исправление неточных личных данных, касающихся его или ее. Принимая во внимание цели обработки, субъект данных имеет право на заполнение неполных персональных данных, в том числе посредством предоставления дополнительного заявления.
Статья 17
Право на стирание («право быть забытым»)
1. Субъект данных имеет право получить от контролера удаление персональных данных, касающихся его или ее, без неоправданной задержки, а контролер обязан удалить персональные данные без неоправданной задержки, если применяется одно из следующих оснований:
(А) | личные данные больше не нужны в связи с целями, для которых они были собраны или обработаны иным образом; |
(Б) | субъект данных отзывает согласие, на котором основывается обработка, в соответствии с пунктом (а) статьи 6 (1) или пунктом (а) статьи 9 (2), и при отсутствии других правовых оснований для обработки; |
(С) | объект данных подвергается обработке в соответствии со статьей 21 (1), и нет никаких основополагающих законных оснований для обработки, или объект данных подвергается обработке в соответствии со статьей 21 (2); |
(Д) | личные данные были незаконно обработаны; |
(Е) | личные данные должны быть стерты для соответствия юридическому обязательству в законодательстве Союза или государства-члена, которому подчиняется контролер; |
(Е) | личные данные были собраны в связи с предложением услуг информационного общества, упомянутых в статье 8 (1). |
2. Если контролер обнародовал персональные данные и обязан в соответствии с пунктом 1 стереть персональные данные, контроллер, принимая во внимание доступные технологии и стоимость внедрения, должен предпринять разумные меры, включая технические меры, для информирования контролеров. которые обрабатывают персональные данные, которые субъект данных запросил стирание такими контроллерами любых ссылок, или копирование, или копирование этих персональных данных.
3. Пункты 1 и 2 не применяются в той степени, в которой необходима обработка:
(А) | для осуществления права на свободу выражения мнений и информации; |
(Б) | за соблюдение юридического обязательства, которое требует обработки в соответствии с законодательством Союза или государства-члена, которому подчиняется контролер, или для выполнения задачи, выполняемой в общественных интересах, или для осуществления официальных полномочий, предоставленных контролеру; |
(С) | по причинам общественного интереса в области общественного здравоохранения в соответствии с пунктами (h) и (i) статьи 9 (2), а также статьей 9 (3); |
(Д) | для целей архивирования в общественных интересах, в целях научных или исторических исследований или в статистических целях в соответствии со статьей 89 (1), поскольку право, упомянутое в пункте 1, может сделать невозможным или нанести серьезный ущерб достижению целей этого обработки; или |
(Е) | для создания, осуществления или защиты судебных исков. |
Статья 18
Право на ограничение обработки
1. Субъект данных имеет право получить от контроллера ограничение обработки, если применяется одно из следующих:
(А) | точность персональных данных оспаривается субъектом данных в течение периода, позволяющего контролеру проверять точность персональных данных; |
(Б) | обработка является незаконной, и субъект данных выступает против удаления персональных данных и вместо этого запрашивает ограничение их использования; |
(С) | контролеру больше не нужны персональные данные для целей обработки, но они требуются субъекту данных для установления, исполнения или защиты судебных исков; |
(Д) | субъект данных возражал против обработки в соответствии со статьей 21 (1) в ожидании проверки, перевешивают ли законные основания контролера основание субъекта данных. |
2. Если обработка данных ограничена в соответствии с пунктом 1, такие личные данные, за исключением хранения, должны обрабатываться только с согласия субъекта данных или для установления, осуществления или защиты юридических требований или для защиты прав другого лица. физическое или юридическое лицо или по причинам, представляющим общественный интерес для Союза или государства-члена.
3. Субъект данных, который получил ограничение обработки в соответствии с пунктом 1, должен быть проинформирован контролером до снятия ограничения обработки.
Статья 19
Обязательство по уведомлению относительно исправления или удаления персональных данных или ограничения обработки
Контролер сообщает о любом исправлении или удалении персональных данных или ограничении обработки, осуществляемой в соответствии со Статьей 16, Статьей 17 (1) и Статьей 18, каждому получателю, которому были раскрыты персональные данные, за исключением случаев, когда это оказывается невозможным или сопряжено с непропорциональным усилия. Контролер должен информировать субъекта данных об этих получателях, если субъект данных запрашивает его.
Статья 20
Право на переносимость данных
1. Субъект данных имеет право получать относящиеся к нему персональные данные, которые он или она предоставил контролеру, в структурированном, широко используемом и машиночитаемом формате и имеет право передавать эти данные другому лицу. контроллер без помех от контроллера, которому были предоставлены персональные данные, где:
(А) | обработка основана на согласии в соответствии с пунктом (а) статьи 6 (1) или пунктом (а) статьи 9 (2) или на контракте в соответствии с пунктом (b) статьи 6 (1); и |
(Б) | обработка осуществляется автоматизированными средствами. |
2. При осуществлении своего права на переносимость данных в соответствии с пунктом 1 субъект данных имеет право на передачу персональных данных непосредственно с одного контроллера на другой, где это технически возможно.
3. Осуществление права, указанного в пункте 1 настоящей статьи, не должно наносить ущерба статье 17. Это право не применяется к обработке, необходимой для выполнения задачи, выполняемой в общественных интересах или для осуществления официальных полномочий. наделено контроллером.
4. Право, указанное в пункте 1, не должно отрицательно влиять на права и свободы других лиц.
Раздел 4
Право на объект и автоматизированное индивидуальное принятие решений
Статья 21
Право на объект
1. Субъект данных имеет право в любое время на основании оснований, касающихся его или ее конкретной ситуации, возражать против обработки относящихся к нему персональных данных, которая основана на пункте (е) или (f) статьи 6 ( 1), включая профилирование на основе этих положений. Контролер больше не должен обрабатывать персональные данные, если только контролер не продемонстрирует убедительные законные основания для обработки, которая отвергает интересы, права и свободы субъекта данных или для установления, осуществления или защиты юридических требований.
2. Если персональные данные обрабатываются в целях прямого маркетинга, субъект данных имеет право в любое время возражать против обработки относящихся к нему персональных данных для такого маркетинга, который включает профилирование в той степени, в которой оно связано с таким прямым маркетинг.
3. Если данные подвергаются обработке для целей прямого маркетинга, персональные данные больше не обрабатываются для таких целей.
4. Не позднее, чем во время первого общения с субъектом данных, право, упомянутое в пунктах 1 и 2, должно быть прямо доведено до сведения субъекта данных и должно быть представлено четко и отдельно от любой другой информации.
5. В контексте использования услуг информационного общества и несмотря на Директиву 2002/58 / EC субъект данных может осуществлять свое право на объект с помощью автоматизированных средств с использованием технических спецификаций.
6. Если персональные данные обрабатываются для целей научных или исторических исследований или статистических целей в соответствии со статьей 89 (1), субъект данных на основаниях, касающихся его или ее конкретной ситуации, имеет право возражать против обработки персональных данных, касающихся его или ее, если только обработка не необходима для выполнения задачи, выполняемой по соображениям общественного интереса.
Статья 22
Автоматизированное принятие индивидуальных решений, в том числе профилирование
1. Субъект данных имеет право не быть объектом решения, основанного исключительно на автоматизированной обработке, включая профилирование, которое приводит к его правовым последствиям или аналогичным образом существенно влияет на него.
2. Пункт 1 не применяется, если решение:
(А) | необходим для заключения или исполнения договора между субъектом данных и контроллером данных; |
(Б) | уполномочен законодательством Союза или государства-члена, которому подчиняется контролер, и который также устанавливает надлежащие меры для защиты прав и свобод субъекта данных и законных интересов; или |
(С) | основан на явном согласии субъекта данных. |
3. В случаях, упомянутых в пунктах (а) и (с) пункта 2, контроллер данных должен принять надлежащие меры для защиты прав и свобод субъекта данных и законных интересов, по крайней мере, права на вмешательство человека со стороны. Контролера, чтобы выразить свою точку зрения и оспорить решение.
4. Решения, упомянутые в параграфе 2, не должны основываться на специальных категориях персональных данных, упомянутых в статье 9 (1), за исключением случаев, когда применяются пункты (а) или (g) статьи 9 (2) и надлежащих мер для защиты данных. права и свободы субъекта и законные интересы.
Раздел 5
ограничения
Статья 23
ограничения
1. Закон Союза или государства-члена, которому подчиняется контроллер или обработчик данных, может посредством законодательной меры ограничивать объем обязательств и прав, предусмотренных в статьях 12–22 и статье 34, а также в статье 5 на настоящий момент. поскольку его положения соответствуют правам и обязанностям, предусмотренным в статьях 12-22, когда такое ограничение уважает суть основных прав и свобод и является необходимой и пропорциональной мерой в демократическом обществе для защиты:
(А) | Национальная безопасность; |
(Б) | оборона; |
(С) | общественная безопасность; |
(Д) | предотвращение, расследование, выявление или судебное преследование за совершение уголовных преступлений или исполнение уголовных наказаний, включая защиту от угрозы общественной безопасности и ее предотвращение; |
(Е) | другие важные цели, представляющие общественный интерес для Союза или государства-члена, в частности важные экономические или финансовые интересы Союза или государства-члена, включая денежные, бюджетные и налоговые вопросы, здравоохранение и социальное обеспечение; |
(Е) | защита независимости судей и судебных разбирательств; |
(грамм) | предотвращение, расследование, выявление и судебное преследование нарушений этики для регулируемых профессий; |
(час) | контрольная, инспекционная или регулирующая функция, связанная, даже изредка, с осуществлением официальных полномочий в случаях, упомянутых в пунктах (а) – (е) и (g); |
(я) | защита субъекта данных или прав и свобод других лиц; |
(К) | обеспечение соблюдения требований гражданского права. |
2. В частности, любая законодательная мера, упомянутая в пункте 1, должна содержать как минимум конкретные положения, где это уместно, в отношении:
(А) | цели обработки или категории обработки; |
(Б) | категории персональных данных; |
(С) | объем введенных ограничений; |
(Д) | гарантии предотвращения злоупотреблений или незаконного доступа или передачи; |
(Е) | спецификация контроллера или категории контроллеров; |
(Е) | сроки хранения и применимые меры предосторожности с учетом характера, объема и целей обработки или категорий обработки; |
(грамм) | риски для прав и свобод субъектов данных; и |
(час) | право субъектов данных быть проинформированными об ограничении, если это не может нанести ущерб цели ограничения. |
Глава IV
Контроллер и процессор
Секция 1
Общие обязательства
Статья 24
Ответственность контроллера
1. Принимая во внимание характер, объем, контекст и цели обработки, а также риски различной вероятности и серьезности для прав и свобод физических лиц, контролер должен принять соответствующие технические и организационные меры для обеспечения и возможности продемонстрировать, что обработка выполняется в соответствии с настоящими Правилами. Эти меры должны быть пересмотрены и обновлены в случае необходимости.
2. В тех случаях, когда они соразмерны с обработкой, меры, упомянутые в пункте 1, должны включать осуществление соответствующей политики защиты данных контролером.
3. Соблюдение утвержденных кодексов поведения, указанных в статье 40, или утвержденных механизмов сертификации, указанных в статье 42, может использоваться в качестве элемента, с помощью которого можно продемонстрировать соблюдение обязательств контролера.
Статья 25
Защита данных по дизайну и по умолчанию
1. Принимая во внимание уровень техники, стоимость реализации и характер, объем, контекст и цели обработки, а также риски различной вероятности и степени тяжести для прав и свобод физических лиц, возникающие при обработке, контролер должен как во время определения средств для обработки, так и во время самой обработки принимать надлежащие технические и организационные меры, такие как псевдонимизация, которые предназначены для реализации принципов защиты данных, таких как минимизация данных, в эффективный способ и включить необходимые меры предосторожности в обработку для удовлетворения требований настоящего Регламента и защиты прав субъектов данных.
2. Контролер должен принять соответствующие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только те персональные данные, которые необходимы для каждой конкретной цели обработки. Это обязательство распространяется на объем собранных персональных данных, степень их обработки, срок их хранения и доступность. В частности, такие меры должны обеспечивать, чтобы по умолчанию личные данные не были доступны без вмешательства физического лица неопределенному числу физических лиц.
3. Утвержденный механизм сертификации в соответствии со статьей 42 может использоваться в качестве элемента для демонстрации соответствия требованиям, изложенным в пунктах 1 и 2 настоящей статьи.
Статья 26
Совместные контроллеры
1. Если два или более контролера совместно определяют цели и средства обработки, они должны быть совместными контролерами. Они прозрачным образом определяют свои соответствующие обязанности по соблюдению обязательств по настоящему Регламенту, в частности, в том, что касается осуществления прав субъекта данных и их соответствующих обязанностей по предоставлению информации, упомянутой в статьях 13 и 14, посредством соглашения между ними, за исключением тех случаев, когда соответствующие обязанности контролеров определены законодательством Союза или государства-члена, которому подчиняются контролеры. Компоновка может обозначать точку контакта для субъектов данных.
2. Схема, упомянутая в параграфе 1, должна должным образом отражать соответствующие роли и отношения совместных контролеров по отношению к субъектам данных. Суть соглашения должна быть доступна субъекту данных.
3. Независимо от условий соглашения, упомянутого в пункте 1, субъект данных может осуществлять свои права в соответствии с настоящим Регламентом в отношении каждого из контролеров.
Статья 27
Представители контроллеров или процессоров, не установленных в Союзе
1. Если применяется статья 3 (2), контролер или обработчик должен в письменном виде назначить представителя в Союзе.
2. Обязательство, указанное в пункте 1 настоящей статьи, не распространяется на:
(А) | обработка, которая носит эпизодический характер, не включает в себя крупномасштабную обработку специальных категорий данных, как указано в статье 9 (1), или обработку персональных данных, касающихся уголовных приговоров и преступлений, указанных в статье 10, и вряд ли приводить к риску в отношении прав и свобод физических лиц с учетом характера, контекста, объема и целей обработки; или |
(Б) | государственный орган или орган. |
3. Представитель должен быть создан в одном из государств-членов, где находятся субъекты данных, чьи персональные данные обрабатываются в связи с предложением им товаров или услуг, или чье поведение контролируется.
4. Представитель должен поручить контролеру или процессору обращаться в дополнение или вместо контроллера или процессора, в частности, контролирующими органами и субъектами данных, по всем вопросам, связанным с обработкой, в целях обеспечения соответствия с этим правилом.
5. Назначение представителя контролером или обработчиком не должно наносить ущерба юридическим действиям, которые могут быть инициированы против контролера или самого обработчика.
Статья 28
процессор
1. В тех случаях, когда обработка должна осуществляться от имени контроллера, контроллер должен использовать только процессоры, обеспечивающие достаточные гарантии для осуществления соответствующих технических и организационных мер таким образом, чтобы обработка соответствовала требованиям настоящего Регламента и обеспечивала защиту права субъекта данных.
2. Процессор не должен задействовать другой процессор без предварительного специального или общего письменного разрешения контроллера. В случае общего письменного разрешения процессор должен информировать контроллер о любых предполагаемых изменениях, касающихся добавления или замены других процессоров, тем самым предоставляя контроллеру возможность возражать против таких изменений.
3. Обработка процессором регулируется договором или иным правовым актом в соответствии с законодательством Союза или государства-члена, который является обязательным для процессора в отношении контроллера и который устанавливает предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролера. Этот договор или иной правовой акт должен предусматривать, в частности, что обработчик:
(А) | обрабатывает персональные данные только в соответствии с задокументированными инструкциями контроллера, в том числе в отношении передачи персональных данных в третью страну или международную организацию, если этого не требует закон Союза или государства-члена, которому подчиняется обработчик; в таком случае обработчик должен проинформировать контролера об этом правовом требовании до обработки, если только этот закон не запрещает такую информацию на важных основаниях, представляющих общественный интерес; |
(Б) | гарантирует, что лица, уполномоченные на обработку персональных данных, взяли на себя обязательство сохранять конфиденциальность или находятся под соответствующим обязательством соблюдения конфиденциальности в соответствии с законом; |
(С) | принимает все меры, необходимые в соответствии со статьей 32; |
(Д) | соблюдает условия, указанные в пунктах 2 и 4, для привлечения другого процессора; |
(Е) | принимая во внимание характер обработки, помогает контролеру с помощью соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательства диспетчера отвечать на запросы об использовании прав субъекта данных, изложенных в главе III; |
(Е) | помогает контролеру обеспечить соблюдение обязательств согласно статьям 32–36 с учетом характера обработки и информации, доступной для обработчика; |
(грамм) | по выбору контроллера удаляет или возвращает все личные данные контроллеру после окончания предоставления услуг, связанных с обработкой, и удаляет существующие копии, если только законодательство Союза или государства-члена не требует хранения личных данных; |
(час) | предоставляет контролеру всю информацию, необходимую для демонстрации соответствия обязательствам, изложенным в настоящей статье, а также позволяет проводить аудиторские проверки, в том числе инспекции, проводимые контролером или другим аудитором, уполномоченным контролером, и вносить в них свой вклад. |
Что касается пункта (h) первого подпункта, обработчик должен немедленно сообщить контролеру, если, по его мнению, инструкция нарушает настоящий Регламент или другие положения о защите данных Союза или государства-члена.
4. Если процессор привлекает другого процессора для выполнения определенных операций обработки от имени контроллера, то должны быть наложены те же обязательства по защите данных, которые изложены в контракте или другом правовом акте между контроллером и процессором, как указано в пункте 3. на этом другом обработчике посредством договора или другого правового акта в соответствии с законодательством Союза или государства-члена, в частности, предоставления достаточных гарантий для осуществления соответствующих технических и организационных мер таким образом, чтобы обработка соответствовала требованиям настоящего Регламента. Если этот другой процессор не выполняет свои обязательства по защите данных, первоначальный процессор должен нести полную ответственность перед контроллером за выполнение обязательств этого другого процессора.
5. Приверженность обработчика утвержденному кодексу поведения, указанному в статье 40, или утвержденному механизму сертификации, указанному в статье 42, может использоваться в качестве элемента, с помощью которого можно продемонстрировать достаточные гарантии, указанные в пунктах 1 и 4 эта статья.
6. Без ущерба для индивидуального договора между контролером и обработчиком договор или иной правовой акт, упомянутый в пунктах 3 и 4 настоящей статьи, может основываться, полностью или частично, на стандартных договорных условиях, упомянутых в пунктах. 7 и 8 настоящей статьи, в том числе, когда они являются частью сертификации, предоставленной контроллеру или процессору в соответствии со статьями 42 и 43.
7. Комиссия может устанавливать стандартные договорные условия по вопросам, указанным в пунктах 3 и 4 настоящей статьи, и в соответствии с процедурой рассмотрения, указанной в статье 93 (2).
8. Надзорный орган может принимать стандартные договорные положения по вопросам, указанным в пунктах 3 и 4 настоящей статьи, и в соответствии с механизмом согласованности, указанным в статье 63.
9. Договор или иной правовой акт, упомянутый в пунктах 3 и 4, должен быть в письменной форме, в том числе в электронной форме.
10. Без ущерба для статей 82, 83 и 84, если процессор нарушает настоящие Правила, определяя цели и средства обработки, процессор считается контроллером в отношении этой обработки.
Статья 29
Обработка под руководством контроллера или процессора
Процессор и любое лицо, действующее под руководством контроллера или процессора, которые имеют доступ к персональным данным, не должны обрабатывать эти данные, кроме как по инструкциям контроллера, если только это не требуется законодательством Союза или государства-члена.
Статья 30
Записи о деятельности по обработке
1. Каждый контролер и, где это применимо, представитель контролера должны вести учет операций обработки под своей ответственностью. Эта запись должна содержать всю следующую информацию:
(А) | имя и контактные данные контроллера и, где это применимо, совместного контролера, представителя контроллера и сотрудника по защите данных; |
(Б) | цели обработки; |
(С) | описание категорий субъектов данных и категорий персональных данных; |
(Д) | категории получателей, которым были или будут раскрыты персональные данные, включая получателей из третьих стран или международных организаций; |
(Е) | где это применимо, передача персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации и, в случае передач, упомянутых во втором подпункте статьи 49 (1), документацию подходящего меры безопасности; |
(Е) | где это возможно, предусмотренные сроки для удаления различных категорий данных; |
(грамм) | где это возможно, общее описание технических и организационных мер безопасности, упомянутых в статье 32 (1). |
2. Каждый обработчик и, если применимо, представитель обработчика должны вести учет всех категорий операций обработки, выполняемых от имени контроллера, в которых содержатся:
(А) | имя и контактные данные процессора или процессоров и каждого контроллера, от имени которого работает процессор, и, где это применимо, представителя контроллера или процессора и сотрудника по защите данных; |
(Б) | категории обработки, выполняемые от имени каждого контроллера; |
(С) | где это применимо, передача персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации и, в случае передач, упомянутых во втором подпункте статьи 49 (1), документацию подходящего меры безопасности; |
(Д) | где это возможно, общее описание технических и организационных мер безопасности, упомянутых в статье 32 (1). |
3. Записи, указанные в пунктах 1 и 2, должны быть в письменной форме, в том числе в электронной форме.
4. Контролер или обработчик и, где это применимо, представитель контролера или обработчика должны предоставить эту запись органу надзора по запросу.
5. Обязательства, упомянутые в пунктах 1 и 2, не распространяются на предприятие или организацию, в которой работает менее 250 человек, если только обработка, которую они выполняют, не может привести к риску для прав и свобод субъектов данных, обработка не случайный, или обработка включает в себя специальные категории данных, как указано в статье 9 (1), или личные данные, касающиеся уголовных приговоров и преступлений, указанных в статье 10.
Статья 31
Сотрудничество с надзорным органом
Контролер и обработчик и, где это применимо, их представители, должны сотрудничать, по запросу, с надзорным органом при выполнении своих задач.
Раздел 2
Безопасность личных данных
Статья 32
Безопасность обработки
1. Принимая во внимание уровень техники, затраты на реализацию и характер, объем, контекст и цели обработки, а также риск варьирования вероятности и серьезности прав и свобод физических лиц, контролера и обработчика. принимает соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая, среди прочего, в зависимости от обстоятельств:
(А) | псевдоним и шифрование персональных данных; |
(Б) | способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем и услуг обработки; |
(С) | способность своевременно восстанавливать доступность и доступ к персональным данным в случае физического или технического инцидента; |
(Д) | процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер по обеспечению безопасности обработки. |
2. При оценке надлежащего уровня безопасности учитываются, в частности, риски, которые возникают при обработке, в частности, в результате случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к передаваемым, сохраненным или иным образом персональным данным. обработанный.
3. Приверженность утвержденному кодексу поведения, указанному в статье 40, или утвержденному механизму сертификации, указанному в статье 42, может использоваться в качестве элемента, с помощью которого можно продемонстрировать соответствие требованиям, изложенным в пункте 1 настоящей статьи.
4. Контролер и обработчик должны принять меры для обеспечения того, чтобы любое физическое лицо, действующее под руководством контролера или обработчик, который имеет доступ к персональным данным, не обрабатывало их, кроме как по указанию контроллера, если только он или она не обязаны это делать. так в соответствии с законодательством Союза или государства-члена.
Статья 33
Уведомление о нарушении персональных данных контролирующему органу
1. В случае нарушения персональных данных контролер должен без неоправданной задержки и, по возможности, не позднее чем через 72 часа после того, как ему стало известно об этом, уведомить о нарушении персональных данных орган надзора, компетентный в соответствии со статьей 55, если нарушение личных данных вряд ли приведет к риску для прав и свобод физических лиц. Если уведомление контролирующему органу не сделано в течение 72 часов, оно должно сопровождаться причинами задержки.
2. Процессор должен уведомить контроллер без неоправданной задержки после того, как ему стало известно о нарушении персональных данных.
3. Уведомление, указанное в пункте 1, должно содержать
(А) | описать характер утечки персональных данных, включая, где это возможно, категории и приблизительное количество соответствующих субъектов данных, а также категории и приблизительное количество соответствующих записей персональных данных; |
(Б) | сообщить имя и контактные данные сотрудника по защите данных или другого контактного лица, где можно получить дополнительную информацию; |
(С) | опишите возможные последствия нарушения персональных данных; |
(Д) | опишите меры, принятые или предложенные для принятия контроллером для устранения нарушения персональных данных, включая, где это уместно, меры по смягчению его возможных неблагоприятных последствий. |
4. В тех случаях, когда и в тех случаях, когда невозможно предоставить информацию одновременно, информация может предоставляться поэтапно без неоправданной дополнительной задержки.
5. Контролер должен документировать любые нарушения персональных данных, включая факты, касающиеся нарушения персональных данных, его последствий и предпринятых корректирующих действий. Эта документация должна позволять надзорному органу проверять соответствие этой статье.
Статья 34
Сообщение о нарушении персональных данных субъекту данных
1. Если нарушение персональных данных может привести к высокому риску в отношении прав и свобод физических лиц, контролер должен сообщить о нарушении персональных данных субъекту данных без неоправданной задержки.
2. В сообщении субъекту данных, указанному в пункте 1 настоящей статьи, должен быть изложен в ясной и понятной форме характер нарушения персональных данных и, по крайней мере, содержится информация и меры, указанные в пунктах (b), (c) и (d) статьи 33 (3).
3. Сообщение субъекту данных, указанному в пункте 1, не требуется, если выполняется любое из следующих условий:
(А) | контроллер осуществил соответствующие технические и организационные меры защиты, и эти меры были применены к персональным данным, затронутым нарушением персональных данных, в частности к тем, которые делают персональные данные неразборчивыми для любого лица, не имеющего доступа к ним, например шифрование ; |
(Б) | Контролер принял последующие меры, которые гарантируют, что высокий риск для прав и свобод субъектов данных, упомянутых в параграфе 1, больше не будет реализован; |
(С) | это потребует непропорциональных усилий. В таком случае вместо этого должно быть публичное сообщение или аналогичная мера, посредством которой субъекты данных информируются одинаково эффективно. |
4. Если контроллер еще не сообщил о нарушении персональных данных субъекту данных, надзорный орган, рассмотрев вероятность нарушения персональных данных, повлекшего за собой высокий риск, может потребовать от него или может решить, что любой из условия, указанные в пункте 3, выполнены.
Раздел 3
Оценка воздействия на защиту данных и предварительная консультация
Статья 35
Оценка воздействия на защиту данных
1. Если тип обработки, в частности с использованием новых технологий и с учетом характера, объема, контекста и целей обработки, может привести к высокому риску для прав и свобод физических лиц, контролер должен: Перед обработкой проведите оценку влияния предусмотренных операций обработки на защиту персональных данных. Отдельная оценка может касаться набора аналогичных операций обработки, которые представляют одинаково высокие риски.
2. Контролер должен обратиться за советом к сотруднику по защите данных, если таковой назначен, при проведении оценки воздействия на защиту данных.
3. Оценка воздействия на защиту данных, упомянутая в пункте 1, должна, в частности, потребоваться в случае:
(А) | систематическая и всесторонняя оценка личных аспектов, касающихся физических лиц, которая основана на автоматизированной обработке, включая профилирование, и на которых основываются решения, которые создают правовые последствия в отношении физического лица или аналогичным образом оказывают значительное влияние на физическое лицо; |
(Б) | обработка в больших масштабах специальных категорий данных, указанных в статье 9 (1), или персональных данных, касающихся уголовных приговоров и преступлений, указанных в статье 10; или |
(С) | систематический мониторинг общедоступной территории в больших масштабах. |
4. Надзорный орган должен составить и обнародовать список видов операций по обработке, на которые распространяется требование об оценке воздействия на защиту данных в соответствии с пунктом 1. Надзорный орган должен сообщить эти списки Совету, указанному в статье 68. ,
5. Надзорный орган может также составить и опубликовать список видов операций обработки, для которых не требуется оценка воздействия на защиту данных. Надзорный орган сообщает эти списки Совету.
6. До принятия списков, упомянутых в пунктах 4 и 5, компетентный надзорный орган должен применять механизм согласованности, упомянутый в статье 63, если такие списки включают в себя действия по обработке, которые связаны с предложением товаров или услуг субъектам данных. или к мониторингу их поведения в нескольких государствах-членах, или может существенно повлиять на свободное перемещение личных данных внутри Союза.
7. Оценка должна содержать не менее:
(А) | систематическое описание предусмотренных операций обработки и целей обработки, включая, где это применимо, законный интерес, преследуемый контроллером; |
(Б) | оценка необходимости и пропорциональности операций обработки по отношению к целям; |
(С) | оценка рисков для прав и свобод субъектов данных, указанных в пункте 1; и |
(Д) | меры, предусмотренные для устранения рисков, включая меры предосторожности, меры безопасности и механизмы, обеспечивающие защиту персональных данных и демонстрирующие соблюдение настоящего Регламента с учетом прав и законных интересов субъектов данных и других заинтересованных лиц. |
8. Соблюдение утвержденных кодексов поведения, упомянутых в статье 40 соответствующими контроллерами или процессорами, должно учитываться при оценке воздействия операций обработки, выполняемых такими контроллерами или процессорами, в частности для целей воздействия на защиту данных. оценка.
9. В случае необходимости, контроллер должен запрашивать мнения субъектов данных или их представителей относительно предполагаемой обработки, без ущерба для защиты коммерческих или общественных интересов или безопасности операций обработки.
10. Если обработка в соответствии с пунктом (c) или (e) Статьи 6 (1) имеет правовую основу в законодательстве Союза или в законодательстве государства-члена, которому подчиняется контролер, этот закон регулирует конкретную операцию обработки или рассматриваемого набора операций, и оценка воздействия на защиту данных уже была проведена в рамках общей оценки воздействия в контексте принятия этой правовой основы, пункты 1-7 не применяются, если государства-члены не сочтут это необходимым проводить такую оценку до обработки.
11. При необходимости контролер должен провести проверку, чтобы оценить, выполняется ли обработка в соответствии с оценкой воздействия на защиту данных, по крайней мере, когда происходит изменение риска, представленного операциями обработки.
Статья 36
Предварительная консультация
1. Контролер должен проконсультироваться с надзорным органом перед обработкой, если оценка воздействия на защиту данных в соответствии со статьей 35 показывает, что обработка приведет к высокому риску в отсутствие мер, принятых контроллером для снижения риска.
2. Если надзорный орган считает, что предполагаемая обработка, упомянутая в пункте 1, будет нарушать настоящие Правила, в частности, если контролер недостаточно идентифицировал или снизил риск, надзорный орган должен в течение периода до восьми недель получение запроса на консультацию, предоставление письменного совета контролеру и, где это применимо к обработчику, и может использовать любую из своих полномочий, указанных в статье 58. Этот срок может быть продлен на шесть недель, принимая во внимание сложность предполагаемая обработка. Надзорный орган должен сообщить контролеру и, где это применимо, обработчику о любом таком продлении в течение одного месяца после получения запроса на консультацию вместе с причинами задержки.
3. При консультировании надзорного органа в соответствии с пунктом 1 контролер предоставляет надзорному органу:
(А) | где это применимо, соответствующие обязанности контролера, совместных контроллеров и процессоров, участвующих в обработке, в частности, для обработки в группе предприятий; |
(Б) | цели и средства предполагаемой обработки; |
(С) | меры и гарантии, предусмотренные для защиты прав и свобод субъектов данных в соответствии с настоящим Регламентом; |
(Д) | где применимо, контактные данные сотрудника по защите данных; |
(Е) | оценка воздействия на защиту данных, предусмотренная в статье 35; и |
(Е) | любая другая информация, запрашиваемая надзорным органом. |
4. Государства-члены должны консультироваться с контролирующим органом во время подготовки предложения о законодательной мере, которая должна быть принята национальным парламентом, или о нормативной мере, основанной на такой законодательной мере, которая относится к обработке.
5. Несмотря на пункт 1, закон государства-члена может требовать от контролеров консультироваться с контролирующим органом и получать предварительное разрешение от него в отношении обработки контроллером для выполнения задачи, выполняемой контроллером в общественных интересах, включая обработку в отношении социальной защиты и общественного здоровья.
Раздел 4
Сотрудник по защите данных
Статья 37
Назначение сотрудника по защите данных
1. Контролер и обработчик назначают сотрудника по защите данных в любом случае, когда:
(А) | обработка осуществляется государственным органом или органом, за исключением судов, действующих в своем судебном качестве; |
(Б) | основная деятельность контроллера или процессора состоит из операций обработки, которые в силу своего характера, объема и / или своих целей требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или |
(С) | Основная деятельность контролера или обработчика состоит в обработке в широком масштабе специальных категорий данных в соответствии со статьей 9 и персональных данных, касающихся уголовных обвинительных приговоров и преступлений, указанных в статье 10. |
2. Группа предприятий может назначить одного сотрудника по защите данных при условии, что сотрудник по защите данных легко доступен из каждого предприятия.
3. Если контроллер или обработчик является государственным органом или органом, для нескольких таких органов или органов может быть назначен один сотрудник по защите данных с учетом их организационной структуры и размера.
4. В случаях, отличных от указанных в параграфе 1, контролер или процессор или ассоциации и другие органы, представляющие категории контроллеров или процессоров, могут или, если этого требует законодательство Союза или государства-члена, назначать сотрудника по защите данных. Сотрудник по защите данных может действовать от имени таких ассоциаций и других органов, представляющих контролеров или процессоров.
5. Сотрудник по защите данных назначается на основе профессиональных качеств и, в частности, экспертных знаний законодательства и практики в области защиты данных и способности выполнять задачи, указанные в статье 39.
6. Сотрудник по защите данных может быть сотрудником контроллера или процессора или выполнять задачи на основании контракта на обслуживание.
7. Контролер или обработчик публикует контактные данные сотрудника по защите данных и сообщает их контролирующему органу.
Статья 38
Должность сотрудника по защите данных
1. Контролер и обработчик должны обеспечить, чтобы сотрудник по защите данных вовремя и надлежащим образом участвовал во всех вопросах, связанных с защитой личных данных.
2. Контролер и обработчик должны поддерживать сотрудника по защите данных в выполнении задач, указанных в статье 39, предоставляя ресурсы, необходимые для выполнения этих задач и доступа к личным данным и операциям обработки, а также для поддержания его или ее экспертных знаний.
3. Контролер и процессор должны обеспечить, чтобы сотрудник по защите данных не получал никаких инструкций относительно выполнения этих задач. Он или она не должны быть уволены или оштрафованы контроллером или обработчиком за выполнение его задач. Сотрудник по защите данных должен напрямую отчитываться перед высшим уровнем управления контроллера или процессора.
4. Субъекты данных могут обращаться к сотруднику по защите данных по всем вопросам, связанным с обработкой их персональных данных и осуществлением их прав в соответствии с настоящим Регламентом.
5. Сотрудник по защите данных обязан соблюдать тайну или конфиденциальность в отношении выполнения своих задач в соответствии с законодательством Союза или государства-члена.
6. Сотрудник по защите данных может выполнять другие задачи и обязанности. Контролер или обработчик должны обеспечить, чтобы любые такие задачи и обязанности не приводили к конфликту интересов.
Статья 39
Задачи сотрудника по защите данных
1. У сотрудника по защите данных должны быть как минимум следующие задачи:
(А) | информировать и консультировать контролера или обработчика и работников, которые выполняют обработку своих обязательств в соответствии с настоящим Регламентом и другими положениями о защите данных Союза или государства-члена; |
(Б) | контролировать соблюдение настоящего Регламента, других положений Союза или государств-членов о защите данных и политик контроллера или обработчика в отношении защиты персональных данных, включая распределение обязанностей, повышение осведомленности и обучение персонала, участвующего в обработке операции и соответствующие проверки; |
(С) | в случае необходимости предоставлять консультации в отношении оценки воздействия на защиту данных и контролировать ее эффективность в соответствии со статьей 35; |
(Д) | сотрудничать с надзорным органом; |
(Е) | выступать в качестве контактного лица для надзорного органа по вопросам, касающимся обработки, включая предварительную консультацию, упомянутую в статье 36, и консультироваться, при необходимости, по любому другому вопросу. |
2. Сотрудник по защите данных должен при выполнении своих задач должным образом учитывать риск, связанный с операциями обработки, принимая во внимание характер, объем, контекст и цели обработки.
Раздел 5
Кодексы поведения и сертификации
Статья 40
Нормы поведения
1. Государства-члены, надзорные органы, Совет и Комиссия должны поощрять разработку кодексов поведения, призванных содействовать надлежащему применению настоящего Регламента, с учетом специфических особенностей различных перерабатывающих секторов и конкретных потребностей. микро, малых и средних предприятий.
2. Ассоциации и другие органы, представляющие категории контроллеров или переработчиков, могут готовить кодексы поведения, или изменять или расширять такие кодексы с целью определения применения настоящих Правил, например, в отношении:
(А) | честная и прозрачная обработка; |
(Б) | законные интересы, преследуемые контролерами в определенных контекстах; |
(С) | сбор личных данных; |
(Д) | псевдонимация персональных данных; |
(Е) | информация, предоставляемая общественности и субъектам данных; |
(Е) | осуществление прав субъектов данных; |
(грамм) | информация, предоставляемая детям и защита детей, а также способ получения согласия владельцев родительской ответственности за детей; |
(час) | меры и процедуры, указанные в статьях 24 и 25, и меры по обеспечению безопасности обработки, упомянутые в статье 32; |
(я) | уведомление о нарушениях персональных данных надзорным органам и сообщение о таких нарушениях персональных данных субъектам данных; |
(К) | передача персональных данных третьим странам или международным организациям; или |
(К) | внесудебные разбирательства и другие процедуры разрешения споров для разрешения споров между контролерами и субъектами данных в отношении обработки без ущерба для прав субъектов данных в соответствии со статьями 77 и 79. |
3. В дополнение к соблюдению контролерами или обработчиками, подпадающими под действие настоящих Правил, контроллеров или переработчиков, которые не подпадают под действие кодексов поведения, утвержденных в соответствии с пунктом 5 настоящей статьи и имеющих общее действие в соответствии с пунктом 9 настоящей статьи, могут также придерживаться к настоящему Регламенту в соответствии со статьей 3, чтобы обеспечить надлежащие гарантии в рамках передачи персональных данных третьим странам или международным организациям в соответствии с условиями, указанными в пункте (е) статьи 46 (2). Такие контролеры или обработчики должны брать обязательные и подлежащие исполнению обязательства посредством договорных или других юридически обязательных инструментов применять эти соответствующие гарантии, в том числе в отношении прав субъектов данных.
4. Кодекс поведения, упомянутый в пункте 2 настоящей статьи, должен содержать механизмы, позволяющие органу, указанному в статье 41 (1), осуществлять обязательный контроль за соблюдением его положений контролерами или обработчиками, которые обязуются его применять. без ущерба для задач и полномочий контролирующих органов, компетентных в соответствии со статьями 55 или 56.
5. Ассоциации и другие органы, упомянутые в пункте 2 настоящей статьи, которые намереваются подготовить кодекс поведения или изменить или расширить существующий кодекс, представляют проект кодекса, поправку или расширение в орган надзора, который компетентен в соответствии со статьей 55. Надзорный орган должен представить заключение о том, соответствует ли проект кодекса, поправки или расширения настоящему Регламенту, и утвердить этот проект кодекса, поправку или расширение, если он сочтет, что он обеспечивает достаточные надлежащие гарантии.
6. Если проект кодекса, или поправка, или расширение утверждены в соответствии с пунктом 5 и если соответствующий кодекс поведения не относится к процессам обработки в нескольких государствах-членах, надзорный орган регистрирует и публикует код.
7. Если проект кодекса поведения касается деятельности по обработке в нескольких государствах-членах, надзорный орган, компетентный в соответствии со статьей 55, до утверждения проекта кодекса, изменения или дополнения представляет его в порядке, упомянутом в статье 63, Совет, который должен представить заключение о том, соответствует ли проект кодекса, поправка или расширение настоящему Регламенту или, в случае, упомянутом в пункте 3 настоящей статьи, обеспечивает соответствующие гарантии.
8. В тех случаях, когда мнение, упомянутое в пункте 7, подтверждает, что проект кодекса, поправки или дополнения соответствует настоящим Правилам или, в случае, упомянутом в пункте 3, предусматривает соответствующие гарантии, Совет представляет свое мнение Комиссии.
9. Комиссия может путем принятия актов принять решение о том, что утвержденный кодекс поведения, изменения или дополнения, представленные ей в соответствии с пунктом 8 настоящей статьи, имеют общую силу в рамках Союза. Эти исполнительные акты должны быть приняты в соответствии с процедурой экспертизы, изложенной в статье 93 (2).
10. Комиссия обеспечивает надлежащую огласку утвержденных кодов, которые были признаны общедоступными в соответствии с пунктом 9.
11. Совет сопоставляет все утвержденные кодексы поведения, изменения и дополнения в реестре и делает их общедоступными с помощью соответствующих средств.
Статья 41
Мониторинг утвержденных кодексов поведения
1. Без ущерба для задач и полномочий компетентного надзорного органа в соответствии со статьями 57 и 58 контроль за соблюдением кодекса поведения в соответствии со статьей 40 может осуществляться органом, который обладает соответствующим уровнем знаний в отношении предмет кодекса и аккредитован для этой цели компетентным надзорным органом.
2. Орган, упомянутый в пункте 1, может быть аккредитован для контроля за соблюдением кодекса поведения, если этот орган имеет:
(А) | продемонстрировал свою независимость и опыт в отношении предмета кодекса к удовлетворению компетентного надзорного органа; |
(Б) | установленные процедуры, которые позволяют ему оценивать право соответствующих контроллеров и процессоров применять код, контролировать их соответствие его положениям и периодически проверять его работу; |
(С) | установленные процедуры и структуры для рассмотрения жалоб о нарушениях кода или способах, которыми код был или реализуется контроллером или процессором, и чтобы сделать эти процедуры и структуры прозрачными для субъектов данных и общественности; и |
(Д) | к удовлетворению компетентного надзорного органа продемонстрировал, что его задачи и обязанности не приводят к конфликту интересов. |
3. Компетентный надзорный орган представляет Совету проект критериев аккредитации органа, упомянутого в пункте 1 настоящей статьи, в соответствии с механизмом согласованности, указанным в статье 63.
4. Без ущерба для задач и полномочий компетентного надзорного органа и положений главы VIII орган, упомянутый в пункте 1 настоящей статьи, при условии соблюдения надлежащих гарантий принимает надлежащие меры в случаях нарушения кодекса контроллер или процессор, включая приостановку или исключение соответствующего контроллера или процессора из кода. Он информирует компетентный надзорный орган о таких действиях и причинах их совершения.
5. Компетентный надзорный орган аннулирует аккредитацию органа, упомянутого в пункте 1, если условия аккредитации не выполняются или более не выполняются или если действия, предпринятые органом, нарушают настоящий Регламент.
6. Настоящая статья не распространяется на обработку, осуществляемую государственными органами и органами.
Статья 42
сертификация
1. Государства-члены, надзорные органы, Правление и Комиссия должны, в частности, на уровне Союза, создать механизмы сертификации защиты данных, а также печати и маркировки защиты данных с целью демонстрации соответствия настоящему Регламенту обработки. операции контроллеров и процессоров. Конкретные потребности микро, малых и средних предприятий должны быть приняты во внимание.
2. В дополнение к соблюдению контролерами или обработчиками, подпадающими под действие настоящего Регламента, могут быть созданы механизмы сертификации защиты, печати или отметки, утвержденные в соответствии с пунктом 5 настоящей статьи, с целью демонстрации существования соответствующих мер безопасности, предоставляемых контролерами или обработчиками, которые не подпадают под действие настоящего Регламента в соответствии со статьей 3 в рамках передачи персональных данных третьим странам или международным организациям в соответствии с условиями, указанными в пункте (f) статьи 46 (2). Такие контроллеры или обработчики должны брать обязательные и подлежащие исполнению обязательства посредством договорных или других юридически обязательных инструментов применять эти соответствующие гарантии, в том числе в отношении прав субъектов данных.
3. Сертификация должна быть добровольной и доступной через прозрачный процесс.
4. Сертификация в соответствии с настоящей статьей не снижает ответственности контроллера или обработчика за соблюдение настоящих Правил и не наносит ущерба задачам и полномочиям надзорных органов, компетентных в соответствии со статьями 55 или 56.
5. Сертификация в соответствии с настоящей статьей выдается органами по сертификации, упомянутыми в статье 43, или компетентным надзорным органом на основании критериев, утвержденных этим компетентным надзорным органом в соответствии со статьей 58 (3), или Советом в соответствии с к статье 63. Если критерии утверждаются Советом, это может привести к общей сертификации – Европейской печати защиты данных.
6. Контролер или обработчик, который передает свою обработку в механизм сертификации, должен предоставить органу по сертификации, указанному в статье 43, или, где это применимо, компетентный надзорный орган, всю информацию и доступ к своей деятельности по обработке, необходимой для проведения сертификации. процедура.
7. Сертификация должна быть выдана контроллеру или обработчику максимум на три года и может быть возобновлена при тех же условиях, при условии, что соответствующие требования продолжают выполняться. Сертификация должна быть отозвана, в зависимости от обстоятельств, органами по сертификации, упомянутыми в статье 43, или компетентным надзорным органом, если требования к сертификации не выполняются или более не выполняются.
8. Правление сопоставляет все сертификационные механизмы и пломбы и знаки защиты данных в реестре и делает их общедоступными с помощью любых соответствующих средств.
Статья 43
Органы по сертификации
1. Без ущерба для задач и полномочий компетентного надзорного органа в соответствии со статьями 57 и 58 органы по сертификации, которые имеют соответствующий уровень знаний в отношении защиты данных, после информирования надзорного органа должны предоставить ему возможность осуществлять свои полномочия. в соответствии с пунктом (h) статьи 58 (2) при необходимости выдают и возобновляют сертификацию. Государства-члены должны гарантировать, что эти органы по сертификации аккредитованы одним или обоими из следующих:
(А) | надзорный орган, компетентный в соответствии со статьями 55 или 56; |
(Б) | национальный орган по аккредитации, названный в соответствии с Регламентом (ЕС) № 765/2008 Европейского парламента и Совета ( 20 ) в соответствии с EN-ISO / IEC 17065/2012 и с дополнительными требованиями, установленными надзорным органом, который является компетентным в соответствии со статьями 55 или 56. |
2. Органы по сертификации, указанные в пункте 1, аккредитуются в соответствии с этим пунктом только в том случае, если они имеют:
(А) | продемонстрировали свою независимость и опыт в отношении предмета сертификации к удовлетворению компетентного надзорного органа; |
(Б) | предпринятые для соблюдения критериев, указанных в статье 42 (5), и утвержденные надзорным органом, который компетентен в соответствии со статьями 55 или 56, или Советом в соответствии со статьей 63; |
(С) | установленные процедуры выдачи, периодического пересмотра и отзыва сертификатов защиты печати, печатей и знаков; |
(Д) | установленные процедуры и структуры для рассмотрения жалоб о нарушениях сертификации или способе, которым сертификация была или осуществляется контроллером или процессором, и обеспечение прозрачности этих процедур и структур для субъектов данных и общественности; и |
(Е) | продемонстрировал, к удовлетворению компетентного надзорного органа, что их задачи и обязанности не приводят к конфликту интересов. |
3. Аккредитация органов по сертификации, упомянутых в пунктах 1 и 2 настоящей статьи, осуществляется на основе критериев, утвержденных надзорным органом, компетентным в соответствии со статьями 55 или 56, или Советом в соответствии со статьей 63. В случае аккредитации в соответствии с пунктом (b) пункта 1 настоящей Статьи эти требования должны дополнять требования, предусмотренные в Регламенте (ЕС) № 765/2008, и технические правила, которые описывают методы и процедуры органов по сертификации.
4. Органы по сертификации, упомянутые в пункте 1, несут ответственность за надлежащую оценку, ведущую к сертификации или отзыву такой сертификации, без ущерба для ответственности диспетчера или процессора за соблюдение настоящих Правил. Аккредитация выдается на срок не более пяти лет и может продлеваться на тех же условиях, при условии, что орган по сертификации соответствует требованиям, изложенным в настоящей статье.
5. Органы по сертификации, указанные в пункте 1, должны предоставить компетентным надзорным органам причины для предоставления или отзыва запрошенной сертификации.
6. Требования, указанные в пункте 3 настоящей статьи, и критерии, указанные в статье 42 (5), должны быть опубликованы контролирующим органом в легкодоступной форме. Надзорные органы также должны передавать эти требования и критерии Совету. Совет должен сопоставить все сертификационные механизмы и защитные пломбы в реестре и сделать их общедоступными с помощью любых соответствующих средств.
7. Без ущерба для главы VIII компетентный надзорный орган или национальный орган по аккредитации аннулирует аккредитацию органа по сертификации в соответствии с пунктом 1 настоящей статьи, если условия для аккредитации не выполняются или более не выполняются или если действия взятые органом по сертификации нарушают настоящие Правила.
8. Комиссия уполномочена принимать делегированные акты в соответствии со статьей 92 с целью определения требований, которые необходимо учитывать для механизмов сертификации защиты данных, упомянутых в статье 42 (1).
9. Комиссия может принять исполнительные акты, устанавливающие технические стандарты для механизмов сертификации и печатей и знаков защиты данных, а также механизмы для продвижения и признания этих механизмов сертификации, печатей и знаков. Эти исполнительные акты должны быть приняты в соответствии с процедурой экспертизы, упомянутой в статье 93 (2).
Глава V
Передача персональных данных в третьи страны или международные организации
Статья 44
Общий принцип для переводов
Любая передача персональных данных, которые подвергаются обработке или предназначены для обработки после передачи в третью страну или международную организацию, должна осуществляться только в том случае, если с учетом других положений настоящего Регламента соблюдаются условия, изложенные в настоящей главе. контроллером и обработчиком, в том числе для дальнейшей передачи личных данных из третьей страны или международной организации в другую третью страну или в другую международную организацию. Все положения этой главы должны применяться для обеспечения того, чтобы уровень защиты физических лиц, гарантируемый настоящим Регламентом, не был подорван.
Статья 45
Переводы на основе решения адекватности
1. Передача персональных данных в третью страну или международную организацию может иметь место, если Комиссия решила, что третья страна, территория или один или несколько указанных секторов в пределах этой третьей страны или соответствующая международная организация обеспечивает адекватное уровень защиты. Такая передача не требует какого-либо специального разрешения.
2. При оценке адекватности уровня защиты Комиссия, в частности, учитывает следующие элементы:
(А) | верховенство закона, уважение прав человека и основных свобод, соответствующее законодательство как общего, так и секторального характера, в том числе касающееся общественной безопасности, обороны, национальной безопасности и уголовного права, а также доступа государственных органов к личным данным, а также осуществление таких законодательство, правила защиты данных, профессиональные правила и меры безопасности, включая правила дальнейшей передачи персональных данных в другую третью страну или международную организацию, которые соблюдаются в этой стране или международной организации, прецедентное право, а также эффективные и подлежащие исполнению данные субъект права и эффективное административное и судебное возмещение для субъектов данных, персональные данные которых передаются; |
(Б) | существование и эффективное функционирование одного или нескольких независимых надзорных органов в третьей стране или в отношении которых действует международная организация, отвечающая за обеспечение и обеспечение соблюдения правил защиты данных, включая соответствующие правоприменительные полномочия, за оказание помощи и консультирование субъектов данных в осуществлении своих прав и для сотрудничества с надзорными органами государств-членов; и |
(С) | международные обязательства, взятые на себя третьей страной или международной организацией, или другие обязательства, вытекающие из юридически обязательных конвенций или документов, а также ее участия в многосторонних или региональных системах, в частности в отношении защиты персональных данных. |
3. Комиссия, после оценки адекватности уровня защиты, может принять решение посредством осуществления закона о том, что третья страна, территория или один или несколько указанных секторов в третьей стране или международная организация обеспечивают адекватный уровень защиты по смыслу пункта 2 настоящей статьи. Исполнительный акт должен предусматривать механизм периодического обзора, по крайней мере, каждые четыре года, который должен учитывать все соответствующие события в третьей стране или международной организации. В исполнительном акте должно быть указано его территориальное и отраслевое применение и, где это применимо, указан надзорный орган или органы, указанные в пункте (b) пункта 2 настоящей статьи.
4. Комиссия на постоянной основе следит за событиями в третьих странах и международных организациях, которые могут повлиять на функционирование решений, принятых в соответствии с пунктом 3 настоящей статьи, и решений, принятых на основании статьи 25 (6) Директивы 95 /. 46 / EC.
5. В тех случаях, когда имеющаяся информация раскрывает, в частности, после рассмотрения, упомянутого в пункте 3 настоящей статьи, Комиссия должна указать, что третья страна, территория или один или несколько указанных секторов в третьей стране или международная организация более не обеспечивают адекватный уровень защиты по смыслу пункта 2 настоящей статьи, в той степени, в которой это необходимо, отменить, изменить или приостановить решение, указанное в пункте 3 настоящей статьи, путем осуществления действий, не имеющих обратной силы. Эти исполнительные акты должны быть приняты в соответствии с процедурой экспертизы, упомянутой в статье 93 (2).
На должным образом обоснованных неотложных основаниях Комиссия должна немедленно принять применимые исполнительные акты в соответствии с процедурой, указанной в Статье 93 (3).
6. Комиссия вступает в консультации с третьей страной или международной организацией с целью исправления ситуации, в результате которой принимается решение, принятое в соответствии с пунктом 5.
7. Решение в соответствии с пунктом 5 настоящей статьи не наносит ущерба передаче персональных данных в третью страну, на территорию или в один или несколько указанных секторов в пределах этой третьей страны или рассматриваемой международной организации в соответствии со статьями 46–49.
8. Комиссия публикует в Официальном журнале Европейского Союза и на своем веб-сайте список третьих стран, территорий и определенных секторов в пределах третьей страны и международных организаций, для которых она решила, что адекватный уровень защиты является или является больше не обеспечено.
9. Решения, принятые Комиссией на основании Статьи 25 (6) Директивы 95/46 / ЕС, остаются в силе до тех пор, пока они не будут изменены, заменены или отменены Решением Комиссии, принятым в соответствии с пунктом 3 или 5 настоящей Статьи.
Статья 46
Переводы подлежат соответствующим гарантиям
1. При отсутствии решения в соответствии со статьей 45 (3) контроллер или обработчик может передавать личные данные в третью страну или международную организацию только в том случае, если контроллер или обработчик предоставил соответствующие гарантии, и при условии, что субъект данных, подлежащий исполнению права и эффективные средства правовой защиты для субъектов данных доступны.
2. Соответствующие меры предосторожности, упомянутые в пункте 1, могут быть предусмотрены без какого-либо специального разрешения надзорного органа путем:
(А) | юридически обязательный и подлежащий исполнению инструмент между государственными органами или органами; |
(Б) | обязательные корпоративные правила в соответствии со статьей 47; |
(С) | стандартные положения о защите данных, принятые Комиссией в соответствии с процедурой проверки, упомянутой в Статье 93 (2); |
(Д) | стандартные положения о защите данных, принятые надзорным органом и утвержденные Комиссией в соответствии с процедурой проверки, упомянутой в статье 93 (2); |
(Е) | утвержденный кодекс поведения в соответствии со статьей 40 вместе с обязательными и подлежащими исполнению обязательствами контролера или процессора в третьей стране применять соответствующие гарантии, в том числе в отношении прав субъектов данных; или |
(Е) | утвержденный механизм сертификации в соответствии со статьей 42 вместе с обязательными и подлежащими исполнению обязательствами контролера или процессора в третьей стране применять соответствующие гарантии, в том числе в отношении прав субъектов данных. |
3. С разрешения компетентного надзорного органа соответствующие меры предосторожности, указанные в пункте 1, также могут быть предусмотрены, в частности, путем:
(А) | договорные условия между контроллером или процессором и контроллером, обработчиком или получателем персональных данных в третьей стране или международной организации; или |
(Б) | положения, которые должны быть включены в административные договоренности между государственными органами или органами, которые включают в себя осуществимые и эффективные права субъекта данных. |
4. Надзорный орган применяет механизм согласованности, упомянутый в статье 63, в случаях, указанных в пункте 3 настоящей статьи.
5. Разрешения государства-члена или надзорного органа на основании Статьи 26 (2) Директивы 95/46 / ЕС остаются в силе до тех пор, пока этот надзорный орган не изменит, не заменит или, при необходимости, не отменит их. Решения, принятые Комиссией на основании Статьи 26 (4) Директивы 95/46 / ЕС, остаются в силе до тех пор, пока они не будут изменены, заменены или отменены, если необходимо, Решением Комиссии, принятым в соответствии с пунктом 2 настоящей Статьи.
Статья 47
Обязательные корпоративные правила
1. Компетентный надзорный орган утверждает обязательные корпоративные правила в соответствии с механизмом согласованности, изложенным в статье 63, при условии, что они:
(А) | имеют обязательную юридическую силу и применяются и применяются всеми заинтересованными членами группы предприятий или группы предприятий, осуществляющих совместную экономическую деятельность, включая их работников; |
(Б) | прямо предоставлять субъектам данных обязательные права на обработку их персональных данных; и |
(С) | выполнить требования, изложенные в пункте 2. |
2. Обязательные корпоративные правила, указанные в пункте 1, должны содержать как минимум:
(А) | структура и контактные данные группы предприятий или группы предприятий, занимающихся совместной экономической деятельностью, и каждого из ее членов; |
(Б) | передачи данных или набор передач, включая категории персональных данных, тип обработки и ее цели, тип затрагиваемых субъектов данных и идентификацию третьей страны или стран, о которых идет речь; |
(С) | их юридически обязывающая природа, как внутренняя, так и внешняя; |
(Д) | применение общих принципов защиты данных, в частности ограничение целей, минимизация данных, ограниченные сроки хранения, качество данных, защита данных по проекту и по умолчанию, правовая основа для обработки, обработка особых категорий персональных данных, меры по обеспечению безопасности данных и требования в отношении последующих переводов в органы, не связанные обязательными корпоративными правилами; |
(Е) | права субъектов данных в отношении обработки и способы реализации этих прав, включая право не подвергаться принятию решений, основанных исключительно на автоматизированной обработке, включая профилирование в соответствии со статьей 22, право подавать жалобу в компетентный надзорный орган полномочия и перед компетентными судами государств-членов в соответствии со статьей 79, а также для получения компенсации и, в случае необходимости, компенсации за нарушение обязательных корпоративных правил; |
(Е) | принятие контролером или обработчиком, установленным на территории государства-члена, ответственности за любые нарушения обязательных корпоративных правил любым заинтересованным членом, не учрежденным в Союзе; Контролер или обработчик освобождаются от этой ответственности, полностью или частично, только если это доказывает, что этот участник не несет ответственности за событие, повлекшее ущерб; |
(грамм) | каким образом информация об обязательных корпоративных правилах, в частности о положениях, упомянутых в пунктах (d), (e) и (f) настоящего пункта, предоставляется субъектам данных в дополнение к статьям 13 и 14; |
(час) | задачи любого сотрудника по защите данных, назначенного в соответствии со статьей 37, или любого другого физического или юридического лица, отвечающего за мониторинг соблюдения обязательных корпоративных правил в рамках группы предприятий или группы предприятий, занимающихся совместной экономической деятельностью, а также мониторинг подготовки и рассмотрения жалоб; |
(я) | процедуры подачи жалоб; |
(К) | механизмы в рамках группы предприятий или группы предприятий, осуществляющих совместную хозяйственную деятельность, для обеспечения проверки соблюдения обязательных корпоративных правил. Такие механизмы должны включать проверки защиты данных и методы обеспечения корректирующих действий для защиты прав субъекта данных. Результаты такой проверки должны быть сообщены физическому или юридическому лицу, указанному в пункте (h), и совету контролирующего предприятия группы предприятий или группы предприятий, осуществляющих совместную экономическую деятельность, и должны быть доступны по запросу в компетентный надзорный орган; |
(К) | механизмы сообщения и регистрации изменений в правилах и сообщения об этих изменениях в контролирующий орган; |
(Л) | механизм сотрудничества с надзорным органом для обеспечения соблюдения любым членом группы предприятий или группы предприятий, занимающихся совместной экономической деятельностью, в частности, путем предоставления контролирующему органу результатов проверки мер, указанных в пункте (к); |
(М) | механизмы сообщения компетентному надзорному органу о любых правовых требованиях, которым подвергается член группы предприятий или группы предприятий, осуществляющих совместную экономическую деятельность, в третьей стране, которые могут оказать существенное неблагоприятное влияние на гарантии предусмотрено обязательными корпоративными правилами; и |
(П) | соответствующее обучение по защите данных для персонала, имеющего постоянный или регулярный доступ к персональным данным. |
3. Комиссия может определить формат и порядок обмена информацией между контролерами, обработчиками и надзорными органами для обязательных корпоративных правил по смыслу настоящей статьи. Эти исполнительные акты должны быть приняты в соответствии с процедурой экспертизы, изложенной в статье 93 (2).
Статья 48
Переводы или раскрытия, не разрешенные законодательством Союза
Любое решение суда или трибунала и любое решение административного органа третьей страны, требующее от контролера или обработчика передачи или раскрытия персональных данных, может быть признано или приведено в исполнение любым способом, только если оно основано на международном соглашении, таком как взаимное юридическое право. договор о помощи, действующий между запрашивающей третьей страной и Союзом или государством-членом, без ущерба для других оснований для передачи в соответствии с настоящей главой.
Статья 49
Отступления для особых ситуаций
1. При отсутствии решения об адекватности в соответствии со статьей 45 (3) или соответствующих гарантий в соответствии со статьей 46, включая обязательные корпоративные правила, передача или набор передач персональных данных в третью страну или международную организацию должны проходить только при одном из следующих условий:
(А) | субъект данных явно дал согласие на предлагаемую передачу после того, как его проинформировали о возможных рисках таких передач для субъекта данных из-за отсутствия решения об адекватности и соответствующих гарантий; |
(Б) | передача необходима для выполнения договора между субъектом данных и контролером или для осуществления преддоговорных мер, принятых по запросу субъекта данных; |
(С) | передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между контролером и другим физическим или юридическим лицом; |
(Д) | передача необходима по важным причинам, представляющим общественный интерес; |
(Е) | передача необходима для установления, осуществления или защиты судебных исков; |
(Е) | передача необходима для защиты жизненно важных интересов субъекта данных или других лиц, если субъект данных физически или юридически неспособен дать согласие; |
(грамм) | Передача осуществляется из реестра, который в соответствии с законодательством Союза или государств-членов предназначен для предоставления информации общественности и который открыт для консультаций как широкой публикой, так и любым лицом, которое может продемонстрировать законный интерес, но только для степень, что условия, установленные законодательством Союза или государства-члена для проведения консультаций, выполняются в конкретном случае. |
Контролер информирует надзорный орган о передаче. Контролер должен помимо предоставления информации, упомянутой в статьях 13 и 14, информировать субъекта данных о передаче и о преследуемых неотразимых законных интересах.
2. Передача в соответствии с пунктом (g) первого подпункта пункта 1 не должна включать полные персональные данные или целые категории персональных данных, содержащихся в реестре. Если регистр предназначен для ознакомления лицами, имеющими законный интерес, передача осуществляется только по просьбе этих лиц или если они должны быть получателями.
3. Пункты (а), (b) и (с) первого подпункта пункта 1 и его второго подпункта не применяются к действиям, осуществляемым государственными органами при осуществлении ими своих публичных полномочий.
4. Общественные интересы, указанные в пункте (d) первого подпункта пункта 1, должны быть признаны в законодательстве Союза или в законодательстве государства-члена, которому подчиняется контролер.
5. При отсутствии решения об адекватности законодательство Союза или государства-члена может по важным причинам, представляющим общественный интерес, прямо установить ограничения на передачу определенных категорий персональных данных в третью страну или международную организацию. Государства-члены должны уведомлять Комиссию о таких положениях.
6. Контролер или обработчик должен документировать оценку, а также соответствующие меры предосторожности, указанные во втором подпункте пункта 1 настоящей статьи, в записях, упомянутых в статье 30.
Статья 50
Международное сотрудничество по защите персональных данных
В отношении третьих стран и международных организаций Комиссия и надзорные органы принимают соответствующие меры для:
(А) | разработать механизмы международного сотрудничества для содействия эффективному соблюдению законодательства о защите персональных данных; |
(Б) | оказывать международную взаимную помощь в обеспечении соблюдения законодательства о защите персональных данных, в том числе посредством уведомления, обращения с жалобами, помощи в расследовании и обмена информацией, при условии соблюдения надлежащих гарантий защиты персональных данных и других основных прав и свобод; |
(С) | вовлекать соответствующие заинтересованные стороны в дискуссии и мероприятия, направленные на развитие международного сотрудничества в обеспечении соблюдения законодательства о защите персональных данных; |
(Д) | содействовать обмену и документированию законодательства и практики защиты персональных данных, в том числе в отношении юрисдикционных конфликтов с третьими странами. |
Глава VI
Независимые контролирующие органы
Секция 1
Независимый статус
Статья 51
Надзорный орган
1. Каждое государство-член должно предусмотреть, чтобы один или несколько независимых государственных органов отвечали за мониторинг применения настоящего Регламента в целях защиты основных прав и свобод физических лиц в отношении обработки и содействия свободному потоку персональных данных. в рамках Союза («надзорный орган»).
2. Каждый надзорный орган содействует последовательному применению этого Регламента на всей территории Союза. С этой целью надзорные органы сотрудничают друг с другом и Комиссией в соответствии с главой VII.
3. Если в государстве-члене создано более одного надзорного органа, это государство-член назначает надзорный орган, который представляет эти органы в Совете, и устанавливает механизм для обеспечения соблюдения другими органами правил, касающихся механизм согласованности, упомянутый в статье 63.
4. Каждое государство-член должно уведомить Комиссию о положениях своего законодательства, которые оно принимает в соответствии с настоящей главой, к 25 мая 2018 года и безотлагательно о любой последующей поправке, касающейся их.
Статья 52
независимость
1. Каждый надзорный орган действует с полной независимостью при выполнении своих задач и осуществлении своих полномочий в соответствии с настоящим Положением.
2. Член или члены каждого контролирующего органа при исполнении своих задач и осуществлении своих полномочий в соответствии с настоящим Положением не должны подвергаться внешнему воздействию, прямому или косвенному, и не должны ни запрашивать, ни получать указания от кого-либо.
3. Член или члены каждого контролирующего органа должны воздерживаться от любых действий, несовместимых с их обязанностями, и не должны в течение срока своих полномочий заниматься какой-либо несовместимой деятельностью, независимо от того, приносит ли она выгоду или нет.
4. Каждое государство-член должно обеспечить, чтобы каждый контролирующий орган был обеспечен людскими, техническими и финансовыми ресурсами, помещениями и инфраструктурой, необходимыми для эффективного выполнения его задач и осуществления его полномочий, в том числе тех, которые должны выполняться в контексте взаимного сотрудничества. помощь, сотрудничество и участие в Совете.
5. Каждое государство-член должно обеспечить, чтобы каждый надзорный орган выбирал и имел свой собственный персонал, который должен подчиняться исключительному указанию члена или членов соответствующего надзорного органа.
6. Каждое государство-член должно обеспечить, чтобы каждый контролирующий орган подвергался финансовому контролю, который не влияет на его независимость, и чтобы он имел отдельные публичные годовые бюджеты, которые могут быть частью общего государственного или национального бюджета.
Статья 53
Общие условия для членов надзорного органа
1. Государства-члены обеспечивают, чтобы каждый член их надзорных органов назначался посредством прозрачной процедуры путем:
– | их парламент; |
– | их правительство; |
– | их глава государства; или |
– | независимый орган, которому поручено назначение в соответствии с законодательством государства-члена. |
2. Каждый член должен обладать квалификацией, опытом и навыками, в частности в области защиты персональных данных, необходимыми для выполнения своих обязанностей и осуществления своих полномочий.
3. Обязанности члена прекращаются в случае истечения срока полномочий, отставки или обязательного выхода на пенсию в соответствии с законодательством соответствующего государства-члена.
4. Член должен быть уволен только в случае серьезного проступка или если участник больше не выполняет условия, необходимые для выполнения обязанностей.
Статья 54
Правила создания надзорного органа
1. Каждое государство-член обязано по закону предусмотреть все следующее:
(А) | учреждение каждого контролирующего органа; |
(Б) | квалификация и условия приемлемости, необходимые для назначения в качестве члена каждого надзорного органа; |
(С) | правила и процедуры назначения члена или членов каждого контролирующего органа; |
(Д) | срок полномочий члена или членов каждого контролирующего органа не менее четырех лет, за исключением первого назначения после 24 мая 2016 года, часть которого может иметь место в течение более короткого периода, когда это необходимо для защиты независимости надзорный орган посредством поэтапной процедуры назначения; |
(Е) | и если да, то на сколько сроков член или члены каждого контролирующего органа имеют право на повторное назначение; |
(Е) | условия, регулирующие обязанности члена или членов и сотрудников каждого контролирующего органа, запреты на действия, занятия и льготы, несовместимые с ними в течение и после срока полномочий, и правила, регулирующие прекращение работы. |
2. Член или члены и персонал каждого надзорного органа в соответствии с законодательством Союза или государства-члена обязаны соблюдать профессиональную тайну как в течение, так и после истечения срока своих полномочий в отношении любой конфиденциальной информации, которая поступила на их знания в ходе выполнения своих задач или осуществления своих полномочий. В течение срока их полномочий эта обязанность соблюдать профессиональную тайну, в частности, применяется к сообщениям физических лиц о нарушениях настоящего Регламента.
Раздел 2
Компетенция, задачи и полномочия
Статья 55
компетентность
1. Каждый надзорный орган компетентен для выполнения возложенных на него задач и осуществления возложенных на него полномочий в соответствии с настоящим Регламентом на территории его собственного государства-члена.
2. Если обработка осуществляется государственными органами или частными органами, действующими на основании пункта (с) или (е) статьи 6 (1), надзорный орган соответствующего государства-члена является компетентным. В таких случаях статья 56 не применяется.
3. Надзорные органы не вправе осуществлять надзор за процессами рассмотрения дел судами, действующими в своем судебном качестве.
Статья 56
Компетенция ведущего надзорного органа
1. Без ущерба для статьи 55 надзорный орган основного учреждения или отдельного учреждения контроллера или процессора должен быть компетентным в качестве ведущего контролирующего органа для трансграничной обработки, выполняемой этим контроллером или процессором в соответствии с процедура, предусмотренная в статье 60.
2. В отступление от пункта 1 каждый надзорный орган правомочен рассматривать жалобу, поданную им, или возможное нарушение настоящего Регламента, если предмет относится только к предприятию в его государстве-члене или существенно затрагивает субъектов данных только в его Государство-член.
3. В случаях, указанных в пункте 2 настоящей статьи, надзорный орган незамедлительно информирует об этом ведущий надзорный орган. В течение трех недель после получения информации ведущий надзорный орган должен решить, будет ли он рассматривать дело в соответствии с процедурой, предусмотренной в статье 60, с учетом того, имеется или нет учреждение контроллера или процессора в Государство-член, о котором надзорный орган уведомил об этом.
4. Если главный надзорный орган решает рассмотреть дело, применяется процедура, предусмотренная в статье 60. Надзорный орган, который проинформировал ведущий надзорный орган, может представить в ведущий надзорный орган проект решения. Ведущий надзорный орган должен максимально учитывать этот проект при подготовке проекта решения, упомянутого в статье 60 (3).
5. Если ведущий надзорный орган решает не рассматривать дело, надзорный орган, который проинформировал ведущий надзорный орган, рассматривает его в соответствии со статьями 61 и 62.
6. Ведущий контролирующий орган должен быть единственным собеседником контроллера или процессора для трансграничной обработки, выполняемой этим контроллером или процессором.
Статья 57
Задания
1. Без ущерба для других задач, изложенных в настоящем Регламенте, каждый контролирующий орган должен на своей территории:
(А) | контролировать и обеспечивать применение настоящего Регламента; |
(Б) | способствовать осведомленности общественности и пониманию рисков, правил, гарантий и прав в отношении обработки. Мероприятиям, адресованным конкретно детям, следует уделять особое внимание; |
(С) | консультировать в соответствии с законодательством государств-членов национальный парламент, правительство и другие учреждения и органы по вопросам законодательных и административных мер, касающихся защиты прав и свобод физических лиц в отношении обработки; |
(Д) | повышать осведомленность контролеров и переработчиков об их обязательствах по настоящему Регламенту; |
(Е) | по запросу предоставлять информацию любому субъекту данных, касающемуся осуществления его прав в соответствии с настоящим Регламентом, и, если это необходимо, сотрудничать с контролирующими органами в других государствах-членах с этой целью; |
(Е) | рассматривать жалобы, поданные субъектом данных или органом, организацией или ассоциацией в соответствии со статьей 80, и расследовать, по мере необходимости, предмет жалобы и информировать заявителя о ходе и результатах расследования в рамках разумный срок, в частности, если необходимо дальнейшее расследование или координация с другим надзорным органом; |
(грамм) | сотрудничать, в том числе обмениваться информацией и оказывать взаимную помощь другим надзорным органам с целью обеспечения последовательности применения и применения настоящего Регламента; |
(час) | проводить расследования по применению настоящего Положения, в том числе на основании информации, полученной от другого надзорного органа или другого государственного органа; |
(я) | следить за соответствующими событиями, поскольку они оказывают влияние на защиту персональных данных, в частности развитие информационно-коммуникационных технологий и коммерческой практики; |
(К) | принять стандартные договорные положения, упомянутые в статье 28 (8) и в пункте (d) статьи 46 (2); |
(К) | составить и вести список в соответствии с требованием оценки воздействия на защиту данных в соответствии со статьей 35 (4); |
(Л) | давать рекомендации по операциям обработки, упомянутым в Статье 36 (2); |
(М) | поощрять разработку кодексов поведения в соответствии со статьей 40 (1) и высказывать свое мнение и утверждать такие кодексы поведения, которые обеспечивают достаточные гарантии, в соответствии со статьей 40 (5); |
(П) | поощрять создание механизмов сертификации защиты данных, а также печатей и знаков защиты данных в соответствии со статьей 42 (1) и утверждать критерии сертификации в соответствии со статьей 42 (5); |
(О) | где это применимо, проводить периодический обзор сертификатов, выданных в соответствии со статьей 42 (7); |
(п) | разработать и опубликовать критерии аккредитации органа по контролю за кодексами поведения в соответствии со статьей 41 и органа по сертификации в соответствии со статьей 43; |
(Д) | проводить аккредитацию органа по контролю за соблюдением кодексов поведения в соответствии со статьей 41 и органа по сертификации в соответствии со статьей 43; |
(р) | санкционировать договорные положения и положения, упомянутые в статье 46 (3); |
(Ы) | утверждает обязательные корпоративные правила в соответствии со статьей 47; |
(Т) | вносить вклад в деятельность Совета; |
(И) | вести внутренний учет нарушений настоящего Регламента и мер, принятых в соответствии со Статьей 58 (2); и |
(V) | выполнять любые другие задачи, связанные с защитой личных данных. |
2. Каждый надзорный орган должен содействовать подаче жалоб, упомянутых в пункте (f) пункта 1, с помощью таких мер, как форма подачи жалобы, которая также может быть заполнена в электронном виде, без исключения других средств связи.
3. Выполнение задач каждого контролирующего органа должно быть бесплатным для субъекта данных и, где это применимо, для сотрудника по защите данных.
4. Если запросы являются явно необоснованными или чрезмерными, в частности из-за их повторяющегося характера, надзорный орган может взимать разумную плату в зависимости от административных расходов или отказываться действовать по запросу. Надзорный орган должен нести бремя демонстрации явно необоснованного или чрезмерного характера запроса.
Статья 58
полномочия
1. Каждый надзорный орган обладает всеми следующими следственными полномочиями:
(А) | отдать распоряжение контроллеру и процессору и, если применимо, представителю контроллера или процессора предоставить любую информацию, которая требуется для выполнения его задач; |
(Б) | проводить расследования в форме аудита защиты данных; |
(С) | провести проверку сертификатов, выданных в соответствии со статьей 42 (7); |
(Д) | уведомить контролера или обработчика о предполагаемом нарушении настоящих Правил; |
(Е) | получать от контроллера и процессора доступ ко всем персональным данным и ко всей информации, необходимой для выполнения его задач; |
(Е) | получать доступ к любым помещениям контроллера и процессора, включая любое оборудование и средства обработки данных, в соответствии с процессуальным законодательством Союза или государства-члена. |
2. Каждый надзорный орган обладает всеми следующими корректирующими полномочиями:
(А) | выдавать предупреждения контроллеру или процессору о том, что предполагаемые операции обработки могут нарушать положения настоящего Регламента; |
(Б) | давать выговоры контроллеру или процессору, если операции обработки нарушили положения настоящего Регламента; |
(С) | отдать распоряжение контролеру или обработчику выполнить запросы субъекта данных на осуществление его или ее прав в соответствии с настоящим Регламентом; |
(Д) | отдать распоряжение контролеру или обработчику привести операции обработки в соответствие с положениями настоящих Правил, где это необходимо, определенным образом и в течение определенного периода; |
(Е) | приказать контроллеру сообщить о нарушении персональных данных субъекту данных; |
(Е) | ввести временное или окончательное ограничение, включая запрет на обработку; |
(грамм) | отдать распоряжение о исправлении или удалении личных данных или ограничении обработки в соответствии со статьями 16, 17 и 18 и уведомлении о таких действиях получателям, которым личные данные были раскрыты в соответствии со статьей 17 (2) и статьей 19; |
(час) | отозвать сертификацию или отдать приказ органу по сертификации отозвать сертификат, выданный в соответствии со статьями 42 и 43, или отдать приказ органу по сертификации не выдавать сертификацию, если требования к сертификации не выполнены или более не выполняются; |
(я) | наложить административный штраф в соответствии со статьей 83, в дополнение или вместо мер, упомянутых в этом параграфе, в зависимости от обстоятельств каждого отдельного случая; |
(К) | заказать приостановку потоков данных получателю в третьей стране или международной организации. |
3. Каждый надзорный орган обладает всеми следующими полномочиями и полномочиями:
(А) | консультировать диспетчера в соответствии с процедурой предварительной консультации, упомянутой в статье 36; |
(Б) | по собственной инициативе или по запросу предоставлять заключения в национальный парламент, правительству государства-члена или, в соответствии с законодательством государства-члена, другим учреждениям и органам, а также общественности по любому вопросу, связанному с защитой личного данные; |
(С) | разрешить обработку, упомянутую в Статье 36 (5), если законодательство государства-члена требует такого предварительного разрешения; |
(Д) | выдавать заключение и утверждать проекты кодексов поведения в соответствии со статьей 40 (5); |
(Е) | аккредитовать органы по сертификации в соответствии со статьей 43; |
(Е) | выдавать сертификаты и утверждать критерии сертификации в соответствии со статьей 42 (5); |
(грамм) | принять стандартные положения о защите данных, упомянутые в статье 28 (8) и в пункте (d) статьи 46 (2); |
(час) | санкционировать условия договора, упомянутые в пункте (а) статьи 46 (3); |
(я) | санкционировать административные меры, указанные в пункте (b) статьи 46 (3); |
(К) | утвердить обязательные корпоративные правила в соответствии со статьей 47. |
4. На осуществление полномочий, возложенных на надзорный орган в соответствии с настоящей статьей, распространяются надлежащие гарантии, в том числе эффективные средства судебной защиты и надлежащей правовой процедуры, предусмотренные законодательством Союза и государств-членов в соответствии с Уставом.
5. Каждое государство-член должно предусмотреть в законе, что его надзорный орган имеет право доводить информацию о нарушениях настоящего Регламента до сведения судебных органов и, где это уместно, возбуждать или иным образом инициировать судебное разбирательство в целях обеспечения соблюдения положений это положение.
6. Каждое государство-член может предусмотреть в законе, что его надзорный орган обладает дополнительными полномочиями по сравнению с теми, которые указаны в пунктах 1, 2 и 3. Осуществление этих полномочий не должно препятствовать эффективному функционированию главы VII.
Статья 59
Отчеты о деятельности
Каждый надзорный орган должен составлять ежегодный отчет о своей деятельности, который может включать список видов заявленных нарушений и типов мер, принятых в соответствии со статьей 58 (2). Эти отчеты должны быть переданы в национальный парламент, правительству и другим органам власти в соответствии с законодательством государства-члена. Они должны быть доступны для общественности, Комиссии и Правления.
Глава VII
Сотрудничество и последовательность
Секция 1
сотрудничество
Статья 60
Сотрудничество между ведущим надзорным органом и другими заинтересованными надзорными органами
1. Ведущий надзорный орган сотрудничает с другими соответствующими надзорными органами в соответствии с настоящей статьей с целью достижения консенсуса. Ведущий надзорный орган и соответствующие надзорные органы обмениваются всей соответствующей информацией друг с другом.
2. Главный надзорный орган может в любое время потребовать от других соответствующих надзорных органов предоставления взаимной помощи в соответствии со статьей 61 и может проводить совместные операции в соответствии со статьей 62, в частности, для проведения расследований или для контроля за осуществлением меры, касающейся контролера. или процессор, установленный в другом государстве-члене.
3. Ведущий надзорный орган незамедлительно сообщает соответствующую информацию по этому вопросу другим соответствующим надзорным органам. Он должен незамедлительно представить проект решения другим заинтересованным надзорным органам на предмет их мнения и должным образом учесть их мнение.
4. Если какой-либо другой заинтересованный надзорный орган в течение четырех недель после консультации с ним в соответствии с пунктом 3 настоящей статьи, выражает соответствующее и обоснованное возражение против проекта решения, ведущий надзорный орган, если он этого не делает следуйте соответствующим и обоснованным возражениям или придерживайтесь мнения о том, что возражение не является уместным или обоснованным, передайте вопрос в механизм согласованности, упомянутый в статье 63.
5. Если ведущий надзорный орган намерен следовать соответствующим и обоснованным возражениям, он должен представить другим заинтересованным надзорным органам пересмотренный проект решения для их заключения. На этот пересмотренный проект решения распространяется действие процедуры, упомянутой в пункте 4, в течение двух недель.
6. Если ни один из других соответствующих надзорных органов не возражал против проекта решения, представленного ведущим надзорным органом в течение периода, указанного в пунктах 4 и 5, ведущий надзорный орган и соответствующие надзорные органы считаются находящимися в согласии с этот проект решения и будет связан с ним.
7. Главный надзорный орган должен принять и уведомить о решении основное учреждение или отдельное учреждение контроллера или обработчика, в зависимости от обстоятельств, и проинформировать другие соответствующие надзорные органы и Совет о рассматриваемом решении, включая резюме соответствующие факты и основания. Надзорный орган, в который была подана жалоба, информирует заявителя о решении.
8. В отступление от пункта 7, в котором жалоба отклоняется или отклоняется, надзорный орган, в который была подана жалоба, принимает решение, уведомляет об этом заявителя и сообщает об этом контролеру.
9. Если ведущий надзорный орган и соответствующие надзорные органы соглашаются отклонить или отклонить части жалобы и принять решение по другим частям этой жалобы, для каждой из этих частей дела принимается отдельное решение. Главный надзорный орган принимает решение в части, касающейся действий в отношении контролера, уведомляет об этом основное учреждение или отдельное учреждение контролера или процессора на территории его государства-члена и информирует об этом заявителя, а Надзорный орган истца принимает решение в части, касающейся отклонения или отклонения этой жалобы, уведомляет об этом заявителя и сообщает об этом контролеру или обработчику.
10. Получив уведомление о решении главного надзорного органа в соответствии с пунктами 7 и 9, контролер или обработчик должен принять необходимые меры для обеспечения соблюдения решения в отношении деятельности по обработке в контексте всех своих предприятий в Союзе. Контролер или обработчик должен уведомить о принятых мерах по выполнению решения главный контрольный орган, который должен сообщить об этом другим соответствующим контрольным органам.
11. Если в исключительных обстоятельствах соответствующий надзорный орган имеет основания полагать, что существует срочная необходимость действовать для защиты интересов субъектов данных, применяется процедура срочности, упомянутая в статье 66.
12. Ведущий надзорный орган и другие заинтересованные надзорные органы передают друг другу информацию, требуемую в соответствии с настоящей статьей, с помощью электронных средств в стандартном формате.
Статья 61
Взаимопомощь
1. Надзорные органы предоставляют друг другу соответствующую информацию и взаимную помощь для последовательного применения и применения настоящего Регламента и принимают меры для эффективного сотрудничества друг с другом. Взаимная помощь должна охватывать, в частности, информационные запросы и надзорные меры, такие как запросы на проведение предварительных разрешений и консультаций, инспекций и расследований.
2. Каждый надзорный орган принимает все надлежащие меры, необходимые для ответа на запрос другого надзорного органа, без неоправданной задержки и не позднее, чем через месяц после получения запроса. Такие меры могут включать, в частности, передачу соответствующей информации о проведении расследования.
3. Запросы о помощи должны содержать всю необходимую информацию, включая цель и причины запроса. Информация, подлежащая обмену, используется только для той цели, для которой она была запрошена.
4. Запрашиваемый надзорный орган не может отказать в удовлетворении запроса, если:
(А) | оно не компетентно в отношении предмета запроса или мер, которые ему предлагается выполнить; или |
(Б) | соблюдение запроса нарушит настоящий Регламент или закон Союза или государства-члена, которому подчиняется контролирующий орган, получающий запрос. |
5. Запрашиваемый надзорный орган должен информировать запрашивающий надзорный орган о результатах или, в зависимости от обстоятельств, о ходе выполнения мер, принятых для ответа на запрос. Запрашиваемый надзорный орган должен указать причины любого отказа выполнить запрос в соответствии с пунктом 4.
6. Запрашиваемые надзорные органы, как правило, предоставляют информацию, запрошенную другими надзорными органами, в электронной форме, используя стандартизированный формат.
7. Запрашиваемые надзорные органы не взимают плату за любые действия, предпринятые ими в соответствии с просьбой о взаимной помощи. Надзорные органы могут согласовывать правила компенсации друг другу конкретных расходов, связанных с оказанием взаимопомощи в исключительных обстоятельствах.
8. Если надзорный орган не предоставляет информацию, указанную в пункте 5 настоящей статьи, в течение одного месяца с момента получения запроса другого надзорного органа, запрашивающий надзорный орган может принять временную меру на территории своего государства-члена в соответствии с Статья 55 (1). В этом случае считается, что срочная необходимость действовать в соответствии со статьей 66 (1) удовлетворена и требует срочного обязательного решения Совета в соответствии со статьей 66 (2).
9. Комиссия может посредством осуществления актов определить формат и процедуры взаимной помощи, упомянутые в настоящей статье, и механизмы обмена информацией с помощью электронных средств между надзорными органами, а также между надзорными органами и Комитетом, в частности. стандартизированный формат, указанный в пункте 6 настоящей статьи. Эти исполнительные акты должны быть приняты в соответствии с процедурой экспертизы, упомянутой в статье 93 (2).
Статья 62
Совместные операции надзорных органов
1. Надзорные органы должны, при необходимости, проводить совместные операции, включая совместные расследования и совместные меры принуждения, в которых участвуют члены или сотрудники надзорных органов других государств-членов.
2. Если контроллер или обработчик имеет предприятия в нескольких государствах-членах или если значительное число субъектов данных в более чем одном государстве-члене могут быть существенно затронуты операциями обработки, надзорный орган каждого из этих государств-членов имеет право участвовать в совместных операциях. Надзорный орган, который компетентен в соответствии со статьей 56 (1) или (4), приглашает надзорный орган каждого из этих государств-членов принять участие в совместных операциях и незамедлительно отвечает на запрос надзорного органа об участии.
3. Надзорный орган может в соответствии с законодательством государства-члена и с разрешения уполномоченного надзорного органа передавать полномочия, в том числе полномочия по расследованию, членам или сотрудникам надзорного органа, участвующим в совместных операциях, или, в соответствии с законодательством Государства-члены принимающего надзорного органа разрешают, позволяют членам или сотрудникам надзорного органа осуществлять свои следственные полномочия в соответствии с законодательством государства-члена надзорного органа. Такие полномочия по расследованию могут осуществляться только под руководством и в присутствии членов или сотрудников надзорного органа принимающей страны. Члены или сотрудники надзорного органа подчиняются закону государства-члена надзорного органа принимающей страны.
4. Если в соответствии с пунктом 1 сотрудники вспомогательного надзорного органа действуют в другом государстве-члене, государство-член принимающего надзорного органа принимает на себя ответственность за свои действия, включая ответственность, за любой ущерб, причиненный им в ходе их деятельности, в соответствии с законодательством государства-члена, на территории которого они действуют.
5. Государство-член, на территории которого был причинен ущерб, возмещает такой ущерб в соответствии с условиями, применимыми к ущербу, причиненному его собственным персоналом. Государство-член второго надзорного органа, сотрудники которого нанесли ущерб любому лицу на территории другого государства-члена, полностью возмещает этому другому государству-члену любые суммы, выплаченные им лицам, имеющим право от их имени.
6. Без ущерба для осуществления своих прав в отношении третьих сторон и, за исключением пункта 5, каждое государство-член воздерживается в случае, предусмотренном в пункте 1, от запроса компенсации от другого государства-члена в отношении ущерб, указанный в пункте 4.
7. Если предполагается проведение совместной операции и надзорный орган в течение одного месяца не выполняет обязательство, изложенное во втором предложении пункта 2 настоящей статьи, другие надзорные органы могут принять временную меру на территории своего Государство-член в соответствии со статьей 55. В этом случае считается, что срочная необходимость действовать в соответствии со статьей 66 (1) удовлетворена и требует заключения или срочного обязательного решения Совета в соответствии со статьей 66 (2).
Раздел 2
консистенция
Статья 63
Механизм согласованности
Чтобы способствовать последовательному применению этого Регламента на всей территории Союза, надзорные органы должны сотрудничать друг с другом и, при необходимости, с Комиссией, через механизм согласованности, как указано в настоящем Разделе.
Статья 64
Мнение Правления
1. Совет выносит заключение, в котором компетентный надзорный орган намеревается принять любую из указанных ниже мер. С этой целью компетентный надзорный орган направляет проект решения Совету, когда он:
(А) | стремится утвердить список операций обработки, на которые распространяется требование оценки воздействия на защиту данных в соответствии со статьей 35 (4); |
(Б) | касается вопроса в соответствии со статьей 40 (7), соответствует ли проект кодекса поведения или поправка или расширение кодекса поведения настоящему Положению; |
(С) | стремится утвердить критерии аккредитации органа в соответствии со статьей 41 (3) или органа по сертификации в соответствии со статьей 43 (3); |
(Д) | стремится определить стандартные положения о защите данных, упомянутые в пункте (d) статьи 46 (2) и в статье 28 (8); |
(Е) | стремится разрешить договорные условия, упомянутые в пункте (а) статьи 46 (3); или |
(Е) | стремится утвердить обязательные корпоративные правила по смыслу статьи 47. |
2. Любой надзорный орган, Председатель Правления или Комиссия может потребовать, чтобы Правление рассмотрело любой вопрос общего применения или воздействия, более чем в одном государстве-члене, с целью получения заключения, в частности, если компетентный надзорный орган Орган власти не выполняет обязательства по взаимной помощи в соответствии со статьей 61 или по совместным операциям в соответствии со статьей 62.
3. В случаях, упомянутых в пунктах 1 и 2, Комитет издает заключение по представленному ему вопросу при условии, что он еще не вынес свое мнение по этому вопросу. Это мнение должно быть принято в течение восьми недель простым большинством голосов членов Совета. Этот период может быть продлен еще на шесть недель с учетом сложности предмета. Что касается проекта решения, упомянутого в пункте 1, который был распространен среди членов Совета в соответствии с пунктом 5, то считается, что член, не представивший возражения в течение разумного срока, указанного Председателем, согласен с проектом решения.
4. Надзорные органы и Комиссия должны без неоправданной задержки сообщать Совету электронными средствами, используя в стандартизированном формате любую соответствующую информацию, включая, в зависимости от обстоятельств, краткое изложение фактов, проект решения, основания, которые делают принятие такой меры необходимо, а также мнения других контролирующих органов.
5. Председатель Совета обязан без неоправданной задержки сообщить в электронной форме:
(А) | членам Совета и Комиссии любую соответствующую информацию, которая была передана ему в стандартном формате. Секретариат Совета в случае необходимости обеспечивает перевод соответствующей информации; и |
(Б) | надзорный орган, упомянутый, в зависимости от обстоятельств, в пунктах 1 и 2, и комиссия по мнению и обнародовать его. |
6. Компетентный надзорный орган не принимает свой проект решения, указанный в пункте 1, в течение срока, указанного в пункте 3.
7. Надзорный орган, упомянутый в пункте 1, в максимальной степени учитывает мнение Совета и в течение двух недель после получения заключения сообщает электронным способом Председателю Совета, сохранит ли он или изменит свой проект решения. и, если таковые имеются, измененный проект решения с использованием стандартизированного формата.
8. Если соответствующий надзорный орган сообщает Председателю Совета в течение срока, указанного в пункте 7 настоящей статьи, о том, что он не намерен полностью или частично следовать мнению Совета, предоставляя соответствующие основания, статья 65 (1) применяется.
Статья 65
Разрешение споров Правлением
1. В целях обеспечения правильного и последовательного применения настоящего Регламента в отдельных случаях Совет принимает обязательное решение в следующих случаях:
(А) | если в случае, указанном в статье 60 (4), соответствующий надзорный орган выдвинул соответствующее и обоснованное возражение против проекта решения ведущего органа или ведущий орган отклонил такое возражение как не относящееся к делу или мотивированное. Обязательное решение должно касаться всех вопросов, которые являются предметом соответствующего и обоснованного возражения, в частности, имеет ли место нарушение настоящего Регламента; |
(Б) | при наличии противоречивых мнений о том, какой из соответствующих надзорных органов компетентен для основного учреждения; |
(С) | если компетентный надзорный орган не запрашивает мнение Совета в случаях, упомянутых в Статье 64 (1), или не следует мнению Совета, принятому в соответствии со Статьей 64. В этом случае любой заинтересованный надзорный орган или Комиссия может сообщить об этом Правлению. |
2. Решение, упомянутое в пункте 1, должно быть принято в течение одного месяца с момента передачи предмета большинством в две трети голосов членов Совета. Этот период может быть продлен еще на один месяц из-за сложности предмета. Решение, упомянутое в параграфе 1, должно быть мотивированным и адресованным ведущему надзорному органу и всем соответствующим надзорным органам и обязательным для них.
3. Если Правление не смогло принять решение в течение сроков, указанных в пункте 2, оно должно принять свое решение в течение двух недель после истечения второго месяца, указанного в пункте 2, простым большинством голосов членов Совета. Совет. В случае разделения членов Совета решение принимается путем голосования его Председателя.
4. Заинтересованные контролирующие органы не должны принимать решения по предмету, представленному на рассмотрение Совета в соответствии с пунктом 1 в течение периодов, указанных в пунктах 2 и 3.
5. Председатель Совета незамедлительно сообщает о решении, упомянутом в пункте 1, соответствующим контролирующим органам. Он информирует об этом Комиссию. Решение должно быть опубликовано на веб-сайте Совета незамедлительно после того, как надзорный орган уведомит об окончательном решении, упомянутом в пункте 6.
6. Ведущий надзорный орган или, в зависимости от обстоятельств, надзорный орган, в который была подана жалоба, принимает свое окончательное решение на основании решения, указанного в пункте 1 настоящей статьи, без неоправданной задержки и при самое позднее через месяц после того, как Правление уведомит о своем решении. Ведущий надзорный орган или, в зависимости от обстоятельств, надзорный орган, в который была подана жалоба, должен сообщить Совету дату, когда его окончательное решение будет сообщено соответственно контролеру или обработчику и субъекту данных. Окончательное решение соответствующих контролирующих органов должно быть принято в соответствии с положениями статьи 60 (7), (8) и (9). Окончательное решение ссылается на решение, указанное в пункте 1 настоящей статьи, и указывает, что решение, указанное в этом пункте, будет опубликовано на веб-сайте Совета в соответствии с пунктом 5 настоящей статьи. Окончательное решение прилагается к решению, указанному в пункте 1 настоящей статьи.
Статья 66
Срочная процедура
1. В исключительных обстоятельствах, когда соответствующий надзорный орган считает, что существует срочная необходимость действовать для защиты прав и свобод субъектов данных, он может путем отступления от механизма согласованности, упомянутого в статьях 63, 64 и 65 или процедура, упомянутая в статье 60, немедленно принять временные меры, направленные на создание правовых последствий на его собственной территории с указанным сроком действия, который не должен превышать трех месяцев. Надзорный орган незамедлительно сообщает об этих мерах и причинах их принятия другим заинтересованным надзорным органам, Совету и Комиссии.
2. Если надзорный орган принял меры в соответствии с пунктом 1 и считает, что окончательные меры должны быть приняты в срочном порядке, он может запросить у Совета срочное заключение или срочное обязательное решение с указанием причин для запроса такого мнения или решения.
3. Любой надзорный орган может запросить срочное заключение или срочное обязывающее решение, в зависимости от обстоятельств, у Совета, если компетентный надзорный орган не принял надлежащих мер в ситуации, когда необходимо срочно действовать, чтобы защищать права и свободы субъектов данных, указав причины для запроса такого мнения или решения, в том числе для срочной необходимости действовать.
4. В отступление от статьи 64 (3) и статьи 65 (2) срочное мнение или срочное обязательное решение, упомянутое в пунктах 2 и 3 настоящей статьи, должно быть принято в течение двух недель простым большинством голосов членов Совета. ,
Статья 67
Обмен информацией
Комиссия может принять исполнительные акты общего характера, с тем чтобы определить механизмы обмена информацией с помощью электронных средств между надзорными органами, а также между надзорными органами и Советом, в частности в стандартном формате, упомянутом в статье 64.
Эти исполнительные акты должны быть приняты в соответствии с процедурой экспертизы, упомянутой в статье 93 (2).
Раздел 3
Европейский совет по защите данных
Статья 68
Европейский совет по защите данных
1. Европейский совет по защите данных («Совет») учреждается как орган Союза и обладает правосубъектностью.
2. Совет должен быть представлен его Председателем.
3. Совет состоит из главы одного надзорного органа каждого государства-члена и европейского надзорного органа по защите данных или их соответствующих представителей.
4. Если в государстве-члене более чем один надзорный орган отвечает за мониторинг применения положений согласно настоящему Регламенту, совместный представитель назначается в соответствии с законодательством этого государства-члена.
5. Комиссия имеет право участвовать в деятельности и заседаниях Совета без права голоса. Комиссия назначает представителя. Председатель Правления сообщает Комиссии о деятельности Правления.
6. В случаях, упомянутых в статье 65, Европейский надзорный орган по защите данных имеет право голоса только по решениям, которые касаются принципов и правил, применимых к институтам, органам, управлениям и учреждениям Союза, которые по существу соответствуют положениям настоящего Регламента.
Статья 69
независимость
1. Совет действует независимо при выполнении своих задач или при осуществлении своих полномочий в соответствии со статьями 70 и 71.
2. Без ущерба для запросов Комиссии, упомянутых в пункте (b) статьи 70 (1) и в статье 70 (2), Комитет при исполнении своих задач или осуществлении своих полномочий не стремится и не ищет принимать указания от кого-либо.
Статья 70
Задачи Совета
1. Совет обеспечивает последовательное применение настоящих Правил. С этой целью Комитет по собственной инициативе или, в соответствующих случаях, по просьбе Комиссии, в частности:
(А) | контролировать и обеспечивать правильное применение настоящего Регламента в случаях, предусмотренных статьями 64 и 65, без ущерба для задач национальных надзорных органов; |
(Б) | консультировать Комиссию по любому вопросу, связанному с защитой личных данных в Союзе, в том числе по любой предложенной поправке к настоящему Регламенту; |
(С) | консультировать Комиссию по формату и процедурам обмена информацией между контролерами, обработчиками и надзорными органами для обязательных корпоративных правил; |
(Д) | издавать руководящие принципы, рекомендации и передовой опыт в отношении процедур удаления ссылок, копий или копий личных данных из общедоступных услуг связи, как указано в статье 17 (2); |
(Е) | изучать по своей собственной инициативе, по запросу одного из ее членов или по запросу Комиссии, любой вопрос, касающийся применения настоящего Регламента, и выпускать руководящие указания, рекомендации и передовую практику в целях поощрения последовательного применения настоящего Регламента; |
(Е) | издает руководящие принципы, рекомендации и передовую практику в соответствии с пунктом (е) настоящего пункта для дальнейшего уточнения критериев и условий для решений, основанных на профилировании в соответствии со статьей 22 (2); |
(грамм) | издавать руководящие принципы, рекомендации и передовые методы в соответствии с пунктом (е) настоящего пункта для установления нарушений персональных данных и определения неоправданной задержки, упомянутой в статье 33 (1) и (2), а также для конкретных обстоятельств, при которых контролер или процессор обязан уведомить о нарушении персональных данных; |
(час) | издавать руководящие принципы, рекомендации и передовую практику в соответствии с пунктом (е) настоящего пункта в отношении обстоятельств, при которых нарушение личных данных может привести к высокому риску для прав и свобод физических лиц, упомянутых в статье 34 ( 1). |
(я) | выпускать руководящие указания, рекомендации и лучшие практики в соответствии с пунктом (е) настоящего пункта с целью дальнейшего определения критериев и требований для передачи персональных данных на основе обязательных корпоративных правил, которых придерживаются контроллеры, и обязательных корпоративных правил, которых придерживаются процессоры и дополнительные необходимые требования для обеспечения защиты персональных данных соответствующих субъектов данных, упомянутых в статье 47; |
(К) | издает руководящие принципы, рекомендации и передовую практику в соответствии с пунктом (е) настоящего пункта с целью дальнейшего уточнения критериев и требований для передачи персональных данных на основе статьи 49 (1); |
(К) | разработать руководящие принципы для надзорных органов в отношении применения мер, указанных в статье 58 (1), (2) и (3), и установления административных штрафов в соответствии со статьей 83; |
(Л) | рассмотреть практическое применение руководящих принципов, рекомендаций и передовой практики, упомянутых в пунктах (е) и (f); |
(М) | издает руководящие принципы, рекомендации и передовую практику в соответствии с пунктом (е) настоящего пункта для установления общих процедур сообщения физическими лицами о нарушениях настоящего Регламента в соответствии со статьей 54 (2); |
(П) | поощрять разработку кодексов поведения и создание механизмов сертификации защиты данных, а также печатей и знаков защиты данных в соответствии со статьями 40 и 42; |
(О) | проводить аккредитацию органов по сертификации и ее периодическую проверку в соответствии со статьей 43 и вести публичный реестр аккредитованных органов в соответствии со статьей 43 (6) и аккредитованных контроллеров или переработчиков, созданных в третьих странах в соответствии со статьей 42 (7); |
(п) | указать требования, указанные в статье 43 (3), с целью аккредитации органов по сертификации в соответствии со статьей 42; |
(Д) | предоставить Комиссии заключение по сертификационным требованиям, указанным в Статье 43 (8); |
(р) | предоставить Комиссии заключение о значках, упомянутых в статье 12 (7); |
(Ы) | предоставить Комиссии заключение для оценки адекватности уровня защиты в третьей стране или международной организации, в том числе для оценки того, является ли третья страна, территория или один или несколько указанных секторов в пределах этой третьей страны или международной организация больше не обеспечивает адекватный уровень защиты. С этой целью Комиссия должна предоставить Комитету всю необходимую документацию, включая переписку с правительством третьей страны, в отношении этой третьей страны, территории или указанного сектора, или с международной организацией. |
(Т) | выносить заключения по проектам решений надзорных органов в соответствии с механизмом согласованности, указанным в статье 64 (1), по вопросам, представленным в соответствии со статьей 64 (2), и выносить обязательные решения в соответствии со статьей 65, в том числе в случаях, указанных в статье 66 ; |
(И) | содействовать сотрудничеству и эффективному двустороннему и многостороннему обмену информацией и передовым опытом между надзорными органами; |
(V) | продвигать общие программы обучения и содействовать обмену персоналом между надзорными органами и, при необходимости, с надзорными органами третьих стран или с международными организациями; |
(Ж) | содействовать обмену знаниями и документацией по законодательству и практике защиты данных с надзорными органами по защите данных во всем мире. |
(Икс) | выносить заключения о кодексах поведения, составленных на уровне Союза в соответствии со статьей 40 (9); и |
(У) | вести общедоступный электронный реестр решений, принимаемых надзорными органами и судами по вопросам, которые рассматриваются в механизме согласованности. |
2. В тех случаях, когда Комиссия запрашивает совет у Правления, она может указывать срок, принимая во внимание срочность вопроса.
3. Совет направляет свои мнения, руководящие указания, рекомендации и передовые методы в Комиссию и комитет, упомянутый в статье 93, и публикует их.
4. Правление при необходимости консультируется с заинтересованными сторонами и дает им возможность высказать свои замечания в течение разумного периода времени. Комитет, без ущерба для статьи 76, должен сделать общедоступными результаты процедуры консультаций.
Статья 71
Отчеты
1. Правление составляет ежегодный отчет о защите физических лиц в отношении обработки в Союзе и, в соответствующих случаях, в третьих странах и международных организациях. Отчет должен быть обнародован и передан в Европейский парламент, Совет и Комиссию.
2. Ежегодный отчет должен включать обзор практического применения руководящих принципов, рекомендаций и наилучшей практики, упомянутых в пункте (1) статьи 70 (1), а также обязательных решений, упомянутых в статье 65.
Статья 72
Процедура
1. Совет принимает решения простым большинством голосов своих членов, если иное не предусмотрено настоящим Положением.
2. Совет принимает свои собственные правила процедуры большинством в две трети его членов и организует свои собственные рабочие процедуры.
Статья 73
кресло
1. Совет избирает председателя и двух заместителей председателя из числа своих членов простым большинством голосов.
2. Срок полномочий Председателя и его заместителей составляет пять лет и может быть продлен один раз.
Статья 74
Задачи кафедры
1. Председатель выполняет следующие задачи:
(А) | созывает заседания Совета и готовит его повестку дня; |
(Б) | уведомлять решения, принятые Советом в соответствии со статьей 65, ведущему надзорному органу и соответствующим надзорным органам; |
(С) | обеспечить своевременное выполнение задач Совета, в частности в отношении механизма согласованности, упомянутого в статье 63. |
2. Совет устанавливает распределение обязанностей между Председателем и заместителями председателя в своих правилах процедуры.
Статья 75
секретариат
1. Правление имеет секретариат, который обеспечивается Европейским надзорным органом по защите данных.
2. Секретариат выполняет свои задачи исключительно в соответствии с указаниями Председателя Совета.
3. Персонал Европейского супервизора по защите данных, участвующий в выполнении задач, возложенных на Совет в соответствии с настоящим Регламентом, должен подчиняться отдельным линиям отчетности от персонала, вовлеченного в выполнение задач, возложенных на Европейского супервизора по защите данных.
4. При необходимости Совет и Европейский надзорный орган по защите данных устанавливают и публикуют Меморандум о взаимопонимании, реализующий эту статью, определяющий условия их сотрудничества и применимый к персоналу Европейского надзорного органа по защите данных, участвующему в выполнении возложенных на него задач. на доске этим Положением.
5. Секретариат обеспечивает аналитическую, административную и материально-техническую поддержку Совета.
6. Секретариат несет ответственность, в частности, за:
(А) | повседневная деятельность Совета; |
(Б) | общение между членами правления, его председателем и комиссией; |
(С) | общение с другими учреждениями и общественностью; |
(Д) | использование электронных средств для внутренней и внешней коммуникации; |
(Е) | перевод соответствующей информации; |
(Е) | подготовка и последующие заседания Совета; |
(грамм) | подготовка, составление и публикация заключений, решений по урегулированию споров между контролирующими органами и других текстов, принятых советом. |
Статья 76
конфиденциальность
1. Обсуждения в Совете носят конфиденциальный характер, если Совет считает это необходимым, как это предусмотрено в его правилах процедуры.
2. Доступ к документам, представляемым членам Совета, экспертам и представителям третьих сторон, регулируется Регламентом (ЕС) № 1049/2001 Европейского парламента и Совета ( 21 ) .
Глава VIII
Средства правовой защиты, ответственность и штрафы
Статья 77
Право на подачу жалобы в надзорный орган
1. Без ущерба для любого другого административного или судебного средства правовой защиты каждый субъект данных имеет право подать жалобу в орган надзора, в частности в государстве-члене своего обычного места жительства, места работы или места предполагаемого нарушения. если субъект данных считает, что обработка относящихся к нему персональных данных нарушает настоящий Регламент.
2. Надзорный орган, в который была подана жалоба, информирует заявителя о ходе и результатах рассмотрения жалобы, в том числе о возможности судебного средства правовой защиты в соответствии со статьей 78.
Статья 78
Право на эффективное судебное средство защиты от надзорного органа
1. Без ущерба для любого другого административного или несудебного средства правовой защиты каждое физическое или юридическое лицо имеет право на эффективное судебное средство правовой защиты против юридически обязательного решения надзорного органа в отношении них.
2. Без ущерба для любого другого административного или несудебного средства правовой защиты каждый субъект данных имеет право на эффективное судебное средство правовой защиты, если орган надзора, компетентный в соответствии со статьями 55 и 56, не рассматривает жалобу или не информирует данные субъекта в течение трех месяцев о ходе или результатах рассмотрения жалобы, поданной в соответствии со статьей 77.
3. Разбирательства в отношении надзорного органа передаются в суды государства-члена, в котором учрежден надзорный орган.
4. В случае возбуждения дела против решения надзорного органа, которому предшествовало заключение или решение Совета в механизме согласованности, надзорный орган направляет это мнение или решение в суд.
Статья 79
Право на эффективное судебное средство защиты от контролера или процессора
1. Без ущерба для любого доступного административного или внесудебного средства правовой защиты, включая право подать жалобу в надзорный орган в соответствии со статьей 77, каждый субъект данных имеет право на эффективное судебное средство правовой защиты, если он или она считает, что его или ее права по настоящему Регламенту были нарушены в результате обработки его или ее персональных данных в нарушение настоящего Регламента.
2. Производство в отношении контролера или обработчика должно быть передано в суды государства-члена, в котором контролер или обработчик имеет представительство. В качестве альтернативы, такое разбирательство может быть возбуждено в судах государства-члена, в котором субъект данных имеет свое обычное место жительства, если только контролер или обработчик не является государственным органом государства-члена, действующим при осуществлении своих публичных полномочий.
Статья 80
Представление субъектов данных
1. Субъект данных имеет право уполномочить некоммерческий орган, организацию или ассоциацию, которая была должным образом создана в соответствии с законодательством государства-члена, имеет уставные цели, которые отвечают общественным интересам, и является активной в области защиты прав и свобод субъектов данных в отношении защиты их персональных данных для подачи жалобы от его имени, для осуществления прав, указанных в статьях 77, 78 и 79, от его имени и использовать свое право на получение компенсации, упомянутой в статье 82, от своего имени, если это предусмотрено законодательством государства-члена.
2. Государства-члены могут предусмотреть, что любой орган, организация или ассоциация, упомянутые в пункте 1 настоящей статьи, независимо от мандата субъекта данных, имеют право подать в этом государстве-члене жалобу в орган надзора, компетентный в соответствии с на статью 77 и на осуществление прав, указанных в статьях 78 и 79, если он считает, что права субъекта данных в соответствии с настоящим Регламентом были нарушены в результате обработки.
Статья 81
Приостановление производства
1. Если компетентный суд государства-члена имеет информацию о разбирательстве, касающемся того же предмета, что и в отношении обработки тем же контроллером или обработчиком, которые ожидают рассмотрения в суде в другом государстве-члене, он должен связаться с этим судом в другом члене Государство подтвердит наличие такого производства.
2. Если разбирательство, касающееся того же предмета в отношении обработки того же контроллера или обработчика, находится на рассмотрении в суде в другом государстве-члене, любой компетентный суд, за исключением того, который был впервые подан в суд, может приостановить свое разбирательство.
3. В тех случаях, когда это разбирательство продолжается в первой инстанции, любой суд, кроме суда первой инстанции, может также, по заявлению одной из сторон, отказаться от юрисдикции, если суд первой инстанции обладает юрисдикцией в отношении рассматриваемых действий и его закон разрешает их консолидация.
Статья 82
Право на компенсацию и ответственность
1. Любое лицо, понесшее материальный или нематериальный ущерб в результате нарушения настоящих Правил, имеет право на получение компенсации от контроллера или процессора за причиненный ущерб.
2. Любой контроллер, участвующий в обработке, несет ответственность за ущерб, причиненный обработкой, который нарушает настоящие Правила. Обработчик несет ответственность за ущерб, причиненный обработкой, только в том случае, если он не выполнил обязательства настоящего Регламента, специально предназначенные для процессоров, или если он действовал вне или вопреки законным инструкциям контроллера.
3. Контролер или обработчик освобождаются от ответственности в соответствии с пунктом 2, если он докажет, что он никоим образом не несет ответственности за событие, повлекшее ущерб.
4. Если в одной и той же обработке участвуют более одного контроллера или процессора, или как контроллера, так и процессора, и если они, в соответствии с пунктами 2 и 3, несут ответственность за любой ущерб, вызванный обработкой, каждый контроллер или процессор должен быть задержан. несет ответственность за весь ущерб в целях обеспечения эффективной компенсации субъекта данных.
5. Если контроллер или процессор в соответствии с пунктом 4 выплатили полную компенсацию за причиненный ущерб, этот контроллер или процессор имеет право требовать от других контроллеров или процессоров, участвующих в той же обработке, вернуть эту часть компенсации, соответствующую на свою часть ответственности за ущерб, в соответствии с условиями, изложенными в пункте 2.
6. Судебные разбирательства по осуществлению права на получение компенсации должны быть переданы в суды, компетентные в соответствии с законодательством государства-члена, упомянутого в статье 79 (2).
Статья 83
Общие условия наложения административных штрафов
1. Каждый надзорный орган обеспечивает, чтобы наложение административных штрафов в соответствии с настоящей статьей за нарушения настоящего Регламента, упомянутые в пунктах 4, 5 и 6, было в каждом отдельном случае эффективным, соразмерным и сдерживающим.
2. Административные штрафы, в зависимости от обстоятельств каждого отдельного случая, налагаются в дополнение или вместо мер, упомянутых в пунктах (а) – (h) и (j) статьи 58 (2). При решении вопроса о наложении административного штрафа и определении размера административного штрафа в каждом отдельном случае необходимо учитывать следующее:
(А) | характер, серьезность и длительность нарушения с учетом характера или цели соответствующей обработки, а также числа затронутых субъектов данных и уровня причиненного ими ущерба; |
(Б) | преднамеренный или небрежный характер нарушения; |
(С) | любое действие, предпринимаемое контроллером или процессором для уменьшения ущерба, нанесенного субъектам данных; |
(Д) | степень ответственности контроллера или обработчика с учетом технических и организационных мер, принятых ими в соответствии со статьями 25 и 32; |
(Е) | любые соответствующие предыдущие нарушения со стороны контроллера или процессора; |
(Е) | степень сотрудничества с надзорным органом с целью устранения нарушения и смягчения возможных неблагоприятных последствий нарушения; |
(грамм) | категории персональных данных, затронутых нарушением; |
(час) | каким образом нарушение стало известно надзорному органу, в частности, сообщил ли контроллер или обработчик о нарушении и, если да, то в какой степени; |
(я) | если меры, упомянутые в статье 58 (2), ранее были предписаны против соответствующего контроллера или обработчика в отношении того же объекта, соблюдение этих мер; |
(К) | соблюдение утвержденных кодексов поведения в соответствии со статьей 40 или утвержденных механизмов сертификации в соответствии со статьей 42; и |
(К) | любые другие отягчающие или смягчающие факторы, применимые к обстоятельствам дела, такие как полученные финансовые выгоды или убытки, прямо или косвенно предотвращенные вследствие нарушения. |
3. Если контроллер или обработчик умышленно или по неосторожности, для тех же или связанных операций обработки, нарушает несколько положений настоящего Регламента, общая сумма административного штрафа не должна превышать сумму, указанную для грубейшего нарушения.
4. Нарушения следующих положений, в соответствии с пунктом 2, подлежат административным штрафам в размере до 10 000 000 евро, или, в случае предприятия, – до 2% от общего мирового годового оборота предыдущего финансового года. в зависимости от того, что выше:
(А) | обязательства контроллера и обработчика в соответствии со статьями 8, 11, 25–39 и 42 и 43; |
(Б) | обязательства органа по сертификации в соответствии со статьями 42 и 43; |
(С) | обязательства контролирующего органа в соответствии со статьей 41 (4). |
5. Нарушения следующих положений в соответствии с пунктом 2 подлежат административным штрафам в размере до 20 000 000 евро, а в случае предприятия – до 4% от общего годового оборота за весь предыдущий финансовый год. в зависимости от того, что выше:
(А) | основные принципы обработки, включая условия согласия, в соответствии со статьями 5, 6, 7 и 9; |
(Б) | права субъектов данных в соответствии со статьями 12-22; |
(С) | передача персональных данных получателю в третьей стране или международной организации в соответствии со статьями 44–49; |
(Д) | любые обязательства в соответствии с законодательством государств-членов, принятым в соответствии с главой IX; |
(Е) | несоблюдение приказа или временное или окончательное ограничение на обработку или приостановку потоков данных контролирующим органом в соответствии со статьей 58 (2), или непредоставление доступа в нарушение статьи 58 (1). |
6. Несоблюдение приказа надзорного органа, указанного в статье 58 (2), в соответствии с пунктом 2 настоящей статьи влечет наложение административных штрафов в размере до 20 000 000 евро или в случае обязательство, до 4% от общего мирового годового оборота предыдущего финансового года, в зависимости от того, что выше.
7. Без ущерба для корректирующих полномочий надзорных органов в соответствии со статьей 58 (2) каждое государство-член может устанавливать правила в отношении того, могут ли и в какой степени административные штрафы могут быть наложены на государственные органы и органы, созданные в этом государстве-члене.
8. Осуществление надзорным органом своих полномочий в соответствии с настоящей статьей подлежит соответствующим процессуальным гарантиям в соответствии с законодательством Союза и государств-членов, в том числе эффективным средством судебной защиты и надлежащей правовой процедуры.
9. В тех случаях, когда правовая система государства-члена не предусматривает административных штрафов, настоящая статья может применяться таким образом, что штраф инициируется компетентным надзорным органом и налагается компетентными национальными судами, обеспечивая при этом, чтобы эти средства правовой защиты были эффективны и имеют равный эффект с административными штрафами, налагаемыми надзорными органами. В любом случае наложенные штрафы должны быть эффективными, пропорциональными и сдерживающими. Эти государства-члены должны уведомлять Комиссию о положениях своих законов, которые они принимают в соответствии с настоящим пунктом, до 25 мая 2018 года и безотлагательно о любой последующей поправке в закон или поправке, касающейся их.
Статья 84
Штрафы
1. Государства-члены устанавливают правила в отношении других наказаний, применимых к нарушениям настоящего Регламента, в частности, за нарушения, на которые не налагается административный штраф в соответствии со статьей 83, и принимают все меры, необходимые для обеспечения их выполнения. Такие штрафы должны быть эффективными, соразмерными и сдерживающими.
2. Каждое государство-член должно уведомить Комиссию о положениях своего законодательства, которые оно принимает в соответствии с пунктом 1, к 25 мая 2018 года и безотлагательно о любой последующей поправке, касающейся их.
Глава IX
Положения, касающиеся конкретных ситуаций обработки
Статья 85
Обработка и свобода выражения и информации
1. Государства-члены по закону согласовывают право на защиту персональных данных в соответствии с настоящим Регламентом с правом на свободу выражения мнения и информации, включая обработку в журналистских целях и в целях академического, художественного или литературного выражения.
2. Для обработки, выполняемой в журналистских целях или в целях академического художественного или литературного выражения, государства-члены должны предусмотреть исключения или отступления от Главы II (принципы), Главы III (права субъекта данных), Главы IV (контролер и обработчик). ), Глава V (передача персональных данных в третьи страны или международные организации), глава VI (независимые контролирующие органы), глава VII (сотрудничество и согласованность) и глава IX (конкретные ситуации обработки данных), если они необходимы для согласования права на защита персональных данных со свободой выражения и информации.
3. Каждое государство-член должно уведомлять Комиссию о положениях своего закона, которые оно приняло согласно пункту 2, и безотлагательно о любой последующей поправке в закон или поправке, касающейся их.
Статья 86
Обработка и публичный доступ к официальным документам
Персональные данные в официальных документах, находящихся в распоряжении государственного органа или государственного органа или частного органа для выполнения задачи, выполняемой в общественных интересах, могут быть раскрыты органом или органом в соответствии с законодательством Союза или государства-члена, к которому общественность орган или орган подлежат согласованию публичного доступа к официальным документам с правом на защиту персональных данных в соответствии с настоящим Положением.
Статья 87
Обработка национального идентификационного номера
Государства-члены могут дополнительно определить конкретные условия для обработки национального идентификационного номера или любого другого идентификатора общего применения. В этом случае национальный идентификационный номер или любой другой идентификатор общего применения должен использоваться только под соответствующими гарантиями прав и свобод субъекта данных в соответствии с настоящим Регламентом.
Статья 88
Обработка в контексте занятости
1. Государства-члены могут на основании закона или коллективных соглашений предусмотреть более конкретные правила, обеспечивающие защиту прав и свобод в отношении обработки персональных данных работников в контексте занятости, в частности для целей набора персонала. выполнение трудового договора, в том числе выполнение обязательств, установленных законом или коллективными договорами, управление, планирование и организация труда, равенство и разнообразие на рабочем месте, здоровье и безопасность на работе, защита имущества работодателя или клиента и для целей осуществления и пользования на индивидуальной или коллективной основе правами и льготами, связанными с трудоустройством, а также с целью прекращения трудовых отношений.
2. Эти правила должны включать подходящие и конкретные меры для защиты человеческого достоинства субъекта данных, законных интересов и основных прав, с особым учетом прозрачности обработки, передачи персональных данных в рамках группы предприятий или группы вовлеченных предприятий. в совместной хозяйственной деятельности и систем контроля на рабочем месте.
3. Каждое государство-член должно уведомить Комиссию о тех положениях своего законодательства, которые оно принимает в соответствии с пунктом 1, к 25 мая 2018 года и безотлагательно о любой последующей поправке, касающейся их.
Статья 89
Гарантии и отступления, связанные с обработкой для целей архивирования в общественных интересах, научных или исторических исследованиях или статистических целях
1. Обработка для целей архивирования в общественных интересах, научных или исторических исследованиях или статистических целях, в соответствии с настоящим Положением, подлежит соответствующим гарантиям прав и свобод субъекта данных. Эти гарантии должны обеспечивать принятие технических и организационных мер, в частности для обеспечения соблюдения принципа минимизации данных. Эти меры могут включать псевдонимирование при условии, что эти цели могут быть достигнуты таким образом. Если эти цели могут быть достигнуты путем дальнейшей обработки, которая не позволяет или больше не позволяет идентифицировать субъекты данных, эти цели должны выполняться таким образом.
2. Если персональные данные обрабатываются для научных или исторических исследований или статистических целей, законодательство Союза или государства-члена может предусматривать отступления от прав, указанных в статьях 15, 16, 18 и 21, при условии соблюдения условий и гарантий, указанных в параграфе. 1 настоящей статьи, поскольку такие права могут сделать невозможным или нанести серьезный ущерб достижению конкретных целей, и такие отступления необходимы для достижения этих целей.
3. Если личные данные обрабатываются для целей архивирования в общественных интересах, законодательство Союза или государства-члена может предусматривать отступления от прав, упомянутых в статьях 15, 16, 18, 19, 20 и 21, с учетом условий и гарантий, указанных в в пункте 1 настоящей статьи, поскольку такие права могут сделать невозможным или нанести серьезный ущерб достижению конкретных целей, и такие отступления необходимы для достижения этих целей.
4. Если обработка, упомянутая в пунктах 2 и 3, служит одновременно другой цели, отступления применяются только к обработке для целей, указанных в этих пунктах.
Статья 90
Обязательства секретности
1. Государства-члены могут принять конкретные правила для определения полномочий надзорных органов, изложенных в пунктах (е) и (f) статьи 58 (1), в отношении контроллеров или переработчиков, которые подпадают под действие законодательства Союза или государств-членов. или правила, установленные национальными компетентными органами, на обязанность соблюдать профессиональную тайну или другие равнозначные обязательства на тайну, если это необходимо и соразмерно для согласования права на защиту персональных данных с обязательством на тайну. Эти правила применяются только в отношении личных данных, которые контроллер или обработчик получил в результате или получил в результате действия, охватываемого этим обязательством секретности.
2. Каждое государство-член должно уведомить Комиссию о правилах, принятых в соответствии с пунктом 1, к 25 мая 2018 года и безотлагательно о любой последующей поправке, касающейся их.
Статья 91
Существующие правила защиты данных церквей и религиозных объединений
1. Если в государстве-члене церкви и религиозные объединения или общины применяют на момент вступления в силу настоящего Регламента всеобъемлющие правила, касающиеся защиты физических лиц при обработке, такие правила могут продолжать применяться при условии, что они приведены в соответствие с настоящими Правилами.
2. Церкви и религиозные объединения, которые применяют всеобъемлющие правила в соответствии с пунктом 1 настоящей статьи, подлежат надзору со стороны независимого надзорного органа, который может быть конкретным, при условии, что он соответствует условиям, изложенным в главе VI настоящего Положения.
Глава X
Делегированные акты и исполнительные акты
Статья 92
Упражнение делегации
1. Право принимать делегированные акты возлагается на Комиссию с соблюдением условий, изложенных в настоящей статье.
2. Делегирование полномочий, указанных в Статье 12 (8) и Статье 43 (8), предоставляется Комиссии на неопределенный период времени с 24 мая 2016 года.
3. Делегирование полномочий, указанное в статье 12 (8) и статье 43 (8), может быть в любое время отменено Европейским парламентом или Советом. Решение об аннулировании прекращает передачу полномочий, указанных в этом решении. Он вступает в силу на следующий день после его публикации в Официальном журнале Европейского Союза или на более позднюю дату, указанную в нем. Это не влияет на действительность любых делегированных актов, уже вступивших в силу.
4. Как только он принимает делегированный акт, Комиссия одновременно уведомляет об этом Европейский парламент и Совет.
5. Делегированный акт, принятый в соответствии со статьей 12 (8) и статьей 43 (8), вступает в силу только в том случае, если Европейский парламент или Совет не высказали никаких возражений в течение трех месяцев с момента уведомления об этом акте. Европейский парламент и Совет или, если до истечения этого периода, Европейский парламент и Совет сообщили Комиссии, что они не будут возражать. Этот срок продлевается на три месяца по инициативе Европейского парламента или Совета.
Статья 93
Процедура комитета
1. Комиссии помогает комитет. Этот комитет должен быть комитетом в значении Регламента (ЕС) № 182/2011.
2. При ссылке на данный параграф применяется статья 5 Регламента (ЕС) № 182/2011.
3. Если делается ссылка на этот параграф, применяется статья 8 Регламента (ЕС) № 182/2011 в сочетании с его статьей 5.
Глава XI
Заключительные положения
Статья 94
Отмена Директивы 95/46 / ЕС
1. Директива 95/46 / ЕС отменена с 25 мая 2018 года.
2. Ссылки на отмененную Директиву должны толковаться как ссылки на настоящие Правила. Ссылки на Рабочую группу по защите физических лиц в отношении обработки персональных данных, установленные статьей 29 Директивы 95/46 / EC, должны толковаться как ссылки на Европейский совет по защите данных, учрежденный настоящим Регламентом.
Статья 95
Связь с Директивой 2002/58 / EC
Настоящий Регламент не налагает дополнительные обязательства на физических или юридических лиц в отношении обработки в связи с предоставлением общедоступных услуг электронной связи в сетях связи общего пользования в Союзе в отношении вопросов, в отношении которых на них распространяются конкретные обязательства с той же целью изложено в Директиве 2002/58 / ЕС.
Статья 96
Отношения с ранее заключенными соглашениями
Международные соглашения, предусматривающие передачу персональных данных в третьи страны или международные организации, которые были заключены государствами-членами до 24 мая 2016 года и которые соответствуют законодательству Союза, применимому до этой даты, остаются в силе до тех пор, пока они не будут изменены, заменены или аннулированы.
Статья 97
Отчеты комиссии
1. К 25 мая 2020 года и через каждые четыре года Комиссия должна представлять отчет об оценке и пересмотре настоящих Правил в Европейский парламент и Совет. Отчеты должны быть обнародованы.
2. В контексте оценок и обзоров, упомянутых в пункте 1, Комиссия, в частности, рассматривает применение и функционирование:
(А) | Глава V о передаче персональных данных третьим странам или международным организациям с особым учетом решений, принятых в соответствии со статьей 45 (3) настоящего Регламента, и решений, принятых на основании статьи 25 (6) Директивы 95/46 / EC; |
(Б) | Глава VII о сотрудничестве и последовательности. |
3. Для целей пункта 1 Комиссия может запрашивать информацию у государств-членов и контролирующих органов.
4. При проведении оценок и обзоров, упомянутых в пунктах 1 и 2, Комиссия учитывает позиции и выводы Европейского парламента, Совета и других соответствующих органов или источников.
5. Комиссия должна, при необходимости, представить соответствующие предложения о внесении поправок в настоящий Регламент, в частности, с учетом изменений в области информационных технологий и в свете прогресса, достигнутого в информационном обществе.
Статья 98
Пересмотр других правовых актов Союза по защите данных
Комиссия, в случае необходимости, представляет законодательные предложения с целью внесения поправок в другие правовые акты Союза о защите персональных данных с целью обеспечения единой и последовательной защиты физических лиц в отношении обработки. Это, в частности, касается правил, касающихся защиты физических лиц в отношении обработки учреждениями, органами, учреждениями и агентствами Союза и свободного перемещения таких данных.
Статья 99
Вступление в силу и применение
1. Настоящее Положение вступает в силу на двадцатый день после его опубликования в Официальном журнале Европейского Союза .
2. Он применяется с 25 мая 2018 года.
Настоящий Регламент обязателен во всей своей полноте и непосредственно применим во всех государствах-членах.
Совершено в Брюсселе 27 апреля 2016 года.
Для Европейского Парламента
Президент
М. ШУЛЬЦ
Для совета
Президент
JA HENNIS-PLASSCHAERT
( 1 ) OJ C 229, 31.7.2012, с. 90 .
( 2 ) OJ C 391, 18.12.2012, с. 127 .
( 3 ) Позиция Европейского парламента от 12 марта 2014 года (еще не опубликована в Официальном журнале) и позиция Совета в первом чтении от 8 апреля 2016 года (еще не опубликована в Официальном журнале). Позиция Европейского парламента от 14 апреля 2016 года.
( 4 ) Директива 95/46 / EC Европейского парламента и Совета от 24 октября 1995 года о защите физических лиц в отношении обработки личных данных и о свободном перемещении таких данных ( OJ L 281, 23.11.1995 , стр. 31 ).
( 5 ) Рекомендация Комиссии от 6 мая 2003 года относительно определения микро, малых и средних предприятий (C (2003) 1422) ( OJ L 124, 20.5.2003, стр. 36 ).
( 6 ) Регламент (ЕС) № 45/2001 Европейского парламента и Совета от 18 декабря 2000 года о защите отдельных лиц в отношении обработки персональных данных учреждениями и органами Сообщества и о свободном перемещении таких данных ( OJ L 8, 12.1.2001, стр. 1 ).
( 7 ) Директива (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или судебного преследования. уголовных преступлений или исполнения уголовных наказаний и свободного перемещения таких данных и отмены Рамочного решения Совета 2008/977 / JHA (см. стр. 89 этого Официального журнала).
( 8 ) Директива 2000/31 / EC Европейского парламента и Совета от 8 июня 2000 года о некоторых правовых аспектах услуг информационного общества, в частности электронной торговли, на внутреннем рынке («Директива об электронной торговле») ( OJ L 178, 17.7.2000, стр. 1 ).
( 9 ) Директива 2011/24 / EU Европейского парламента и Совета от 9 марта 2011 года о применении прав пациентов в трансграничном здравоохранении ( OJ L 88, 4.4.2011, стр. 45 ).
( 10 ) Директива Совета 93/13 / EEC от 5 апреля 1993 года о несправедливых условиях в потребительских контрактах ( OJ L 95, 21.4.1993, стр. 29 ).
( 11 ) Регламент (ЕС) № 1338/2008 Европейского парламента и Совета от 16 декабря 2008 года о статистике Сообщества в области общественного здравоохранения, здравоохранения и безопасности на рабочем месте ( OJ L 354, 31.12.2008, стр. 70 ).
( 12 ) Регламент (ЕС) № 182/2011 Европейского парламента и Совета от 16 февраля 2011 года, устанавливающий правила и общие принципы, касающиеся механизмов контроля со стороны государств-членов за осуществлением Комиссией исполнительных полномочий ( OJ L 55, 28.2 .2011, стр. 13 ).
( 13 ) Регламент (ЕС) № 1215/2012 Европейского парламента и Совета от 12 декабря 2012 года о юрисдикции и признании и исполнении судебных решений по гражданским и коммерческим вопросам ( OJ L 351, 20.12.2012, стр. 1 ) ,
( 14 ) Директива 2003/98 / EC Европейского парламента и Совета от 17 ноября 2003 года о повторном использовании информации государственного сектора ( OJ L 345, 31.12.2003, стр. 90 ).
( 15 ) Регламент (ЕС) № 536/2014 Европейского парламента и Совета от 16 апреля 2014 года о клинических испытаниях лекарственных средств для человека и отмены Директивы 2001/20 / EC ( OJ L 158, 27.5.2014, стр. 1 ).
( 16 ) Регламент (ЕС) № 223/2009 Европейского парламента и Совета от 11 марта 2009 года о европейской статистике и отменяющий Регламент (ЕС, Евратом) № 1101/2008 Европейского парламента и Совета о передаче данные подлежат статистической конфиденциальности Статистическому управлению Европейских сообществ, Постановлению Совета (ЕС) № 322/97 о статистике сообществ и Решению Совета 89/382 / EEC Евратом об учреждении Комитета по статистическим программам Европейских сообществ ( OJ) L 87, 31.3.2009, с. 164 ).
( 17 ) OJ C 192, 30.6.2012, с. 7 .
( 18 ) Директива 2002/58 / EC Европейского парламента и Совета от 12 июля 2002 года, касающаяся обработки персональных данных и защиты конфиденциальности в секторе электронных коммуникаций (Директива о конфиденциальности и электронных коммуникациях) ( OJ L 201, 31.7.2002, стр. 37 ).
( 19 ) Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 года, устанавливающая порядок предоставления информации в области технических регламентов и правил об услугах информационного общества ( OJ L 241, 17,9 .2015, стр. 1 ).
( 20 ) Регламент (ЕС) № 765/2008 Европейского парламента и Совета от 9 июля 2008 года, устанавливающий требования к аккредитации и надзору за рынком, относящимися к сбыту продукции, и отменяющий Регламент (ЕЭС) № 339/93 ( OJ). Л 218, 13.8.2008, стр. 30 ).
( 21 ) Регламент (ЕС) № 1049/2001 Европейского парламента и Совета от 30 мая 2001 года о публичном доступе к документам Европейского парламента, Совета и Комиссии ( OJ L 145, 31.5.2001, стр. 43 ).