4.5.2016

EN

Официальный журнал Европейского Союза

L 119/1

РЕГУЛИРОВАНИЕ (ЕС) 2016/679 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА

от 27 апреля 2016 года

о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46 / EC (Общие правила защиты данных)

(Текст с релевантности ЕАОС)

ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,

Принимая во внимание Договор о функционировании Европейского союза и, в частности, его статью 16,

Принимая во внимание предложение Европейской комиссии,

После передачи проекта законодательного акта национальным парламентам,

Принимая во внимание мнение Европейского экономического и социального комитета 1 ) ,

Принимая во внимание мнение Комитета регионов 2 ) ,

Действуя в соответствии с обычной законодательной процедурой 3 ) ,

В то время как:


(1) Защита физических лиц в отношении обработки персональных данных является основополагающим правом. Статья 8 (1) Устава основных прав Европейского союза («Хартия») и статья 16 (1) Договора о функционировании Европейского союза (TFEU) предусматривают, что каждый человек имеет право на защиту личные данные о нем или ей.
(2) Принципы и правила защиты физических лиц в отношении обработки их персональных данных должны, независимо от их гражданства или места жительства, уважать их основные права и свободы, в частности их право на защиту персональных данных. Настоящий Регламент призван содействовать достижению области свободы, безопасности и справедливости и экономического союза, экономическому и социальному прогрессу, укреплению и сближению экономики на внутреннем рынке и благосостоянию физических лиц.
(3) Директива 95/46 / EC Европейского парламента и Совета ( 4 ) направлена на гармонизацию защиты основных прав и свобод физических лиц в отношении обрабатывающей деятельности и обеспечения свободного потока персональных данных между государствами-членами.
(4) Обработка персональных данных должна быть разработана для обслуживания человечества. Право на защиту персональных данных не является абсолютным правом; его следует рассматривать в отношении его функции в обществе и быть сбалансированным с другими основными правами в соответствии с принципом пропорциональности. Настоящий Регламент уважает все основные права и соблюдает свободы и принципы, признанные в Уставе, закрепленные в договорах, в частности уважение частной и семейной жизни, жилища и коммуникаций, защиту личных данных, свободу мысли, совести и религии, свобода выражения мнений и информации, свобода ведения бизнеса, право на эффективное средство правовой защиты и справедливое судебное разбирательство, культурное, религиозное и языковое разнообразие.
(5) Экономическая и социальная интеграция, обусловленная функционированием внутреннего рынка, привела к значительному увеличению трансграничных потоков персональных данных. Увеличился обмен персональными данными между государственными и частными субъектами, включая физических лиц, ассоциации и предприятия в Союзе. Национальным властям в государствах-членах в соответствии с законодательством Союза предлагается сотрудничать и обмениваться личными данными, с тем чтобы они могли выполнять свои обязанности или выполнять задачи от имени органа в другом государстве-члене.
(6) Быстрые технологические разработки и глобализация вызвали новые проблемы для защиты персональных данных. Значительно увеличился масштаб сбора и обмена персональными данными. Технология позволяет частным компаниям и государственным органам использовать персональные данные в беспрецедентных масштабах для продолжения своей деятельности. Естественные лица все чаще предоставляют личную информацию публично и глобально. Технология превратила как экономику, так и социальную жизнь, а также должна способствовать свободному распространению персональных данных в рамках Союза и передаче третьим странам и международным организациям, обеспечивая при этом высокий уровень защиты персональных данных.
(7) Для этих событий требуется сильная и согласованная структура защиты данных в Союзе, при поддержке сильного применения, учитывая важность создания доверия, которое позволит цифровой экономике развиваться на внутреннем рынке. Физические лица должны контролировать свои личные данные. Необходимо укрепить юридическую и практическую определенность для физических лиц, экономических операторов и органов государственной власти.
(8) Если в настоящем Регламенте предусматриваются спецификации или ограничения его правил в соответствии с законодательством государств-членов, государства-члены могут, насколько это необходимо для обеспечения согласованности и обеспечения того, чтобы национальные положения были понятными для лиц, к которым они применяются, включают элементы настоящего Регламента в их национальный закон ,
(9) Цели и принципы Директивы 95/46 / EC сохраняют свою актуальность, но не препятствуют фрагментации в осуществлении защиты данных по всему Союзу, правовой неопределенности или широко распространенного общественного мнения о том, что существуют значительные риски для защиты физических лиц, в особенно в отношении онлайн-активности. Различия в уровне защиты прав и свобод физических лиц, в частности права на защиту персональных данных, в отношении обработки персональных данных в государствах-членах могут препятствовать свободному распространению персональных данных во всем Союзе. Таким образом, эти различия могут стать препятствием для осуществления экономической деятельности на уровне Союза, искажать конкуренцию и препятствовать властям в выполнении их обязанностей в соответствии с законодательством Союза. Такая разница в уровнях защиты обусловлена наличием различий в реализации и применении Директивы 95/46 / EC.
(10) Для обеспечения последовательного и высокого уровня защиты физических лиц и устранения препятствий для потоков персональных данных в рамках Союза уровень защиты прав и свобод физических лиц в отношении обработки таких данных должен быть эквивалент во всех государствах-членах. Последовательное и однородное применение правил защиты основных прав и свобод физических лиц в отношении обработки персональных данных должно обеспечиваться на всей территории Союза. Что касается обработки персональных данных на предмет соблюдения юридического обязательства, для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера, государствам-членам должно быть разрешено поддерживать или вводить национальные положения для дальнейшего указать применение правил настоящих Правил. В соответствии с общим и горизонтальным законом о защите данных, действующим в соответствии с Директивой 95/46 / ЕС, государства-члены имеют несколько законов, относящихся к конкретным секторам, в областях, которые нуждаются в более конкретных положениях. В этом Регламенте также предусмотрена маневр для государств-членов, чтобы указать его правила, в том числе для обработки специальных категорий персональных данных («конфиденциальные данные»). В этой связи в настоящих Правилах не исключается законодательство государств-членов, в котором излагаются обстоятельства конкретных ситуаций обработки, включая более точное определение условий, при которых обработка персональных данных является законной.
(11) Эффективная защита персональных данных во всем Союзе требует укрепления и подробного изложения прав субъектов данных и обязательств тех, кто обрабатывает и определяет обработку персональных данных, а также эквивалентных полномочий для мониторинга и обеспечения соблюдения правил для защиты персональных данных и эквивалентных санкций за нарушения в государствах-членах.
(12) Статья 16 (2) TFEU уполномочивает Европейский парламент и Совет устанавливать правила, касающиеся защиты физических лиц в отношении обработки персональных данных и правил, касающихся свободного перемещения персональных данных.
(13) Чтобы обеспечить постоянный уровень защиты физических лиц по всему Союзу и предотвратить расхождения, препятствующие свободному перемещению персональных данных на внутреннем рынке, необходимо регулирование для обеспечения правовой определенности и прозрачности для экономических операторов, в том числе микро, малых и средним предприятиям и предоставлять физическим лицам во всех государствах-членах одинаковый уровень юридически закрепленных прав и обязанностей и обязанностей для контролеров и переработчиков для обеспечения постоянного контроля за обработкой персональных данных и эквивалентных санкций во всех государствах-членах как а также эффективное сотрудничество между надзорными органами различных государств-членов. Надлежащее функционирование внутреннего рынка требует, чтобы свободное перемещение персональных данных в пределах Союза не ограничивалось или запрещалось по причинам, связанным с защитой физических лиц в отношении обработки персональных данных. Для учета конкретной ситуации в микро-, малых и средних предприятиях это Положение включает в себя отступление для организаций с менее чем 250 сотрудниками в отношении учета.Кроме того, учреждениям и органам Союза, а также государствам-членам и их надзорным органам рекомендуется учитывать конкретные потребности микро-, малых и средних предприятий в применении настоящих Правил. Понятие микро, малых и средних предприятий должно основываться на статье 2 Приложения к Рекомендации Комиссии 2003/361 / EC ( 5 ) .
(14) Защита, предоставляемая настоящим Положением, должна применяться к физическим лицам независимо от их гражданства или места жительства в отношении обработки их персональных данных. Настоящее Положение не распространяется на обработку персональных данных, которые касаются юридических лиц и, в частности, предприятий, созданных в качестве юридических лиц, включая имя и форму юридического лица и контактные данные юридического лица.
(15) Чтобы предотвратить серьезный риск обхода, защита физических лиц должна быть технологически нейтральной и не должна зависеть от используемых методов. Защита физических лиц должна применяться к обработке персональных данных автоматическими средствами, а также к ручной обработке, если персональные данные содержатся или предназначены для содержания в системе подачи. Файлы или комплекты файлов, а также их титульные страницы, которые не структурированы в соответствии с конкретными критериями, не должны подпадать под действие настоящих Правил.
(16) Настоящий Регламент не применяется к вопросам защиты основных прав и свобод или свободному потоку персональных данных, относящихся к деятельности, которая выходит за рамки законодательства Союза, например деятельности в области национальной безопасности. Настоящее Положение не применяется к обработке персональных данных государствами-членами при осуществлении деятельности в связи с общей внешней политикой и политикой безопасности Союза.
(17) Регламент (ЕС) № 45/2001 Европейского парламента и Совета ( 6 ) применяется к обработке персональных данных учреждениями, органами, офисами и агентствами Союза. Регламент (ЕС) № 45/2001 и другие правовые акты Союза, применимые к такой обработке персональных данных, должны быть адаптированы к принципам и правилам, установленным в настоящих Правилах и применяемым в свете настоящих Правил. Для обеспечения надежной и согласованной структуры защиты данных в Союзе после принятия настоящих Правил необходимо следовать соответствующим требованиям Правил (ЕС) № 45/2001, с тем чтобы разрешить применение в то же время, что и настоящие Правила.
(18) Настоящий Регламент не применяется к обработке персональных данных физическим лицом в ходе чисто личной или бытовой деятельности и, таким образом, без связи с профессиональной или коммерческой деятельностью. Личная или бытовая деятельность может включать переписку и проведение адресов, или социальные сети и онлайн-деятельность, осуществляемую в контексте такой деятельности. Однако настоящие Правила применяются к контроллерам или процессорам, которые предоставляют средства для обработки персональных данных для такой личной или бытовой деятельности.
(19) Защита физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение их и свободное перемещение таких данных, является предметом конкретного правового акта Союза. Поэтому это Положение не должно применяться к процессам обработки для этих целей. Однако персональные данные, обрабатываемые государственными органами на основании настоящих Правил, должны, при использовании в этих целях, регулироваться более конкретным правовым актом Союза, а именно Директивой (ЕС) 2016/680 Европейского парламента и Совета ( 7 ) . Государства-члены могут поручить компетентным органам по смыслу Директивы (ЕС) 2016/680 задачи, которые не обязательно выполняются для целей предотвращения, расследования, обнаружения или уголовного преследования за уголовные преступления или исполнения уголовных наказаний, включая охрану предотвращения и предотвращения угроз общественной безопасности, с тем чтобы обработка персональных данных для этих других целей, поскольку она входит в сферу действия законодательства Союза, подпадает под действие настоящих Правил.
Что касается обработки персональных данных этими компетентными органами для целей, подпадающих под действие настоящих Правил, государства-члены должны иметь возможность поддерживать или вводить более конкретные положения, регулирующие применение правил настоящих Правил. Такие положения могут более точно определять конкретные требования к обработке персональных данных этими компетентными органами для этих других целей с учетом конституционной, организационной и административной структуры соответствующего государства-члена. Когда обработка персональных данных частными органами подпадает под действие настоящих Правил, в настоящем Регламенте должно предусматриваться возможность для государств-членов в конкретных условиях ограничить законом определенные обязательства и права, когда такое ограничение представляет собой необходимую и пропорциональную меру в демократического общества в целях защиты конкретных важных интересов, включая общественную безопасность и предотвращение, расследование, выявление или уголовное преследование за совершение уголовных преступлений или исполнение уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение их. Это актуально, например, в рамках борьбы с отмыванием денег или деятельности судебных лабораторий.
(20) Хотя в настоящих Правилах применяются, в частности, деятельность судов и других судебных органов, законодательство Союза или государства-члена может определять процедуры обработки и процедуры обработки в отношении обработки персональных данных судами и другими судебными органами. Компетентность надзорных органов не должна охватывать обработку персональных данных, когда суды действуют в своем судебном порядке, с тем чтобы обеспечить независимость судебной власти в выполнении ее судебных задач, включая принятие решений. Должна быть предусмотрена возможность поручить надзор за такими операциями по обработке данных конкретным органам судебной системы государства-члена, которые должны, в частности, обеспечивать соблюдение правил настоящих Правил, повышать осведомленность членов судебных органов об их обязательствах по этому вопросу Регулировать и обрабатывать жалобы в отношении таких операций обработки данных.
(21) Настоящее Положение не наносит ущерба применению Директивы 2000/31 / EC Европейского парламента и Совета ( 8 ) , в частности правил ответственности поставщиков промежуточных услуг в Статьях 12-15 этой Директивы. Эта Директива направлена на содействие надлежащему функционированию внутреннего рынка путем обеспечения свободного перемещения услуг информационного общества между государствами-членами.
(22) Любая обработка персональных данных в контексте деятельности по созданию контроллера или процессора в Союзе должна осуществляться в соответствии с настоящим Регламентом независимо от того, имеет ли сама обработка в рамках Союза. Учреждение подразумевает эффективное и реальное осуществление деятельности посредством стабильных механизмов. Правовая форма таких соглашений, будь то через филиал или дочернее предприятие с правосубъектностью, не является определяющим фактором в этом отношении.
(23) В целях обеспечения того, чтобы физические лица не были лишены защиты, на которую они имеют право на основании настоящих Правил, обработка персональных данных субъектов данных, находящихся в Союзе контролером или процессором, не установленным в Союзе, должна подлежать настоящих Правил, в которых деятельность по обработке связана с предложением товаров или услуг таким субъектам данных независимо от того, связана ли их с оплатой. Чтобы определить, предлагает ли такой контроллер или процессор товары или услуги субъектам данных, находящимся в Союзе, должно быть установлено, очевидно ли, что контроллер или процессор предусматривает предоставление услуг субъектам данных в одном или нескольких государствах-членах в Союз. В то время как простая доступность веб-сайта контроллера, процессора или посредника в Союзе, адреса электронной почты или других контактных данных или использования языка, обычно используемого в третьей стране, где установлен контроллер, является недостаточной для установления такой такие факторы, как использование языка или валюты, обычно используемой в одном или нескольких государствах-членах, с возможностью заказывать товары и услуги на этом другом языке или упоминание клиентов или пользователей, которые находятся в Союзе, могут сделать это очевидно, что контроллер предусматривает предоставление товаров или услуг субъектам данных в Союзе.
(24) Обработка персональных данных субъектов данных, находящихся в Союзе контроллером или процессором, не установленным в Союзе, также должна регулироваться настоящими Правилами, когда она связана с мониторингом поведения таких субъектов данных в той мере, в какой их поведение происходит в рамках Союза. Чтобы определить, можно ли рассматривать процесс обработки для контроля за поведением субъектов данных, следует установить, отслеживаются ли физические лица в Интернете, включая возможное последующее использование методов обработки персональных данных, которые состоят в профилировании физического лица, в частности в принимать решения относительно ее или его или анализировать или прогнозировать ее или его личные предпочтения, поведение и отношения.
(25) В тех случаях, когда законодательство государств-членов применяется в силу международного публичного права, это Положение должно также применяться к контролеру, не установленному в Союзе, например, в дипломатическом представительстве или консульском учреждении государства-члена.
(26) Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Личные данные, подвергшиеся псевдонификации, которые могут быть приписаны физическому лицу с использованием дополнительной информации, следует рассматривать как информацию об идентифицируемом физическом лице. Чтобы определить, является ли физическое лицо идентифицируемым, следует учитывать все средства, разумно вероятные для использования, такие как выделение либо контроллером, либо другим лицом для прямого или косвенного определения физического лица. Чтобы выяснить, могут ли разумно использоваться средства идентификации физического лица, следует учитывать все объективные факторы, такие как затраты и время, требуемое для идентификации, с учетом имеющихся технологий на момент технологических и технологических разработок. Поэтому принципы защиты данных не должны применяться к анонимной информации, а именно информация, которая не относится к идентифицированному или идентифицируемому физическому лицу или к персональным данным, анонимным таким образом, что субъект данных не идентифицируется или уже не идентифицируется. Настоящий Регламент не требует, таким образом, обработки такой анонимной информации, в том числе для статистических или исследовательских целей.
(27) Настоящее Положение не распространяется на личные данные умерших. Государства-члены могут предусматривать правила, касающиеся обработки персональных данных умерших лиц.
(28) Применение псевдонификации к персональным данным может снизить риски для соответствующих субъектов данных и помочь контроллерам и процессорам выполнить свои обязательства по защите данных.Явное введение «псевдонимации» в настоящих Правилах не предназначено для предотвращения любых других мер защиты данных.
(29) Чтобы создать стимулы для применения псевдонимации при обработке персональных данных, меры псевдонимания должны, при условии проведения общего анализа, быть возможными в пределах одного и того же контроллера, когда этот контролер принял технические и организационные меры, необходимые для обеспечения для соответствующей обработки того, чтобы настоящие Правила и что дополнительная информация для приписывания персональных данных конкретному субъекту данных хранится отдельно. Контроллер, обрабатывающий персональные данные, должен указывать уполномоченных лиц в пределах одного и того же контроллера.
(30) Физические лица могут быть связаны с онлайн-идентификаторами, предоставляемыми их устройствами, приложениями, инструментами и протоколами, такими как адреса интернет-протокола, идентификаторы файлов cookie или другие идентификаторы, такие как теги радиочастотной идентификации. Это может оставить следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, полученной серверами, могут использоваться для создания профилей физических лиц и их идентификации.
(31) Государственные органы, которым раскрыты личные данные в соответствии с юридическим обязательством для осуществления их служебной миссии, такими как налоговые и таможенные органы, подразделения финансового расследования, независимые административные органы или органы финансового рынка, ответственные за регулирование и надзор за рынками ценных бумаг не должны рассматриваться в качестве получателей, если они получают личные данные, которые необходимы для проведения конкретного расследования в общих интересах в соответствии с законодательством Союза или государства-члена. Запросы на раскрытие информации, направляемые государственными органами, всегда должны быть в письменной форме, обоснованными и случайными и не должны касаться всей системы подачи заявок или привести к взаимосвязи систем подачи заявок. Обработка персональных данных этими государственными органами должна соответствовать применимым правилам защиты данных в соответствии с целями обработки.
(32) Согласие должно быть дано четким утвердительным актом, устанавливающим свободно предоставленное, конкретное, информированное и однозначное указание согласия субъекта данных на обработку персональных данных, касающихся его или ее, например, письменным заявлением, в том числе с помощью электронных средств, или устное заявление. Это может включать тиканье коробки при посещении интернет-сайта, выбирая технические параметры служб информационного общества или другое заявление или поведение, в котором ясно указывается в этом контексте принятие субъектом данных предлагаемой обработки его личных данных. Таким образом, молчание, предпечатные ящики или бездействие не должны составлять согласие. Согласие должно охватывать все виды обработки, осуществляемые в тех же целях или целях. Когда обработка имеет несколько целей, необходимо дать согласие на все из них. Если согласие субъекта данных должно быть предоставлено по запросу с помощью электронных средств, запрос должен быть четким, кратким и необоснованно нарушать использование услуги, для которой он предоставлен.
(33) Часто невозможно полностью определить цель обработки персональных данных для целей научных исследований на момент сбора данных. Поэтому субъектам данных должно быть позволено дать свое согласие на определенные области научных исследований в соответствии с признанными этическими стандартами научных исследований. Субъекты данных должны иметь возможность дать свое согласие только на определенные области исследований или на части исследовательских проектов в той мере, в какой это допускается по назначению.
(34) Генетические данные следует определять как персональные данные, относящиеся к унаследованным или приобретенным генетическим характеристикам физического лица, которые являются результатом анализа биологического образца от рассматриваемого физического лица, в частности хромосомной, дезоксирибонуклеиновой кислоты (ДНК) или рибонуклеиновой кислоты (РНК ) анализа или анализа другого элемента, позволяющего получить эквивалентную информацию.
(35) Персональные данные, касающиеся здоровья, должны включать все данные, относящиеся к состоянию здоровья субъекта данных, которые раскрывают информацию о прошлом, текущем или будущем физическом или психическом состоянии субъекта данных. Это включает информацию о физическом лице, собранном в ходе регистрации или предоставления медицинских услуг, указанных в Директиве 2011/24 / ЕС Европейского парламента и Совета ( 9 ) этому физическому лицу; номер, символ или конкретное лицо, назначенное физическому лицу для однозначного определения физического лица в целях здравоохранения;информация, полученная в результате тестирования или изучения части тела или тела, в том числе из генетических данных и биологических образцов; и любую информацию, касающуюся, например, болезни, инвалидности, риска заболевания, истории болезни, клинического лечения или физиологического или биомедицинского состояния субъекта данных независимо от его источника, например, от врача или другого медицинского работника, больницы, медицинское устройство или диагностический тест in vitro.
(36) Основное учреждение контролера в Союзе должно быть местом его центральной администрации в Союзе, если решения о целях и средствах обработки персональных данных не принимаются в другом учреждении контролера в Союзе, и в этом случае что другое учреждение должно считаться главным учреждением. Основное учреждение контролера в Союзе должно определяться в соответствии с объективными критериями и должно подразумевать эффективное и реальное осуществление управленческой деятельности, определяющее основные решения в отношении целей и средств обработки посредством стабильных механизмов. Этот критерий не должен зависеть от того, выполняется ли обработка персональных данных в этом месте. Наличие и использование технических средств и технологий для обработки персональных данных или процессов обработки сами по себе не являются основным учреждением и поэтому не определяют критерии для основного учреждения. Основное учреждение процессора должно быть местом его центральной администрации в Союзе или, если оно не имеет центральной администрации в Союзе, место, где основные виды деятельности по переработке происходят в Союзе. В случаях, связанных как с контроллером, так и с процессором, компетентный руководящий надзорный орган должен оставаться надзорным органом государства-члена, в котором контроллер имеет свое основное учреждение, но надзорный орган процессора должен рассматриваться как контролирующий орган, и что надзорный орган должен участвовать в процедуре сотрудничества, предусмотренной настоящим Регламентом. В любом случае надзорные органы государства-члена или государств-членов, в которых процессор имеет одно или несколько учреждений, не должны считаться заинтересованными надзорными органами, если проект решения касается только диспетчера. Если обработка осуществляется группой предприятий, основное учреждение контрольного предприятия должно рассматриваться как основное учреждение группы предприятий, за исключением случаев, когда цели и средства обработки определяются другим предприятием.
(37) Группа предприятий должна охватывать контролирующее предприятие и его контролируемые предприятия, в соответствии с которыми контролирующим предприятием должно быть предприятие, которое может оказывать доминирующее влияние на другие предприятия в силу, например, владения, финансового участия или правил, которые регулируют его или возможность применения правил защиты персональных данных. Обязательство, которое контролирует обработку персональных данных в связанных с ним предприятиях, должно рассматриваться вместе с этими предприятиями как группа предприятий.
(38) Дети заслуживают особой защиты в отношении своих личных данных, поскольку они могут быть менее осведомлены о рисках, последствиях и гарантиях и их правах в отношении обработки персональных данных.Такая конкретная защита должна, в частности, применяться к использованию персональных данных детей в целях маркетинга или создания персональных данных или профилей пользователей и сбора персональных данных в отношении детей при использовании услуг, предоставляемых непосредственно ребенку. Согласие владельца родительской ответственности не должно быть необходимым в контексте профилактических или консультационных услуг, предоставляемых непосредственно ребенку.
(39) Любая обработка персональных данных должна быть законной и справедливой. Для физических лиц должно быть прозрачно, чтобы личные данные о них собирались, использовались, консультировались или обрабатывались иным образом, и в какой степени личные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любая информация и связь, связанные с обработкой этих персональных данных, были легко доступны и понятны, а также использовался понятный и понятный язык. Этот принцип касается, в частности, информации для субъектов данных о личности контролера и целях обработки и дополнительной информации для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и сообщения личного данные о них, которые обрабатываются. Физические лица должны быть осведомлены о рисках, правилах, гарантиях и правах в отношении обработки персональных данных и способах осуществления своих прав в отношении такой обработки. В частности, конкретные цели, для которых обрабатываются персональные данные, должны быть ясными и законными и определяться во время сбора персональных данных.Персональные данные должны быть адекватными, релевантными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются. Это требует, в частности, обеспечения того, чтобы период хранения персональных данных ограничивался строгим минимумом. Личные данные должны обрабатываться только в том случае, если цель обработки не может быть разумно выполнена другими способами.Чтобы гарантировать, что личные данные не будут храниться дольше, чем необходимо, ограничения времени должны быть установлены контроллером для стирания или для периодического обзора. Необходимо предпринять все разумные шаги для обеспечения того, чтобы личные данные, которые являются неточными, исправлены или удалены. Личные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность и конфиденциальность персональных данных, в том числе для предотвращения несанкционированного доступа к персональным данным и использования ими, а также оборудования, используемого для обработки.
(40) Для того чтобы обработка была законной, личные данные должны обрабатываться на основании согласия заинтересованного субъекта данных или какой-либо другой законной основы, установленной законом, либо в настоящих Правилах, либо в других законах Союза или государства-члена, как указано в в соответствии с настоящими Правилами, в том числе необходимость соблюдения юридического обязательства, которому подвергается контролер, или необходимость выполнения контракта, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключая договор.
(41) В тех случаях, когда настоящие Правила касаются правовой основы или законодательной меры, это необязательно требует принятия законодательного акта, принятого парламентом, без ущерба для требований в соответствии с конституционным порядком соответствующего государства-члена. Однако такая правовая основа или законодательная мера должны быть четкими и точными, а ее применение должно быть предвидено для лиц, подлежащих ему, в соответствии с прецедентным правом Суда Европейского союза («Суд») и Европейский суд по правам человека.
(42) Если обработка основана на согласии субъекта данных, контроллер должен иметь возможность продемонстрировать, что субъект данных дал согласие на операцию обработки. В частности, в контексте письменной декларации по другому вопросу гарантии должны обеспечить, чтобы субъект данных был осведомлен о том, что и в какой степени дается согласие. В соответствии с Директивой Совета 93/13 / EEC ( 10 ) декларация согласия, предварительно сформулированная контролером, должна предоставляться в понятной и легкодоступной форме с использованием понятного и простого языка и не должна содержать несправедливые условия. Для получения согласия на информирование субъект данных должен знать, по крайней мере, идентификатор контроллера и цели обработки, для которых предназначены персональные данные. Согласие не следует рассматривать как свободно предоставляемое, если субъект данных не имеет подлинного или свободного выбора или не может отказаться или отказаться от согласия без ущерба.
(43) В целях обеспечения того, чтобы согласие было предоставлено свободно, согласие не должно предоставлять законные основания для обработки персональных данных в конкретном случае, когда существует явный дисбаланс между субъектом данных и контроллером, в частности, когда контроллер является общедоступным и поэтому маловероятно, чтобы согласие было свободно предоставлено во всех обстоятельствах этой конкретной ситуации. Предполагается, что согласие не должно предоставляться свободно, если оно не позволяет дать отдельное согласие на различные операции обработки персональных данных, несмотря на то, что оно подходит в отдельном случае или если выполнение контракта, включая предоставление услуги, зависит от на согласие, несмотря на такое согласие, которое не является необходимым для такого исполнения.
(44) Обработка должна быть законной, если это необходимо в контексте контракта или намерения заключить договор.
(45) Если обработка осуществляется в соответствии с юридическим обязательством, которому подчинен контролер, или когда обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, обработка должна иметь основание в Союзе или законодательством государств-членов. Настоящий Регламент не требует конкретного закона для каждой отдельной обработки. Достаточно быть законом в качестве основы для нескольких операций обработки, основанных на юридическом обязательстве, которому подчинен контроллер или где обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий. Также необходимо, чтобы законодательство Союза или государства-члена определяло цель обработки. Кроме того, в этом законе могут быть указаны общие условия настоящих Правил, регулирующие законность обработки персональных данных, устанавливают спецификации для определения контроллера, тип персональных данных, подлежащих обработке, субъектам данных, субъектам, которым личный могут быть раскрыты данные, ограничения цели, период хранения и другие меры для обеспечения законной и справедливой обработки. Также необходимо, чтобы законодательство Союза или государства-члена определяло, должен ли контролер, выполняющий задачу, выполняемый в общественных интересах или при осуществлении официальных полномочий, быть государственным органом или другим физическим или юридическим лицом, регулируемым публичным правом, или, если это отвечает общественным интересам, в том числе для целей здравоохранения, таких как здравоохранение и социальная защита, а также управление услугами здравоохранения частным правом, таким как профессиональная ассоциация.
(46) Обработка личных данных также должна считаться законной, когда необходимо защищать интерес, который необходим для жизни субъекта данных или лица другого физического лица. Обработка личных данных, основанная на жизненно важных интересах другого физического лица, должна в принципе иметь место только там, где обработка не может быть явно основана на другой правовой основе. Некоторые виды обработки могут служить как важными причинами общественного интереса, так и жизненно важными интересами субъекта данных, например, когда обработка необходима для гуманитарных целей, в том числе для мониторинга эпидемий и их распространения или в ситуациях чрезвычайных гуманитарных ситуаций, в частности в ситуациях природных и техногенных катастроф.
(47) Законные интересы контролера, в том числе контролера, которому могут быть раскрыты личные данные, или третьей стороны, могут обеспечивать правовую основу для обработки при условии, что интересы или основные права и свободы субъекта данных не переопределяя, принимая во внимание разумные ожидания субъектов данных, основанные на их связи с контроллером. Такой законный интерес может существовать, например, в тех случаях, когда существует соответствующая и соответствующая связь между субъектом данных и контроллером в ситуациях, когда объект данных является клиентом или службой контроллера. Во всяком случае, наличие законного интереса потребует тщательной оценки, включая вопрос о том, может ли субъект данных разумно ожидать в то время и в контексте сбора персональных данных, что обработка для этой цели может иметь место. Интересы и основные права субъекта данных могут, в частности, переоценить интерес контроллера данных, где обрабатываются персональные данные, в тех случаях, когда субъекты данных не ожидают дальнейшей обработки. Учитывая, что законодатель должен законодательно предусмотреть правовую основу для государственных органов для обработки персональных данных, эта правовая основа не должна применяться к обработке государственными органами при выполнении своих задач. Обработка персональных данных, строго необходимая для предотвращения мошенничества, также представляет собой законный интерес соответствующего контроллера данных. Обработка персональных данных для целей прямого маркетинга может рассматриваться как выполненная для законных интересов.
(48) Контролеры, входящие в группу предприятий или учреждений, входящих в центральный орган, могут иметь законную заинтересованность в передаче персональных данных внутри группы предприятий для внутренних административных целей, включая обработку персональных данных клиентов или сотрудников. Общие принципы передачи персональных данных в рамках группы предприятий предприятию, расположенному в третьей стране, остаются неизменными.
(49) Обработка персональных данных в объеме, строго обязательном и пропорциональном в целях обеспечения сетевой и информационной безопасности, то есть способности сети или информационной системы противостоять при определенном уровне уверенности, случайных событиях или незаконных или вредоносных действиях, которые компрометировать доступность, подлинность, целостность и конфиденциальность сохраненных или переданных персональных данных и безопасность соответствующих услуг, предлагаемых или доступных через эти сети и системы, государственными органами, командами компьютерного реагирования на чрезвычайные ситуации (CERT), компьютерной безопасностью группы реагирования на инциденты (CSIRT), поставщики сетей и услуг электронной связи и поставщики технологий и услуг безопасности представляют собой законную заинтересованность соответствующего контроллера данных. Это может, например, включать предотвращение несанкционированного доступа к сетям электронных коммуникаций и распространение вредоносного кода и прекращение атак «отказ в обслуживании» и повреждение компьютерных и электронных систем связи.
(50) Обработка персональных данных для целей, отличных от тех, для которых были собраны личные данные, должна быть разрешена только там, где обработка совместима с целями, для которых личные данные были первоначально собраны. В этом случае не требуется никаких юридических оснований, отличных от того, что допускало сбор персональных данных. Если обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера, законодательство Союза или государства-члена может определять и определять задачи и цели, для которых следует рассматривать дальнейшую обработку как совместимые и законные. Дальнейшая обработка для целей архивирования в интересах общества, научных или исторических исследований или статистических целей должна рассматриваться как совместимая законная обработка операций. Правовая основа, предусмотренная законодательством Союза или государства-члена для обработки персональных данных, также может служить правовой основой для дальнейшей обработки. Чтобы определить, совместима ли цель дальнейшей обработки с целью, из которой первоначально собираются персональные данные, контроллер, выполнив все требования к законности первоначальной обработки, должен учитывать, в частности: любые связь между этими целями и целями предполагаемой дальнейшей обработки; контекст, в котором собирались персональные данные, в частности обоснованные ожидания субъектов данных, основанные на их связи с контролером в отношении их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки данных; и наличие надлежащих гарантий как в первоначальной, так и в предполагаемой дальнейшей обработке.
Если субъект данных дал согласие или обработка основывается на законе Союза или государства-члена, который представляет собой необходимую и пропорциональную меру в демократическом обществе для защиты, в частности, важных целей, представляющих общий общественный интерес, диспетчеру следует разрешить дальнейшую обработку личные данные независимо от совместимости целей. В любом случае должно быть обеспечено применение принципов, изложенных в настоящих Правилах, и, в частности, информация субъекта данных в этих других целях и его / ее прав, включая право на возражение. Указание возможных преступных действий или угроз общественной безопасности со стороны контролера и передача соответствующих персональных данных в отдельных случаях или в нескольких случаях, связанных с одним и тем же преступлением или угрозами общественной безопасности компетентному органу, следует рассматривать как находящиеся в законных интересах с помощью контроллера. Однако такая передача в законных интересах диспетчера или дальнейшая обработка персональных данных должна быть запрещена, если обработка несовместима с юридической, профессиональной или другой обязательной обязательной секретностью.
(51) Личные данные, которые по своей природе особенно чувствительны к основным правам и свободам, заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для основных прав и свобод. Эти личные данные должны включать персональные данные, раскрывающие расовое или этническое происхождение, в соответствии с которыми использование термина «расовое происхождение» в настоящих Правилах не подразумевает принятия Союзом теорий, которые пытаются определить существование отдельных человеческих рас. Обработка фотографий не должна систематически считаться обработкой специальных категорий персональных данных, поскольку они охватываются определением биометрических данных только при обработке с использованием специальных технических средств, позволяющих уникальную идентификацию или аутентификацию физического лица. Такие личные данные не должны обрабатываться, если только обработка не разрешена в конкретных случаях, указанных в настоящих Правилах, с учетом того, что законодательство государств-членов может устанавливать конкретные положения о защите данных, чтобы адаптировать применение правил настоящих Правил к соблюдению с юридическим обязательством или для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера. В дополнение к конкретным требованиям для такой обработки должны применяться общие принципы и другие правила настоящих Правил, в частности в отношении условий для законной обработки. Отступления от общего запрета на обработку таких специальных категорий персональных данных должны быть явно предоставлены, в частности, когда субъект данных дает свое явное согласие или в отношении конкретных потребностей, в частности, когда обработка осуществляется в ходе законных деятельность определенных ассоциаций или фондов, целью которых является осуществление основных свобод.
(52) Отказ от запрета на обработку специальных категорий персональных данных также должен быть разрешен, если он предусмотрен в законодательстве Союза или государства-члена и подлежит надлежащим гарантиям, с тем чтобы защитить личные данные и другие основные права, когда это отвечает общественным интересам поэтому, в частности, обработка персональных данных в области трудового права, законодательства о социальной защите, включая пенсии, а также для обеспечения безопасности, мониторинга и предупреждения, профилактики или борьбы с инфекционными заболеваниями и других серьезных угроз здоровью. Такое отступление может быть сделано для целей здравоохранения, включая здравоохранение и управление услугами в области здравоохранения, особенно в целях обеспечения качества и экономической эффективности процедур, используемых для урегулирования претензий в отношении льгот и услуг в системе медицинского страхования, или для целей архивирования в интересах общества, научных или исторических исследований или статистических целей. Отступление также должно позволить обрабатывать такие личные данные, когда это необходимо для создания, осуществления или защиты судебных исков, будь то в судебном процессе или в административной или внесудебной процедуре.
(53) Специальные категории персональных данных, которые заслуживают более высокой защиты, должны обрабатываться в медицинских целях только там, где это необходимо для достижения этих целей в интересах физических лиц и общества в целом, в частности в контексте управления услугами в области здравоохранения или социальной помощи и системы, включая обработку руководством и центральными национальными органами здравоохранения таких данных в целях контроля качества, управленческой информации и общего национального и местного надзора за системой здравоохранения или социального обеспечения и обеспечения непрерывности медицинского или социального обслуживания и пересечения - охрана здоровья или охрана здоровья, мониторинг и оповещение, или для целей архивирования в интересах общества, научных или исторических исследований или статистических целей на основе закона Союза или государства-члена, который должен соответствовать цели, представляющей общественный интерес, а также для исследований, проводимых в интересах общества в области общественного здравоохранения. Поэтому в настоящем Регламенте должны быть предусмотрены согласованные условия для обработки специальных категорий персональных данных, касающихся здоровья, в отношении конкретных потребностей, в частности, когда обработка таких данных осуществляется в определенных целях, связанных со здоровьем, лицами, обязательство профессиональной тайны. Закон Союза или государства-члена должен предусматривать конкретные и подходящие меры для защиты основных прав и личных данных физических лиц. Государствам-членам следует разрешить поддерживать или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья.Однако это не должно препятствовать свободному распространению персональных данных в Союзе, когда эти условия применяются к трансграничной обработке таких данных.
(54) Обработка особых категорий персональных данных может потребоваться по соображениям общественного интереса в областях общественного здравоохранения без согласия субъекта данных. Такая обработка должна подпадать под конкретные и конкретные меры в целях защиты прав и свобод физических лиц. В этом контексте «общественное здравоохранение» следует толковать, как определено в Регламенте (ЕС) № 1338/2008 Европейского парламента и Совета ( 11 ) , а именно о всех элементах, связанных со здоровьем, а именно о состоянии здоровья, включая заболеваемость и инвалидность, детерминанты, влияющие на этот статус здоровья, потребности в здравоохранении, ресурсы, выделяемые на здравоохранение, предоставление и всеобщий доступ к здравоохранению, а также расходы и финансирование здравоохранения и причины смертности. Такая обработка данных о здоровье по соображениям общественного интереса не должна приводить к обработке персональных данных для других целей третьими лицами, такими как работодатели, страховые и банковские компании.
(55) Более того, обработка персональных данных официальными властями с целью достижения целей, установленных конституционным законом или международным публичным правом, официально признанных религиозных объединений осуществляется на основании общественных интересов.
(56) Если в ходе избирательной деятельности деятельность демократической системы в государстве-члене требует, чтобы политические партии составляли личные данные о политических взглядах людей, обработка таких данных может быть разрешена по соображениям общественного интереса при условии установления соответствующих гарантий ,
(57) Если персональные данные, обработанные контроллером, не позволяют диспетчеру идентифицировать физическое лицо, контроллер данных не должен приобретать дополнительную информацию для идентификации субъекта данных с единственной целью соблюдения любого положения настоящих Правил. Тем не менее, диспетчер не должен отказываться от получения дополнительной информации, предоставленной субъектом данных, для поддержки осуществления своих прав. Идентификация должна включать в себя цифровую идентификацию субъекта данных, например, через механизм аутентификации, такой как те же учетные данные, которые используются данными, подлежащими входу в онлайновую услугу, предлагаемую контроллером данных.
(58) Принцип прозрачности требует, чтобы любая информация, адресованная общественности или субъекту данных, была кратким, легко доступным и понятным, а также понятным и понятным языком, а также, при необходимости, визуализацией. Такая информация может предоставляться в электронной форме, например, при обращении к общественности через веб-сайт. Это особенно актуально в ситуациях, когда распространение акторов и технологическая сложность практики затрудняют получение данных и понимание того, с какой целью и с какой целью собираются личные данные, относящиеся к нему или ей, например, в случае онлайн-рекламы. Учитывая, что дети заслуживают конкретной защиты, любая информация и связь, при обработке которых адресована ребенку, должны быть на таком понятном и понятном языке, что ребенок может легко понять.
(59) Должны быть предусмотрены условия для облегчения осуществления прав субъекта данных на основании настоящих Правил, включая механизмы для запроса и, если применимо, бесплатно получать, в частности, доступ и исправление или удаление личных данных и осуществление права для объекта. Контроллер должен также предоставлять средства для запросов, которые должны быть сделаны в электронном виде, особенно там, где личные данные обрабатываются с помощью электронных средств. Контролер должен быть обязан отвечать на запросы субъекта данных без неоправданной задержки и не позднее, чем через месяц, и указывать причины, по которым контроллер не намерен выполнять какие-либо такие запросы.
(60) Принципы честной и прозрачной обработки требуют, чтобы субъект данных был проинформирован о существовании операции обработки и ее целях. Контроллер должен предоставить субъекту данных любую дополнительную информацию, необходимую для обеспечения честной и прозрачной обработки, с учетом конкретных обстоятельств и контекста, в которых обрабатываются персональные данные. Кроме того, субъект данных должен быть проинформирован о существовании профилирования и последствиях такого профилирования. Если личные данные собираются из субъекта данных, субъекту данных также следует сообщать, должен ли он или она предоставлять персональные данные и о последствиях, когда он или она не предоставляет такие данные. Эта информация может быть предоставлена в сочетании со стандартизованными значками, чтобы дать легко видимый, понятный и четко разборчивый способ, содержательный обзор предполагаемой обработки. Если значки представлены в электронном виде, они должны быть машиночитаемыми.
(61) Информация в отношении обработки персональных данных, относящихся к субъекту данных, должна предоставляться ему или ей во время сбора от субъекта данных или, когда личные данные получены из другого источника, в течение разумного периода времени, в зависимости от об обстоятельствах дела. Если личные данные могут быть законно раскрыты другому получателю, субъект данных должен быть проинформирован, когда персональные данные сначала будут раскрыты получателю. Если контроллер намерен обрабатывать персональные данные с целью, отличной от той, для которой они были собраны, контроллер должен предоставить субъекту данных до этой дальнейшей обработки информацию об этой другой цели и другую необходимую информацию. Если происхождение персональных данных не может быть предоставлено субъекту данных, поскольку используются различные источники, следует предоставить общую информацию.
(62) Однако нет необходимости налагать обязательство предоставлять информацию, если субъект данных уже обладает информацией, в которой регистрация или раскрытие персональных данных прямо закреплена законом или когда предоставление информации субъекту данных оказывается невозможно или будет сопряжено с непропорциональными усилиями. Последнее, в частности, может иметь место, когда обработка осуществляется для целей архивирования в интересах общества, научных или исторических исследований или в статистических целях. В этой связи следует учитывать количество субъектов данных, возраст данных и любые соответствующие принятые гарантии.
(63) Субъект данных должен иметь право доступа к персональным данным, которые были собраны в отношении него или нее, и легко и разумно использовать это право, чтобы быть в курсе и проверять законность обработки. Это включает право субъектов данных иметь доступ к данным, касающимся их здоровья, например данные в их медицинских документах, содержащие информацию, такую как диагнозы, результаты обследования, оценки путем лечения врачей и любого лечения или вмешательства. Поэтому каждый субъект данных должен иметь право знать и получать сообщение, в частности, в отношении целей, для которых обрабатываются персональные данные, где это возможно, период, за который обрабатываются персональные данные, получатели персональных данных, логика в любой автоматической обработке персональных данных и, по крайней мере, на основе профилирования, последствия такой обработки. Там, где это возможно, контроллер должен иметь возможность предоставлять удаленный доступ к защищенной системе, которая обеспечивала бы субъекту данных прямой доступ к его личным данным. Это право не должно отрицательно влиять на права или свободы других лиц, включая коммерческую тайну или интеллектуальную собственность и, в частности, защиту авторских прав на программное обеспечение. Однако результатом этих соображений не должно быть отказ предоставить всю информацию субъекту данных. Если контроллер обрабатывает большое количество информации, касающейся субъекта данных, контроллер должен иметь возможность запросить, чтобы перед доставкой информации субъект данных указывал информацию или обработку, к которой относится запрос.
(64) Контроллер должен использовать все разумные меры для проверки личности субъекта данных, который запрашивает доступ, в частности в контексте онлайн-сервисов и онлайн-идентификаторов. Контроллер не должен сохранять личные данные с единственной целью - реагировать на потенциальные запросы.
(65) Субъект данных должен иметь право на личную информацию относительно его или ее исправления и «право на забвение», когда сохранение таких данных нарушает настоящее Положение или закон Союза или государства-члена, к которому относится субъект. В частности, субъект данных должен иметь право на удаление своих персональных данных и больше не обрабатываться там, где персональные данные больше не нужны в отношении целей, для которых они собираются или обрабатываются иным образом, когда объект данных отозван его или ее согласия или объектов для обработки персональных данных, касающихся его или ее лица, или когда обработка его личных данных иным образом не соответствует настоящим Правилам. Это право имеет значение, в частности, когда субъект данных дал свое согласие в детстве и не полностью осознает риски, связанные с обработкой, а затем хочет удалить такие личные данные, особенно в Интернете. Субъект данных должен иметь возможность реализовать это право, несмотря на то, что он или она больше не ребенок. Однако дальнейшее сохранение персональных данных должно быть законным там, где это необходимо, для осуществления права на свободу выражения и информации на соблюдение юридического обязательства для выполнения задачи, выполняемой в общественных интересах или в осуществление официальных полномочий, возложенных на контролера, на основании общественных интересов в области общественного здравоохранения, для целей архивирования в интересах общества, научных или исторических исследований или статистических целей или для создания, осуществления или защиты юридических требований ,
(66) Чтобы укрепить право быть забытым в онлайн-среде, право на стирание также должно быть расширено таким образом, чтобы контролер, который сделал личные данные общедоступными, должен был информировать контролеров, которые обрабатывают такие личные данные, для удаления любых ссылки на копии или копии этих личных данных. При этом этот контроллер должен предпринять разумные шаги с учетом имеющихся технологий и средств, доступных для контроллера, включая технические меры, для информирования контролеров, которые обрабатывают персональные данные запроса субъекта данных.
(67) Методы, с помощью которых можно ограничить обработку персональных данных, могут включать, в частности, временное перемещение выбранных данных в другую систему обработки, что делает выбранные личные данные недоступными для пользователей или временно удаляет опубликованные данные с веб-сайта. В автоматизированных системах подачи ограничение обработки в принципе должно обеспечиваться техническими средствами таким образом, чтобы личные данные не подвергались дальнейшей обработке и не могут быть изменены. Тот факт, что обработка персональных данных ограничена, должна быть четко указана в системе.
(68) Для дальнейшего усиления контроля над своими собственными данными, когда обработка персональных данных осуществляется автоматизированными средствами, субъекту данных также должно быть разрешено получать личные данные о нем или ей, которые он или она предоставил контроллеру в структурированный, обычно используемый, машиночитаемый и совместимый формат, и передавать его другому контроллеру.Контроллерам данных следует поощрять разработку совместимых форматов, которые обеспечивают переносимость данных. Это право должно применяться там, где субъект данных предоставил личные данные на основании его или ее согласия или обработка необходима для выполнения контракта. Он не должен применяться в тех случаях, когда обработка основана на юридическом основании, кроме согласия или контракта.По самой своей природе это право не должно осуществляться против контролеров, обрабатывающих персональные данные при исполнении своих общественных обязанностей. Поэтому он не должен применяться в тех случаях, когда обработка персональных данных необходима для соблюдения юридического обязательства, которому подчиняется контролер, или для выполнения задачи, выполняемой в общественных интересах или при осуществлении официального органа, контроллер. Право субъекта данных передавать или получать персональные данные, касающиеся него или нее, не должно создавать обязанности для контроллеров принимать или поддерживать технологические системы, которые являются технически совместимыми. Если в определенном наборе личных данных имеется более одного субъекта данных, право на получение персональных данных должно быть без ущерба правам и свободам других субъектов данных в соответствии с настоящими Правилами. Кроме того, это право не должно наносить ущерба праву данных, подлежащих получению стирания персональных данных, и ограничениям этого права, изложенным в настоящих Правилах, и, в частности, не должно означать стирание персональных данных, касающихся субъекта данных, были предоставлены им для выполнения контракта в той степени, в которой и до тех пор, пока персональные данные необходимы для выполнения этого контракта. В тех случаях, когда технически возможно, субъект данных должен иметь право передавать персональные данные напрямую с одного контроллера на другой.
(69) Если личные данные могут быть обработаны законным образом, поскольку обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера, или на основании законных интересов контроллера или третьей стороны, субъект данных должен, тем не менее, иметь право возражать против обработки любых персональных данных, касающихся его или ее конкретной ситуации. Контролеру должно быть продемонстрировано, что его убедительные законные интересы переопределяют интересы или основные права и свободы субъекта данных.
(70) Когда персональные данные обрабатываются для целей прямого маркетинга, субъект данных должен иметь право возражать против такой обработки, включая профилирование, в той степени, в которой он связан с таким прямым маркетингом, будь то в отношении начальной или дальнейшей обработки, на любом время и бесплатно. Это право должно быть прямо доведено до сведения субъекта данных и представлено четко и отдельно от любой другой информации.
(71) Субъект данных должен иметь право не принимать решение, которое может включать в себя меру, оценку личных аспектов, относящихся к нему или ее, которая основана исключительно на автоматизированной обработке и которая создает юридические последствия в отношении его или ее или аналогично существенно влияет на него или ее, например, автоматический отказ от онлайн-заявки на получение кредита или практики электронного рекрутинга без какого-либо вмешательства человека. Такая обработка включает в себя «профилирование», которое состоит из любой формы автоматизированной обработки персональных данных, оценивающих личные аспекты, относящиеся к физическому лицу, в частности для анализа или прогнозирования аспектов, касающихся работы субъекта данных на работе, экономической ситуации, здоровья, личных предпочтений или интересов, надежности или поведения, местонахождения или движений, когда он создает юридические последствия для него или ее или аналогично существенно влияет на него или нее. Тем не менее, принятие решений, основанных на такой обработке, включая профилирование, должно быть разрешено там, где это прямо разрешено законодательством Союза или государства-члена, к которому относится контролер, в том числе для целей мониторинга и предотвращения мошенничества и уклонения от уплаты налогов, проводимых в соответствии с правилами, стандартам и рекомендациям союзных учреждений или национальных надзорных органов, а также обеспечить безопасность и надежность обслуживания, предоставляемого контроллером, или необходимые для ввода или выполнения контракта между субъектом данных и контроллером или когда объект данных дал его или ее явное согласие. В любом случае такая обработка должна подлежать надлежащим гарантиям, которая должна включать конкретную информацию субъекту данных и право на получение вмешательства человека, чтобы выразить свою точку зрения, чтобы получить объяснение решения, принятого после такой оценки и оспорить решение. Такая мера не должна касаться ребенка.
Чтобы обеспечить справедливую и прозрачную обработку в отношении субъекта данных, с учетом конкретных обстоятельств и контекста, в которых обрабатываются персональные данные, диспетчер должен использовать соответствующие математические или статистические процедуры для профилирования, осуществлять технические и организационные меры, соответствующие обеспечить, в частности, то, что факторы, которые приводят к неточностям в персональных данных, корректируются, а риск ошибок минимизируется, защищает личные данные таким образом, чтобы учитывать потенциальные риски, связанные с интересами и правами субъекта данных, и что предотвращает, в частности, дискриминационное воздействие на физических лиц на основе расового или этнического происхождения, политических убеждений, религии или убеждений, членство в профсоюзах, генетическое состояние или состояние здоровья или сексуальную ориентацию или которые приводят к таким мерам. Автоматическое принятие решений и профилирование на основе специальных категорий персональных данных допускается только при определенных условиях.
(72) Профилирование подчиняется правилам настоящих Правил, регулирующих обработку персональных данных, таких как юридические основания для обработки или принципы защиты данных. Европейский совет по защите данных, созданный в соответствии с настоящим Положением («Совет»), должен иметь возможность выпустить руководство в этом контексте.
(73) Ограничения, касающиеся конкретных принципов и прав на информацию, доступа и исправления или удаления личных данных, права на переносимость данных, права на объекты, решений, основанных на профилировании, а также сообщения о нарушении личных данных субъекту данных и некоторые связанные с ним обязательства контролеров могут быть наложены законодательством Союза или государства-члена, насколько это необходимо и соразмерно в демократическом обществе для защиты общественной безопасности, включая защиту человеческой жизни, особенно в ответ на природные или искусственные бедствия, предупреждение, расследования и уголовного преследования за уголовные преступления или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение их угроз, а также нарушений этики для регулируемых профессий, других важных целей, представляющих общественный интерес Союза или государства-члена , в частности важные экономические или финансовые интересы Союза или государства-члена, ведение публичных реестров, хранящихся по соображениям общего публичного интереса, дальнейшая обработка архивных персональных данных для предоставления конкретной информации, касающейся политического поведения в бывших тоталитарных государственных режимах или защиты субъекта данных или прав и свобод других лиц, включая социальную защиту , здравоохранение и гуманитарные цели. Эти ограничения должны соответствовать требованиям, изложенным в Уставе и Европейской конвенции о защите прав человека и основных свобод.
(74) Должна быть установлена ответственность и ответственность диспетчера за любую обработку персональных данных, выполняемых контроллером или от имени диспетчера. В частности, диспетчер должен быть обязан выполнять соответствующие и эффективные меры и быть в состоянии продемонстрировать соответствие процессам обработки настоящим Правилам, включая эффективность этих мер. Эти меры должны учитывать характер, сферу охвата, контекст и цели обработки и риск для прав и свобод физических лиц.
(75) Риск прав и свобод физических лиц с различной вероятностью и серьезностью может быть результатом обработки персональных данных, которые могут привести к физическому, материальному или нематериальному ущербу, в частности: когда обработка может привести к дискриминации, краже личных данных или мошенничество, финансовые потери, повреждение репутации, утрата конфиденциальности личных данных, защищенных профессиональной тайной, несанкционированное обращение вспять псевдонификации или любые другие существенные экономические или социальные недостатки; где субъекты данных могут быть лишены своих прав и свобод или не могут осуществлять контроль над своими личными данными; где обрабатываются персональные данные, которые показывают расовое или этническое происхождение, политические взгляды, религии или философские убеждения, членство в профсоюзах и обработку генетических данных, данные о здоровье или данные о половой жизни или уголовных судимостях и преступлениях или связанных с ними мерах безопасности; где оцениваются личные аспекты, в частности, анализ или прогнозирование аспектов, касающихся эффективности на работе, экономической ситуации, здоровья, личных предпочтений или интересов, надежности или поведения, местоположения или движений, для создания или использования личных профилей; где обрабатываются личные данные уязвимых физических лиц, в частности детей; или когда обработка включает в себя большое количество персональных данных и влияет на большое количество объектов данных.
(76) Вероятность и серьезность риска для прав и свобод субъекта данных должны определяться с учетом характера, сферы применения, контекста и целей обработки. Риск следует оценивать на основе объективной оценки, с помощью которой устанавливается, связаны ли операции обработки данных с риском или высоким риском.
(77) Руководство по внедрению соответствующих мер и демонстрации соблюдения контролером или процессором, особенно в отношении идентификации риска, связанного с обработкой, их оценки с точки зрения происхождения, характера, вероятности и серьезности и идентификации передовой практики для снижения риска, могут быть предоставлены, в частности, с помощью утвержденных кодексов поведения, утвержденных сертификатов, руководящих принципов, представленных Советом, или указаний, предоставляемых сотрудником по защите данных. Совет может также издавать руководящие принципы по процессам обработки, которые, как считается, вряд ли приведут к высокому риску прав и свобод физических лиц и указывают, какие меры могут быть достаточными в таких случаях для устранения такого риска.
(78) Защита прав и свобод физических лиц в отношении обработки персональных данных требует принятия соответствующих технических и организационных мер для обеспечения выполнения требований настоящего Регламента. Для того, чтобы продемонстрировать соблюдение настоящих Правил, диспетчер должен принять внутренние политики и внедрить меры, которые по умолчанию будут соответствовать принципам защиты данных по дизайну и защите данных. Такие меры могут заключаться, в частности, в минимизации обработки персональных данных, псевдонимизации персональных данных как можно скорее, прозрачности в отношении функций и обработки персональных данных, что позволяет данным отслеживать обработку данных, позволяя контроллеру создавать и улучшать функции безопасности. При разработке, проектировании, выборе и использовании приложений, услуг и продуктов, основанных на обработке персональных данных или обработке персональных данных для выполнения их задачи, следует поощрять производителей продуктов, услуг и приложений учитывать право на данные защиты при разработке и разработке таких продуктов, услуг и приложений и с должным учетом уровня техники, чтобы контролеры и процессоры могли выполнять свои обязательства по защите данных. Принципы защиты данных по дизайну и по умолчанию также должны приниматься во внимание в контексте публичных торгов.
(79) Защита прав и свобод субъектов данных, а также ответственность и ответственность контролеров и переработчиков, также в отношении мониторинга и мер надзорных органов, требует четкого распределения обязанностей по настоящим Правилам, в том числе, когда контролер определяет цели и средства обработки совместно с другими контроллерами или когда операция обработки выполняется от имени контроллера.
(80) Если контроллер или процессор, не установленные в Союзе, обрабатывают персональные данные субъектов данных, находящихся в Союзе, обработка которых связана с предложением товаров или услуг, независимо от того, требуется ли оплата субъекта данных, субъекты данных в Союзе или мониторинг их поведения, поскольку их поведение происходит в Союзе, контроллер или процессор должны назначать представителя, если обработка не является случайной, не включает обработку в крупном масштабе, специальных категорий персональных данных или обработки персональных данных, касающихся уголовных приговоров и правонарушений, и вряд ли приведет к риску прав и свобод физических лиц с учетом характера, контекста, сферы и целей обработки или если контроллер является государственным органом или органом. Представитель должен действовать от имени контроллера или процессора и может быть рассмотрен любым контролирующим органом. Представитель должен быть явно назначен письменным мандатом контролера или обработчика действовать от его имени в отношении его обязательств по настоящему Регламенту. Обозначение такого представителя не влияет на ответственность или ответственность контроллера или процессора в соответствии с настоящими Правилами. Такой представитель должен выполнять свои задачи в соответствии с мандатом, полученным от контролера или процессора, в том числе сотрудничать с компетентными контролирующими органами в отношении любых действий, предпринятых для обеспечения соблюдения настоящих Правил. Назначенный представитель должен подвергаться принудительному исполнению в случае несоблюдения со стороны контроллера или процессора.
(81) Для обеспечения соответствия требованиям настоящих Правил в отношении обработки, выполняемой процессором от имени контроллера, при передаче процессора процессу обработки контроллер должен использовать только процессоры, обеспечивающие достаточные гарантии, в частности в отношении экспертных знаний, надежности и ресурсов для осуществления технических и организационных мер, которые будут соответствовать требованиям настоящих Правил, в том числе для обеспечения безопасности обработки. Присоединение процессора к утвержденному кодексу поведения или утвержденному сертификационному механизму может использоваться как элемент, демонстрирующий соблюдение обязательств контролера. Выполнение обработки процессором должно регулироваться договором или иным правовым актом в соответствии с законодательством Союза или государства-члена, связывая процессор с контроллером, определяя предмет и продолжительность обработки, характер и цели обработки, типа персональных данных и категорий субъектов данных с учетом конкретных задач и обязанностей процессора в контексте выполняемой обработки и риска для прав и свобод субъекта данных. Контроллер и процессор могут использовать индивидуальный контракт или стандартные договорные положения, которые принимаются либо непосредственно Комиссией, либо контролирующим органом в соответствии с механизмом согласованности, а затем принимаются Комиссией. После завершения обработки от имени контроллера процессор должен по выбору контроллера вернуть или удалить персональные данные, за исключением случаев, когда требуется хранить личные данные в соответствии с законодательством Союза или государства-члена, которому процессор является предметом.
(82) Чтобы продемонстрировать соблюдение настоящих Правил, контроллер или процессор должны вести учет обрабатывающих операций, находящихся под его ответственностью. Каждый контроллер и процессор должны быть обязаны сотрудничать с надзорным органом и делать эти записи по запросу доступными для него, чтобы он мог служить для мониторинга этих операций обработки.
(83) В целях обеспечения безопасности и предотвращения обработки в нарушении настоящих Правил контроллер или процессор должны оценивать риски, присущие процессу обработки и реализации мер по смягчению этих рисков, таких как шифрование. Эти меры должны обеспечивать надлежащий уровень безопасности, включая конфиденциальность, с учетом уровня техники и затрат на реализацию в отношении рисков и характера персональных данных, подлежащих защите. При оценке риска безопасности данных следует учитывать риски, возникающие при обработке персональных данных, такие как случайное или незаконное уничтожение, утрата, изменение, несанкционированное раскрытие или доступ к переданным, хранящимся или иным образом переданным персональным данным, которые могут в частности, привести к физическому, материальному или нематериальному ущербу.
(84) В целях усиления соблюдения настоящих Правил, когда операции по переработке могут привести к высокому риску прав и свобод физических лиц, контролер должен нести ответственность за проведение оценки воздействия защиты данных для оценки, в частности, происхождение, характер, особенности и тяжесть этого риска. Результаты оценки должны приниматься во внимание при определении соответствующих мер, которые необходимо принять, чтобы продемонстрировать, что обработка персональных данных соответствует настоящим Правилам. В тех случаях, когда оценка воздействия защиты данных указывает на то, что операции обработки связаны с высоким риском, который контроллер не может смягчить с помощью соответствующих мер с точки зрения доступных технологий и затрат на реализацию, перед обработкой должна быть проведена консультация надзорного органа.
(85) Нарушение личных данных может, если оно не будет устранено надлежащим и своевременным образом, приведет к физическому, материальному или нематериальному ущербу физическим лицам, таким как утрата контроля над их личными данными или ограничение их прав, дискриминация, кража или мошенничество с идентификацией , финансовые потери, несанкционированное обращение вспять псевдонимания, повреждение репутации, утрата конфиденциальности личных данных, защищенных профессиональной тайной, или любые другие существенные экономические или социальные недостатки для соответствующего физического лица. Поэтому, как только контроллер узнает о нарушении личных данных, диспетчер должен незамедлительно уведомить о нарушении личных данных в надзорный орган без неоправданной задержки и, когда это возможно, не позднее чем через 72 часа после того, как он узнает об этом, за исключением случаев, когда контроллер может продемонстрировать в соответствии с принципом подотчетности, что нарушение личных данных вряд ли приведет к риску прав и свобод физических лиц. Если такое уведомление не может быть достигнуто в течение 72 часов, причины задержки должны сопровождаться уведомлением, и информация может предоставляться поэтапно без неоправданной дальнейшей задержки.
(86) Контроллер должен сообщать субъекту данных о нарушениях персональных данных без неоправданной задержки, когда это нарушение личных данных может привести к высокому риску прав и свобод физического лица, с тем чтобы позволить ему или ей принять необходимые меры предосторожности. В сообщении следует описать характер нарушения личных данных, а также рекомендации для соответствующего физического лица для смягчения потенциальных неблагоприятных последствий. Такие сообщения субъектам данных должны быть сделаны как можно разумнее и в тесном сотрудничестве с надзорным органом, соблюдая указания, предоставленные им, или другими соответствующими органами, такими как правоохранительные органы. Например, необходимость смягчить непосредственный риск повреждения потребует быстрой связи с субъектами данных, тогда как необходимость применения соответствующих мер против продолжающихся или подобных нарушений персональных данных может оправдать больше времени для общения.
(87) Следует установить, были ли реализованы все соответствующие технологические меры защиты и организационные меры, с тем чтобы немедленно установить, произошло ли нарушение личных данных и незамедлительно информировать надзорный орган и субъект данных. Тот факт, что уведомление было сделано без неоправданной задержки, должно быть установлено с учетом, в частности, характера и серьезности нарушения личных данных и его последствий и неблагоприятных последствий для субъекта данных. Такое уведомление может привести к вмешательству надзорного органа в соответствии с его задачами и полномочиями, изложенными в настоящих Правилах.
(88) При установлении подробных правил, касающихся формата и процедур, применимых к уведомлению о нарушениях персональных данных, следует уделить должное внимание обстоятельствам этого нарушения, в том числе независимо от того, были ли персональные данные защищены соответствующими мерами технической защиты, что фактически ограничивало вероятность того, мошенничество с идентификацией или другие виды злоупотреблений. Более того, в таких правилах и процедурах должны учитываться законные интересы правоохранительных органов, когда раннее раскрытие информации может излишне препятствовать расследованию обстоятельств нарушения личных данных.
(89) В директиве 95/46 / EC предусмотрено общее обязательство уведомлять надзорные органы об обработке персональных данных. Хотя это обязательство создает административное и финансовое бремя, оно не во всех случаях способствовало улучшению защиты персональных данных. Поэтому такие неизбирательные обязательства общего уведомления должны быть отменены и заменены эффективными процедурами и механизмами, в которых основное внимание уделяется тем видам операций по переработке, которые могут привести к высокому риску прав и свобод физических лиц в силу их характера, сферы охвата , контекст и цели. Такими типами операций обработки могут быть те, которые, в частности, связаны с использованием новых технологий или носят новый вид, и когда оценка воздействия защиты данных не проводилась ранее контроллером или где они становятся необходимыми в свете времени, прошедшего с момента первоначальной обработки.
(90) В таких случаях контрольная оценка воздействия на данные должна выполняться контроллером до обработки, чтобы оценить конкретную вероятность и серьезность высокого риска с учетом характера, сферы применения, контекста и целей обработки и источники риска. Эта оценка воздействия должна включать, в частности, меры, гарантии и механизмы, предусмотренные для смягчения этого риска, обеспечивающие защиту персональных данных и демонстрирующие соблюдение настоящих Правил.
(91) Это должно, в частности, применяться к крупномасштабным процессам обработки, которые направлены на обработку значительного количества персональных данных на региональном, национальном или наднациональном уровне и которые могут влиять на большое количество субъектов данных и которые могут привести к высокому риску для например, из-за их чувствительности, когда в соответствии с достигнутым состоянием технологических знаний в широких масштабах используется новая технология, а также другие операции по обработке, которые приводят к высокому риску прав и свобод субъектов данных в особенно в тех случаях, когда эти операции затрудняют использование субъектами данных своих прав. Оценка воздействия защиты данных также должна проводиться там, где персональные данные обрабатываются для принятия решений относительно конкретных физических лиц после любой систематической и обширной оценки личных аспектов, относящихся к физическим лицам, на основе профилирования этих данных или после обработки специальных категорий персональных данных, биометрические данные или данные о судимости и преступлениях, связанных с преступностью или связанных с ними мерах безопасности. Оценка воздействия защиты данных в равной степени необходима для мониторинга широкодоступных районов в широких масштабах, особенно при использовании оптико-электронных устройств или для любых других операций, когда компетентный надзорный орган считает, что обработка, вероятно, приведет к высокому риску для прав и свободы субъектов данных, в частности потому, что они не позволяют субъектам данных осуществлять право или пользоваться услугой или контрактом или потому, что они осуществляются систематически в больших масштабах. Обработка персональных данных не должна рассматриваться в крупном масштабе, если обработка относится к персональным данным пациентов или клиентов отдельным врачом, другим специалистом в области здравоохранения или адвокатом. В таких случаях оценка воздействия защиты данных не должна быть обязательной.
(92) Существуют обстоятельства, при которых может быть разумным и экономичным для субъекта оценки воздействия защиты данных быть более широким, чем один проект, например, когда государственные органы или органы намерены создать общую прикладную или платформу обработки или где несколько диспетчеров планируют ввести общую прикладную или обрабатывающую среду в промышленном секторе или сегменте или для широко используемой горизонтальной деятельности.
(93) В контексте принятия закона о государстве-члене, на котором основывается выполнение задач государственного органа или государственного органа и который регулирует конкретную операцию обработки или набор операций, о которых идет речь, государства-члены могут сочтет необходимым провести такой оценки до обработки.
(94) В тех случаях, когда оценка воздействия защиты данных указывает на то, что обработка при отсутствии гарантий, мер безопасности и механизмов для смягчения риска приведет к высокому риску прав и свобод физических лиц, и контролер считает, что риск не могут быть смягчены разумными средствами с точки зрения доступных технологий и затрат на реализацию, надзорный орган следует проконсультироваться до начала обработки. Такой высокий риск, вероятно, будет следствием определенных видов обработки, а также масштабов и частоты обработки, что может также привести к возникновению ущерба или вмешательства в права и свободы физического лица. Надзорный орган должен ответить на запрос о проведении консультаций в течение определенного периода времени. Однако отсутствие реакции надзорного органа в течение этого периода не должно наносить ущерба любому вмешательству надзорного органа в соответствии с его задачами и полномочиями, изложенными в настоящих Правилах, включая право запрещать процессинговые операции. В рамках этого процесса консультаций результаты оценки воздействия защиты данных, проводимой в отношении обрабатываемой информации, могут быть представлены надзорному органу, в частности меры, предусмотренные для смягчения риска для прав и свобод физических лиц.
(95) Процессор должен помочь диспетчеру, когда это необходимо и по запросу, обеспечить соблюдение обязательств, вытекающих из проведения оценки воздействия защиты данных, и от предварительной консультации надзорного органа.
(96) Консультация надзорного органа должна также проводиться в ходе подготовки законодательной или нормативной меры, которая предусматривает обработку персональных данных, чтобы обеспечить соответствие предполагаемой обработки настоящим Регламентом и, в частности, смягчить риск для субъекта данных.
(97) Если обработка осуществляется государственным органом, за исключением судов или независимых судебных органов при действии в их судебном порядке, где в частном секторе обработка осуществляется контролером, основная деятельность которого состоит из операций по обработке, которые требуют регулярных и систематический мониторинг объектов данных в крупном масштабе или когда основные виды деятельности контроллера или процессора состоят в обработке в широких масштабах специальных категорий персональных данных и данных, относящихся к уголовным судимостям и правонарушениям, лицо, обладающее экспертными знаниями о законодательство и практика защиты данных должны помочь контроллеру или процессору контролировать внутреннее соблюдение настоящих Правил. В частном секторе основные виды деятельности контроллера связаны с его основной деятельностью и не связаны с обработкой персональных данных в качестве вспомогательных видов деятельности. Необходимый уровень экспертных знаний должен определяться, в частности, в соответствии с выполненными операциями обработки данных и защитой, требуемой для персональных данных, обрабатываемых контроллером или процессором. Такие сотрудники по защите данных, независимо от того, являются ли они сотрудниками диспетчера, должны иметь возможность выполнять свои обязанности и задачи независимым образом.
(98) Ассоциации или другие органы, представляющие категории контроллеров или переработчиков, следует поощрять к разработке кодексов поведения в рамках настоящих Правил с целью содействия эффективному применению настоящих Правил с учетом конкретных характеристик обработки, осуществляемой в определенных секторов и конкретных потребностей микро-, малых и средних предприятий. В частности, такие кодексы поведения могут откалибровать обязанности контролеров и переработчиков с учетом риска, который может возникнуть в результате обработки прав и свобод физических лиц.
(99) При составлении кодекса поведения или при изменении или расширении такого кода ассоциации и другие органы, представляющие категории контролеров или переработчиков, должны консультироваться с соответствующими заинтересованными сторонами, в том числе с субъектами данных, где это возможно, и учитывать полученные материалы и мнения, выраженные в ответ на такие консультации.
(100) В целях повышения транспарентности и соблюдения настоящих Правил следует поощрять создание сертификационных механизмов и печатей и меток защиты данных, позволяющих субъектам данных быстро оценивать уровень защиты данных соответствующих продуктов и услуг.
(101) Для расширения международной торговли и международного сотрудничества необходимы потоки личных данных в страны и за пределами Союза и международных организаций. Увеличение таких потоков вызвало новые проблемы и проблемы в отношении защиты персональных данных. Однако, когда персональные данные передаются из Союза на контролеров, переработчиков или других получателей в третьих странах или в международные организации, уровень защиты физических лиц, обеспеченных в Союзе настоящим Регламентом, не должен подрываться, в том числе в случаях последующих переводов личных данных от третьей страны или международной организации до контролеров, переработчиков в той же или другой третьей стране или международной организации. В любом случае переводы в третьи страны и международные организации могут осуществляться только в полном соответствии с настоящими Правилами. Передача может осуществляться только в том случае, если в соответствии с другими положениями настоящих Правил условия, изложенные в положениях настоящих Правил, касающиеся передачи персональных данных в третьи страны или международные организации, выполняются контроллером или процессором.
(102) Настоящий Регламент не наносит ущерба международным соглашениям, заключенным между Союзом и третьими странами, регулирующими передачу персональных данных, включая соответствующие гарантии для субъектов данных. Государства-члены могут заключать международные соглашения, предусматривающие передачу персональных данных в третьи страны или международные организации, поскольку такие соглашения не влияют на настоящее Положение или другие положения законодательства Союза и включают надлежащий уровень защиты основных прав данных.
(103) Комиссия может принять решение для всего Союза о том, что третья страна, территория или указанный сектор в рамках третьей страны или международная организация предлагает адекватный уровень защиты данных, обеспечивая тем самым юридическую определенность и единообразие во всем Союзе в отношении третьей страны или международной организации, которая, как считается, обеспечивает такой уровень защиты. В таких случаях передача личных данных в эту третью страну или международную организацию может осуществляться без необходимости получения какого-либо дополнительного разрешения. Комиссия может также принять решение, уведомив об этом и полное заявление, в котором излагаются причины для третьей страны или международной организации, отозвать такое решение.
(104) В соответствии с основополагающими ценностями, на которых основан Союз, в частности защитой прав человека, Комиссия должна в своей оценке третьей страны или территории или указанного сектора в третьей стране учитывать, как в частности, третьи страны уважают верховенство закона, доступ к правосудию, а также международные нормы и стандарты в области прав человека и его общее и отраслевое право, включая законодательство, касающееся общественной безопасности, обороны и национальной безопасности, а также общественного порядка и уголовного права. Принятие решения об адекватности в отношении территории или определенного сектора в третьей стране должно учитывать четкие и объективные критерии, такие как конкретные виды обработки и сферы применения применимых правовых стандартов и законодательства, действующих в третьей стране. Третья страна должна предлагать гарантии, обеспечивающие адекватный уровень защиты, по существу эквивалентный тому, который обеспечивается в Союзе, в частности, когда личные данные обрабатываются в одном или нескольких конкретных секторах. В частности, третья страна должна обеспечить эффективный независимый надзор за защитой данных и должна предусматривать механизмы сотрудничества с органами защиты данных государств-членов, а субъектам данных должны быть предоставлены эффективные и подлежащие исполнению права и эффективная административная и судебная защита.
(105) Помимо международных обязательств, заключенных третьей страной или международной организацией, Комиссии следует учитывать обязательства, вытекающие из участия третьей или международной организации в многосторонних или региональных системах, в частности в отношении защиты персональных данных, а также выполнение таких обязательств. В частности, следует принять во внимание присоединение третьей страны к Конвенции Совета Европы от 28 января 1981 года о защите частных лиц в отношении автоматической обработки персональных данных и Дополнительного протокола к ней.Комиссии следует проконсультироваться с Советом при оценке уровня защиты в третьих странах или международных организациях.
(106) Комиссии следует следить за функционированием решений об уровне защиты в третьей стране, территории или конкретном секторе в рамках третьей страны или международной организации и следить за функционированием решений, принятых на основании статьи 25 (6) или Статья 26 (4) Директивы 95/46 / EC. В своих решениях об адекватности Комиссии следует предусмотреть механизм периодического обзора их функционирования. Этот периодический обзор следует проводить в консультации с третьей страной или международной организацией, о которой идет речь, и учитывать все соответствующие события в третьей стране или международной организации. В целях мониторинга и проведения периодических обзоров Комиссии следует учитывать мнения и выводы Европейского парламента и Совета, а также других соответствующих органов и источников. Комиссия должна в разумный срок оценить функционирование последних решений и представить Комитету какие-либо соответствующие выводы в смысле Регламента (ЕС) № 182/2011 Европейского парламента и Совета ( 12 ), как это установлено в настоящего Положения, Европейскому парламенту и Совету.
(107) Комиссия может признать, что третья страна, территория или определенный сектор в рамках третьей страны или международная организация больше не обеспечивают адекватный уровень защиты данных.Следовательно, передача персональных данных в эту третью страну или международную организацию должна быть запрещена, если не соблюдаются требования настоящих Правил, касающиеся передач, подлежащих надлежащим гарантиям, включая обязательные корпоративные правила и отступления от конкретных ситуаций. В этом случае следует предусмотреть консультации между Комиссией и такими третьими странами или международными организациями. Комиссия должна своевременно информировать третью страну или международную организацию о причинах и вступать в консультации с ней для исправления ситуации.
(108) В отсутствие решения о достаточности контроллер или процессор должны принять меры для компенсации отсутствия защиты данных в третьей стране посредством соответствующих гарантий для субъекта данных.Такие надлежащие гарантии могут заключаться в использовании обязательных корпоративных правил, стандартных положений о защите данных, принятых Комиссией, стандартных положений о защите данных, принятых надзорным органом или договорных положений, разрешенных контролирующим органом. Эти гарантии должны обеспечивать соблюдение требований защиты данных и прав субъектов данных, подходящих для обработки в рамках Союза, включая наличие подлежащих исполнению прав субъекта данных и эффективных средств правовой защиты, в том числе для получения эффективного административного или судебного возмещения и требования компенсации, в Союзе или в третьей стране. Они должны относиться, в частности, к соблюдению общих принципов, касающихся обработки персональных данных, принципов защиты данных по дизайну и по умолчанию. Передачи могут также осуществляться государственными органами или органами с государственными органами или органами в третьих странах или с международными организациями с соответствующими обязанностями или функциями, в том числе на основе положений, которые должны быть включены в административные механизмы, такие как меморандум о взаимопонимании, предусматривающий для принудительных и эффективных прав для субъектов данных. Разрешение компетентного надзорного органа должно быть получено, когда гарантии предусмотрены в административных механизмах, которые не являются юридически обязательными.
(109) Возможность для контроллера или процессора использовать стандартные положения о защите данных, принятые Комиссией или контролирующим органом, должна препятствовать тому, чтобы контроллеры или процессоры не включали в себя стандартные положения о защите данных в более широком контракте, такие как контракт между процессором и другого процессора, а также не добавлять другие положения или дополнительные гарантии при условии, что они не противоречат прямо или косвенно стандартным договорным положениям, принятым Комиссией или надзорным органом, или наносят ущерб основным правам или свободам субъектов данных. Контролерам и переработчикам следует поощрять предоставлять дополнительные гарантии через договорные обязательства, которые дополняют положения о стандартной защите.
(110) Группа предприятий или группа предприятий, занимающихся совместной экономической деятельностью, должна иметь возможность использовать утвержденные обязательные корпоративные правила для своих международных переводов из Союза в организации одной и той же группы предприятий или группы предприятий, занимающихся совместная экономическая деятельность при условии, что такие корпоративные правила включают в себя все основные принципы и обеспечительные права для обеспечения надлежащих гарантий для передач или категорий передачи персональных данных.
(111) Следует предусмотреть возможность перевода в определенных обстоятельствах, когда субъект данных дал свое явное согласие, когда передача является случайной и необходимой в отношении контракта или юридического иска, независимо от того, в судебном порядке или в в административной или любой внесудебной процедуре, включая процедуры в регулирующих органах. Необходимо также предусмотреть возможность для переводов, если этого требуют важные основания общественных интересов, установленные законодательством Союза или государства-члена, или когда перевод производится из реестра, установленного законом и предназначенного для консультаций со стороны общественности или лиц, имеющих законный характер интерес. В последнем случае такая передача не должна включать в себя всю личную информацию или целые категории данных, содержащихся в реестре, и, когда реестр предназначен для консультаций лицами, имеющими законные интересы, перевод должен осуществляться только по просьба этих лиц или, если они должны быть получателями, полностью учитывать интересы и основные права субъекта данных.
(112) Эти отступления должны, в частности, применяться к передачам данных, необходимым и необходимым по важным причинам, представляющим общественный интерес, например, в случаях международного обмена данными между органами по вопросам конкуренции, налоговыми или таможенными администрациями, между органами финансового надзора, между службами, компетентными в вопросах социального обеспечения, или для общественного здравоохранения, например, в случае отслеживания контактов для заразных заболеваний или для сокращения и / или устранения допинга в спорте. Передача персональных данных также должна рассматриваться как законная, когда необходимо защищать интерес, который необходим для жизненно важных интересов субъекта данных или другого лица, включая физическую неприкосновенность или жизнь, если субъект данных не может дать согласие. В отсутствие решения об адекватности законодательство Союза или государства-члена может по важным причинам общественных интересов прямо устанавливать ограничения на передачу конкретных категорий данных в третью страну или международную организацию. Государства-члены должны уведомлять Комиссию о таких положениях.Любой перевод международной гуманитарной организации персональных данных субъекта данных, физически или юридически неспособный дать согласие, с целью выполнения задачи, выполняемой в соответствии с Женевскими конвенциями, или соблюдения международного гуманитарного права, применимого в вооруженных конфликтах, может быть который считается необходимым для важной причины, представляющей общественный интерес, или потому, что он является жизненно важным интересом субъекта данных.
(113) Передачи, которые могут быть квалифицированы как не повторяющиеся и которые касаются только ограниченного числа предметов данных, также могут быть возможны для целей убедительных законных интересов, которые преследует контролер, когда эти интересы не переопределяются интересами или правами и свободами субъекта данных и когда контроллер оценил все обстоятельства, связанные с передачей данных. Контролер должен уделять особое внимание характеру персональных данных, цели и продолжительности предлагаемой операции или операций по обработке, а также ситуации в стране происхождения, третьей стране и стране конечного назначения и должен обеспечивать соответствующие гарантии для защиты основных прав и свобод физических лиц в отношении обработки их персональных данных. Такие переводы должны быть возможны только в случае остаточных случаев, когда ни одно из других оснований для передачи не применимо. Для научных или исторических исследовательских целей или статистических целей следует учитывать законные ожидания общества в отношении увеличения знаний. Контролер должен информировать надзорный орган и субъекта данных о передаче.
(114) В любом случае, когда Комиссия не приняла решения о надлежащем уровне защиты данных в третьей стране, контроллер или процессор должны использовать решения, которые предоставляют субъектам данных действующие и эффективные права в отношении обработки их данных в Когда эти данные были переданы, чтобы они продолжали пользоваться основными правами и гарантиями.
(115) Некоторые третьи страны принимают законы, нормативные акты и другие правовые акты, которые предусматривают прямое регулирование процессуальной деятельности физических и юридических лиц, находящихся под юрисдикцией государств-членов. Это может включать в себя решения судов или трибуналов или решения административных органов в третьих странах, требующие от контроллера или обработчика передачи или раскрытия персональных данных и которые не основаны на международном соглашении, таком как договор о взаимной правовой помощи, действующий между запрашивая третью страну и Союз или государство-член. Экстерриториальное применение этих законов, положений и других правовых актов может нарушать международное право и может препятствовать достижению защиты физических лиц, обеспеченных в Союзе настоящими Правилами. Передача разрешается только при условии соблюдения условий настоящих Правил для передачи в третьи страны. Это может иметь место, в частности, в тех случаях, когда раскрытие информации необходимо для важного основания общественных интересов, признанного в законодательстве Союза или государства-члена, которому подчинен контролер.
(116) Когда персональные данные перемещаются через границы за пределами Союза, он может подвергать повышенный риск возможности физических лиц осуществлять права защиты данных, в частности, для защиты от незаконного использования или раскрытия этой информации. В то же время надзорные органы могут обнаружить, что они не могут продолжать жалобы или проводить расследования, касающиеся деятельности за пределами своих границ. Их усилиям по совместной работе в трансграничном контексте также могут препятствовать недостаточные превентивные или процессуальные полномочия, непоследовательные правовые режимы и практические препятствия, такие как ограничения ресурсов. Поэтому необходимо содействовать более тесному сотрудничеству между органами надзора за защитой данных, чтобы помочь им обмениваться информацией и проводить расследования со своими международными коллегами. В целях развития механизмов международного сотрудничества в целях облегчения и оказания международной взаимопомощи для обеспечения соблюдения законодательства о защите персональных данных Комиссия и надзорные органы должны обмениваться информацией и сотрудничать в деятельности, связанной с осуществлением своих полномочий с компетентными органами в третьих странах, на основе взаимности и в соответствии с настоящими Правилами.
(117) Создание надзорных органов в государствах-членах, уполномоченных выполнять свои задачи и осуществлять свои полномочия с полной независимостью, является важным компонентом защиты физических лиц в отношении обработки их персональных данных. Государства-члены должны иметь возможность создавать более одного надзорного органа, чтобы отражать их конституционную, организационную и административную структуру.
(118) Независимость надзорных органов не должна означать, что надзорные органы не могут контролироваться или контролировать механизмы в отношении их финансовых расходов или судебного пересмотра.
(119) Если государство-член устанавливает несколько надзорных органов, оно должно установить правовые механизмы для обеспечения эффективного участия этих надзорных органов в механизме согласованности. Это государство-член должно, в частности, назначить надзорный орган, который функционирует как единый контактный пункт для эффективного участия этих органов в механизме, чтобы обеспечить быстрое и плавное сотрудничество с другими надзорными органами, Советом и Комиссией.
(120) Каждому надзорному органу должны быть предоставлены финансовые и людские ресурсы, помещения и инфраструктура, необходимые для эффективного выполнения их задач, в том числе связанных с взаимной помощью и сотрудничеством с другими надзорными органами всего Союза. Каждый надзорный орган должен иметь отдельный публичный годовой бюджет, который может быть частью общего государственного или национального бюджета.
(121) Общие условия для члена или членов надзорного органа должны быть установлены законом в каждом государстве-члене и должны, в частности, предусматривать, чтобы эти члены были назначены посредством прозрачной процедуры либо парламентом, правительством, либо главой государства-члена на основе предложения правительства, члена правительства, парламента или палаты парламента или независимого органа, на который возложено законодательство государств-членов. Чтобы обеспечить независимость надзорного органа, член или члены должны действовать честно, воздерживаться от любых действий, которые несовместимы с их обязанностями, и не должны в течение срока их полномочий заниматься какой-либо несовместимой оккупацией, будь то доход или нет , Надзорный орган должен иметь свой собственный персонал, выбранный надзорным органом или независимым органом, учрежденным законодательством государств-членов, который должен подчиняться исключительному руководству члена или членов надзорного органа.
(122) Каждый надзорный орган должен обладать компетенцией на территории своего собственного государства-члена для осуществления полномочий и выполнения задач, возложенных на него в соответствии с настоящим Регламентом. Это должно охватывать, в частности, обработку в контексте деятельности по созданию контроллера или процессора на территории его собственного государства-члена, обработку персональных данных, осуществляемых государственными органами или частными органами, действующими в общественных интересах, обработку затрагивающих субъекты данных на его территории или обработку, осуществляемую контроллером или процессором, не установленным в Союзе, при ориентации на объекты данных, проживающие на его территории. Это должно включать рассмотрение жалоб, поданных субъектом данных, проведение расследований по применению настоящих Правил и содействие информированию общественности о рисках, правилах, гарантиях и правах в отношении обработки персональных данных.
(123) Надзорные органы должны следить за применением положений на основании настоящих Правил и вносить свой вклад в его последовательное применение во всем Союзе, с тем чтобы защитить физических лиц в связи с обработкой их персональных данных и облегчить свободный поток персональных данных в пределах внутренний рынок. С этой целью надзорные органы должны сотрудничать друг с другом и с Комиссией без необходимости какого-либо соглашения между государствами-членами о предоставлении взаимной помощи или о таком сотрудничестве.
(124) Если обработка персональных данных происходит в контексте деятельности по созданию контроллера или процессора в Союзе, а контроллер или процессор устанавливается в более чем одном государстве-члене или где обработка происходит в контексте деятельность одного учреждения контроллера или процессора в Союзе существенно влияет или может существенно повлиять на субъекты данных в более чем одном государстве-члене, надзорном органе для основного установления контроллера или процессора или для единого установления контроллера или процессор должны выступать в качестве ведущего органа. Он должен сотрудничать с другими заинтересованными органами, поскольку контроллер или процессор имеет учреждение на территории своего государства-члена, поскольку данные, находящиеся на их территории, существенно затронуты или потому, что жалоба была подана с ними. Кроме того, когда субъект данных, не проживающий в этом государстве-члене, подал жалобу, надзорный орган, в отношении которого подана такая жалоба, также должен быть соответствующим надзорным органом. В рамках своих задач по выпуску руководящих принципов по любому вопросу, касающемуся применения настоящих Правил, Совет должен иметь возможность издавать руководящие принципы, в частности, о критериях, которые должны быть приняты во внимание, с тем чтобы выяснить, влияет ли рассматриваемая обработка на субъекты данных в более чем одного государства-члена и от того, что представляет собой соответствующее и обоснованное возражение.
(125) Ведущий орган должен обладать компетенцией принимать обязательные решения в отношении мер, применяющих полномочия, предоставленные ему в соответствии с настоящими Правилами. В качестве руководящего органа надзорный орган должен пристально привлекать и координировать соответствующие надзорные органы в процессе принятия решений. Если решение состоит в том, чтобы отклонить жалобу субъектом данных полностью или частично, это решение должно быть принято органом надзора, с которым подана жалоба.
(126) Решение должно быть согласовано совместно ведущим надзорным органом и соответствующими контролирующими органами и должно быть направлено на основное или единое учреждение контроллера или процессора и быть обязательным для контроллера и процессора. Контроллер или процессор должны принять необходимые меры для обеспечения соблюдения настоящих Правил и осуществления решения, уведомленного ведущим надзорным органом, о главном учреждении контроллера или процессора в отношении процессинговой деятельности в Союзе.
(127) Каждый надзорный орган, не действующий в качестве руководящего надзорного органа, должен обладать компетенцией для рассмотрения местных дел, когда контроллер или процессор создается в более чем одном государстве-члене, но предмет конкретной обработки касается только обработки, осуществляемой в одном государстве-члене и включает только субъекты данных в этом единственном государстве-члене, например, когда предмет касается обработки персональных данных сотрудников в конкретном контексте занятости государства-члена. В таких случаях надзорный орган незамедлительно информирует ведущий надзорный орган по этому вопросу. После получения информации ведущий надзорный орган должен решить, будет ли он заниматься этим делом в соответствии с положением о сотрудничестве между ведущим надзорным органом и соответствующими контролирующими органами («механизм единого окна») или надзорным органом, который сообщил, что он должен рассматривать дело на местном уровне. При принятии решения о том, будет ли он заниматься этим делом, ведущий надзорный орган должен учитывать, существует ли в государстве-члене контролирующего органа, контролирующего или создающего контролер, учреждение контроллера или процессора, которое информировало его, чтобы обеспечить эффективное применение решения в отношении -видите контроллер или процессор. Если ведущий надзорный орган решает рассмотреть дело, контролирующий орган, который проинформировал его, должен иметь возможность представить проект решения, из которого ведущий надзорный орган должен принимать максимальную учетную информацию при подготовке своего проекта решения в этой едино- магазин механизм.
(128) Правила в отношении руководящего надзорного органа и механизма единого окна не должны применяться в тех случаях, когда обработка осуществляется государственными органами или частными органами в интересах общества. В таких случаях единственным надзорным органом, компетентным осуществлять полномочия, предоставленные ему в соответствии с настоящим Регламентом, должен быть надзорный орган государства-члена, в котором создается государственный орган или частный орган.
(129) Для обеспечения последовательного мониторинга и обеспечения соблюдения настоящих Правил на всей территории Союза надзорные органы должны иметь в каждом государстве-члене те же задачи и эффективные полномочия, включая полномочия по расследованию, корректирующие полномочия и санкции, а также полномочия на предоставление разрешения и случаев подачи жалоб от физических лиц и без ущерба для полномочий органов прокуратуры в соответствии с законодательством государств-членов, доводить нарушения настоящего Регламента до сведения судебных органов и заниматься судопроизводством.Такие полномочия должны также включать право налагать временное или окончательное ограничение, включая запрет на обработку. Государства-члены могут указывать другие задачи, связанные с защитой персональных данных на основании настоящих Правил. Полномочия надзорных органов должны осуществляться в соответствии с соответствующими процессуальными гарантиями, изложенными в законе Союза и государства-члена, беспристрастно, справедливо и в разумные сроки. В частности, каждая мера должна быть соответствующей, необходимой и пропорциональной с точки зрения обеспечения соблюдения настоящих Правил с учетом обстоятельств каждого отдельного случая, уважать право каждого человека быть услышанным перед любыми индивидуальными мерами, которые могут повлиять на него или ее интересы и избегать излишних издержек и чрезмерных неудобств для соответствующих лиц. Следственные полномочия в отношении доступа к помещениям должны осуществляться в соответствии с конкретными требованиями процессуального законодательства государства-члена, например, требованием получить предварительное судебное разрешение. Каждая юридически обязательная мера надзорного органа должна быть в письменной форме, быть четкой и однозначной, указывать, что надзорный орган, который выпустил меру, дату выдачи меры, имеет подпись руководителя или член надзорного органа уполномоченный им или ей, указать причины этой меры и сослаться на право эффективного средства правовой защиты. Это не должно исключать дополнительных требований в соответствии с процессуальным законодательством государства-члена. Принятие юридически обязывающего решения подразумевает, что оно может привести к судебному пересмотру в государстве-члене надзорного органа, принявшего решение.
(130) Если надзорный орган, с которым подана жалоба, не является ведущим надзорным органом, руководство надзора должно тесно сотрудничать с надзорным органом, с которым подана жалоба, в соответствии с положениями о сотрудничестве и согласованности, изложенными в настоящих Правилах , В таких случаях руководящий надзорный орган должен, при принятии мер, направленных на получение юридических последствий, включая введение административных штрафов, в максимальной степени учитывать мнение органа надзора, в отношении которого подана жалоба, и которая должна оставаться компетентной для осуществления провести какое-либо расследование на территории своего собственного государства-члена в связи с компетентным надзорным органом.
(131) Если другой надзорный орган должен выступать в качестве ведущего надзорного органа для обработки деятельности контроллера или процессора, но конкретный предмет жалобы или возможное нарушение касается только обработки деятельности контроллера или процессора в государстве-члене, в котором жалоба была поданного или выявленного возможного нарушения, и этот вопрос не оказывает существенного влияния или вряд ли может существенно повлиять на субъекты данных в других государствах-членах, надзорный орган, получающий жалобу или обнаруживающий или информированный иным образом о ситуациях, которые влекут за собой возможные нарушения настоящих Правил, должен искать дружественное урегулирование с контролером, и, если это окажется безуспешным, реализовать свой полный спектр полномочий. Это должно включать: конкретную обработку, осуществляемую на территории государства-члена надзорного органа, или в отношении субъектов данных на территории этого государства-члена;которая осуществляется в контексте предложения товаров или услуг, специально предназначенных для субъектов данных на территории государства-члена надзорного органа; или обработки, которая должна быть оценена с учетом соответствующих юридических обязательств по законодательству государств-членов.
(132) Деятельность по повышению информированности надзорных органов, адресованная общественности, должна включать конкретные меры, направленные на контролеров и переработчиков, включая микро-, малые и средние предприятия, а также физических лиц, в частности в образовательной среде.
(133) Надзорные органы должны оказывать друг другу помощь в выполнении своих задач и оказывать взаимную помощь, с тем чтобы обеспечить последовательное применение и обеспечение соблюдения настоящих Правил на внутреннем рынке. Контрольный орган, запрашивающий взаимную помощь, может принять временную меру, если он не получит ответа на просьбу о взаимной помощи в течение одного месяца с момента получения этого запроса другим надзорным органом.
(134) Каждый надзорный орган должен, при необходимости, участвовать в совместных операциях с другими надзорными органами. Запрашиваемый контрольный орган должен быть обязан ответить на запрос в течение определенного периода времени.
(135) В целях обеспечения последовательного применения настоящих Правил во всем Союзе должен быть установлен механизм согласованности сотрудничества между надзорными органами. Этот механизм должен, в частности, применяться в тех случаях, когда надзорный орган намерен принять меру, предназначенную для создания правовых последствий в отношении операций по обработке, которые существенно влияют на значительное число субъектов данных в нескольких государствах-членах. Он также должен применяться в тех случаях, когда какой-либо надзорный орган заинтересован или Комиссия просит, чтобы этот вопрос рассматривался в механизме согласованности. Этот механизм должен быть без ущерба для любых мер, которые Комиссия может принять при осуществлении своих полномочий в соответствии с Договорами.
(136) При применении механизма согласованности Совету следует в течение определенного периода времени высказать свое мнение, если большинство его членов примет такое решение или если это будет запрошено любым контролирующим органом или Комиссией. Совет также должен быть уполномочен принимать юридически обязательные решения, если существуют споры между надзорными органами. Для этой цели он должен в принципе большинством в две трети своих членов принимать юридически обязывающие решения в четко определенных случаях, когда между контролирующими органами существуют противоречивые взгляды, в частности в механизме сотрудничества между ведущим надзорным органом и надзорными органами касающийся существа дела, в частности, имеет ли место нарушение настоящих Правил.
(137) Может возникнуть острая необходимость действовать в целях защиты прав и свобод субъектов данных, в частности, когда существует опасность того, что принудительное применение права субъекта данных может быть значительно затруднено. Поэтому надзорный орган должен иметь возможность принимать на своей территории надлежащим образом обоснованные временные меры с установленным сроком действия, который не должен превышать трех месяцев.
(138) Применение такого механизма должно быть условием законности меры, предназначенной для осуществления юридических последствий надзорным органом в тех случаях, когда его применение является обязательным. В других случаях трансграничной значимости следует применять механизм сотрудничества между ведущим надзорным органом и соответствующими контролирующими органами, и между заинтересованными надзорными органами на двусторонней или многосторонней основе может осуществляться взаимная помощь и совместные операции без инициирования механизма согласованности ,
(139) В целях содействия последовательному применению настоящих Правил Совет должен быть создан как независимый орган Союза. Для достижения своих целей Совет должен иметь правосубъектность. Совет должен быть представлен его Председателем. Он должен заменить Рабочую группу по защите частных лиц на обработку персональных данных, установленных Директивой 95/46 / EC. Он должен состоять из главы надзорного органа каждого государства-члена и европейского супервайзера защиты данных или их соответствующих представителей. Комиссия должна участвовать в деятельности Совета без права голоса, а Европейский надзор за предоставлением данных должен иметь конкретные права голоса. Совету следует содействовать последовательному применению настоящих Правил на всей территории Союза, в том числе путем консультирования Комиссии, в частности по уровню защиты в третьих странах или международных организациях, и содействия сотрудничеству надзорных органов во всем Союзе. Совет должен действовать независимо при выполнении своих задач.
(140) Совету должен помогать секретариат, предоставленный Европейским надзором по защите данных. Сотрудники Европейского наблюдателя по вопросам защиты данных, участвующие в выполнении задач, поставленных Советом в соответствии с настоящим Регламентом, должны выполнять свои задачи исключительно по указанию Председателя Совета директоров и отчитываться перед ним.
(141) Каждый субъект данных должен иметь право подать жалобу единым надзорным органом, в частности в государстве-члене его обычного места жительства, и право на эффективное судебное средство правовой защиты в соответствии со статьей 47 Устава, если субъект данных считает, что его или ее права на основании настоящих Правил нарушены или когда надзорный орган не действует по жалобе, частично или полностью отклоняет или отклоняет жалобу или не действует, когда такое действие необходимо для защиты прав субъекта данных. Расследование по жалобе должно проводиться при условии судебного пересмотра в той мере, в какой это необходимо в конкретном случае. Надзорный орган должен информировать субъекта данных о ходе и результатах жалобы в разумный срок. Если дело требует дальнейшего расследования или координации с другим надзорным органом, промежуточная информация должна быть предоставлена субъекту данных. В целях облегчения подачи жалоб каждый надзорный орган должен принимать такие меры, как предоставление формы подачи жалобы, которая также может быть заполнена в электронном виде, без исключения других средств связи.
(142) Если субъект данных считает, что его или ее права на основании настоящих Правил нарушены, он или она должны иметь право на мандат некоммерческого органа, организации или ассоциации, которая создана в соответствии с законодательством государства-члена, уставные цели, которые находятся в общественных интересах и активны в области защиты персональных данных, подавать жалобу от его или ее имени в надзорный орган, осуществлять право на судебное средство правовой защиты от имени субъектов данных или, если они предоставляются в законодательстве государств-членов осуществляют право на получение компенсации от имени субъектов данных. Государство-член может предусмотреть, чтобы такой орган, организация или ассоциация имели право подать жалобу в этом государстве-члене, независимо от мандата субъекта данных, и право на эффективное судебное средство правовой защиты, если у него есть основания считать, что права субъекта данных были нарушены в результате обработки персональных данных, которые нарушают настоящие Правила. Этому органу, организации или ассоциации не разрешается требовать компенсацию от лица субъекта данных независимо от мандата субъекта данных.
(143) Любое физическое или юридическое лицо имеет право подать иск о расторжении решений Совета в Суде на условиях, предусмотренных в статье 263 TFEU. В качестве адресатов таких решений соответствующие контролирующие органы, которые хотят оспорить их, должны подать иск в течение двух месяцев после уведомления об этом в соответствии со статьей 263 TFEU. Если решения Правления прямо или косвенно относятся к контроллеру, процессиру или истцу, последний может подать иск об аннулировании этих решений в течение двух месяцев после их публикации на веб-сайте Совета в соответствии со статьей 263 TFEU.Без ущерба для этого права в соответствии со статьей 263 TFEU каждое физическое или юридическое лицо должно иметь эффективное судебное средство правовой защиты в компетентном национальном суде против решения надзорного органа, который создает юридические последствия для этого лица. Такое решение касается, в частности, осуществления следственных, корректирующих и разрешающих полномочий надзорным органом или увольнения или отклонения жалоб. Однако право на эффективное судебное средство правовой защиты не охватывает меры, принимаемые надзорными органами, которые не являются юридически обязательными, например, мнения, вынесенные советом или советом, предоставленным контролирующим органом. Процедуры над надзорным органом должны предстать перед судами государства-члена, в которых создается надзорный орган, и должны проводиться в соответствии с процессуальным законодательством этого государства-члена. Эти суды должны обладать полной юрисдикцией, которая должна включать юрисдикцию для рассмотрения всех вопросов факта и права, имеющих отношение к рассматриваемому спору.
Если жалоба была отклонена или отменена контролирующим органом, заявитель может возбудить дело в судах в том же государстве-члене. В контексте судебных средств правовой защиты, связанных с применением настоящего Положения, национальные суды, которые рассматривают решение по вопросу, которое необходимо для того, чтобы дать им возможность вынести решение, могут или в случае, предусмотренном в статье 267 TFEU, должны обратиться в Суд Правосудие дать предварительное постановление о толковании законодательства Союза, включая настоящие Правила. Кроме того, если решение контролирующего органа, осуществляющего решение Совета, оспаривается в национальном суде и обоснованность решения Совета, вопрос о том, что национальный суд не имеет права объявлять решение Совета недействительным, но должен ссылаются на вопрос о действительности в Суд в соответствии со статьей 267 TFEU, как это интерпретируется Судом, если оно считает решение недействительным. Однако национальный суд не может ссылаться на вопрос о действительности решения Совета по просьбе физического или юридического лица, которое имело возможность подать иск об аннулировании этого решения, в частности, если оно было прямо и индивидуально обеспокоенный этим решением, но не сделал этого в течение срока, установленного в статье 263 TFEU.
(144) В тех случаях, когда суд привлекает к судебному разбирательству решение контролирующего органа, имеет основания полагать, что разбирательство, касающееся одной и той же обработки, например, того же предмета, что касается обработки одним и тем же контроллером или процессором, или той же причине, компетентный суд в другом государстве-члене, он должен связаться с этим судом, чтобы подтвердить существование такого связанного разбирательства. Если соответствующее разбирательство находится на рассмотрении в другом государстве-члене, любой суд, кроме первого арестованного суда, может прекратить свое разбирательство или может по просьбе одной из сторон отклонить юрисдикцию в пользу суда, впервые изъятого, если этот суд обладает юрисдикцией в связи с рассматриваемым разбирательством, и его закон разрешает консолидацию таких связанных процедур. Судебные разбирательства считаются связанными, если они настолько тесно связаны друг с другом, что их целесообразно слышать и определять вместе, чтобы избежать риска непримиримых судебных решений в результате отдельных разбирательств.
(145) Для разбирательства против контролера или процессора истец должен иметь право подать иск в суды государств-членов, где у контроллера или процессора имеется учреждение или где находится субъект данных, если только диспетчер не является государственным органом какого-либо члена Государство, действующее при осуществлении своих публичных полномочий.
(146) Контроллер или процессор должны компенсировать любой ущерб, который может пострадать человек в результате обработки, нарушающий настоящие Правила. Контроллер или процессор должен быть освобожден от ответственности, если он докажет, что он никоим образом не несет ответственности за ущерб. Понятие ущерба следует толковать в широком смысле в свете прецедентного права Суда таким образом, который полностью отражает цели настоящих Правил. Это не наносит ущерба никаким претензиям на ущерб, вызванный нарушением других правил в законодательстве Союза или государства-члена. Обработка, нарушающая настоящие Правила, также включает в себя обработку, которая нарушает делегированные и осуществляемые акты, принятые в соответствии с настоящим Регламентом и законодательством государств-членов, с указанием правил настоящих Правил. Субъекты данных должны получать полную и эффективную компенсацию за ущерб, который они понесли. Если контроллеры или процессоры задействованы в одной и той же обработке, каждый контроллер или процессор должен нести ответственность за весь ущерб. Однако, когда они присоединяются к тем же судебным процедурам, в соответствии с законодательством государств-членов компенсация может быть распределена в соответствии с обязанностью каждого контролера или процессора за ущерб, причиненный обработкой, при условии, что полная и эффективная компенсация субъекта данных который получил повреждение. Любой контроллер или процессор, которые выплатили полную компенсацию, впоследствии могут инициировать судебное разбирательство против других контролеров или процессоров, участвующих в одной и той же обработке.
(147) В тех случаях, когда в настоящих Правилах содержатся конкретные правила юрисдикции, в частности в отношении разбирательств, требующих судебного средства правовой защиты, включая компенсацию, против контролера или обработчика, общие правила юрисдикции, такие как правила (ЕС) № 1215/2012 Европейского парламента и Совет ( 13 ) не должен наносить ущерба применению таких конкретных правил.
(148) В целях усиления соблюдения правил настоящих Правил применяются санкции, в том числе административные штрафы за любое нарушение настоящих Правил, помимо или вместо соответствующих мер, наложенных надзорным органом на основании настоящих Правил. В случае незначительного нарушения или если штраф, который может быть наложен, будет представлять собой непропорциональное бремя для физического лица, вместо штрафа может быть выдан выговор. Однако следует уделять должное внимание характеру, серьезности и продолжительности нарушения, преднамеренному характеру нарушения, действиям, предпринятым для смягчения нанесенного ущерба, степени ответственности или любых соответствующих предыдущих нарушений, способу, которым стало известно о нарушении надзорный орган, соблюдение мер, предписанных против контроллера или процессора, соблюдение кодекса поведения и любого другого отягчающего или смягчающего фактора. Наложение штрафов, включая административные штрафы, должно подлежать надлежащим процессуальным гарантиям в соответствии с общими принципами законодательства Союза и Устава, включая эффективную судебную защиту и надлежащую процедуру.
(149) Государства-члены должны иметь возможность устанавливать правила уголовного наказания за нарушения настоящего Регламента, в том числе за нарушения национальных правил, принятых в соответствии с настоящим Регламентом и в пределах этого Правила. Эти уголовные санкции могут также допускать лишение прибыли, полученной в результате нарушений настоящего Регламента. Однако наложение уголовных наказаний за нарушения таких национальных правил и административных санкций не должно приводить к нарушению принципа ne bis in idem , как это интерпретируется Судом.
(150) В целях укрепления и гармонизации административных санкций за нарушения настоящих Правил каждый надзорный орган должен иметь право налагать административные штрафы. В настоящем Регламенте должны указываться нарушения и верхний предел и критерии для установления соответствующих административных штрафов, которые должны определяться компетентным надзорным органом в каждом отдельном случае с учетом всех соответствующих обстоятельств конкретной ситуации с должным учетом, в частности, характера, тяжести и продолжительности нарушения и его последствий, а также мер, принятых для обеспечения выполнения обязательств по настоящим Правилам и предотвращения или смягчения последствий нарушения. Если административные штрафы налагаются на предприятие, обязательство должно пониматься как обязательство в соответствии со статьями 101 и 102 TFEU для этих целей. Если административные штрафы налагаются на лиц, не являющихся обязательствами, надзорный орган должен учитывать общий уровень доходов в государстве-члене, а также экономическое положение лица при рассмотрении соответствующей суммы штрафа. Механизм согласованности также может использоваться для содействия последовательному применению административных штрафов. Государства-члены должны определить, должны ли и в какой степени государственные органы должны обладать административными штрафами. Наложение административного штрафа или предоставление предупреждения не влияет на применение других полномочий надзорных органов или других санкций в соответствии с настоящими Правилами.
(151) Правовые системы Дании и Эстонии не допускают административных штрафов, установленных в настоящих Правилах. Правила об административных штрафах могут применяться таким образом, чтобы в Дании штраф был наложен компетентными национальными судами в качестве уголовного наказания, а в Эстонии штраф налагается надзорным органом в рамках процедуры проступок, при условии, что такая применение правил в этих государствах-членах эквивалентно воздействию административных штрафов, налагаемых надзорными органами. Поэтому компетентные национальные суды должны учитывать рекомендацию контролирующего органа, инициирующего штраф. В любом случае налагаемые штрафы должны быть эффективными, пропорциональными и сдерживающими.
(152) Если в настоящем Регламенте не согласованы административные санкции или, когда это необходимо, в других случаях, например, в случаях серьезных нарушений настоящего Положения, государствам-членам следует внедрить систему, которая предусматривает эффективные, пропорциональные и сдерживающие наказания. Характер таких наказаний, уголовных или административных, должен определяться законодательством государств-членов.
(153) Закон о государствах-членах должен согласовывать правила, регулирующие свободу выражения мнений и информации, в том числе журналистское, академическое, художественное и литературное выражение с правом на защиту персональных данных в соответствии с настоящими Правилами. Обработка персональных данных исключительно для журналистских целей или для целей академического, художественного или литературного выражения должна быть отклонена или исключена из некоторых положений настоящих Правил, если это необходимо для согласования права на защиту персональных данных с правом свободы выражения мнений и информации, как это предусмотрено в статье 11 Устава. Это должно применяться, в частности, к обработке персональных данных в аудиовизуальной области, а также в архивах новостей и библиотеках прессы. Поэтому государствам-членам следует принять законодательные меры, которые устанавливают исключения и отступления, необходимые для сбалансирования этих основных прав.Государствам-членам следует принять такие исключения и отступления от общих принципов, прав субъекта данных, контролера и процессора, передачи персональных данных в третьи страны или международные организации, независимых надзорных органов, сотрудничества и согласованности и конкретных данных, обработки. Если такие исключения или отступления отличаются от одного государства-члена к другому, применяется закон государства-члена, к которому относится субъект контроля. Чтобы учесть важность права на свободу выражения мнений в каждом демократическом обществе, необходимо толковать понятия, касающиеся этой свободы, такие как журналистика, в широком смысле.
(154) Настоящие Правила позволяют принять во внимание принцип публичного доступа к официальным документам при применении настоящих Правил. Доступ общественности к официальным документам может считаться общественным интересом. Личные данные в документах, принадлежащих государственному органу или государственному органу, должны иметь возможность публично раскрываться этим органом или органом, если раскрытие информации осуществляется законодательством Союза или государства-члена, к которому относится государственный орган или государственный орган. Такие законы должны согласовывать публичный доступ к официальным документам и повторное использование информации в государственном секторе с правом на защиту персональных данных и поэтому могут обеспечить необходимое согласование с правом на защиту персональных данных в соответствии с настоящими Правилами. Ссылка на государственные органы и органы должна в этом контексте включать все органы или другие органы, охватываемые законодательством государств-членов о доступе общественности к документам. Директива 2003/98 / EC Европейского парламента и Совета ( 14 ) остается нетронутой и никоим образом не влияет на уровень защиты физических лиц в отношении обработки персональных данных в соответствии с положениями законодательства Союза и государств-членов и в частности, не изменяет обязательств и прав, изложенных в настоящих Правилах. В частности, эта Директива не должна применяться к документам, к которым доступ исключен или ограничен в силу режимов доступа на основании защиты персональных данных, а также части документов, доступных в силу тех режимов, которые содержат персональные данные, повторное использование из которых предусмотрено законом как несовместимое с законом, касающимся защиты физических лиц в отношении обработки персональных данных.
(155) Закон или коллективные соглашения государств-членов, в том числе «соглашения о труде», могут предусматривать конкретные правила обработки персональных данных сотрудников в контексте занятости, в частности для условий, при которых личные данные в контексте занятости могут обрабатываться на основе с согласия работника, целей найма, выполнения трудового договора, в том числе выполнения обязательств, установленных законом или коллективными договорами, управления, планирования и организации работы, равенства и разнообразия на рабочем месте, здравоохранения и безопасность на работе, а также в целях осуществления и осуществления на индивидуальной или коллективной основе прав и выгод, связанных с занятостью, и с целью прекращения трудовых отношений.
(156) Обработка персональных данных для целей архивирования в интересах общества, научных или исторических исследований или статистических целей должна подлежать надлежащим гарантиям прав и свобод субъекта данных в соответствии с настоящими Правилами. Эти гарантии должны обеспечивать наличие технических и организационных мер для обеспечения, в частности, принципа минимизации данных.Дальнейшая обработка персональных данных для целей архивирования в интересах общества, научных или исторических исследований или статистических целей должна выполняться, когда контролер оценивает возможность выполнения этих целей путем обработки данных, которые не позволяют или не позволяют идентификация субъектов данных при условии наличия соответствующих гарантий (таких как, например, псевдонификация данных). Государствам-членам следует предусмотреть надлежащие гарантии для обработки персональных данных для целей архивирования в интересах общества, научных или исторических исследований или в статистических целях. Государствам-членам должно быть разрешено предоставлять на конкретных условиях и при условии надлежащих гарантий для субъектов данных, спецификаций и отступлений в отношении требований к информации и прав на исправление, чтобы стереть, быть забытыми, ограничение обработки, переносимость данных, и подвергать объекту при обработке персональных данных для целей архивирования в интересах общества, научных или исторических исследований или в статистических целях. Условия и гарантии, о которых идет речь, могут повлечь за собой конкретные процедуры для субъектов данных для осуществления этих прав, если это уместно с учетом целей, требуемых конкретной обработкой, а также технических и организационных мер, направленных на минимизацию обработки персональных данных во исполнение соразмерности и необходимости. Обработка персональных данных в научных целях должна также соответствовать другим соответствующим законам, таким как клинические испытания.
(157) Сопоставляя информацию из реестров, исследователи могут получить новые знания, имеющие большую ценность в отношении широко распространенных заболеваний, таких как сердечно-сосудистые заболевания, рак и депрессия. На основе реестров результаты исследований могут быть усилены, поскольку они основаны на более широком населении. В рамках социальных наук исследования на основе реестров позволяют исследователям получить существенные знания о долгосрочном соотношении ряда социальных условий, таких как безработица и образование с другими условиями жизни. Результаты исследований, полученные через реестры, обеспечивают надежные, высококачественные знания, которые могут служить основой для разработки и реализации политики, основанной на знаниях, улучшения качества жизни для ряда людей и повышения эффективности социальных услуг. Для облегчения научных исследований персональные данные могут обрабатываться в научных целях с учетом соответствующих условий и гарантий, установленных законодательством Союза или государства-члена.
(158) Если личные данные обрабатываются для целей архивирования, это Положение должно также применяться к этой обработке с учетом того, что настоящие Правила не должны применяться к умершим.Государственные органы или государственные или частные органы, которые занимают записи общественных интересов, должны быть услугами, которые в соответствии с законодательством Союза или государства-члена имеют юридическое обязательство приобретать, сохранять, оценивать, организовывать, описывать, сообщать, рекламировать, распространять и предоставлять доступ к отчеты о непреходящей ценности для общественных интересов. Государствам-членам также должно быть разрешено предоставлять дальнейшую обработку персональных данных для целей архивирования, например, с целью предоставления конкретной информации, касающейся политического поведения в рамках бывших тоталитарных государственных режимов, геноцида, преступлений против человечности, в частности Холокоста, или военных преступлений.
(159) Если личные данные обрабатываются для целей научных исследований, настоящий Регламент должен также применяться к этой обработке. Для целей настоящих Правил обработка персональных данных для целей научных исследований должна толковаться в широком смысле, включая, например, технологическое развитие и демонстрацию, фундаментальные исследования, прикладные исследования и исследования, финансируемые из частных источников. Кроме того, он должен учитывать цель Союза в соответствии со статьей 179 (1) TFEU по достижению Европейского исследовательского пространства. Цели научных исследований также должны включать исследования, проводимые в интересах общественности в области общественного здравоохранения. Чтобы удовлетворить специфику обработки персональных данных для целей научных исследований, конкретные условия должны применяться, в частности, в отношении публикации или иного раскрытия персональных данных в контексте целей научных исследований. Если результат научных исследований, в частности, в контексте здоровья, дает основания для дальнейших мер в интересах субъекта данных, общие правила настоящего Регламента должны применяться с учетом этих мер.
(160) Если личные данные обрабатываются для целей исторических исследований, настоящий Регламент также должен применяться к этой обработке. Это должно также включать исторические исследования и исследования для генеалогических целей, учитывая, что это Положение не должно применяться к умершим.
(161) В целях согласия на участие в научно-исследовательской деятельности в клинических испытаниях должны применяться соответствующие положения Регламента (ЕС) № 536/2014 Европейского парламента и Совета ( 15 ) .
(162) Если личные данные обрабатываются в статистических целях, настоящий Регламент должен применяться к этой обработке. Закон Союза или государства-члена должен в рамках настоящих Правил определять статистический контент, контроль доступа, спецификации для обработки персональных данных в статистических целях и соответствующие меры для защиты прав и свобод субъекта данных и обеспечения статистической конфиденциальности , Статистические цели означают любую операцию сбора и обработки персональных данных, необходимых для статистических обследований или для получения статистических результатов. Эти статистические результаты могут также использоваться для различных целей, включая цель научных исследований. Статистическая цель подразумевает, что результатом обработки в статистических целях не являются персональные данные, а совокупные данные и что этот результат или личные данные не используются для поддержки мер или решений в отношении какого-либо конкретного физического лица.
(163) Конфиденциальная информация, собираемая Союзом и национальными статистическими органами для подготовки официальной европейской и официальной национальной статистики, должна быть защищена.Европейская статистика должна разрабатываться, производиться и распространяться в соответствии со статистическими принципами, изложенными в статье 338 (2) TFEU, в то время как национальные статистические данные также должны соответствовать законодательству государств-членов. Регламент (ЕС) № 223/2009 Европейского парламента и Совета ( 16 ) содержит дополнительные спецификации по статистической конфиденциальности для европейской статистики.
(164) Что касается полномочий контролирующих органов по получению от контролера или процессора доступа к персональным данным и доступа к их помещениям, государства-члены могут принять в соответствии с законом в пределах настоящего Регламента конкретные правила для защиты профессионального или иного эквивалента в случае необходимости, для согласования права на защиту персональных данных с обязательством профессиональной тайны. Это не наносит ущерба существующим обязательствам государств-членов по принятию правил профессиональной тайны, если это требуется законодательством Союза.
(165) Настоящий Регламент уважает и не наносит ущерба статусу действующего конституционного права церквей и религиозных объединений или общин в государствах-членах, как это признано в статье 17 TFEU.
(166) Для выполнения целей настоящего Регламента, а именно для защиты основных прав и свобод физических лиц и, в частности, их права на защиту персональных данных и обеспечения свободного перемещения персональных данных в пределах Союза, права принимать акты в соответствии со статьей 290 TFEU следует делегировать Комиссии. В частности, должны быть приняты делегированные действия в отношении критериев и требований к механизмам сертификации, информации, которая должна быть представлена стандартизованными значками и процедурами для предоставления таких значков. Особое значение имеет то, что Комиссия проводит соответствующие консультации в ходе своей подготовительной работы, в том числе на уровне экспертов. Комиссия при подготовке и составлении делегированных актов должна обеспечивать одновременную, своевременную и надлежащую передачу соответствующих документов Европейскому парламенту и Совету.
(167) В целях обеспечения единообразных условий для осуществления настоящих Правил, полномочия по осуществлению должны предоставляться Комиссии, если это предусмотрено настоящими Правилами. Эти полномочия должны осуществляться в соответствии с Регламентом (ЕС) № 182/2011. В этом контексте Комиссии следует рассмотреть конкретные меры для микро-, малых и средних предприятий.
(168) Процедура экзамена должна использоваться для принятия исполнительных актов по стандартным договорным положениям между контроллерами и процессорами и между процессорами; нормы поведения;технические стандарты и механизмы сертификации; адекватный уровень защиты, предоставляемый третьей страной, территорией или определенным сектором в этой третьей стране или международной организацией; стандартные положения о защите; форматы и процедуры обмена информацией электронными средствами между диспетчерами, переработчиками и надзорными органами для обязательных корпоративных правил; взаимопомощь; и договоренности об обмене информацией электронными средствами между надзорными органами, а также между надзорными органами и Советом.
(169) Комиссия должна принять незамедлительно применимые исполнительные акты, если имеющиеся доказательства показывают, что третья страна, территория или определенный сектор в пределах этой третьей страны или международная организация не обеспечивают достаточный уровень защиты, и поэтому требуются настоятельные требования срочности.
(170) Поскольку цель настоящих Правил, а именно обеспечить эквивалентный уровень защиты физических лиц и свободный поток персональных данных по всему Союзу, не может быть в достаточной степени достигнута государствами-членами и, скорее, из-за масштаба или последствий действия, которые будут лучше достигнуты на уровне Союза, Союз может принять меры в соответствии с принципом субсидиарности, изложенным в статье 5 Договора о Европейском союзе (TEU). В соответствии с принципом соразмерности, изложенным в этой статье, настоящий Регламент не выходит за рамки того, что необходимо для достижения этой цели.
(171) Директива 95/46 / EC должна быть отменена настоящими Правилами. Переработка, уже начатая на дату применения настоящих Правил, должна быть приведена в соответствие с настоящими Правилами в течение двух лет, после чего настоящие Правила вступают в силу. Если обработка основана на согласии в соответствии с Директивой 95/46 / EC, нет необходимости, чтобы данные могли дать свое согласие еще раз, если способ предоставления согласия соответствует условиям настоящих Правил, с тем чтобы позволить контроллеру продолжить такую обработку после даты применения настоящих Правил. Решения Комиссии, принятые и санкционированные органами надзора на основании Директивы 95/46 / ЕС, остаются в силе до тех пор, пока они не будут изменены, заменены или отменены.
(172) В соответствии с пунктом 2 статьи 28 Регламента (ЕС) № 45/2001 был рассмотрен Европейский наблюдатель по защите данных и высказал мнение 7 марта 2012 года ( 17 ) .
(173) Настоящее Положение должно применяться ко всем вопросам, касающимся защиты основных прав и свобод в отношении обработки персональных данных, которые не подпадают под конкретные обязательства с той же целью, что и в Директиве 2002/58 / EC Европейского парламента и ( 18 ) , включая обязанности контролера и права физических лиц. Чтобы уточнить взаимосвязь между настоящим Регламентом и Директивой 2002/58 / EC, в эту Директиву следует внести соответствующие поправки. После принятия настоящих Правил Директива 2002/58 / EC должна быть рассмотрена, в частности, для обеспечения соответствия этим Правилам,

ПРИНЯЛИ ЭТО РЕГУЛИРОВАНИЕ:

ГЛАВА I
Основные положения

Статья 1
Предмет и цели
1. Настоящие Правила устанавливают правила, касающиеся защиты физических лиц в отношении обработки персональных данных и правил, касающихся свободного перемещения персональных данных.
2. Настоящий Регламент защищает основные права и свободы физических лиц и, в частности, их право на защиту персональных данных.
3. Свободное перемещение персональных данных в пределах Союза не ограничивается и не запрещается по причинам, связанным с защитой физических лиц в отношении обработки персональных данных.
Статья 2
Объем материала
1. Настоящие Правила применяются к обработке персональных данных полностью или частично автоматизированными средствами и к обработке, отличной от автоматизированных средств персональных данных, которые являются частью системы подачи или предназначены для формирования части системы подачи.
2. Настоящий Регламент не применяется к обработке персональных данных:
(А) в ходе деятельности, которая выходит за рамки закона Союза;
(Б) государствами-членами при осуществлении деятельности, которая подпадает под сферу действия главы 2 раздела V раздела TEU;
(С) физическим лицом в ходе чисто личной или домашней деятельности;
(Д) компетентными органами в целях предупреждения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение их.
3. Для обработки персональных данных союзными учреждениями, органами, офисами и учреждениями применяется Постановление (ЕС) № 45/2001. Регламент (ЕС) № 45/2001 и другие правовые акты Союза, применимые к такой обработке персональных данных, должны быть адаптированы к принципам и правилам настоящих Правил в соответствии со статьей 98.
4. Настоящее Положение не должно наносить ущерба применению Директивы 2000/31 / EC, в частности правил ответственности поставщиков промежуточных услуг в Статьях 12-15 этой Директивы.
Статья 3
Территориальный охват
1. Настоящие Правила применяются к обработке персональных данных в контексте деятельности по созданию контроллера или процессора в Союзе, независимо от того, происходит ли обработка в Союзе или нет.
2. Настоящие Правила применяются к обработке персональных данных субъектов данных, находящихся в Союзе, контроллером или процессором, не установленным в Союзе, где обрабатывающая деятельность связана с:
(А) предложение товаров или услуг, независимо от того, требуется ли оплата субъекта данных, таким субъектам данных в Союзе; или
(Б) мониторинг их поведения, поскольку их поведение имеет место в Союзе.
3. Настоящие Правила применяются к обработке персональных данных контроллером, не установленным в Союзе, а в том месте, где применяется законодательство государств-членов в силу международного публичного права.
Статья 4
Определения
Для целей настоящих Правил:
(1) «личные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или один или несколько факторов, специфичных для физического, физиологического, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица;
(2) «обработка» означает любую операцию или набор операций, которые выполняются на персональных данных или на наборах персональных данных, независимо от того, являются ли они автоматическими средствами, такими как сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, использование, раскрытие путем передачи, распространения или иного предоставления, выравнивание или сочетание, ограничение, стирание или уничтожение;
(3) «ограничение обработки» означает маркировку сохраненных персональных данных с целью ограничения их обработки в будущем;
(4) «профилирование» означает любую форму автоматизированной обработки персональных данных, состоящую из использования персональных данных для оценки определенных личных аспектов, относящихся к физическому лицу, в частности для анализа или прогнозирования аспектов, касающихся работы этого физического лица на работе, экономической ситуации, личные предпочтения, интересы, надежность, поведение, местоположение или движения;
(5) «псевдонимация» означает обработку персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации при условии, что такая дополнительная информация хранится отдельно и подлежит техническим и организационным мерам чтобы личные данные не были отнесены к идентифицированному или идентифицируемому физическому лицу;
(6) «система подачи» означает любой структурированный набор персональных данных, которые доступны по конкретным критериям, будь то централизованные, децентрализованные или распределенные на функциональной или географической основе;
(7) «контролер» означает физическое или юридическое лицо, государственную власть, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; где цели и средства такой обработки определяются законодательством Союза или государства-члена, контролер или конкретные критерии для его выдвижения могут быть предусмотрены законодательством Союза или государства-члена;
(8) «процессор» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает личные данные от имени контроллера;
(9) «получатель» означает физическое или юридическое лицо, государственную власть, агентство или другой орган, которому раскрыты личные данные, независимо от того, является ли она третьей стороной или нет.Однако государственные органы, которые могут получать персональные данные в рамках конкретного расследования в соответствии с законодательством Союза или государства-члена, не считаются получателями;обработка этих данных этими государственными органами должна соответствовать применимым правилам защиты данных в соответствии с целями обработки;
(10) «третья сторона» означает физическое или юридическое лицо, государственную власть, агентство или орган, иные, чем субъект данных, контролер, процессор и лица, которые под прямым контролем контроллера или процессора имеют право обрабатывать персональные данные;
(11) «согласие» субъекта данных означает любое свободно заданное, конкретное, информированное и однозначное указание желаний субъекта данных, посредством которого он или она посредством заявления или четким утвердительным действием означает согласие на обработку персональных данных, относящихся к нему или ее;
(12) «нарушение личных данных» означает нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к переданным, переданным, иным образом обработанным персональным данным;
(13) «генетические данные» означают личные данные, относящиеся к унаследованным или приобретенным генетическим характеристикам физического лица, которые дают уникальную информацию о физиологии или здоровье этого физического лица и которые, в частности, приводят к анализу биологического образца из естественного лицо, о котором идет речь;
(14) «биометрические данные» означают личные данные, полученные в результате конкретной технической обработки, относящейся к физическим, физиологическим или поведенческим характеристикам физического лица, которые позволяют или подтверждают уникальную идентификацию этого физического лица, например изображения на лице или дактилоскопические данные;
(15) «данные о здоровье» означают личные данные, связанные с физическим или психическим здоровьем физического лица, включая предоставление медицинских услуг, которые раскрывают информацию о его или ее состоянии здоровья;
(16) «Главное учреждение» означает:
(А) в отношении контролера с учреждениями в более чем одном государстве-члене, местом его центральной администрации в Союзе, если решения о целях и средствах обработки персональных данных не принимаются в другом учреждении контролера в Союзе и последнее учреждение имеет право принимать такие решения, и в этом случае учреждение, принявшее такие решения, должно считаться главным учреждением;
(Б) в отношении процессора с учреждениями в более чем одном государстве-члене, местом его центральной администрации в Союзе или, если процессор не имеет центрального управления в Союзе, создание процессора в Союзе, где основные виды обработки в контекст деятельности по созданию процессора происходит в той степени, в которой процессор подчиняется конкретным обязательствам по настоящему Регламенту;
(17) «представитель» означает физическое или юридическое лицо, учрежденное в Союзе, которое, назначенное диспетчером или обработчиком в письменной форме в соответствии со статьей 27, представляет контролера или обработчика в отношении своих соответствующих обязательств по настоящим Правилам;
(18) «предприятие» означает физическое или юридическое лицо, занимающееся экономической деятельностью, независимо от его юридической формы, включая товарищества или ассоциации, регулярно занимающиеся экономической деятельностью;
(19) «группа предприятий» означает контролирующее предприятие и его контролируемые предприятия;
(20) «обязательные корпоративные правила» означают политики защиты персональных данных, которые соблюдаются контроллером или процессором, установленным на территории государства-члена для передачи или набора передачи персональных данных контроллеру или процессору в одной или нескольких третьих странах в рамках группа предприятий или группа предприятий, занимающихся совместной экономической деятельностью;
(21) «надзорный орган» означает независимый государственный орган, учрежденный государством-членом в соответствии со статьей 51;
(22) «соответствующий надзорный орган» означает надзорный орган, который занимается обработкой персональных данных, поскольку:
(А) контроллер или процессор устанавливается на территории государства-члена этого контролирующего органа;
(Б) предметы данных, проживающие в государстве-члене этого надзорного органа, существенно затронуты или могут быть существенно затронуты обработкой; или
(С) жалоба была подана в этом надзорном органе;
(23) «трансграничная обработка» означает либо:
(А) обработка персональных данных, которые происходят в контексте деятельности учреждений в более чем одном государстве-члене контроллера или процессора в Союзе, где контроллер или процессор установлен в более чем одном государстве-члене; или
(Б) обработка персональных данных, которая имеет место в контексте деятельности одного учреждения контроллера или процессора в Союзе, но которая существенно влияет или может существенно повлиять на субъекты данных в более чем одном государстве-члене.
(24) «соответствующее и аргументированное возражение» означает возражение против проекта решения о том, существует ли нарушение настоящих Правил или предусмотрено ли предусмотренное настоящим Положением действие в отношении контроллера или процессора, что наглядно демонстрирует значимость рисков, создаваемых проект решения в отношении основных прав и свобод субъектов данных и, где применимо, свободный поток персональных данных в Союзе;
(25) «услуга информационного общества» означает услугу, определенную в пункте (b) статьи 1 (1) Директивы (ЕС) 2015/1535 Европейского парламента и Совета ( 19 ) ;
(26) «международная организация» означает организацию и ее подчиненные органы, регулируемые публичным международным правом, или любой другой орган, созданный или на основе соглашения между двумя или более странами.

ГЛАВА II.
принципы
Статья 5
Принципы обработки персональных данных
1. Персональные данные:
(А) законно, справедливо и прозрачно обрабатывается в отношении субъекта данных («законность, справедливость и прозрачность»);
(Б) собранные для определенных, явных и законных целей и не обрабатываемые в дальнейшем таким образом, который несовместим с этими целями; дальнейшая обработка для целей архивирования в общественных интересах, научных или исторических исследовательских целях или в статистических целях в соответствии со Статьей 89 (1) не считается несовместимой с первоначальными целями («ограничение цели»);
(С) адекватным, соответствующим и ограниченным тем, что необходимо в отношении целей, для которых они обрабатываются («минимизация данных»);
(Д) точную и, при необходимости, обновленную; каждый разумный шаг должен быть предпринят для обеспечения того, чтобы личные данные, которые были неточными, с учетом целей, для которых они были обработаны, были стерты или исправлены без задержки («точность»);
(Е) хранится в форме, которая позволяет идентифицировать субъектов данных не более, чем это необходимо для целей, для которых обрабатываются персональные данные; личные данные могут храниться на более длительные периоды времени, поскольку персональные данные будут обрабатываться исключительно для целей архивирования в общественных интересах, научных или исторических целях исследования или статистических целях в соответствии со Статьей 89 (1) при условии применения соответствующих технических и организационных меры, требуемые настоящим Регламентом в целях защиты прав и свобод субъекта данных («ограничение хранения»);
(Е) обрабатываются таким образом, чтобы обеспечить надлежащую защиту персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения с использованием соответствующих технических или организационных мер («целостность и конфиденциальность»).
2. Контролер несет ответственность и может продемонстрировать соблюдение пункта 1 («подотчетность»).
Статья 6
Законность обработки
1. Обработка должна быть законной только в том случае, если и в той мере, в которой применяется хотя бы одно из следующего:
(А) субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
(Б) обработка необходима для выполнения контракта, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора;
(С) обработка необходима для соблюдения юридического обязательства, которому подвержен контроль;
(Д) обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;
(Е) обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;
(Е) обработка необходима для целей законных интересов, осуществляемых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности, когда данные субъект - ребенок.
Пункт (f) первого подпункта не применяется к обработке, осуществляемой государственными органами при выполнении своих задач.
2. Государства-члены могут поддерживать или вводить более конкретные положения, регулирующие применение правил настоящих Правил в отношении обработки на соответствие пунктам (с) и (е) пункта 1, путем более точного определения конкретных требований к обработке и другим меры по обеспечению законной и справедливой обработки, в том числе для других конкретных ситуаций обработки, как это предусмотрено в главе IX.
3. Основания для обработки, упомянутые в пунктах (с) и (е) пункта 1, устанавливаются:
(А) Союзный закон; или
(Б) Закон о государстве-члене, которому подчинен контроль.
Цель обработки определяется в этой правовой базе или в отношении обработки, упомянутой в пункте (е) пункта 1, необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочия, возложенные на контроллер. Эта правовая основа может содержать конкретные положения, регулирующие применение правил настоящих Правил, в частности: общие условия, регулирующие законность обработки контроллером; типы данных, подлежащих обработке; субъекты данных; субъекты и цели, для которых могут быть раскрыты личные данные; ограничение цели; периоды хранения; а также процедуры обработки и обработки, включая меры по обеспечению законной и справедливой обработки, например, для других конкретных ситуаций обработки, как это предусмотрено в главе IX. Закон Союза или государства-члена отвечает интересам общества и должен быть соразмерен преследуемой законной цели.
4. Если обработка с целью, отличной от той, для которой были собраны личные данные, не основана на согласии субъекта данных или в законе Союза или государства-члена, который представляет собой необходимую и пропорциональную меру в демократическом обществе для обеспечения целей упомянутой в Статье 23 (1), контролер должен, чтобы удостовериться, совместима ли обработка для другой цели с целью, для которой персональные данные первоначально собраны, учитывать, в частности:
(А) любая связь между целями, для которых были собраны личные данные, и целями предполагаемой дальнейшей обработки;
(Б) контекст, в котором собирались персональные данные, в частности в отношении взаимосвязи между субъектами данных и контроллером;
(С) характер персональных данных, в частности, обрабатываются ли специальные категории персональных данных в соответствии со статьей 9 или обрабатываются ли персональные данные, связанные с уголовными обвинительными приговорами и правонарушениями, в соответствии со статьей 10;
(Д) возможные последствия предполагаемой дальнейшей обработки данных;
(Е) наличие соответствующих гарантий, которые могут включать в себя шифрование или псевдонимизацию.
Статья 7
Условия для согласия
1. Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных согласился на обработку его личных данных.
2. Если согласие субъекта данных дается в контексте письменного заявления, которое также касается других вопросов, просьба о согласии должна быть представлена способом, который четко отличается от других вопросов, в понятной и легкодоступной форме, используя ясный и простой язык. Любая часть такой декларации, которая представляет собой нарушение настоящих Правил, не является обязательной.
3. Субъект данных имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки на основании согласия до его отзыва. Перед дачей согласия об этом сообщается субъекту данных.Выйти так легко, как дать согласие.
4. При оценке того, предоставляется ли согласие свободно, следует учитывать максимальный учет того, выполняются ли, в частности , выполнение контракта, включая предоставление услуги, с согласия на обработку персональных данных, которые не нужны для выполнение этого контракта.
Статья 8
Условия, применимые к согласию ребенка в отношении услуг информационного общества
1. В случае применения пункта (а) статьи 6 (1) в отношении предложения услуг информационного общества непосредственно ребенку обработка личных данных ребенка является законной, если ребенку исполнилось не менее 16 лет , Если ребенку не исполнилось 16 лет, такая обработка является законной только в том случае, если и в той степени, в которой согласие дается или разрешено держателем родительской ответственности над ребенком.
Государства-члены могут предусмотреть в законодательстве более низкий возраст для этих целей при условии, что такой более низкий возраст не ниже 13 лет.
2. Контролер должен приложить разумные усилия для проверки в таких случаях, когда согласие предоставляется или разрешается держателем родительской ответственности над ребенком с учетом имеющихся технологий.
3. Пункт 1 не затрагивает положения об общем договоре государств-членов, такие как правила о действительности, формировании или действии контракта в отношении ребенка.
Статья 9
Обработка специальных категорий персональных данных
1. Обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, а также обработка генетических данных, биометрические данные с целью однозначной идентификации физического лица, данные о здоровье или данные, касающиеся сексуальная жизнь или сексуальная ориентация физического лица запрещаются.
2. Пункт 1 не применяется, если применяется одно из следующих условий:
(А) субъект данных дал явное согласие на обработку этих персональных данных в одном или нескольких указанных целях, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что запрет, упомянутый в пункте 1, не может быть отменен субъектом данных;
(Б) обработка необходима для целей выполнения обязательств и осуществления конкретных прав контролера или субъекта данных в области занятости и социального обеспечения и законодательства о социальной защите в той мере, в какой это разрешено законодательством Союза или государства-члена или коллективный договор в соответствии с законодательством государств-членов, предусматривающий надлежащие гарантии основных прав и интересов субъекта данных;
(С) обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица, если субъект данных физически или юридически неспособен дать согласие;
(Д) обработка осуществляется в ходе ее законной деятельности с надлежащими гарантиями со стороны фонда, ассоциации или любого другого некоммерческого органа с политической, философской, религиозной или профсоюзной целью и при условии, что обработка относится исключительно к членам или бывшим членам органа или лицам, которые имеют с ним постоянный контакт в связи с его целями, и что личные данные не раскрываются вне этого органа без согласия субъектов данных;
(Е) обработка относится к персональным данным, которые явно публикуются субъектом данных;
(Е) обработка необходима для создания, осуществления или защиты судебных исков или когда суды действуют в своем судебном порядке;
(г) обработка необходима по соображениям существенных общественных интересов на основе законодательства Союза или государства-члена, которое будет соразмерно преследуемой цели, уважать сущность права на защиту данных и предусматривать надлежащие и конкретные меры по защите основных прав и интересы субъекта данных;
(час) обработка необходима для целей профилактической или профессиональной медицины, для оценки работоспособности работника, медицинского диагноза, оказания медицинской или социальной помощи или лечения или управления системами и услугами здравоохранения или социального обеспечения на основе Закона Союза или государства-члена или в соответствии с контрактом с медицинским работником и с учетом условий и гарантий, указанных в пункте 3;
(я) обработка необходима по соображениям общественного интереса в области общественного здравоохранения, например, защита от серьезных трансграничных угроз здоровью или обеспечение высоких стандартов качества и безопасности медицинского обслуживания и лекарственных средств или медицинских устройств на основе Союза или законодательством государств-членов, в котором предусматриваются надлежащие и конкретные меры по защите прав и свобод субъекта данных, в частности профессиональной тайны;
(К) обработка необходима для целей архивирования в общественных целях, научных или исторических целях исследования или в статистических целях в соответствии со статьей 89 (1), основанной на законе Союза или государства-члена, которая будет пропорциональна преследуемой цели, уважать сущность права на защиты данных и предусматривать соответствующие и конкретные меры по защите основных прав и интересов субъекта данных.
3. Личные данные, указанные в параграфе 1, могут быть обработаны для целей, указанных в пункте (h) пункта 2, когда эти данные обрабатываются или под ответственность профессионального субъекта за обязательство по профессиональной тайне в Союзе или государстве-члене закон или правила, установленные национальными компетентными органами или другим лицом, также подлежащие обязательному соблюдению в соответствии с законодательством Союза или государством-членом или правилами, установленными национальными компетентными органами.
4. Государства-члены могут поддерживать или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья.
Статья 10
Обработка персональных данных, связанных с уголовными обвинительными приговорами и правонарушениями
Обработка персональных данных, связанных с уголовными обвинительными приговорами и правонарушениями или связанными с ними мерами безопасности на основании статьи 6 (1), осуществляется только под контролем официальных органов или когда обработка разрешена законодательством Союза или государства-члена, предусматривающим соответствующие гарантии для прав и свобод субъектов данных. Любой всеобъемлющий реестр уголовных приговоров должен храниться только под контролем официальных органов.
Статья 11.
Обработка, которая не требует идентификации
1. Если цели, для которых контроллер обрабатывает личные данные, не требуют или больше не требуют идентификации субъекта данных контроллером, контроллер не обязан поддерживать, приобретать или обрабатывать дополнительную информацию, чтобы идентифицировать субъекта данных с единственной целью соблюдения настоящих Правил.
2. Если в случаях, упомянутых в пункте 1 настоящей статьи, диспетчер может продемонстрировать, что он не в состоянии идентифицировать субъекта данных, контроллер должен, по мере возможности, информировать субъекта данных. В таких случаях статьи 15-20 не применяются, за исключением случаев, когда субъект данных в целях осуществления своих прав по этим статьям предоставляет дополнительную информацию, позволяющую идентифицировать его.

ГЛАВА III.
Права субъекта данных
Секция 1
Прозрачность и модальности
Статья 12
Прозрачная информация, связь и условия осуществления прав субъекта данных
1. Контролер должен принять надлежащие меры для предоставления любой информации, упомянутой в статьях 13 и 14, и любого сообщения в соответствии со статьями 15-22 и 34, касающихся обработки данных субъекту в краткой, прозрачной, понятной и легкодоступной форме, с использованием четких и простой язык, в частности, для любой информации, специально адресованной ребенку. Информация предоставляется в письменной форме или другими способами, в том числе, в соответствующих случаях, с помощью электронных средств. По запросу субъекта данных информация может предоставляться в устной форме при условии, что идентификация субъекта данных подтверждается другими способами.
2. Контролер должен содействовать осуществлению прав субъекта данных в соответствии со статьями 15-22. В случаях, указанных в Статье 11 (2), контролер не отказывается действовать по запросу субъекта данных для осуществления своих прав согласно статьям 15-22, если только контроллер не продемонстрирует, что он не в состоянии идентифицировать субъекта данных.
3. Контролер должен предоставить информацию о действиях, предпринятых по запросу согласно статьям 15-22, субъекту данных без необоснованной задержки и в любом случае в течение одного месяца с момента получения запроса. Этот период может быть продлен еще на два месяца, когда это необходимо, с учетом сложности и количества запросов. Контролер должен информировать субъекта данных о любом таком продлении в течение одного месяца с момента получения запроса вместе с причинами задержки. Если субъект данных делает запрос электронным способом, информация предоставляется, если это возможно, с помощью электронных средств, если субъект данных не запрашивает иное.
4. Если контроллер не принимает меры по запросу субъекта данных, контролер должен незамедлительно сообщить об этом субъекту данных в течение одного месяца с момента получения запроса о причинах не предпринимать действий и о возможности подача жалобы в надзорный орган и поиск судебного средства правовой защиты.
5. Информация, предоставляемая согласно статьям 13 и 14, и любое сообщение и любые действия, предпринятые в соответствии со статьями 15-22 и 34, предоставляются бесплатно. Если запросы от субъекта данных явно необоснованны или чрезмерны, в частности из-за их повторяющегося характера, контроллер может:
(А) взимать разумную плату с учетом административных издержек предоставления информации или сообщения или принятия требуемых действий; или
(Б) отказываются действовать по запросу.
Контролер несет ответственность за демонстрацию явно необоснованного или чрезмерного характера запроса.
6. Без ущерба для статьи 11, когда у диспетчера имеются разумные сомнения относительно личности физического лица, делающего запрос, упомянутый в статьях 15-21, диспетчер может запросить предоставление дополнительной информации, необходимой для подтверждения личности субъекта данных ,
7. Информация, которая должна предоставляться субъектам данных в соответствии со статьями 13 и 14, может предоставляться в сочетании со стандартизованными значками, чтобы обеспечить легко видимый, понятный и четкий вид значимого обзора предполагаемой обработки. Там, где значки представлены в электронном виде, они должны быть машиночитаемыми.
8. Комиссия уполномочена принимать делегированные действия в соответствии со статьей 92 с целью определения информации, которая должна быть представлена значками и процедурами предоставления стандартизованных значков.
Раздел 2
Информация и доступ к персональным данным
Статья 13.
Информация, которая должна быть предоставлена, когда личные данные собираются от субъекта данных
1. Если личные данные, относящиеся к субъекту данных, собираются от субъекта данных, контроллер должен в момент получения персональных данных предоставить субъекту данных всю следующую информацию:
(А) личность и контактные данные контроллера и, где это применимо, представителя диспетчера;
(Б) контактные данные сотрудника по защите данных, где это применимо;
(С) цели обработки, для которых предназначены персональные данные, а также правовая основа для обработки;
(Д) где обработка основывается на пункте (f) статьи 6 (1), законных интересах, проводимых контролером или третьей стороной;
(Е) получатели или категории получателей персональных данных, если таковые имеются;
(Е) когда это применимо, тот факт, что контролер намерен передавать личные данные в третью страну или международную организацию, а также наличие или отсутствие решения Комиссии о достаточности или в случае переводов, упомянутых в статье 46 или 47, или второй подпункт статьи 49 (1), ссылку на соответствующие или подходящие гарантии и средства для получения их копии или там, где они были предоставлены.
2. В дополнение к информации, упомянутой в пункте 1, контроллер должен в момент получения персональных данных предоставить субъекту данных следующую дополнительную информацию, необходимую для обеспечения справедливой и прозрачной обработки:
(А) период, в течение которого персональные данные будут сохранены или если это невозможно, критерии, используемые для определения этого периода;
(Б) наличие права запрашивать у диспетчера доступ и исправление или удаление личных данных или ограничение обработки в отношении субъекта данных или возражения против обработки, а также право на переносимость данных;
(С) где обработка основывается на пункте (а) статьи 6 (1) или пункте (а) статьи 9 (2), о существовании права на снятие согласия в любое время без ущерба для законности обработки на основе согласия до его изъятие;
(Д) право подавать жалобу в надзорный орган;
(Е) является ли предоставление персональных данных уставным или контрактным требованием или требованием, необходимым для заключения договора, а также обязан ли субъект данных предоставлять персональные данные и возможные последствия отказа предоставить такие данные;
(Е) наличие автоматизированного принятия решений, включая профилирование, упомянутое в статьях 22 (1) и (4), и, по крайней мере, в этих случаях, содержательную информацию о вовлеченной логике, а также о значимости и предполагаемых последствиях такой обработки для субъекта данных.
3. Если контроллер намерен дополнительно обрабатывать персональные данные для целей, отличных от тех, для которых были собраны личные данные, контроллер должен предоставить субъекту данных до этой дальнейшей обработки информацию об этой другой цели и любую соответствующую дополнительную информацию как указано в пункте 2.
4. Пункты 1, 2 и 3 не применяются там, где и если субъект данных уже имеет информацию.
Статья 14
Информация, которая должна быть предоставлена, если личные данные не были получены от субъекта данных
1. Если личные данные не были получены от субъекта данных, контроллер должен предоставить субъекту данных следующую информацию:
(А) личность и контактные данные контроллера и, где это применимо, представителя диспетчера;
(Б) контактные данные сотрудника по защите данных, где это применимо;
(С) цели обработки, для которых предназначены персональные данные, а также правовая основа для обработки;
(Д) категории персональных данных;
(Е) получатели или категории получателей персональных данных, если таковые имеются;
(Е) где это применимо, что диспетчер намерен передать персональные данные получателю в третьей стране или международной организации, а также о наличии или отсутствии решения Комиссии о достаточности или в случае передач, упомянутых в статье 46 или 47, или второй подпункт статьи 49 (1), ссылку на соответствующие или подходящие гарантии и средства для получения их копии или там, где они были предоставлены.
2. В дополнение к информации, упомянутой в пункте 1, контролер должен предоставить субъекту данных следующую информацию, необходимую для обеспечения справедливой и прозрачной обработки в отношении субъекта данных:
(А) период, в течение которого персональные данные будут сохранены или если это невозможно, критерии, используемые для определения этого периода;
(Б) где обработка основывается на пункте (f) статьи 6 (1), законных интересах, проводимых контролером или третьей стороной;
(С) наличие права запрашивать у контроллера доступ к или исправление или удаление личных данных или ограничение обработки в отношении субъекта данных и подвергать обработке, а также право на переносимость данных;
(Д) где обработка основывается на пункте (а) статьи 6 (1) или пункте (а) статьи 9 (2), о существовании права на снятие согласия в любое время без ущерба для законности обработки на основе согласия до его вывод;
(Е) право подавать жалобу в надзорный орган;
(Е) из какого источника происходят персональные данные, и, если применимо, из источников, доступных общественности;
(г) наличие автоматизированного принятия решений, включая профилирование, упомянутое в статьях 22 (1) и (4), и, по крайней мере, в этих случаях, содержательную информацию о вовлеченной логике, а также о значимости и предполагаемых последствиях такой обработки для субъекта данных.
3. Контролер должен предоставить информацию, указанную в пунктах 1 и 2:
(А) в течение разумного периода времени после получения персональных данных, но не позднее, чем через месяц, с учетом конкретных обстоятельств, в которых обрабатываются персональные данные;
(Б) если персональные данные должны использоваться для связи с субъектом данных, самое позднее во время первого сообщения этому субъекту данных; или
(С) если раскрытие информации другому получателю предусмотрено, самое позднее, когда персональные данные сначала раскрываются.
4. Если контроллер намерен дополнительно обрабатывать персональные данные с целью, отличной от той, для которой были получены персональные данные, контроллер должен предоставить субъекту данных до этой дальнейшей обработки информацию об этой другой цели и любую соответствующую дополнительную информацию как указано в пункте 2.
5. Пункты 1-4 не применяются там, где и в той мере, в какой:
(А) субъект данных уже имеет информацию;
(Б) предоставление такой информации оказывается невозможным или будет сопряжено с непропорциональными усилиями, в частности для обработки в целях архивирования в интересах общества, научных или исторических исследований или статистических целей с учетом условий и гарантий, упомянутых в статье 89 (1), или поскольку обязательство, упомянутое в пункте 1 настоящей статьи, может оказать невозможное или серьезно ухудшить достижение целей этой обработки. В таких случаях контролер должен принять надлежащие меры для защиты прав и свобод субъекта данных и законных интересов, в том числе предоставления информации общедоступной;
(С) получение или разглашение четко изложено законодательством Союза или государств-членов, к которому относится контролер, и который предусматривает соответствующие меры для защиты законных интересов субъекта данных; или
(Д) где персональные данные должны оставаться конфиденциальными в соответствии с обязательством профессиональной тайны, регулируемой законодательством Союза или государства-члена, в том числе обязательством по тайне.
Статья 15.
Право доступа субъектом данных
1. Субъект данных имеет право получить от контролера подтверждение о том, обрабатываются ли персональные данные, касающиеся его или ее лица, и, в этом случае, доступ к персональным данным и следующая информация:
(А) цели обработки;
(Б) категории персональных данных;
(С) получатели или категории получателей, которым были или будут раскрыты личные данные, в частности получатели в третьих странах или международных организациях;
(Д) где это возможно, предполагаемый период, за который будут храниться личные данные, или, если это невозможно, критерии, используемые для определения этого периода;
(Е) наличие права требовать от контроллера исправления или стирания личных данных или ограничения обработки персональных данных в отношении субъекта данных или возражения против такой обработки;
(Е) право подавать жалобу в надзорный орган;
(г) где персональные данные не собираются от субъекта данных, любая доступная информация об их источнике;
(час) наличие автоматизированного принятия решений, включая профилирование, упомянутое в статьях 22 (1) и (4), и, по крайней мере, в этих случаях, содержательную информацию о вовлеченной логике, а также о значимости и предполагаемых последствиях такой обработки для субъекта данных.
2. Когда личные данные передаются в третью страну или в международную организацию, субъект данных имеет право быть проинформированным о соответствующих гарантиях в соответствии со статьей 46, касающейся передачи.
3. Контроллер должен предоставить копию обрабатываемых персональных данных. Для любых дополнительных копий, запрошенных субъектом данных, контроллер может взимать разумную плату исходя из административных расходов. Если субъект данных делает запрос электронными средствами, и если иное не запрошено субъектом данных, информация должна предоставляться в широко используемой электронной форме.
4. Право на получение копии, упомянутой в пункте 3, не должно отрицательно влиять на права и свободы других лиц.
Раздел 3
Исправление и стирание
Статья 16
Право на исправление
Субъект данных имеет право получить от контролера без неоправданной задержки исправление неточных личных данных, касающихся его или ее. Принимая во внимание цели обработки, субъект данных имеет право на неполные личные данные, в том числе путем предоставления дополнительного заявления.
Статья 17.
Право на стирание («право быть забытым»)
1. Субъект данных имеет право получить от контролера удаление личных данных, касающихся его или ее без неоправданной задержки, и контролер обязан нести личную информацию без неоправданной задержки, если применяется одно из следующих оснований:
(А) личные данные больше не нужны в отношении целей, для которых они были собраны или обработаны иным образом;
(Б) субъект данных снимает согласие, на основании которого обработка основывается в соответствии с пунктом (а) статьи 6 (1) или пунктом (а) статьи 9 (2), и где нет другого юридического основания для обработки;
(С) субъект данных подвергает обработке в соответствии со Статьей 21 (1), и нет основополагающих законных оснований для обработки, или субъекты данных, подлежащие обработке в соответствии со Статьей 21 (2);
(Д) личные данные были незаконно обработаны;
(Е) личные данные должны быть стерты на предмет соблюдения юридического обязательства в законодательстве Союза или государства-члена, которому подчинен контроль;
(Е) личные данные были собраны в связи с предложением услуг информационного общества, упомянутых в Статье 8 (1).
2. Если контролер сделал личные данные общедоступными и обязан в соответствии с пунктом 1 стереть персональные данные, контролер с учетом имеющейся технологии и стоимости реализации должен предпринять разумные шаги, включая технические меры, для информирования диспетчеров которые обрабатывают персональные данные, которые субъект данных запросил для стирания такими контроллерами любых ссылок на эти личные данные или их копирование или тиражирование.
3. Пункты 1 и 2 не применяются в той степени, в которой необходима обработка:
(А) для осуществления права на свободу выражения и информации;
(Б) за соблюдение юридического обязательства, которое требует обработки законодательством Союза или государства-члена, к которому относится контролер, или для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;
(С) по соображениям общественного интереса в области общественного здравоохранения в соответствии с пунктами (h) и (i) статьи 9 (2), а также статьей 9 (3);
(Д) для целей архивирования в интересах общества, научных или исторических исследований или статистических целей в соответствии со статьей 89 (1), поскольку право, упомянутое в пункте 1, может оказать невозможное или серьезно ухудшить достижение целей этого обработка; или
(Е) для создания, осуществления или защиты юридических требований.
Статья 18
Право на ограничение обработки
1. Субъект данных имеет право получить от контроллера ограничение обработки, если применяется одно из следующих условий:
(А) точность персональных данных оспаривается субъектом данных в течение периода, позволяющего контроллеру проверять точность персональных данных;
(Б) обработка является незаконной, и субъект данных выступает против стирания персональных данных и вместо этого требует ограничения их использования;
(С) контроллер больше не нуждается в персональных данных для целей обработки, но они требуются субъектом данных для установления, осуществления или защиты юридических требований;
(Д) субъект данных возражал против обработки в соответствии со Статьей 21 (1) в ожидании проверки того, соответствуют ли законные основания для контроллера субъектам данных.
2. Если обработка была ограничена в соответствии с пунктом 1, такие личные данные, за исключением хранения, обрабатываются только с согласия субъекта данных или для установления, осуществления или защиты юридических требований или для защиты прав другого лица физического или юридического лица или по соображениям важных общественных интересов Союза или государства-члена.
3. Субъект данных, который получил ограничение на обработку в соответствии с пунктом 1, должен быть проинформирован диспетчером до того, как будет отменено ограничение обработки.
Статья 19
Уведомление об исправлении или стирании личных данных или ограничении обработки
Контролер должен сообщать о любом исправлении или стирании персональных данных или ограничении обработки, осуществляемых в соответствии со Статьей 16, Статьей 17 (1) и Статьей 18, каждому получателю, которому были раскрыты личные данные, если это не окажется невозможным или сопряжено с непропорциональными усилия. Контролер должен информировать субъекта данных о тех получателях, если запрашивает его субъект данных.
Статья 20
Право на переносимость данных
1. Субъект данных имеет право на получение персональных данных о нем или ее, которые он или она предоставил контроллеру, в структурированном, обычно используемом и машиночитаемом формате и имеет право передавать эти данные другому лицу контроллер без помех от контроллера, которому были предоставлены персональные данные, где:
(А) обработка основывается на согласии в соответствии с пунктом (а) статьи 6 (1) или пунктом (а) статьи 9 (2) или на договоре в соответствии с пунктом (b) статьи 6 (1); а также
(Б) обработка осуществляется автоматизированными средствами.
2. При осуществлении своего права на переносимость данных в соответствии с пунктом 1 субъект данных имеет право передавать персональные данные непосредственно от одного контроллера к другому, если это технически осуществимо.
3. Осуществление права, упомянутого в пункте 1 настоящей статьи, не наносит ущерба статье 17. Это право не применяется к обработке, необходимой для выполнения задачи, выполняемой в интересах общества или при осуществлении официальных полномочий вложенный в контроллер.
4. Право, упомянутое в пункте 1, не должно отрицательно сказываться на правах и свободах других лиц.
Раздел 4
Право на объектное и автоматическое индивидуальное принятие решений
Статья 21
Право на объект
1. Субъект данных имеет право возражать по основаниям, касающимся его или ее конкретной ситуации, в любое время для обработки персональных данных, касающихся его или нее, который основан на пункте (e) или (f) статьи 6 ( 1), включая профилирование на основе этих положений. Контролер больше не обрабатывает персональные данные, если контроллер не демонстрирует убедительные законные основания для обработки, которые переопределяют интересы, права и свободы субъекта данных или для создания, осуществления или защиты юридических требований.
2. Если личные данные обрабатываются для целей прямого маркетинга, субъект данных имеет право в любое время возражать против обработки персональных данных, касающихся его или ее для такого маркетинга, который включает в себя профилирование в той степени, в которой это связано с таким прямым маркетинг.
3. Если объект данных подвергает обработке для целей прямого маркетинга, персональные данные больше не будут обрабатываться для таких целей.
4. Не позднее, в момент первого сообщения с субъектом данных, право, упомянутое в пунктах 1 и 2, должно быть прямо доведено до сведения субъекта данных и должно быть представлено четко и отдельно от любой другой информации.
5. В контексте использования услуг информационного общества и, невзирая на Директиву 2002/58 / EC, субъект данных может осуществлять свое право на объективное использование с помощью технических средств с использованием технических спецификаций.
6. Если личные данные обрабатываются в научных или исторических целях или в статистических целях в соответствии со статьей 89 (1), субъект данных по основаниям, относящимся к его или ее конкретной ситуации, имеет право возражать против обработки персональных данных, касающихся его или ее, если обработка не необходима для выполнения задачи, выполняемой по соображениям общественного интереса.
Статья 22
Автоматизированное индивидуальное принятие решений, в том числе профилирование
1. Субъект данных имеет право не подвергаться решению, основанному исключительно на автоматизированной обработке, включая профилирование, которое производит юридические последствия в отношении его или ее или аналогично существенно влияет на его или ее.
2. Пункт 1 не применяется, если решение:
(А) необходимо для заключения или выполнения контракта между субъектом данных и контроллером данных;
(Б) разрешено законодательством Союза или государства-члена, которому подчинен контролер, и который также устанавливает подходящие меры для защиты прав и свобод субъекта данных и законных интересов; или
(С) основано на явном согласии субъекта данных.
3. В случаях, упомянутых в пунктах (а) и (с) параграфа 2, контролер данных должен применять надлежащие меры для защиты прав и свобод субъекта данных и законных интересов, по крайней мере, право на вмешательство человека со стороны диспетчера, выразить свою точку зрения и оспорить решение.
4. Решения, упомянутые в пункте 2, не должны основываться на специальных категориях персональных данных, упомянутых в Статье 9 (1), если не применяются пункты (а) или (г) Статьи 9 (2) и подходящие меры для защиты данных права и свободы субъекта и законные интересы.
Раздел 5
ограничения
Статья 23.
ограничения
1. Закон Союза или государства-члена, которому подчинен контроллер данных или процессор, может ограничивать законодательную меру сферу обязательств и прав, предусмотренных в статьях 12-22 и статье 34, а также статьи 5 в поскольку его положения соответствуют правам и обязательствам, предусмотренным в статьях 12-22, когда такое ограничение уважает сущность основных прав и свобод и является необходимой и пропорциональной мерой в демократическом обществе для обеспечения:
(А) Национальная безопасность;
(Б) защита;
(С) общественная безопасность;
(Д) предотвращение, расследование, выявление или преследование уголовных преступлений или исполнение уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение их угроз;
(Е) другие важные цели всеобщего общественного интереса Союза или государства-члена, в частности важные экономические или финансовые интересы Союза или государства-члена, включая денежные, бюджетные и налоговые вопросы, общественное здравоохранение и социальное обеспечение;
(Е) защита судебной независимости и судебного разбирательства;
(г) предупреждение, расследование, выявление и преследование нарушений этики для регулируемых профессий;
(час) контрольная, инспекционная или регулирующая функция, связанная иногда с официальными полномочиями в случаях, указанных в пунктах (a) - (e) и (g);
(я) защита субъекта данных или прав и свобод других лиц;
(К) исполнение требований гражданского права.
2. В частности, любая законодательная мера, упомянутая в пункте 1, должна содержать конкретные положения, по крайней мере, в соответствующих случаях, относительно:
(А) цели обработки или категории обработки;
(Б) категории персональных данных;
(С) объем введенных ограничений;
(Д) гарантии для предотвращения злоупотреблений или незаконного доступа или передачи;
(Е) спецификация контроллера или категорий контроллеров;
(Е) периоды хранения и применимые гарантии с учетом характера, объема и целей обработки или категорий обработки;
(г) риски для прав и свобод субъектов данных; а также
(час) право субъектов данных быть информированным об ограничении, если это не может нанести ущерб цели ограничения.
ГЛАВА IV.
Контроллер и процессор
Секция 1
Общие обязательства
Статья 24
Ответственность диспетчера
1. Принимая во внимание характер, сферу применения, контекст и цели обработки, а также риски различной вероятности и серьезности прав и свобод физических лиц, контролер должен осуществлять соответствующие технические и организационные меры для обеспечения и демонстрируют, что обработка осуществляется в соответствии с настоящими Правилами. Эти меры должны быть пересмотрены и, при необходимости, обновлены.
2. В тех случаях, когда они пропорциональны процессам обработки, меры, упомянутые в пункте 1, должны включать в себя осуществление соответствующими политиками защиты данных.
3. Соблюдение утвержденных кодексов поведения, упомянутых в статье 40, или утвержденных механизмов сертификации, указанных в статье 42, могут использоваться в качестве элемента, позволяющего продемонстрировать соблюдение обязательств контролера.
Статья 25
Защита данных по дизайну и по умолчанию
1. Принимая во внимание современное состояние, стоимость реализации и характер, сферу применения, контекст и цели обработки, а также риски различной вероятности и серьезности прав и свобод физических лиц, создаваемых обработкой, контролером как во время определения средств обработки, так и во время самой обработки осуществляют соответствующие технические и организационные меры, такие как псевдонификация, которые предназначены для реализации принципов защиты данных, таких как минимизация данных, в эффективным образом и интегрировать необходимые меры предосторожности в обработку в целях удовлетворения требований настоящих Правил и защиты прав субъектов данных.
2. Контролер должен применять соответствующие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только личные данные, необходимые для каждой конкретной цели обработки. Это обязательство распространяется на количество собранных персональных данных, степень их обработки, период их хранения и их доступность. В частности, такие меры должны гарантировать, что по умолчанию личные данные не становятся доступными без вмешательства индивидуума неограниченному числу физических лиц.
3. Утвержденный механизм сертификации в соответствии со статьей 42 может использоваться в качестве элемента для подтверждения соблюдения требований, изложенных в пунктах 1 и 2 настоящей статьи.
Статья 26.
Совместные контроллеры
1. Если два или более контроллеров совместно определяют цели и средства обработки, они должны быть совместными диспетчерами. Они должны прозрачным образом определять свои соответствующие обязанности по соблюдению обязательств по настоящим Правилам, в частности в отношении осуществления прав субъекта данных и их соответствующих обязанностей предоставлять информацию, указанную в статьях 13 и 14, посредством средств договоренности между ними, за исключением случаев, когда соответствующие обязанности диспетчеров определяются законодательством Союза или государств-членов, которым подчиняются контролеры. Устройство может обозначать контактную точку для субъектов данных.
2. Упомянутая в пункте 1 договоренность должным образом отражает соответствующие роли и отношения совместных диспетчеров по отношению к субъектам данных. Суть соглашения должна быть предоставлена субъекту данных.
3. Независимо от условий соглашения, упомянутого в пункте 1, субъект данных может осуществлять свои права на основании настоящих Правил в отношении каждого из контроллеров и против них.
Статья 27.
Представители контроллеров или процессоров, не установленных в Союзе
1. В случае применения статьи 3 (2) контролер или процессор должны письменно указать представителя в Союзе.
2. Обязательство, изложенное в пункте 1 настоящей статьи, не распространяется на:
(А) обработка, которая является случайной, не включает в большой степени обработку специальных категорий данных, упомянутых в Статье 9 (1), или обработку персональных данных, касающихся уголовных приговоров и преступлений, упомянутых в Статье 10, и вряд ли приводят к риску прав и свобод физических лиц с учетом характера, контекста, сферы применения и целей обработки; или
(Б) государственный орган или орган.
3. Представитель создается в одном из Государств-Членов, где субъекты данных, чьи личные данные обрабатываются в отношении предложения товаров или услуг им или поведение которых контролируется, являются.
4. Представитель должен быть уполномочен диспетчером или процессором, который должен быть рассмотрен в дополнение или вместо контроллера или процессора, в частности, надзорными органами и субъектами данных по всем вопросам, связанным с обработкой, в целях обеспечения соблюдения с настоящими Правилами.
5. Назначение представителя контроллером или процессором не должно наносить ущерба юридическим действиям, которые могут быть инициированы против контроллера или самого процессора.
Статья 28
процессор
1. Если обработка должна выполняться от имени контроллера, контроллер должен использовать только процессоры, обеспечивающие достаточные гарантии для осуществления соответствующих технических и организационных мер таким образом, чтобы обработка соответствовала требованиям настоящих Правил и обеспечивала защиту права субъекта данных.
2. Процессор не должен взаимодействовать с другим процессором без предварительного или общего письменного разрешения контроллера. В случае общего письменного разрешения процессор информирует диспетчер о любых предполагаемых изменениях относительно сложения или замены других процессоров, тем самым предоставляя контроллеру возможность возражать против таких изменений.
3. Обработка процессором регулируется договором или иным правовым актом в соответствии с законодательством Союза или государства-члена, который является обязательным для процессора в отношении контроллера и который определяет предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категорий субъектов данных, а также обязанности и права контроллера. В этом договоре или другом правовом акте оговаривается, в частности, что процессор:
(А) обрабатывает персональные данные только по документированным инструкциям от контроллера, в том числе в отношении передачи персональных данных в третью страну или международную организацию, если только этого не требуется законодательством Союза или государств-членов, к которому относится процессор; в этом случае процессор должен информировать контролера об этом правовом требовании до его обработки, если только этот закон не запрещает такую информацию по важным основаниям, представляющим общественный интерес;
(Б) гарантирует, что лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство соблюдать конфиденциальность или находятся под соответствующим уставным обязательством конфиденциальности;
(С) принимает все необходимые меры в соответствии со статьей 32;
(Д) соблюдает условия, указанные в параграфах 2 и 4, для привлечения другого процессора;
(Е) принимая во внимание характер обработки, помогает контролеру соответствующими техническими и организационными мерами, насколько это возможно, для выполнения обязанности диспетчера отвечать на просьбы о применении прав субъекта данных, изложенных в главе III;
(Е) помогает контролеру в обеспечении соблюдения обязательств в соответствии со статьями 32-36 с учетом характера обработки и информации, доступной для процессора;
(г) при выборе контроллера, удаляет или возвращает все персональные данные контроллеру после окончания предоставления услуг, связанных с обработкой, и удаляет существующие копии, если закон Союза или государства-члена не требует хранения персональных данных;
(час) предоставляет диспетчеру всю информацию, необходимую для подтверждения соблюдения обязательств, изложенных в настоящей статье, и допускает и вносит вклад в проведение аудитов, включая проверки, проводимые диспетчером или другим аудитором, уполномоченным диспетчером.
Что касается пункта (h) первого подпункта, процессор должен незамедлительно сообщить об этом контроллеру, если, по его мнению, инструкция нарушает настоящие Правила или другие положения о защите данных от Союза или государств-членов.
4. Если процессор взаимодействует с другим процессором для выполнения конкретных видов обработки от имени контроллера, то должны быть наложены те же обязательства по защите данных, которые указаны в договоре или другом правовом акте между контроллером и процессором, как указано в пункте 3 на этом другом процессоре в виде договора или другого правового акта в соответствии с законодательством Союза или государства-члена, в частности обеспечивая достаточные гарантии для осуществления соответствующих технических и организационных мер таким образом, чтобы обработка соответствовала требованиям настоящих Правил. Если этот другой процессор не выполняет свои обязательства по защите данных, первоначальный процессор должен нести полную ответственность перед контроллером за выполнение обязательств этого другого процессора.
5. Соблюдение обработчиком утвержденного кодекса поведения, упомянутого в статье 40, или утвержденный механизм сертификации, упомянутый в статье 42, может использоваться в качестве элемента, позволяющего продемонстрировать достаточные гарантии, упомянутые в пунктах 1 и 4 Эта статья.
6. Без ущерба для индивидуального договора между диспетчером и процессором договор или другой правовой акт, упомянутый в пунктах 3 и 4 настоящей статьи, может основываться полностью или частично на стандартных договорных положениях, указанных в пунктах 7 и 8 настоящей статьи, в том числе, когда они являются частью сертификации, предоставленной контроллеру или процессору в соответствии со статьями 42 и 43.
7. Комиссия может устанавливать стандартные договорные положения по вопросам, указанным в пунктах 3 и 4 настоящей статьи, и в соответствии с процедурой экспертизы, упомянутой в статье 93 (2).
8. Надзорный орган может принимать стандартные договорные положения по вопросам, указанным в пунктах 3 и 4 настоящей статьи, и в соответствии с механизмом согласованности, указанным в статье 63.
9. Контракт или другой правовой акт, упомянутый в пунктах 3 и 4, должен быть в письменной форме, в том числе в электронной форме.
10. Без ущерба для статей 82, 83 и 84, если процессор нарушает настоящие Правила путем определения целей и средств обработки, процессор считается контролером в отношении этой обработки.
Статья 29.
Обработка под управлением контроллера или процессора
Процессор и любое лицо, действующее под контролем контроллера или процессора, имеющего доступ к персональным данным, не обрабатывают эти данные, кроме как по инструкциям от контроллера, если этого не требуется законодательством Союза или государства-члена.
Статья 30.
Отчеты об обработке
1. Каждый контролер и, где это применимо, представитель диспетчера, должны вести учет обрабатывающей деятельности, находящейся под его ответственностью. Эта запись должна содержать всю следующую информацию:
(А) имя и контактные данные контроллера и, в соответствующих случаях, совместного контроллера, представителя диспетчера и сотрудника по защите данных;
(Б) цели обработки;
(С) описание категорий субъектов данных и категорий персональных данных;
(Д) категории получателей, которым были или будут раскрыты личные данные, включая получателей в третьих странах или международных организациях;
(Е) где это применимо, передачу персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации, а в случае переводов, упомянутых во втором подпараграфе статьи 49 (1), документация подходящих меры безопасности;
(Е) где это возможно, предусмотренные временные рамки для стирания различных категорий данных;
(г) где это возможно, общее описание технических и организационных мер безопасности, упомянутых в Статье 32 (1).
2. Каждый процессор и, где это применимо, представитель процессора должен вести учет всех категорий операций обработки, выполняемых от имени контроллера, содержащий:
(А) имя и контактные данные процессора или процессоров и каждого контроллера, от имени которого действует процессор, и, где это применимо, представителя контроллера или представителя процессора и сотрудника по защите данных;
(Б) категории обработки, выполняемые от имени каждого контроллера;
(С) где это применимо, передачу персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации, а в случае переводов, упомянутых во втором подпараграфе статьи 49 (1), документация подходящих меры безопасности;
(Д) где это возможно, общее описание технических и организационных мер безопасности, упомянутых в Статье 32 (1).
3. Записи, упомянутые в пунктах 1 и 2, должны быть в письменной форме, в том числе в электронном виде.
4. Контроллер или процессор и, если применимо, представитель контроллера или процессора, должны сделать запись доступной надзорному органу по запросу.
5. Обязательства, упомянутые в пунктах 1 и 2, не применяются к предприятию или организации, нанимающей менее 250 человек, если обработка, которую она осуществляет, может привести к риску прав и свобод субъектов данных, обработка не случайные, или обработка включает специальные категории данных, упомянутые в Статье 9 (1), или личные данные, относящиеся к уголовным обвинительным приговорам и преступлениям, указанным в Статье 10.
Статья 31.
Сотрудничество с надзорным органом
Контролер и процессор и, где это применимо, их представители, сотрудничают, по запросу, с надзорным органом при выполнении своих задач.
Раздел 2
Безопасность персональных данных
Статья 32.
Безопасность обработки
1. Принимая во внимание современное состояние, затраты на реализацию и характер, сферу применения, контекст и цели обработки, а также риск различной вероятности и серьезности прав и свобод физических лиц, контроллера и процессора должен осуществлять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего рискам, в том числе, в частности, в случае необходимости:
(А) псевдонимания и шифрования персональных данных;
(Б) способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем обработки и услуг;
(С) способность своевременно восстанавливать доступность и доступ к персональным данным в случае физического или технического инцидента;
(Д) процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер для обеспечения безопасности обработки.
2. При оценке соответствующего уровня учетной записи безопасности, в частности, учитываются риски, возникающие при обработке, в частности, от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к переданным, сохраненным или иным образом переданным персональным данным обработанный.
3. Соблюдение утвержденного кодекса поведения, упомянутого в статье 40, или утвержденного механизма сертификации, упомянутого в статье 42, может использоваться в качестве элемента, позволяющего продемонстрировать соблюдение требований, изложенных в пункте 1 настоящей статьи.
4. Контроллер и процессор должны предпринять шаги, чтобы гарантировать, что любое физическое лицо, действующее под контролем контроллера или процессора, имеющего доступ к персональным данным, не обрабатывает их, кроме как по инструкциям от контроллера, если только он или она не требуется поэтому законодательством Союза или государства-члена.
Статья 33.
Уведомление о нарушении персональных данных надзорному органу
1. В случае нарушения персональных данных контролер без неоправданной задержки и, когда это возможно, не позднее чем через 72 часа после того, как ему стало известно об этом, уведомляет о нарушении личных данных надзорному органу, компетентному в соответствии со статьей 55, если нарушение личных данных вряд ли приведет к риску прав и свобод физических лиц. Если уведомление в надзорный орган не производится в течение 72 часов, оно должно сопровождаться причинами задержки.
2. Процессор должен уведомить диспетчер без неоправданной задержки, узнав о нарушении личных данных.
3. Уведомление, упомянутое в пункте 1, должно по крайней мере:
(А) описывают характер нарушения личных данных, в том числе, где это возможно, категории и приблизительное количество соответствующих данных, а также категории и приблизительное количество соответствующих записей данных;
(Б) сообщать имя и контактные данные сотрудника по защите данных или другого контактного пункта, где может быть получена дополнительная информация;
(С) описывают вероятные последствия нарушения личных данных;
(Д) описывают меры, принятые или предлагаемые для принятия контроллером для устранения нарушения личных данных, в том числе, когда это необходимо, меры по смягчению его возможных неблагоприятных последствий.
4. В тех случаях, когда невозможно предоставить информацию одновременно, информация может предоставляться поэтапно без неоправданной дополнительной задержки.
5. Контролер должен документировать любые нарушения личных данных, включая факты, связанные с нарушением личных данных, его последствиями и предпринятыми корректировочными мерами. Эта документация должна позволять надзорному органу проверять соответствие этой статье.
Статья 34.
Сообщение о нарушении личных данных субъекту данных
1. Когда нарушение личных данных может привести к высокому риску прав и свобод физических лиц, контролер должен незамедлительно сообщить о нарушении личных данных субъекту данных.
2. Сообщение субъекту данных, указанному в пункте 1 настоящей статьи, на четком и понятном языке описывает характер нарушения личных данных и содержит по меньшей мере информацию и меры, упомянутые в пунктах (b), (c) и (d) статьи 33 (3).
3. Связь с субъектом данных, указанным в пункте 1, не требуется, если выполнено одно из следующих условий:
(А) контролер реализовал соответствующие технические и организационные меры защиты, и эти меры были применены к персональным данным, затронутым нарушениями персональных данных, в частности тем, которые делают личные данные непонятными для любого лица, которое не имеет права доступа к нему, например шифрования ;
(Б) контролер принял последующие меры, которые гарантируют, что высокий риск для прав и свобод субъектов данных, упомянутых в пункте 1, больше не будет реализован;
(С) это потребует непропорциональных усилий. В таком случае вместо этого должно быть публичное сообщение или аналогичная мера, в соответствии с которой субъекты данных информируются одинаково эффективно.
4. Если диспетчер еще не сообщил о нарушении личных данных субъекту данных, надзорный орган, рассмотрев вероятность нарушения личных данных, приводящий к высокому риску, может потребовать от него этого или может решить, что любой из условия, упомянутые в пункте 3, выполнены.
Раздел 3
Оценка воздействия защиты данных и предварительная консультация
Статья 35.
Оценка воздействия защиты данных
1. Если тип обработки, в частности с использованием новых технологий, и с учетом характера, сферы применения, контекста и целей обработки, вероятно, приведет к высокому риску прав и свобод физических лиц, до обработки, проводят оценку воздействия предусмотренных операций обработки на защиту персональных данных. В одной оценке может быть указан ряд аналогичных операций обработки, которые представляют собой подобные высокие риски.
2. Контролер должен запросить рекомендации сотрудника по защите данных, если он указан, при проведении оценки воздействия защиты данных.
3. Оценка воздействия защиты данных, упомянутая в пункте 1, в частности, требуется в случае:
(А) систематическая и обширная оценка личных аспектов, связанных с физическими лицами, которая основана на автоматизированной обработке, в том числе профилировании и на которой основаны решения, которые вызывают юридические последствия для физического лица или также существенно влияют на физическое лицо;
(Б) обработка в широких масштабах специальных категорий данных, упомянутых в Статье 9 (1), или персональных данных, касающихся уголовных приговоров и преступлений, упомянутых в Статье 10; или
(С) систематический мониторинг широкодоступной для широкой общественности области.
4. Надзорный орган устанавливает и публикует список видов операций по переработке, которые подлежат требованию об оценке воздействия защиты данных в соответствии с пунктом 1. Орган надзора передает эти списки в Совет, упомянутый в статье 68 ,
5. Надзорный орган может также установить и опубликовать список видов операций по обработке, для которых не требуется оценка воздействия защиты данных. Контрольный орган передает эти списки в Совет.
6. До принятия списков, упомянутых в пунктах 4 и 5, компетентный надзорный орган применяет механизм согласованности, упомянутый в статье 63, в котором такие списки включают обработку деятельности, связанную с предложением товаров или услуг субъектам данных или для контроля за их поведением в нескольких государствах-членах, или могут существенно повлиять на свободное перемещение персональных данных в Союзе.
7. Оценка должна содержать не менее:
(А) систематическое описание предполагаемых операций обработки и целей обработки, в том числе, когда это применимо, законные интересы, которые проводит контролер;
(Б) оценка необходимости и пропорциональности операций по обработке в отношении целей;
(С) оценка рисков для прав и свобод субъектов данных, указанных в пункте 1; а также
(Д) меры, предусмотренные для устранения рисков, включая гарантии, меры безопасности и механизмы для обеспечения защиты персональных данных и продемонстрировать соблюдение настоящих Правил с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.
8. Соблюдение утвержденных кодексов поведения, упомянутых в статье 40 соответствующими диспетчерами или обработчиками, должно учитываться при оценке воздействия операций обработки, выполняемых такими контроллерами или процессорами, в частности для целей воздействия защиты данных оценка.
9. В соответствующих случаях контролер запрашивает мнения субъектов данных или их представителей о предполагаемой обработке без ущерба для защиты коммерческих или общественных интересов или безопасности операций по обработке.
10. Если обработка в соответствии с пунктом (с) или (е) статьи 6 (1) имеет правовую основу в законодательстве Союза или в законодательстве государства-члена, которому подчинен контролер, этот закон регулирует конкретную операцию обработки или набор рассматриваемых операций и оценка воздействия защиты данных уже были проведены в рамках общей оценки воздействия в контексте принятия этой правовой основы, пункты 1-7 не применяются, если государства-члены не считают это необходимым проводить такую оценку до обработки.
11. В случае необходимости контролер должен провести проверку, чтобы оценить, выполняется ли обработка в соответствии с оценкой воздействия защиты данных, по крайней мере, когда происходит изменение риска, представляемого операциями обработки.
Статья 36.
Предварительная консультация
1. Контролер должен проконсультироваться с надзорным органом до обработки, где оценка воздействия защиты данных в соответствии со Статьей 35 указывает, что обработка приведет к высокому риску в отсутствие мер, принятых контроллером для смягчения риска.
2. Если надзорный орган считает, что предполагаемая обработка, упомянутая в пункте 1, нарушит настоящие Правила, в частности, если контролер недостаточно выявил или смягчил риск, надзорный орган должен в течение восьми недель получение запроса на консультацию, предоставление письменных рекомендаций контроллеру и, где это применимо к процессору, и может использовать любые свои полномочия, указанные в статье 58. Этот период может быть продлен на шесть недель с учетом сложности предназначенная обработка. Контрольный орган информирует диспетчер и, где это применимо, процессор о любом таком продлении в течение одного месяца с момента получения запроса на консультацию вместе с причинами задержки. Эти периоды могут быть приостановлены до тех пор, пока надзорный орган не получит информацию, запрошенную им для целей консультации.
3. При консультировании надзорного органа в соответствии с пунктом 1 контролер должен предоставить надзорному органу:
(А) где это применимо, соответствующие обязанности контроллера, совместных контроллеров и процессоров, участвующих в обработке, в частности для обработки в рамках группы предприятий;
(Б) цели и средства предполагаемой обработки;
(С) меры и гарантии, обеспечиваемые для защиты прав и свобод субъектов данных в соответствии с настоящими Правилами;
(Д) где это применимо, контактные данные сотрудника по защите данных;
(Е) оценка воздействия защиты данных, предусмотренная в статье 35; а также
(Е) любую другую информацию, запрошенную контролирующим органом.
4. Государства-члены должны консультироваться с надзорным органом в ходе подготовки предложения о принятии законодательной меры национальным парламентом или меры регулирования на основе такой законодательной меры, которая касается обработки.
5. Несмотря на пункт 1, законодательство государств-членов может требовать от контролеров консультироваться и получать предварительное разрешение от надзорного органа в отношении обработки контроллером для выполнения задачи, выполняемой контроллером в интересах общества, включая обработку в отношении социальной защиты и общественного здравоохранения.
Раздел 4
Сотрудник по защите данных
Статья 37.
Назначение сотрудника по защите данных
1. Контроллер и процессор должны назначить сотрудника по защите данных в любом случае, где:
(А) обработка осуществляется государственным органом или органом, за исключением судов, действующих в их судебном порядке;
(Б) основные виды деятельности контроллера или процессора состоят из операций обработки, которые в силу своего характера, их объема и / или их целей требуют регулярного и систематического мониторинга данных в широких масштабах; или
(С) основные виды деятельности контроллера или процессора состоят в обработке в широких масштабах специальных категорий данных в соответствии со статьей 9 и персональных данных, касающихся судимости и преступлений, указанных в статье 10.
2. Группа предприятий может назначить одного сотрудника по защите данных при условии, что сотрудник по защите данных легко доступен из каждого учреждения.
3. Если контроллер или процессор является государственным органом или органом, для нескольких таких органов или органов может быть назначен один сотрудник по защите данных с учетом их организационной структуры и размера.
4. В случаях, отличных от упомянутых в пункте 1, контролер или процессор или ассоциации и другие органы, представляющие категории контроллеров или переработчиков, могут или, в случае необходимости, законодательством Союза или государства-члена, назначить сотрудника по защите данных. Сотрудник по защите данных может действовать для таких ассоциаций и других органов, представляющих контроллеры или процессоры.
5. Сотрудник по защите данных назначается на основе профессиональных качеств и, в частности, экспертных знаний о законах и практике защиты данных и способности выполнять задачи, упомянутые в статье 39.
6. Сотрудник по защите данных может быть сотрудником контроллера или процессора или выполнять задачи на основе договора об обслуживании.
7. Контролер или процессор должны опубликовать контактные данные сотрудника по защите данных и передать их в надзорный орган.
Статья 38.
Должность сотрудника по защите данных
1. Контроллер и процессор должны обеспечить, чтобы сотрудник по защите данных был должным образом и своевременно задействован во всех вопросах, связанных с защитой персональных данных.
2. Контролер и процессор должны поддерживать сотрудника по защите данных при выполнении задач, указанных в статье 39, путем предоставления ресурсов, необходимых для выполнения этих задач и доступа к персональным данным и процессам обработки, а также для поддержания его или ее экспертных знаний.
3. Контроллер и процессор должны обеспечить, чтобы сотрудник по защите данных не получал никаких инструкций относительно выполнения этих задач. Он или она не должны быть уволены или оштрафованы контроллером или процессором за выполнение своих задач. Сотрудник по защите данных должен непосредственно сообщать на самый высокий уровень управления контроллером или процессором.
4. Субъекты данных могут связаться с сотрудником по защите данных по всем вопросам, связанным с обработкой их персональных данных и осуществлением их прав на основании настоящих Правил.
5. Сотрудник по защите данных обязан соблюдать тайну или конфиденциальность в отношении выполнения своих задач в соответствии с законодательством Союза или государства-члена.
6. Сотрудник по защите данных может выполнять другие задачи и обязанности. Контроллер или процессор должны обеспечить, чтобы любые такие задачи и обязанности не приводили к конфликту интересов.
Статья 39.
Задачи сотрудника по защите данных
1. Сотрудник по защите данных должен выполнять по меньшей мере следующие задачи:
(А) информировать и консультировать диспетчера или обработчика и сотрудников, которые выполняют обработку своих обязательств в соответствии с настоящим Регламентом и другими положениями о защите данных Союза или государств-членов;
(Б) для контроля за соблюдением настоящих Правил, с другими положениями о защите данных Европейского Союза или государств-членов и политикой контроллера или процессора в отношении защиты персональных данных, включая распределение обязанностей, повышение осведомленности и обучение персонала, участвующего в обработке операций и соответствующих проверок;
(С) предоставлять консультации по запросу в отношении оценки воздействия защиты данных и контролировать ее выполнение в соответствии со статьей 35;
(Д) сотрудничать с надзорным органом;
(Е) выступать в качестве контактного лица надзорного органа по вопросам, связанным с обработкой, включая предварительные консультации, упомянутые в статье 36, и проконсультироваться, когда это необходимо, в отношении любого другого вопроса.
2. Сотрудник по защите данных при выполнении своих задач должным образом учитывает риск, связанный с процессами обработки, с учетом характера, сферы применения, контекста и целей обработки.
Раздел 5
Коды поведения и сертификации
Статья 40.
Нормы поведения
1. Государства-члены, надзорные органы, Совет и Комиссия поощряют разработку кодексов поведения, призванных содействовать надлежащему применению настоящих Правил, с учетом конкретных особенностей различных обрабатывающих секторов и конкретных потребностей микро-, малых и средних предприятий.
2. Ассоциации и другие органы, представляющие категории контролеров или переработчиков, могут подготавливать кодексы поведения или изменять или распространять такие коды с целью указания применения настоящих Правил, например, в отношении:
(А) справедливая и прозрачная обработка;
(Б) законные интересы, проводимые диспетчерами в конкретных контекстах;
(С) сбор персональных данных;
(Д) псевдонимая персональных данных;
(Е) информация, предоставляемая общественности и субъектам данных;
(Е) осуществление прав субъектов данных;
(г) информация, предоставляемая детям и защита детей, а также способ получения согласия родителей родительской ответственности над детьми;
(час) меры и процедуры, упомянутые в статьях 24 и 25, и меры по обеспечению безопасности обработки, упомянутые в статье 32;
(я) уведомление о нарушениях персональных данных контролирующим органам и сообщение таких нарушений персональных данных субъектам данных;
(К) передача персональных данных в третьи страны или международные организации; или
(К) внесудебные процедуры и другие процедуры разрешения споров для разрешения споров между диспетчерами и субъектами данных в отношении обработки без ущерба для прав субъектов данных в соответствии со статьями 77 и 79.
3. В дополнение к соблюдению контролерами или обработчиками, подпадающими под действие настоящих Правил, кодексы поведения, одобренные в соответствии с пунктом 5 настоящей статьи и имеющие общую силу в соответствии с пунктом 9 настоящей статьи, могут также соблюдаться контроллерами или обработчиками, которые не подлежат к настоящим Правилам в соответствии со статьей 3, с тем чтобы обеспечить надлежащие гарантии в рамках передачи персональных данных третьим странам или международным организациям в соответствии с условиями, указанными в пункте (е) статьи 46 (2). Такие контролеры или переработчики должны применять обязательные и подлежащие исполнению обязательства, используя договорные или другие юридически обязательные документы, применять эти надлежащие гарантии, в том числе в отношении прав субъектов данных.
4. Кодекс поведения, упомянутый в пункте 2 настоящей статьи, должен содержать механизмы, которые позволяют органу, указанному в Статье 41 (1), осуществлять обязательный контроль за соблюдением его положений контроллерами или обработчиками, которые обязуются применять его , без ущерба для задач и полномочий надзорных органов, компетентных в соответствии со Статьей 55 или 56.
5. Ассоциации и другие органы, упомянутые в пункте 2 настоящей статьи, которые намереваются подготовить кодекс поведения или изменить или расширить существующий код, представляют проект кодекса, поправку или продление в надзорный орган, который компетентен в соответствии со статьей 55 Орган надзора должен представить заключение о том, соответствует ли проект кодекса, поправки или продления настоящих Правил и утверждает проект кодекса, поправки или продления, если он считает, что он обеспечивает достаточные надлежащие гарантии.
6. В тех случаях, когда проект кодекса, поправки или продления утверждается в соответствии с пунктом 5, и если соответствующий кодекс поведения не относится к процессам обработки в нескольких государствах-членах, надзорный орган регистрирует и публикует этот код.
7. Если проект кодекса поведения относится к процессам обработки в нескольких государствах-членах, надзорный орган, компетентный в соответствии со статьей 55, до утверждения проекта кодекса, поправки или продления представляет его в порядке, указанном в статье 63, Совет, который представляет заключение о том, соответствует ли проект кодекса, поправки или продления настоящих Правил или, в ситуации, упомянутой в пункте 3 настоящей статьи, обеспечивает надлежащие гарантии.
8. Если мнение, упомянутое в пункте 7, подтверждает, что проект кодекса, поправки или продления соответствует настоящим Правилам или, в ситуации, упомянутой в пункте 3, обеспечивает надлежащие гарантии, Совет представляет свое заключение Комиссии.
9. Комиссия может в порядке осуществления актов принять решение о том, что утвержденный Кодекс поведения, поправки или продления, представленный ему в соответствии с пунктом 8 настоящей статьи, имеет общую юридическую силу в рамках Союза. Эти исполнительные акты принимаются в соответствии с процедурой экспертизы, установленной в статье 93 (2).
10. Комиссия обеспечивает надлежащую рекламу утвержденных кодов, которые были определены как имеющие общую силу в соответствии с пунктом 9.
11. Совет собирает все утвержденные кодексы поведения, поправки и расширения в реестре и публикует их с помощью соответствующих средств.
Статья 41.
Мониторинг утвержденных кодексов поведения
1. Без ущерба для задач и полномочий компетентного надзорного органа в соответствии со статьями 57 и 58 контроль за соблюдением кодекса поведения в соответствии со статьей 40 может осуществляться органом, обладающим соответствующим опытом в отношении предмет кодекса и аккредитован для этой цели компетентным надзорным органом.
2. Орган, упомянутый в пункте 1, может быть аккредитован для контроля за соблюдением кодекса поведения, если этот орган имеет:
(А) продемонстрировала свою независимость и опыт в отношении предмета кода к удовлетворению компетентного надзорного органа;
(Б) установленные процедуры, которые позволяют ему оценивать соответствие соответствующих контроллеров и переработчиков применению кодекса, следить за соблюдением его положений и периодически проверять его работу;
(С) установленные процедуры и структуры для обработки жалоб на нарушения кода или того, каким образом код был или реализуется контроллером или процессором, и сделать эти процедуры и структуры прозрачными для субъектов данных и общественности; а также
(Д) продемонстрировал удовлетворение компетентного надзорного органа, что его задачи и обязанности не приводят к конфликту интересов.
3. Компетентный надзорный орган представляет проект критериев аккредитации органа, упомянутого в пункте 1 настоящей статьи, Совету в соответствии с механизмом согласованности, упомянутым в статье 63.
4. Без ущерба для задач и полномочий компетентного надзорного органа и положений главы VIII орган, упомянутый в пункте 1 настоящей статьи, при условии соблюдения соответствующих мер принимает надлежащие меры в случаях нарушения контроллер или процессор, включая приостановку или исключение соответствующего контроллера или процессора из кода. Он информирует компетентный надзорный орган о таких действиях и причинах их принятия.
5. Компетентный надзорный орган отменяет аккредитацию органа, упомянутого в пункте 1, если условия для аккредитации не соблюдаются или больше не выполняются или когда действия, предпринятые органом, нарушают настоящие Правила.
6. Настоящая статья не применяется к обработке, осуществляемой государственными органами и органами.
Статья 42.
сертификация
1. Государства-члены, надзорные органы, Совет и Комиссия поощряют, в частности на уровне Союза, создание механизмов сертификации защиты данных и уплотнений и знаков защиты данных в целях демонстрации соблюдения настоящих Правил обработки операций контроллерами и процессорами. Учитываются конкретные потребности микро-, малых и средних предприятий.
2. В дополнение к соблюдению контроллерами или обработчиками, на которые распространяются настоящие Правила, могут быть установлены механизмы сертификации, печати или маркировки защиты данных, одобренные в соответствии с пунктом 5 настоящей статьи, с целью продемонстрировать наличие надлежащих гарантий, предоставляемых контроллерами или процессорами, которые не подпадают под действие настоящих Правил в соответствии со статьей 3 в рамках передачи персональных данных третьим странам или международным организациям в соответствии с условиями, указанными в пункте (f) статьи 46 (2). Такие контролеры или переработчики должны применять обязательные и подлежащие исполнению обязательства через договорные или другие юридически обязательные документы для применения этих надлежащих гарантий, в том числе в отношении прав субъектов данных.
3. Сертификация должна быть добровольной и доступна через прозрачный процесс.
4. Сертификация в соответствии с настоящей статьей не снижает ответственность контролера или процессора за соблюдение настоящих Правил и не наносит ущерба задачам и полномочиям надзорных органов, которые компетентны в соответствии со Статьей 55 или 56.
5. Сертификация в соответствии с настоящей статьей выдается органами по сертификации, указанными в статье 43 или компетентным надзорным органом, на основе критериев, утвержденных этим компетентным надзорным органом в соответствии со Статьей 58 (3) или Правлением в соответствии с к статье 63. Если критерии утверждены Правлением, это может привести к общей сертификации, Европейской защите данных.
6. Контроллер или процессор, который отправляет свою обработку в механизм сертификации, должен предоставить органу по сертификации, указанному в статье 43, или, если применимо, компетентному контролирующему органу всю информацию и доступ к ее процессам обработки, которые необходимы для проведения сертификации процедура.
7. Сертификация должна быть выдана контроллеру или процессору максимум в течение трех лет и может быть возобновлена на тех же условиях при условии соблюдения соответствующих требований. Сертификация должна быть отозвана, если это применимо, органами сертификации, указанными в статье 43, или компетентным надзорным органом, если требования к сертификации не выполняются или не выполняются.
8. Совет должен собрать все сертификационные механизмы и защитные пломбы и маркировки данных в реестре и сделать их общедоступными с помощью любых соответствующих средств.
Статья 43.
Органы сертификации
1. Без ущерба для задач и полномочий компетентного органа надзора в соответствии со статьями 57 и 58 органы по сертификации, обладающие надлежащим уровнем компетентности в отношении защиты данных, после информирования надзорного органа, с тем чтобы позволить ему осуществлять свои полномочия в соответствии с пунктом (h) статьи 58 (2), когда это необходимо, выдавать и возобновлять сертификацию. Государства-члены обеспечивают, чтобы эти органы по сертификации были аккредитованы одним или обоими из следующих:
(А) надзорный орган, компетентный в соответствии со Статьей 55 или 56;
(Б) национальный орган по аккредитации, названный в соответствии с Регламентом (ЕС) № 765/2008 Европейского парламента и Совета ( 20 ) в соответствии с EN-ISO / IEC 17065/2012 и с дополнительными требованиями, установленными надзорным органом, который является компетентным в соответствии со Статьей 55 или 56.
2. Органы сертификации, указанные в пункте 1, должны быть аккредитованы в соответствии с этим пунктом только там, где они:
(А) продемонстрировали свою независимость и опыт в отношении предмета сертификации к удовлетворению компетентного надзорного органа;
(Б) предпринятые для соблюдения критериев, упомянутых в Статье 42 (5), и одобрены контролирующим органом, который компетентен в соответствии со Статьей 55 или 56 или Правлением в соответствии со Статьей 63;
(С) установленные процедуры выдачи, периодического рассмотрения и снятия сертификации защиты данных, печатей и знаков;
(Д) установленные процедуры и структуры для обработки жалоб на нарушения сертификации или того, каким образом эта сертификация была или будет осуществляться контроллером или процессором, и сделать эти процедуры и структуры прозрачными для субъектов данных и общественности; а также
(Е) продемонстрировали, к удовлетворению компетентного надзорного органа, что их задачи и обязанности не приводят к конфликту интересов.
3. Аккредитация органов по сертификации, упомянутых в пунктах 1 и 2 настоящей статьи, осуществляется на основе критериев, утвержденных надзорным органом, который компетентен в соответствии со Статьей 55 или 56 или Советом в соответствии со Статьей 63. В в случае аккредитации в соответствии с пунктом (b) пункта 1 настоящей статьи эти требования дополняют те, которые предусмотрены в Регламенте (ЕС) № 765/2008, и технические правила, описывающие методы и процедуры органов по сертификации.
4. Органы по сертификации, указанные в пункте 1, несут ответственность за надлежащую оценку, ведущую к сертификации или снятию такой сертификации, без ущерба для ответственности контроллера или процессора за соблюдение настоящих Правил. Аккредитация выдается на максимальный срок в пять лет и может быть продлен на тех же условиях, при условии, что орган по сертификации отвечает требованиям, изложенным в настоящей статье.
5. Органы по сертификации, указанные в пункте 1, предоставляют компетентным надзорным органам причины предоставления или отзыва запрашиваемой сертификации.
6. Требования, упомянутые в пункте 3 настоящей статьи, и критерии, упомянутые в статье 42 (5), должны быть обнародованы контролирующим органом в легкодоступной форме. Надзорные органы также передают эти требования и критерии Совету. Совет должен собрать все сертификационные механизмы и защитные пломбы в реестре и сделать их общедоступными с помощью любых соответствующих средств.
7. Без ущерба для главы VIII компетентный надзорный орган или национальный орган по аккредитации аннулируют аккредитацию органа по сертификации в соответствии с пунктом 1 настоящей статьи, если условия аккредитации не выполняются или не выполняются или не выполняются принятые органом по сертификации, нарушают настоящие Правила.
8. Комиссия уполномочена принимать делегированные действия в соответствии со статьей 92 с целью определения требований, которые должны быть приняты во внимание для механизмов сертификации защиты данных, упомянутых в Статье 42 (1).
9. Комиссия может принять исполнительные акты, устанавливающие технические стандарты для механизмов сертификации и печатей и знаков защиты данных, а также механизмы для поощрения и признания этих механизмов сертификации, печатей и знаков. Эти исполнительные акты принимаются в соответствии с процедурой экспертизы, указанной в статье 93 (2).
ГЛАВА V
Передача персональных данных в третьи страны или международные организации
Статья 44.
Общий принцип перевода
Любая передача персональных данных, которые подвергаются обработке или предназначены для обработки после их передачи в третью страну или в международную организацию, осуществляется только в том случае, если в соответствии с другими положениями настоящих Правил условия, изложенные в настоящей Главе, контроллером и процессором, в том числе для последующей передачи персональных данных из третьей страны или международной организации в другую третью страну или в другую международную организацию. Все положения настоящей главы применяются для обеспечения того, чтобы уровень защиты физических лиц, гарантированных настоящими Правилами, не подрывался.
Статья 45.
Переводы на основе решения о достаточности
1. Передача персональных данных в третью страну или международную организацию может иметь место, если Комиссия решила, что третья страна, территория или один или несколько указанных секторов в пределах этой третьей страны или международная организация, о которой идет речь, обеспечивают адекватную уровень защиты. Такая передача не требует какого-либо конкретного разрешения.
2. При оценке адекватности уровня защиты Комиссия, в частности, учитывает следующие элементы:
(А) соблюдение прав человека и основных свобод, соответствующее законодательство, как общее, так и отраслевое, в том числе в отношении общественной безопасности, обороны, национальной безопасности и уголовного права и доступа государственных органов к персональным данным, а также законодательства, правил защиты данных, профессиональных правил и мер безопасности, включая правила дальнейшей передачи персональных данных в другую третью страну или международную организацию, которые соблюдаются в этой стране или международной организации, прецедентное право, а также эффективные и подлежащие исполнению данные прав субъекта и эффективного административного и судебного возмещения для субъектов данных, чьи личные данные передаются;
(Б) наличие и эффективное функционирование одного или нескольких независимых надзорных органов в третьей стране или к которым относится международная организация, несет ответственность за обеспечение соблюдения и обеспечение соблюдения правил защиты данных, включая надлежащие полномочия по обеспечению соблюдения, для оказания помощи и консультирования субъектов данных в осуществлении своих прав и сотрудничестве с надзорными органами государств-членов; а также
(С) международные обязательства, взятые третьей страной или международной организацией, или другие обязательства, вытекающие из юридически обязательных конвенций или документов, а также от его участия в многосторонних или региональных системах, в частности в отношении защиты персональных данных.
3. Комиссия, оценив адекватность уровня защиты, может принять решение посредством осуществления закона о том, что третье государство, территория или один или несколько указанных секторов в рамках третьей страны или международная организация обеспечивают адекватный уровень защиты в значении пункта 2 настоящей статьи. В акте осуществления предусмотрен механизм периодического обзора, по крайней мере каждые четыре года, который учитывает все соответствующие события в третьей стране или международной организации. В исполнительном акте должны быть указаны его территориальная и отраслевая заявка и, где это применимо, определить надзорный орган или органы, указанные в пункте (b) пункта 2 настоящей статьи. Законодательный акт принимается в соответствии с процедурой экспертизы, указанной в статье 93 (2).
4. Комиссия на постоянной основе отслеживает события в третьих странах и международных организациях, которые могут повлиять на функционирование решений, принятых в соответствии с пунктом 3 настоящей статьи, и решения, принятые на основании статьи 25 (6) Директивы 95 / 46 / EC.
5. Комиссия, в случае наличия информации, в частности, после обзора, упомянутого в пункте 3 настоящей статьи, указывает, что третья страна, территория или один или несколько указанных секторов в пределах третьей страны или международная организация больше не обеспечивают адекватный уровень защиты по смыслу пункта 2 настоящей статьи в той мере, в какой это необходимо, отменить, изменить или приостановить решение, упомянутое в пункте 3 настоящей статьи, посредством осуществления актов без ретроактивного воздействия. Эти исполнительные акты принимаются в соответствии с процедурой экспертизы, указанной в статье 93 (2).
По надлежащим образом обоснованным императивным основаниям срочности Комиссия принимает немедленно применимые исполнительные акты в соответствии с процедурой, упомянутой в Статье 93 (3).
6. Комиссия вступает в консультации с третьей страной или международной организацией с целью устранения ситуации, приводящей к принятию решения в соответствии с пунктом 5.
7. Решение в соответствии с пунктом 5 настоящей статьи не наносит ущерба передаче личных данных в третью страну, территорию или один или несколько указанных секторов в пределах этой третьей страны или международную организацию, о которой идет речь, согласно статьям 46-49.
8. Комиссия публикует в Официальном журнале Европейского союза и на своем веб-сайте список третьих стран, территорий и определенных секторов в рамках третьей страны и международных организаций, для которых она постановила, что адекватный уровень защиты является или является больше не обеспечивается.
9. Решения, принятые Комиссией на основании статьи 25 (6) Директивы 95/46 / ЕС, остаются в силе до тех пор, пока они не будут изменены, заменены или отменены решением Комиссии, принятым в соответствии с пунктом 3 или 5 настоящей статьи.
Статья 46.
Переводы, подлежащие соответствующим гарантиям
1. В отсутствие решения в соответствии со статьей 45 (3) контроллер или процессор могут передавать персональные данные в третью страну или международную организацию только в том случае, если контроллер или процессор предоставили надлежащие гарантии и при условии, что подлежащий исполнению субъект данных права и эффективные средства правовой защиты для субъектов данных.
2. Соответствующие гарантии, упомянутые в пункте 1, могут быть предусмотрены, не требуя какого-либо конкретного разрешения от надзорного органа, путем:
(А) юридически обязательный и подлежащий исполнению инструмент между государственными органами или органами;
(Б) обязательные корпоративные правила в соответствии со статьей 47;
(С) стандартные положения о защите данных, принятые Комиссией в соответствии с процедурой экспертизы, упомянутой в Статье 93 (2);
(Д) стандартные положения о защите данных, принятые контролирующим органом и одобренные Комиссией в соответствии с процедурой экспертизы, упомянутой в Статье 93 (2);
(Е) утвержденный кодекс поведения в соответствии со статьей 40 вместе с обязательными и подлежащими исполнению обязательствами контролера или обработчика в третьей стране для применения соответствующих гарантий, в том числе в отношении прав субъектов данных; или
(Е) утвержденный механизм сертификации в соответствии со статьей 42 вместе с обязательными и подлежащими исполнению обязательствами контролера или обработчика в третьей стране для применения соответствующих гарантий, в том числе в отношении прав субъектов данных.
3. В соответствии с полномочиями компетентного надзорного органа соответствующие гарантии, упомянутые в пункте 1, могут также предоставляться, в частности, путем:
(А) договорные положения между контроллером или процессором и контроллером, процессором или получателем персональных данных в третьей стране или международной организации; или
(Б) положения, которые должны быть включены в административные договоренности между государственными органами или органами, которые включают подлежащие исполнению и эффективные права субъекта данных.
4. Надзорный орган применяет механизм согласованности, упомянутый в статье 63, в случаях, указанных в пункте 3 настоящей статьи.
5. Разрешения государства-члена или надзорного органа на основании статьи 26 (2) Директивы 95/46 / ЕС остаются в силе до изменения, замены или отмены, если это необходимо, этим надзорным органом. Решения, принятые Комиссией на основании статьи 26 (4) Директивы 95/46 / ЕС, остаются в силе до изменения, замены или отмены, если это необходимо, решением Комиссии, принятым в соответствии с пунктом 2 настоящей статьи.
Статья 47.
Связывание корпоративных правил
1. Компетентный надзорный орган утверждает обязательные корпоративные правила в соответствии с механизмом согласованности, изложенным в статье 63, при условии, что они:
(А) являются юридически обязательными и применяются к каждому члену группы группы предприятий или группе предприятий, занимающихся совместной экономической деятельностью, в том числе их сотрудниками, и применяются к ним;
(Б) прямо передавать закрепляемые права в отношении субъектов данных в отношении обработки их персональных данных; а также
(С) выполнять требования, изложенные в пункте 2.
2. Обязательные корпоративные правила, упомянутые в пункте 1, должны указывать, по крайней мере:
(А) структуру и контактные данные группы предприятий или группы предприятий, занимающихся совместной экономической деятельностью, и каждого из ее членов;
(Б) передача данных или набор переводов, включая категории персональных данных, тип обработки и ее цели, тип затронутых данных и идентификацию третьей страны или стран, о которых идет речь;
(С) их юридически обязательный характер, как внутри страны, так и за ее пределами;
(Д) применение общих принципов защиты данных, в частности ограничение цели, минимизация данных, ограниченные периоды хранения, качество данных, защита данных по дизайну и по умолчанию, правовая основа для обработки, обработки специальных категорий персональных данных, меры по обеспечению безопасности данных , а также требования в отношении будущих переводов в органы, не связанные обязательными корпоративными правилами;
(Е) права субъектов данных в отношении обработки и средства осуществления этих прав, в том числе право не принимать решения, основанные исключительно на автоматизированной обработке, включая профилирование в соответствии со статьей 22, право подавать жалобу в компетентный надзорный орган и в компетентных судах государств-членов в соответствии со статьей 79, и получить возмещение и, при необходимости, компенсацию за нарушение обязательных корпоративных правил;
(Е) принятие контроллером или обработчиком, установленным на территории государства-члена ответственности за любые нарушения обязательных корпоративных правил любым заинтересованным лицом, не установленным в Союзе; контроллер или процессор освобождаются от этого обязательства полностью или частично только в том случае, если он докажет, что этот участник не несет ответственности за событие, вызвавшее ущерб;
(г) как информация об обязательных корпоративных правилах, в частности о положениях, указанных в пунктах (d), (e) и (f) настоящего пункта, предоставляется субъектам данных в дополнение к статьям 13 и 14;
(час) задачи любого сотрудника по защите данных, назначенного в соответствии со статьей 37, или любого другого физического или юридического лица, отвечающего за контроль за соблюдением обязательных корпоративных правил в группе предприятий или группы предприятий, занимающихся совместной экономической деятельностью, а также мониторинг и обработка жалоб;
(я) процедуры подачи жалоб;
(К) механизмы внутри группы предприятий или группы предприятий, участвующих в совместной экономической деятельности для обеспечения проверки соответствия обязательным корпоративным правилам. Такие механизмы должны включать аудит защиты данных и методы для обеспечения корректирующих действий для защиты прав субъекта данных. Результаты такой проверки должны быть сообщены лицу или организации, указанным в пункте (h), и совету контрольного предприятия группы предприятий или группы предприятий, занимающихся совместной экономической деятельностью, и должны быть доступны по запросу компетентному надзорному органу;
(К) механизмы отчетности и учета изменений в правилах и представления этих изменений в надзорный орган;
(Л) механизм сотрудничества с надзорным органом для обеспечения соблюдения любым членом группы предприятий или группы предприятий, участвующих в совместной экономической деятельности, в частности путем предоставления контролирующему органу результатов проверок мер, упомянутых в пункте (к);
(М) механизмы отчетности компетентному надзорному органу о любых правовых требованиях, в отношении которых член группы предприятий или группа предприятий, участвующих в совместной экономической деятельности, подчиняется третьей стране, которая может оказать существенное неблагоприятное воздействие на гарантии предусмотренные обязательными корпоративными правилами; а также
(П) соответствующую подготовку по защите данных для персонала, имеющего постоянный или регулярный доступ к персональным данным.
3. Комиссия может указывать формат и процедуры обмена информацией между диспетчерами, переработчиками и надзорными органами для закрепления корпоративных правил в значении настоящей статьи. Эти исполнительные акты принимаются в соответствии с процедурой экспертизы, установленной в статье 93 (2).
Статья 48.
Переводы или раскрытия, не разрешенные законодательством Союза
Любое решение суда или трибунала и любое решение административного органа третьей страны, требующее от контроллера или обработчика передачи или раскрытия персональных данных, могут быть признаны или подлежат принудительному исполнению любым способом, если на основании международного соглашения, например, договор о сотрудничестве, действующий между запрашивающей третьей страной и Союзом или государством-членом, без ущерба для других оснований для передачи в соответствии с настоящей главой.
Статья 49.
Отступления от конкретных ситуаций
1. При отсутствии решения о достаточности в соответствии со статьей 45 (3) или соответствующих гарантий в соответствии со статьей 46, включая обязательные корпоративные правила, передача или набор переводов персональных данных в третью страну или международную организацию имеют место только при одном из следующих условий:
(А) субъект данных прямо согласился с предлагаемой передачей после того, как был проинформирован о возможных рисках таких переводов для субъекта данных в связи с отсутствием решения о достаточности и соответствующими гарантиями;
(Б) передача необходима для выполнения контракта между субъектом данных и контролером или осуществления преддоговорных мер, принятых по запросу субъекта данных;
(С) передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между диспетчером и другим физическим или юридическим лицом;
(Д) передача необходима по важным причинам, представляющим общественный интерес;
(Е) передача необходима для создания, осуществления или защиты юридических требований;
(Е) передача необходима для защиты жизненно важных интересов субъекта данных или других лиц, если субъект данных физически или юридически неспособен дать согласие;
(г) перевод осуществляется из реестра, который в соответствии с законодательством Союза или государства-члена предназначен для предоставления информации общественности и который открыт для консультаций либо общественностью в целом, либо любым лицом, которое может демонстрировать законные интересы, но только для что условия, установленные законодательством Союза или государства-члена для консультаций, выполняются в конкретном случае.
Если передача не может основываться на положениях статей 45 или 46, включая положения об обязательных корпоративных правилах, и ни одно из отступлений от конкретной ситуации, упомянутой в первом подпараграфе настоящего пункта, не применимо, передача третьим лицам страна или международная организация может иметь место только в том случае, если передача не повторяется, касается только ограниченного числа субъектов данных, необходима для целей принудительных законных интересов, проводимых контролером, которые не переопределены интересами или правами и свободами субъект данных, и контролер оценил все обстоятельства, связанные с передачей данных, и на основании этой оценки предоставил соответствующие гарантии в отношении защиты персональных данных. Контролер должен информировать надзорный орган о передаче. Контролер в дополнение к предоставлению информации, упомянутой в статьях 13 и 14, информирует субъекта данных о передаче и о непреодолимых законных интересах.
2. Передача в соответствии с пунктом (g) первого подпункта пункта 1 не включает в себя полную личную информацию или целые категории персональных данных, содержащихся в реестре. Если реестр предназначен для консультаций лицами, имеющими законную заинтересованность, передача производится только по просьбе этих лиц или если они должны быть получателями.
3. Пункты (а), (b) и (с) первого подпункта пункта 1 и его второго подпункта не применяются к деятельности, осуществляемой государственными органами при осуществлении их публичных полномочий.
4. Общественный интерес, упомянутый в пункте (d) первого подпункта пункта 1, признается в законодательстве Союза или в законодательстве государства-члена, которому подчинен контроль.
5. В отсутствие решения об адекватности законодательство Союза или государства-члена может по важным причинам, представляющим общественный интерес, прямо устанавливать ограничения на передачу конкретных категорий персональных данных в третью страну или международную организацию. Государства-члены должны уведомлять Комиссию о таких положениях.
6. Контроллер или процессор должны документировать оценку, а также соответствующие гарантии, упомянутые во втором подпункте пункта 1 настоящей статьи, в документах, упомянутых в статье 30.
Статья 50.
Международное сотрудничество в области защиты персональных данных
В отношении третьих стран и международных организаций Комиссия и надзорные органы должны предпринять соответствующие шаги для:
(А) разработать механизмы международного сотрудничества для содействия эффективному применению законодательства в области защиты персональных данных;
(Б) оказывать международную взаимную помощь в обеспечении соблюдения законодательства в целях защиты персональных данных, в том числе путем уведомления, подачи жалобы, расследования и обмена информацией, при условии соблюдения надлежащих гарантий защиты персональных данных и других основных прав и свобод;
(С) привлекать соответствующих заинтересованных сторон к обсуждению и мероприятиям, направленным на содействие международному сотрудничеству в области обеспечения соблюдения законодательства для защиты персональных данных;
(Д) содействовать обмену и документированию законодательства и практики защиты персональных данных, в том числе о юрисдикционных конфликтах с третьими странами.

ГЛАВА VI.
Независимые надзорные органы
Секция 1
Независимый статус
Статья 51.
Орган надзора
1. Каждое государство-член предоставляет одному или нескольким независимым государственным органам ответственность за контроль за применением настоящих Правил в целях защиты основных прав и свобод физических лиц в отношении обработки и облегчения свободного потока персональных данных в рамках Союза («надзорный орган»).
2. Каждый надзорный орган вносит свой вклад в последовательное применение настоящих Правил на всей территории Союза. С этой целью надзорные органы сотрудничают друг с другом и с Комиссией в соответствии с главой VII.
3. Если в государстве-члене создается более одного органа надзора, это государство-член назначает надзорный орган, который должен представлять эти органы в Совете, и устанавливает механизм для обеспечения соблюдения другими органами правил, касающихся механизм согласованности, упомянутый в статье 63.
4. Каждое государство-член уведомляет Комиссию о положениях своего закона, которые оно принимает в соответствии с настоящей главой, к 25 мая 2018 года и без промедления принимает любую последующую поправку, затрагивающую их.
Статья 52.
независимость
1. Каждый надзорный орган действует с полной независимостью при выполнении своих задач и осуществлении своих полномочий в соответствии с настоящим Регламентом.
2. Член или члены каждого надзорного органа при выполнении своих задач и осуществлении своих полномочий в соответствии с настоящими Правилами остаются свободными от внешнего влияния, будь то прямое или косвенное, и не должны ни искать, ни принимать инструкции от кого-либо.
3. Члены или члены каждого надзорного органа воздерживаются от любых действий, несовместимых с их обязанностями, и не должны, в течение срока их полномочий, заниматься какой-либо несовместимой оккупацией, будь то прибыль или нет.
4. Каждое государство-член обеспечивает, чтобы каждому надзорному органу предоставлялись людские, технические и финансовые ресурсы, помещения и инфраструктура, необходимые для эффективного выполнения его задач и осуществления его полномочий, в том числе тех, которые должны выполняться в контексте взаимных содействие, сотрудничество и участие в работе Совета.
5. Каждое государство-член обеспечивает, чтобы каждый надзорный орган выбирал и имел свой собственный персонал, который подлежит исключительному руководству члена или членов соответствующего контролирующего органа.
6. Каждое государство-член обеспечивает, чтобы каждый контролирующий орган подвергался финансовому контролю, который не влияет на его независимость, и что он имеет отдельные годовые бюджеты, которые могут быть частью общего государственного или национального бюджета.
Статья 53.
Общие условия для членов контрольного органа
1. Государства-члены должны обеспечить, чтобы каждый член их надзорных органов был назначен посредством прозрачной процедуры путем:
- их парламент;
- их правительство;
- их глава государства; или
- независимый орган, которому поручено назначение в соответствии с законодательством государств-членов.
2. Каждый член должен обладать квалификацией, опытом и навыками, в частности в области защиты персональных данных, необходимых для выполнения своих обязанностей и осуществления своих полномочий.
3. Обязанности члена прекращаются в случае истечения срока полномочий, отставки или принудительного выхода на пенсию в соответствии с законодательством соответствующего государства-члена.
4. Член должен быть уволен только в случае серьезных нарушений или если член больше не выполняет условия, необходимые для выполнения своих обязанностей.
Статья 54.
Правила создания надзорного органа
1. Каждое государство-член предоставляет по закону все следующие:
(А) создание каждого надзорного органа;
(Б) квалификацию и условия приемлемости, которые должны быть назначены в качестве члена каждого надзорного органа;
(С) правила и процедуры назначения члена или членов каждого надзорного органа;
(Д) продолжительность срока членства или членов каждого надзорного органа не менее четырех лет, за исключением первого назначения после 24 мая 2016 года, часть которого может иметь место на более короткий период, когда это необходимо для защиты независимости надзорный орган посредством ступенчатой процедуры назначения;
(Е) если и если да, то на сколько членов член или члены каждого надзорного органа имеют право на повторное назначение;
(Е) условия, регулирующие обязанности члена или членов и персонала каждого надзорного органа, запреты на действия, профессии и льготы, несовместимые с ним в течение и после срока полномочий и правил, регулирующих прекращение работы.
2. Член или члены и персонал каждого надзорного органа в соответствии с законодательством Союза или государства-члена обязаны соблюдать профессиональную тайну как во время, так и после их срока полномочий в отношении любой конфиденциальной информации, которая пришла к их знанию в ходе выполнения своих задач или осуществления своих полномочий. В течение срока их полномочий эта обязанность профессиональной тайны, в частности, применяется к отчетности физических лиц о нарушениях настоящих Правил.
Раздел 2
Компетентность, задачи и полномочия
Статья 55.
компетентность
1. Каждый надзорный орган должен быть компетентным для выполнения задач, возложенных на него и осуществления полномочий, предоставленных ему в соответствии с настоящим Регламентом, на территории его собственного государства-члена.
2. Если обработка осуществляется государственными органами или частными органами, действующими на основании пункта (с) или (е) статьи 6 (1), надзорный орган соответствующего государства-члена компетентен. В таких случаях статья 56 не применяется.
3. Надзорные органы не могут быть компетентны контролировать процессуальные действия судов, действующих в их судебном порядке.
Статья 56.
Компетентность руководящего надзорного органа
1. Без ущерба для статьи 55 надзорный орган основного учреждения или единственного учреждения контролера или обработчика должен обладать полномочиями выступать в качестве руководящего надзорного органа для трансграничной обработки, осуществляемой этим контроллером или процессором в соответствии с процедура, предусмотренная в статье 60.
2. В отступление от пункта 1 каждый надзорный орган компетентен рассматривать поданную жалобу или возможное нарушение настоящих Правил, если предмет относится только к учреждению в его государстве-члене или существенно влияет на субъекты данных только в его Государства-члена.
3. В случаях, упомянутых в пункте 2 настоящей статьи, надзорный орган незамедлительно информирует ведущий надзорный орган по этому вопросу. В течение трех недель после получения уведомления ведущий надзорный орган принимает решение о том, будет ли он заниматься рассмотрением дела в соответствии с процедурой, предусмотренной в статье 60, с учетом того, установлено или нет диспетчер или процессор в Государство-член, о котором это сообщило контролирующий орган.
4. В тех случаях, когда ведущий надзорный орган решает рассмотреть дело, применяется процедура, предусмотренная статьей 60. Надзорный орган, который проинформировал ведущий надзорный орган, может представить руководству надзорного органа проект решения. Руководящий надзорный орган должен полностью учитывать этот проект при подготовке проекта решения, упомянутого в статье 60 (3).
5. В тех случаях, когда ведущий надзорный орган принимает решение не рассматривать дело, надзорный орган, который информировал ведущий надзорный орган, должен обращаться с ним в соответствии со статьями 61 и 62.
6. Ведущий надзорный орган должен быть единственным собеседником контроллера или процессора для трансграничной обработки, выполняемой этим контроллером или процессором.
Статья 57.
Задания
1. Без ущерба для других задач, установленных настоящим Регламентом, каждый надзорный орган на своей территории:
(А) контролировать и обеспечивать применение настоящих Правил;
(Б) содействовать информированию общественности и пониманию рисков, правил, гарантий и прав в отношении обработки. Особое внимание следует уделять мероприятиям, адресованным конкретно детям.
(С) консультирует в соответствии с законодательством государств-членов национальный парламент, правительство и другие учреждения и органы о законодательных и административных мерах, касающихся защиты прав и свобод физических лиц в отношении обработки;
(Д) содействовать информированию контролеров и переработчиков их обязательств по настоящим Правилам;
(Е) по запросу предоставлять информацию любому субъекту данных, касающемуся осуществления их прав на основании настоящих Правил, и, при необходимости, сотрудничать с надзорными органами в других государствах-членах с этой целью;
(Е) обрабатывать жалобы, поданные субъектом данных, или органом, организацией или ассоциацией в соответствии со статьей 80 и расследовать, насколько это уместно, предмет жалобы и информировать заявителя о ходе и результатах расследования в пределах разумный период, в частности, если необходимо дальнейшее расследование или координация с другим надзорным органом;
(г) сотрудничать, в том числе обмениваться информацией и оказывать взаимную помощь другим надзорным органам в целях обеспечения согласованности применения и обеспечения соблюдения настоящих Правил;
(час) проводить расследования по применению настоящих Правил, в том числе на основе информации, полученной от другого надзорного органа или другого государственного органа;
(я) следить за соответствующими изменениями, поскольку они влияют на защиту персональных данных, в частности на развитие информационно-коммуникационных технологий и коммерческой практики;
(К) принять стандартные договорные положения, упомянутые в статье 28 (8) и в пункте (d) статьи 46 (2);
(К) создавать и вести список в отношении требования об оценке воздействия защиты данных в соответствии со статьей 35 (4);
(Л) давать рекомендации по процессам обработки, упомянутым в Статье 36 (2);
(М) поощрять разработку кодексов поведения в соответствии со статьей 40 (1) и выносить заключение и утверждать такие кодексы поведения, которые обеспечивают достаточные гарантии в соответствии со статьей 40 (5);
(П) поощрять создание механизмов сертификации защиты данных и печатей и знаков защиты данных в соответствии со статьей 42 (1) и утверждать критерии сертификации в соответствии со статьей 42 (5);
(О) где это применимо, проводить периодический обзор сертификатов, выданных в соответствии со статьей 42 (7);
(п) разработать и опубликовать критерии аккредитации органа для контроля за кодексами поведения в соответствии со статьей 41 и органом по сертификации в соответствии со статьей 43;
(Д) проводить аккредитацию органа для контроля за кодексами поведения в соответствии со статьей 41 и органом по сертификации в соответствии со статьей 43;
(р) санкционировать договорные положения и положения, упомянутые в статье 46 (3);
(Ы) утверждает обязательные корпоративные правила в соответствии со статьей 47;
(Т) вносить свой вклад в деятельность Совета;
(И) вести внутренние записи о нарушениях настоящих Правил и о мерах, принятых в соответствии со статьей 58 (2); а также
(V) выполнять любые другие задачи, связанные с защитой персональных данных.
2. Каждый надзорный орган содействует представлению жалоб, указанных в пункте (f) пункта 1, такими мерами, как форма подачи жалобы, которая также может быть заполнена в электронном виде, без исключения других средств связи.
3. Выполнение задач каждого надзорного органа является бесплатным для субъекта данных и, где это применимо, для сотрудника по защите данных.
4. В тех случаях, когда просьбы явно необоснованны или чрезмерны, в частности, из-за их повторяющегося характера, надзорный орган может взимать разумную плату в зависимости от административных расходов или отказываться действовать по запросу. Надзорный орган несет ответственность за демонстрацию явно необоснованного или чрезмерного характера просьбы.
Статья 58.
полномочия
1. Каждый надзорный орган обладает всеми следующими следственными полномочиями:
(А) заказывать контроллер и процессор и, где применимо, представителя контроллера или представителя процессора для предоставления любой информации, необходимой для выполнения своих задач;
(Б) проводить расследования в форме проверок защиты данных;
(С) провести обзор сертификатов, выданных в соответствии со статьей 42 (7);
(Д) уведомить контролера или обработчика о предполагаемом нарушении настоящих Правил;
(Е) получать от контроллера и процессора доступ ко всем личным данным и ко всей информации, необходимой для выполнения своих задач;
(Е) для получения доступа к любым помещениям контроллера и процессора, в том числе к любому оборудованию и средствам обработки данных, в соответствии с процессуальным законодательством Союза или государства-члена.
2. Каждый надзорный орган обладает всеми следующими корректирующими полномочиями:
(А) выдавать предупреждения контроллеру или процессору, которые предполагают операции обработки, могут нарушать положения настоящих Правил;
(Б) выдавать выговоры контроллеру или процессору, где операции по обработке нарушают положения настоящих Правил;
(С) поручить контроллеру или процессору соблюдать требования субъекта данных осуществлять свои права в соответствии с настоящими Правилами;
(Д) поручить контроллеру или процессору привести операции обработки в соответствие с положениями настоящих Правил, где это необходимо, в установленном порядке и в течение определенного периода времени;
(Е) поручить контроллеру сообщать о нарушении личных данных субъекту данных;
(Е) наложить временное или окончательное ограничение, включая запрет на обработку;
(г) распорядиться об исправлении или стирании персональных данных или ограничении обработки в соответствии со статьями 16, 17 и 18 и уведомлении о таких действиях получателям, которым были раскрыты личные данные в соответствии со Статьей 17 (2) и Статьей 19;
(час) отозвать сертификацию или поручить органу по сертификации отозвать сертификацию, выпущенную в соответствии со статьями 42 и 43, или поручить органу по сертификации не выдавать сертификацию, если требования к сертификации отсутствуют или больше не выполняются;
(я) налагать административный штраф в соответствии со статьей 83 в дополнение к мерам, указанным в этом пункте, или вместо них, в зависимости от обстоятельств каждого отдельного дела;
(К) заказать приостановку передачи данных получателю в третьей стране или международной организации.
3. Каждый надзорный орган имеет все следующие полномочия и полномочия:
(А) консультирование контролера в соответствии с процедурой предварительного консультирования, упомянутой в статье 36;
(Б) выносить по собственной инициативе или по запросу мнения в национальный парламент, правительство государства-члена или, в соответствии с законодательством государств-членов, другим учреждениям и органам, а также общественности по любому вопросу, касающемуся защиты личных данные;
(С) санкционировать обработку, упомянутую в статье 36 (5), если законодательство государства-члена требует такого предварительного разрешения;
(Д) выносить заключение и утверждать проекты кодексов поведения в соответствии со статьей 40 (5);
(Е) аккредитовать органы по сертификации в соответствии со статьей 43;
(Е) выдавать сертификаты и утверждать критерии сертификации в соответствии со статьей 42 (5);
(г) принять стандартные положения о защите данных, упомянутые в статье 28 (8) и в пункте (d) статьи 46 (2);
(час) санкционировать договорные положения, указанные в пункте (а) статьи 46 (3);
(я) санкционировать административные механизмы, упомянутые в пункте (b) статьи 46 (3);
(К) утвердить обязательные корпоративные правила в соответствии со статьей 47.
4. Осуществление полномочий, возложенных на надзорный орган в соответствии с настоящей статьей, подлежит надлежащим гарантиям, включая эффективные судебные средства правовой защиты и надлежащие процедуры, изложенные в законе Союза и государства-члена в соответствии с Уставом.
5. Каждое государство-член устанавливает в соответствии с законом, что его надзорный орган имеет право доводить нарушения настоящего Регламента до сведения судебных органов и, при необходимости, начинать или заниматься иным образом в судопроизводстве, с тем чтобы обеспечить соблюдение положений настоящих Правил.
6. Каждое государство-член может предусмотреть в законодательстве, что его надзорный орган обладает дополнительными полномочиями по отношению к тем, которые указаны в пунктах 1, 2 и 3. Осуществление этих полномочий не должно наносить ущерба эффективному функционированию главы VII.
Статья 59
Отчеты о деятельности
Каждый надзорный орган составляет годовой отчет о своей деятельности, который может включать перечень уведомлений о типах нарушений и виды мер, принятых в соответствии со статьей 58 (2). Эти доклады должны быть переданы в национальный парламент, правительство и другие органы власти, как это определено законодательством государств-членов. Они должны быть доступны для общественности, Комиссии и Совету.

ГЛАВА VII.
Сотрудничество и согласованность
Секция 1
сотрудничество
Статья 60
Сотрудничество между ведущим надзорным органом и другими контролирующими органами
1. Ведущий надзорный орган сотрудничает с другими контролирующими органами в соответствии с настоящей статьей в стремлении достичь консенсуса. Ведущий надзорный орган и соответствующие контролирующие органы обмениваются всей соответствующей информацией друг с другом.
2. Ведущий надзорный орган может в любое время потребовать от других контролирующих органов оказывать взаимную помощь в соответствии со статьей 61 и может проводить совместные операции в соответствии со статьей 62, в частности для проведения расследований или для контроля за осуществлением меры, касающейся контролера или процессором, установленным в другом государстве-члене.
3. Ведущий надзорный орган незамедлительно передает соответствующую информацию по этому вопросу другим заинтересованным контролирующим органам. Он незамедлительно представляет проект решения другим заинтересованным контролирующим органам для своего мнения и с должным учетом своих мнений.
4. Если какое-либо из других контролирующих органов в течение четырех недель после консультаций в соответствии с пунктом 3 настоящей статьи выражает соответствующее и обоснованное возражение против проекта решения, ведущий надзорный орган, если он не следуйте соответствующим и обоснованным возражениям или придерживайтесь мнения, что возражение не имеет отношения к делу или не обосновано, передайте вопрос механизму согласованности, указанному в статье 63.
5. Если ведущий надзорный орган намеревается следовать соответствующему и обоснованному возражению, он представляет другим заинтересованным контролирующим органам пересмотренный проект решения для своего мнения. Этот пересмотренный проект решения подлежит процедуре, упомянутой в пункте 4, в течение двух недель.
6. Если ни один из других контролирующих органов не возражал против проекта решения, представленного ведущим надзорным органом в течение периода, указанного в пунктах 4 и 5, ведущий надзорный орган и соответствующие надзорные органы считаются соглашающимися с этот проект решения и должен быть им связан.
7. Ведущий надзорный орган принимает и уведомляет об этом решение основному учреждению или единому учреждению контролера или обработчика, в зависимости от обстоятельств, и информирует другие соответствующие контролирующие органы и Совет соответствующего решения, включая резюме соответствующие факты и основания. Орган надзора, с которым подана жалоба, информирует заявителя об этом решении.
8. В отступление от пункта 7, когда жалоба отклоняется или отклоняется, надзорный орган, с которым подана жалоба, принимает решение и уведомляет об этом заявителя и информирует об этом его контролера.
9. Если ведущий надзорный орган и соответствующие надзорные органы соглашаются отклонить или отклонить часть жалобы и действовать в других частях этой жалобы, для каждой из этих частей дела будет принято отдельное решение. Ведущий надзорный орган принимает решение о части, касающейся действий в отношении контролера, уведомляет об этом основное учреждение или единое учреждение контролера или обработчика на территории своего государства-члена и информирует об этом заявителя, в то время как надзорный орган заявителя принимает решение по части, касающейся увольнения или отклонения этой жалобы, и уведомляет об этом заявителя и информирует об этом контролера или его обработчика.
10. После получения уведомления о решении ведущего надзорного органа в соответствии с пунктами 7 и 9, контроллер или процессор должны принять необходимые меры для обеспечения соблюдения решения в отношении обработки деятельности в контексте всех своих учреждений в Союзе. Контролер или процессор уведомляют о мерах, принятых для принятия решения ведущему надзорному органу, который информирует об этом другие контролирующие органы.
11. Если в исключительных обстоятельствах соответствующий орган надзора имеет основания считать, что существует настоятельная необходимость действовать в целях защиты интересов субъектов данных, применяется процедура срочности, упомянутая в статье 66.
12. Ведущий надзорный орган и другие соответствующие контролирующие органы предоставляют информацию, требуемую в соответствии с настоящей статьей, друг другу посредством электронных средств, используя стандартизованный формат.
Статья 61.
Взаимопомощь
1. Надзорные органы предоставляют друг другу соответствующую информацию и взаимную помощь для последовательного осуществления и применения настоящих Правил и принимают меры для эффективного сотрудничества друг с другом. Взаимная помощь охватывает, в частности, информационные запросы и надзорные меры, такие как просьбы о проведении предварительных разрешений и консультаций, инспекций и расследований.
2. Каждый надзорный орган принимает все необходимые меры для ответа на запрос другого контролирующего органа без неоправданной задержки и не позднее, чем через месяц после получения запроса. Такие меры могут включать, в частности, передачу соответствующей информации о проведении расследования.
3. Запросы о помощи должны содержать всю необходимую информацию, включая цель и причины запроса. Обмен информацией должен использоваться только для той цели, для которой он был запрошен.
4. Запрошенный надзорный орган не отказывается выполнять запрос, если:
(А) он не компетентен в отношении предмета запроса или мер, которые он запросил выполнить; или
(Б) соблюдение этого требования нарушило бы это Положение или закон Союза или государства-члена, которому подчиняется контролирующий орган, получающий запрос.
5. Запрошенный надзорный орган информирует запрашивающий надзорный орган о результатах или, в зависимости от обстоятельств, о ходе мер, принятых для ответа на запрос. В запрошенном надзорном органе указываются причины отказа в удовлетворении просьбы в соответствии с пунктом 4.
6. Запрошенные надзорные органы, как правило, предоставляют информацию, запрошенную другими контролирующими органами, электронными средствами, используя стандартизованный формат.
7. Запрошенные надзорные органы не взимают плату за любые действия, предпринятые ими в соответствии с просьбой о взаимной помощи. Органы надзора могут договориться о правилах возмещения друг друга за конкретные расходы, связанные с оказанием взаимной помощи в исключительных обстоятельствах.
8. Если надзорный орган не предоставляет информацию, указанную в пункте 5 настоящей статьи, в течение одного месяца с момента получения запроса другого надзорного органа, запрашивающий надзорный орган может принять временную меру на территории своего государства-члена в соответствии с Статья 55 (1). В этом случае следует принять срочную необходимость действовать согласно статье 66 (1) и потребовать принятия срочного обязательного решения от Совета в соответствии со статьей 66 (2).
9. Комиссия может посредством осуществления актов указать формат и процедуры взаимной помощи, упомянутые в настоящей статье, и договоренности об обмене информацией электронными средствами между надзорными органами и между надзорными органами и Советом, в частности стандартизованный формат, упомянутый в пункте 6 настоящей статьи. Эти исполнительные акты принимаются в соответствии с процедурой экспертизы, указанной в статье 93 (2).
Статья 62.
Совместные операции надзорных органов
1. Надзорные органы, в случае необходимости, проводят совместные операции, включая совместные расследования и совместные принудительные меры, в которых участвуют члены или сотрудники надзорных органов других государств-членов.
2. Если контроллер или процессор имеют учреждения в нескольких государствах-членах или где значительное число субъектов данных в более чем одном государстве-члене, вероятно, будут в значительной степени подвержены процессам обработки, надзорный орган каждого из этих государств-членов имеет право для участия в совместных операциях. Орган надзора, который компетентен в соответствии со Статьей 56 (1) или (4), приглашает надзорный орган каждого из этих государств-членов принять участие в совместных операциях и незамедлительно откликнется на просьбу контролирующего органа к участию.
3. Надзорный орган может в соответствии с законодательством государства-члена и с санкционирующим полномочием надзорного органа наделять полномочиями, в том числе следственными полномочиями в отношении членов или сотрудников вспомогательного органа надзора, участвующих в совместных операциях, или, в той мере, Государство-член управляющего органа принимающей страны разрешает, разрешать членам или персоналу вспомогательного органа надзора осуществлять свои следственные полномочия в соответствии с законодательством государства-члена прикомандирующего надзорного органа. Такие полномочия по расследованию могут осуществляться только под руководством и в присутствии членов или персонала принимающего надзорного органа. Привилегированные члены или сотрудники контролирующего органа подчиняются законодательству государства-члена принимающего надзорного органа.
4. Если в соответствии с пунктом 1 сотрудники вспомогательного надзорного органа действуют в другом государстве-члене, государство-член принимающего надзорного органа берет на себя ответственность за свои действия, включая ответственность, за любой ущерб, причиненный ими во время их деятельности, в соответствии с законодательством государства-члена, на территории которого они действуют.
5. Государство-член, на территории которого нанесен ущерб, наносит такой ущерб в соответствии с условиями, причиненными его персоналу. Государство-член прикомандирующего надзорного органа, сотрудники которого причинили ущерб любому лицу на территории другого государства-члена, возмещает это другое государство-член в полном объеме любые суммы, которые он выплатил лицам, имеющим право на их имя.
6. Без ущерба для осуществления своих прав по отношению к третьим сторонам и за исключением пункта 5 каждое государство-член воздерживается в случае, предусмотренном в пункте 1, от просьбы о возмещении из другого государства-члена в отношении ущерб, упомянутый в пункте 4.
7. Если предполагается совместная операция, и надзорный орган в течение одного месяца не выполняет обязательства, изложенные во втором предложении пункта 2 настоящей статьи, другие надзорные органы могут принять временную меру на территории своего Государство-член в соответствии со статьей 55. В этом случае считается, что необходимо срочно действовать согласно статье 66 (1) и требовать от Совета мнения или принятия срочного обязательного решения в соответствии со статьей 66 (2).
Раздел 2
консистенция
Статья 63.
Механизм согласованности
В целях содействия последовательному применению настоящих Правил по всему Союзу надзорные органы должны сотрудничать друг с другом и, в случае необходимости, с Комиссией посредством механизма согласованности, изложенного в настоящем разделе.
Статья 64
Мнение Совета
1. Совет выносит заключение, в котором компетентный надзорный орган намерен принять любую из нижеуказанных мер. С этой целью компетентный надзорный орган сообщает Совету проект решения, когда он:
(А) направлена на принятие перечня операций по обработке, подлежащих требованию об оценке воздействия защиты данных в соответствии со статьей 35 (4);
(Б) касается вопроса в соответствии со статьей 40 (7), соответствует ли проект кодекса поведения или поправка или дополнение к кодексу поведения настоящим Правилам;
(С) направлена на утверждение критериев аккредитации органа в соответствии со статьей 41 (3) или органом по сертификации в соответствии со статьей 43 (3);
(Д) направлена на определение стандартных положений о защите данных, указанных в пункте (d) статьи 46 (2) и в статье 28 (8);
(Е) имеет целью санкционировать договорные положения, указанные в пункте (а) статьи 46 (3); или
(Е) направлена на утверждение обязательных корпоративных правил по смыслу статьи 47.
2. Любое контролирующее учреждение, Председатель Правления или Комиссия может потребовать, чтобы какой-либо вопрос об общей заявке или производственном воздействии в более чем одном государстве-члене был рассмотрен Советом с целью получения заключения, в частности, когда компетентный надзорный орган не выполняет обязательства по взаимной помощи в соответствии со статьей 61 или для совместных операций в соответствии со статьей 62.
3. В случаях, упомянутых в пунктах 1 и 2, Совет выносит заключение по вопросу, представленному ему, при условии, что он еще не опубликовал мнение по тому же вопросу. Это мнение должно быть принято в течение восьми недель простым большинством членов Совета. Этот период может быть продлен еще на шесть недель с учетом сложности предмета. Что касается проекта решения, упомянутого в пункте 1, распространенного среди членов Совета в соответствии с пунктом 5, то член, который не возражал в течение разумного срока, указанного Председателем, считается согласным с проектом решения.
4. Надзорные органы и Комиссия без неоправданной задержки сообщают в электронном виде Совету, используя стандартизованный формат любой соответствующей информации, в том числе в качестве примера могут быть резюме фактов, проект решения, основания, которые делают принятие такой меры и мнения других заинтересованных надзорных органов.
5. Председатель Правления без неоправданных задержек сообщает электронными средствами:
(А) членам Совета и Комиссии любой соответствующей информации, которая была передана ему с использованием стандартизованного формата. Секретариат Совета, при необходимости, обеспечивает перевод соответствующей информации; а также
(Б) надзорный орган, упомянутый, в зависимости от обстоятельств, в пунктах 1 и 2, а также мнение Комиссии и обнародовать ее.
6. Компетентный надзорный орган не принимает свой проект решения, упомянутый в пункте 1, в течение периода, указанного в пункте 3.
7. Надзорный орган, упомянутый в пункте 1, должен в максимальной степени учитывать мнение Совета и в течение двух недель после получения заключения сообщается Председателю Совета электронными средствами о том, будет ли он поддерживать или корректировать проект решения и, если таковые имеются, измененный проект решения с использованием стандартизованного формата.
8. Если соответствующий контролирующий орган информирует Председателя Совета в течение периода, указанного в пункте 7 настоящей статьи, он не намерен следовать мнению Совета, полностью или частично, предоставляя соответствующие основания, статью 65 (1).
Статья 65.
Разрешение споров Советом
1. В целях обеспечения правильного и последовательного применения настоящих Правил в отдельных случаях Совет принимает обязательное решение в следующих случаях:
(А) где в случае, указанном в статье 60 (4), соответствующий контролирующий орган поднял соответствующее и обоснованное возражение против проекта решения ведущего органа, или ведущий орган отклонил такое возражение, которое не имеет отношения к делу или не обосновано. Обязательное решение касается всех вопросов, которые являются предметом соответствующего и аргументированного возражения, в частности, является ли нарушение данного Регламента;
(Б) где имеются противоречивые взгляды на то, какая из заинтересованных надзорных органов компетентна для основного учреждения;
(С) когда компетентный надзорный орган не запрашивает мнение Совета в случаях, указанных в Статье 64 (1), или не следует мнению Совета, выпущенного в соответствии со статьей 64. В этом случае любой контролирующий орган или Комиссия может передать этот вопрос Совету.
2. Решение, упомянутое в пункте 1, принимается в течение одного месяца с направления предмета на большинство в две трети членов Совета. Этот период может быть продлен еще на один месяц из-за сложности предмета.Решение, упомянутое в пункте 1, должно быть обосновано и адресовано руководящему надзорному органу и всем соответствующим надзорным органам и обязательным для них.
3. Если Совет не смог принять решение в сроки, указанные в пункте 2, он принимает свое решение в течение двух недель после истечения второго месяца, указанного в пункте 2, простым большинством членов Совет. Если члены Совета разделены, решение принимается голосованием его Председателя.
4. Соответствующие контролирующие органы не принимают решения по вопросу, представленному Совету в соответствии с пунктом 1 в периоды, указанные в пунктах 2 и 3.
5. Председатель Правления незамедлительно уведомляет о решении, упомянутом в пункте 1, заинтересованным контролирующим органам. Он информирует об этом Комиссию. Решение должно быть опубликовано на веб-сайте Совета без промедления после того, как надзорный орган уведомил окончательное решение, упомянутое в пункте 6.
6. Руководящий надзорный орган или, в зависимости от обстоятельств, надзорный орган, с которым подана жалоба, принимает свое окончательное решение на основании решения, упомянутого в пункте 1 настоящей статьи, без неоправданной задержки и на последний на один месяц после того, как Правление уведомило о своем решении. Ведущий надзорный орган или, в зависимости от обстоятельств, контролирующий орган, с которым подана жалоба, информирует Совет о дате, когда его окончательное решение уведомляется соответственно о контролере или процессоре и субъекте данных. Окончательное решение соответствующих контролирующих органов принимается в соответствии с положениями статей 60 (7), (8) и (9). Окончательное решение относится к решению, упомянутому в пункте 1 настоящей статьи, и указывает, что решение, упомянутое в этом пункте, будет опубликовано на веб-сайте Совета в соответствии с пунктом 5 настоящей статьи. В окончательном решении принимается решение, упомянутое в пункте 1 настоящей статьи.
Статья 66.
Процедура срочности
1. В исключительных случаях, когда соответствующий контролирующий орган считает, что существует настоятельная необходимость действовать в целях защиты прав и свобод субъектов данных, он может в силу отступления от механизма согласованности, упомянутого в статьях 63, 64 и 65 или процедура, упомянутая в статье 60, немедленно принимают временные меры, направленные на правовые последствия на своей собственной территории с установленным сроком действия, который не должен превышать трех месяцев. Надзорный орган незамедлительно сообщает эти меры и причины их принятия другим заинтересованным контролирующим органам, Совету и Комиссии.
2. Если надзорный орган принял меры в соответствии с пунктом 1 и считает, что в срочном порядке необходимо принять окончательные меры, он может запросить у Совета срочное заключение или срочное обязательное решение, в котором указаны причины для запроса такого мнения или решения.
3. Любой надзорный орган может потребовать срочного заключения или принятия срочного обязательного решения от Совета, если компетентный надзорный орган не принял надлежащую меру в ситуации, когда существует настоятельная необходимость действовать, с тем чтобы для защиты прав и свобод субъектов данных, предоставления оснований для запроса такого мнения или решения, в том числе для неотложной необходимости действовать.
4. В отступление от статьи 64 (3) и статьи 65 (2) срочное заключение или неотложное обязательное решение, упомянутое в пунктах 2 и 3 настоящей статьи, принимаются в течение двух недель простым большинством голосов членов Совета ,
Статья 67.
Обмен информацией
Комиссия может принять акты общего характера с целью определения договоренностей об обмене информацией электронными средствами между надзорными органами и между надзорными органами и Советом, в частности стандартизованным форматом, указанным в статье 64.
Эти исполнительные акты принимаются в соответствии с процедурой экспертизы, указанной в статье 93 (2).
Раздел 3
Европейский совет по защите данных
Статья 68.
Европейский совет по защите данных
1. Европейский совет по защите данных («Совет») настоящим учреждается как орган Союза и имеет правосубъектность.
2. Совет должен быть представлен его Председателем.
3. В состав Совета входят глава одного надзорного органа каждого государства-члена и Европейского наблюдателя по вопросам защиты данных или их соответствующих представителей.
4. Если в государстве-члене более одного надзорного органа отвечает за контроль за применением положений на основании настоящих Правил, совместный представитель назначается в соответствии с законодательством этого государства-члена.
5. Комиссия имеет право участвовать в деятельности и заседаниях Совета без права голоса. Комиссия назначает представителя. Председатель Совета информирует Комиссию о деятельности Совета.
6. В случаях, упомянутых в статье 65, Европейский надзор за предоставлением данных имеет права голоса только на решения, касающиеся принципов и правил, применимых к учреждениям, органам, ведомствам и агентствам Союза, которые соответствуют по существу положениям настоящих Правил.
Статья 69.
независимость
1. Правление действует независимо при выполнении своих задач или осуществлении своих полномочий в соответствии со статьями 70 и 71.
2. Без ущерба для просьб Комиссии, упомянутых в пункте (b) статьи 70 (1) и в статье 70 (2), Совет при выполнении своих задач или осуществлении своих полномочий не принимать инструкции от кого-либо.
Статья 70
Задачи Совета
1. Правление обеспечивает последовательное применение настоящих Правил. С этой целью Совет по собственной инициативе или, в случае необходимости, по просьбе Комиссии, в частности:
(А) контролировать и обеспечивать правильное применение настоящих Правил в случаях, предусмотренных статьями 64 и 65, без ущерба для задач национальных надзорных органов;
(Б) консультирует Комиссию по любому вопросу, касающемуся защиты персональных данных в Союзе, в том числе о любой предлагаемой поправке к настоящим Правилам;
(С) консультировать Комиссию о формате и процедурах обмена информацией между диспетчерами, переработчиками и надзорными органами для обязательных корпоративных правил;
(Д) выпустить руководящие принципы, рекомендации и передовую практику в отношении процедур удаления ссылок, копий или тиражирования персональных данных из общедоступных услуг связи, указанных в статье 17 (2);
(Е) по собственной инициативе, по просьбе одного из своих членов или по запросу Комиссии, рассмотреть любой вопрос, касающийся применения настоящих Правил, и выпустить руководящие принципы, рекомендации и передовую практику в целях поощрения последовательного применения настоящих Правил;
(Е) выпустить руководящие принципы, рекомендации и передовую практику в соответствии с пунктом (е) настоящего пункта для дальнейшего уточнения критериев и условий для принятия решений на основе профилирования в соответствии со статьей 22 (2);
(г) выпустить руководящие принципы, рекомендации и передовую практику в соответствии с пунктом (е) настоящего пункта для установления нарушений личных данных и определения неоправданной задержки, упомянутой в Статье 33 (1) и (2), и для конкретных обстоятельств, при которых контроллер или процессор должен уведомлять о нарушении личных данных;
(час) выдать руководящие принципы, рекомендации и передовой опыт в соответствии с пунктом (е) настоящего пункта в отношении обстоятельств, при которых нарушение личных данных может привести к высокому риску прав и свобод физических лиц, указанных в статье 34 ( 1).
(я) выпустить руководящие принципы, рекомендации и передовую практику в соответствии с пунктом (е) настоящего пункта с целью дальнейшего уточнения критериев и требований к передаче персональных данных на основе обязательных корпоративных правил, которым придерживаются контроллеры, и обязательных корпоративных правил, соблюдаемых процессорами и дополнительные необходимые требования для обеспечения защиты персональных данных соответствующих субъектов данных, упомянутых в статье 47;
(К) выпустить руководящие принципы, рекомендации и передовую практику в соответствии с пунктом (е) настоящего пункта с целью дальнейшего уточнения критериев и требований к передаче персональных данных на основании статьи 49 (1);
(К) разработать руководящие принципы для надзорных органов в отношении применения мер, упомянутых в пунктах (1), (2) и (3) статьи 58, и установления административных штрафов в соответствии со статьей 83;
(Л) рассмотреть практическое применение руководящих принципов, рекомендаций и передовой практики, упомянутых в пунктах (e) и (f);
(М) выпустить руководящие принципы, рекомендации и передовой опыт в соответствии с пунктом (е) настоящего пункта для установления общих процедур представления физическими лицами сообщений о нарушениях настоящих Правил в соответствии со статьей 54 (2);
(П) поощрять разработку кодексов поведения и создание механизмов сертификации защиты данных и печатей и знаков защиты данных в соответствии со статьями 40 и 42;
(О) осуществлять аккредитацию органов по сертификации и периодический обзор в соответствии со статьей 43 и вести публичный реестр аккредитованных органов в соответствии со статьей 43 (6) и аккредитованных контролеров или переработчиков, созданных в третьих странах в соответствии со статьей 42 (7);
(п) указать требования, упомянутые в статье 43 (3), в целях аккредитации органов по сертификации согласно статье 42;
(Д) представить Комиссии мнение о требованиях к сертификации, упомянутых в статье 43 (8);
(р) представить Комиссии мнение о значках, упомянутых в Статье 12 (7);
(Ы) предоставить Комиссии мнение относительно оценки степени защиты в третьей стране или международной организации, в том числе для оценки того, является ли третья страна, территория или один или несколько указанных секторов в пределах этой третьей страны или международная организация больше не обеспечивает достаточный уровень защиты. С этой целью Комиссия предоставляет Совету всю необходимую документацию, в том числе переписку с правительством третьей страны, в отношении этой третьей страны, территории или указанного сектора или международной организации.
(Т) выносить заключения по проектам решений надзорных органов в соответствии с механизмом согласованности, указанным в Статье 64 (1), по вопросам, представленным в соответствии со Статьей 64 (2), и выносить обязательные решения в соответствии со Статьей 65, в том числе в случаях, упомянутых в Статье 66 ;
(И) содействовать сотрудничеству и эффективному двустороннему и многостороннему обмену информацией и передовой практикой между надзорными органами;
(V) продвигать общие учебные программы и облегчать обмен персоналом между надзорными органами и, при необходимости, надзорными органами третьих стран или с международными организациями;
(Ж) содействовать обмену знаниями и документацией по законодательству и практике защиты данных с надзорными органами по защите данных во всем мире.
(Икс) выносить заключения о кодексах поведения, составленных на уровне Союза в соответствии со статьей 40 (9); а также
(У) поддерживать общедоступный электронный реестр решений, принимаемых надзорными органами и судами по вопросам, связанным с механизмом согласованности.
2. В тех случаях, когда Комиссия запрашивает рекомендации у Совета, она может указывать предельный срок с учетом срочности дела.
3. Совет направляет свои мнения, руководящие принципы, рекомендации и передовую практику Комиссии и комитету, указанному в статье 93, и обнародует их.
4. Совет, в случае необходимости, консультируется с заинтересованными сторонами и дает им возможность прокомментировать в течение разумного периода времени. Совет, без ущерба для статьи 76, делает результаты процедуры консультаций общедоступными.
Статья 71
Отчеты
1. Совет составляет годовой отчет о защите физических лиц в отношении переработки в Союзе и, в соответствующих случаях, в третьих странах и международных организациях. Отчет публикуется и передается в Европейский парламент, в Совет и в Комиссию.
2. Годовой отчет включает обзор практического применения руководящих принципов, рекомендаций и передовой практики, упомянутых в пункте (1) статьи 70 (1), а также обязательных решений, упомянутых в статье 65.
Статья 72
Процедура
1. Совет принимает решения простым большинством своих членов, если иное не предусмотрено настоящими Правилами.
2. Совет принимает свои собственные правила процедуры большинством в две трети своих членов и организует свои собственные оперативные мероприятия.
Статья 73.
кресло
1. Правление избирает председателя и двух заместителей председателя из числа своих членов простым большинством голосов.
2. Срок полномочий Председателя и заместителей председателей составляет пять лет и один раз возобновляется.
Статья 74.
Задачи Председателя
1. Председатель выполняет следующие задачи:
(А) созыв заседаний Совета и подготовка его повестки дня;
(Б) уведомлять решения, принятые Советом в соответствии со статьей 65, ведущему надзорному органу и соответствующим надзорным органам;
(С) для обеспечения своевременного выполнения задач Совета, в частности в отношении механизма согласованности, упомянутого в статье 63.
2. Совет устанавливает распределение обязанностей между Председателем и заместителями председателя в своих правилах процедуры.
Статья 75
секретариат
1. Совет имеет секретариат, который будет предоставлен Европейским надзором по защите данных.
2. Секретариат выполняет свои задачи исключительно по поручению Председателя Правления.
3. Сотрудники Европейского наблюдателя по вопросам защиты данных, участвующие в выполнении задач, возложенных на Правление на основании настоящих Правил, подлежат отдельным линиям отчетности персонала, участвующего в выполнении задач, порученных Европейскому надзору по защите данных.
4. В соответствующих случаях Совет и Европейский надзор по защите данных создают и публикуют Меморандум о взаимопонимании, осуществляющий реализацию настоящей статьи, определяя условия их сотрудничества и применимые к персоналу Европейского наблюдателя по вопросам защиты данных, участвующему в выполнении возложенных на него задач Совета в соответствии с настоящими Правилами.
5. Секретариат оказывает Совету аналитическую, административную и материально-техническую поддержку.
6. Секретариат несет ответственность, в частности, за:
(А) повседневная деятельность Совета;
(Б) связь между членами Совета, его Председателем и Комиссией;
(С) связь с другими учреждениями и общественностью;
(Д) использование электронных средств для внутренней и внешней связи;
(Е) перевод соответствующей информации;
(Е) подготовка и последующая деятельность в связи с заседаниями Совета;
(г) подготовка, составление и публикация мнений, решений по урегулированию споров между надзорными органами и других текстов, принятых Советом.
Статья 76
конфиденциальность
1. Дискуссии Совета являются конфиденциальными, если Совет сочтет это необходимым, как это предусмотрено в его правилах процедуры.
2. Доступ к документам, представляемым членам Совета, экспертам и представителям третьих сторон, регулируется Регламентом (ЕС) № 1049/2001 Европейского парламента и Совета ( 21 ) .
ГЛАВА VIII.
Средства правовой защиты, ответственность и штрафы
Статья 77
Право подавать жалобу в надзорный орган
1. Без ущерба для любого другого административного или судебного средства правовой защиты каждый субъект данных имеет право подать жалобу в надзорный орган, в частности в государстве-члене его обычного места жительства, места работы или места предполагаемого нарушения если субъект данных считает, что обработка персональных данных, касающихся его или ее прав, нарушает настоящие Правила.
2. Надзорный орган, с которым подана жалоба, информирует заявителя о ходе и результатах жалобы, включая возможность судебного возмещения в соответствии со статьей 78.
Статья 78
Право на эффективное судебное средство правовой защиты против надзорного органа
1. Без ущерба для любых других административных или несудебных средств правовой защиты каждое физическое или юридическое лицо имеет право на эффективное судебное средство правовой защиты против юридически обязывающего решения надзорного органа в отношении них.
2. Без ущерба для любых других административных или несудебных средств правовой защиты каждый субъект данных имеет право на эффективное судебное средство правовой защиты, если надзорный орган, компетентный в соответствии со статьями 55 и 56, не обрабатывает жалобу или не сообщает данных в течение трех месяцев о ходе или результатах жалобы, поданной в соответствии со статьей 77.
3. Ходатайства над надзорным органом предстают перед судами государства-члена, где создается надзорный орган.
4. В случае возбуждения производства по делу надзорного органа, которому предшествовало мнение или решение Совета в механизме согласования, надзорный орган направляет это мнение или решение в суд.
Статья 79.
Право на эффективное судебное средство против контроллера или процессора
1. Без ущерба для любых имеющихся административных или несудебных средств правовой защиты, включая право подать жалобу в надзорный орган в соответствии со статьей 77, каждый субъект данных имеет право на эффективное судебное средство правовой защиты, если он или она считает, что его или ее ее права в соответствии с настоящим Регламентом были нарушены в результате обработки его или ее персональных данных при несоблюдении настоящих Правил.
2. Ходатайства против контроллера или процессора подаются в суды государства-члена, где имеет место контроллер или процессор. В качестве альтернативы такое разбирательство может быть подано в суды государства-члена, если субъект данных имеет свое обычное место жительства, если контролер или процессор не являются государственным органом государства-члена, действующего при осуществлении своих публичных полномочий.
Статья 80
Представление данных
1. Субъект данных имеет право на мандат некоммерческого органа, организации или ассоциации, которая была должным образом создана в соответствии с законодательством государства-члена, имеет уставные цели, которые находятся в общественных интересах и активно в области защиты прав и свобод субъектов данных в отношении защиты своих персональных данных подать жалобу от его или ее имени, осуществлять права, указанные в статьях 77, 78 и 79 от его имени , и осуществлять право на получение компенсации, упомянутой в статье 82, от его имени, если это предусмотрено законодательством государств-членов.
2. Государства-члены могут предусматривать, что любой орган, организация или ассоциация, упомянутые в пункте 1 настоящей статьи, независимо от мандата субъекта данных, имеет право подать в этом государстве-члене жалобу в надзорный орган, который компетентен в соответствии с к статье 77 и осуществлять права, упомянутые в статьях 78 и 79, если она считает, что права субъекта данных на основании настоящих Правил были нарушены в результате обработки.
Статья 81.
Приостановление производства
1. Если компетентный суд государства-члена имеет информацию о разбирательстве по одному и тому же вопросу в отношении обработки одним и тем же контролером или обработчиком, которые находятся на рассмотрении в суде другого государства-члена, он должен связаться с этим судом в другом члене Государство подтвердит существование такого производства.
2. Если разбирательство по одному и тому же вопросу в отношении обработки одного и того же контролера или процессора находится на рассмотрении в другом государстве-члене, любой компетентный суд, кроме первого арестованного суда, может приостановить его производство.
3. В тех случаях, когда такое разбирательство находится на рассмотрении в первой инстанции, любой суд, за исключением первого арестованного суда, может также по заявлению одной из сторон отклонить юрисдикцию, если суд впервые захватил юрисдикцию в отношении соответствующих действий, и его закон разрешает их консолидации.
Статья 82
Право на компенсацию и ответственность
1. Любое лицо, которое понесло материальный или нематериальный ущерб в результате нарушения настоящих Правил, имеет право получить компенсацию от контролера или обработчика за нанесенный ущерб.
2. Любой контролер, участвующий в обработке, несет ответственность за ущерб, причиненный в результате обработки, который нарушает настоящие Правила. Процессор несет ответственность за ущерб, причиненный обработкой, только если он не выполнил обязательства настоящего Регламента, конкретно направленные на обработчиков или когда он действовал вне или противоречил законным инструкциям контроллера.
3. Контролер или процессор освобождаются от ответственности в соответствии с пунктом 2, если он доказывает, что он никоим образом не несет ответственности за событие, вызвавшее ущерб.
4. Если в одной и той же обработке задействованы несколько контроллеров или процессоров, либо как контроллер, так и процессор, и где они находятся, в соответствии с пунктами 2 и 3, ответственными за любой ущерб, вызванный обработкой, каждый контроллер или процессор для полного ущерба для обеспечения эффективной компенсации субъекта данных.
5. Если контроллер или процессор в соответствии с пунктом 4 выплатили полную компенсацию за нанесенный ущерб, этот контроллер или процессор имеет право потребовать от других контролеров или процессоров, участвующих в той же обработке, что часть соответствующей компенсации на свою долю ответственности за ущерб в соответствии с условиями, изложенными в пункте 2.
6. Судебные разбирательства по осуществлению права на получение компенсации передаются в суды, компетентные в соответствии с законодательством государства-члена, упомянутого в статье 79 (2).
Статья 83.
Общие условия для введения административных штрафов
1. Каждый надзорный орган обеспечивает, чтобы введение административных штрафов в соответствии с настоящей статьей в отношении нарушений настоящих Правил, упомянутых в пунктах 4, 5 и 6, в каждом отдельном случае было эффективным, пропорциональным и сдерживающим.
2. Административные штрафы в зависимости от обстоятельств каждого отдельного случая налагаются в дополнение или вместо мер, указанных в пунктах (a) - (h) и (j) статьи 58 (2). При принятии решения о наложении административного штрафа и принятии решения об объеме административного штрафа в каждом отдельном случае должное внимание должно быть уделено следующему:
(А) характера, силы тяжести и продолжительности нарушения с учетом характера или цели обработки, а также количества затронутых данных и уровня ущерба, понесенного ими;
(Б) умышленный или небрежный характер нарушения;
(С) любые действия, предпринимаемые контроллером или процессором для смягчения ущерба, понесенного субъектами данных;
(Д) степень ответственности контролера или процессора с учетом технических и организационных мер, осуществляемых ими в соответствии со статьями 25 и 32;
(Е) любые соответствующие предыдущие нарушения контроллером или процессором;
(Е) степень сотрудничества с надзорным органом в целях устранения нарушения и смягчения возможных неблагоприятных последствий нарушения;
(г) категории персональных данных, затронутых нарушением;
(час) способ, которым нарушение стало известно контролирующему органу, в частности, было ли, и если да, то в какой степени контроллер или процессор уведомили об этом нарушение;
(я) когда меры, упомянутые в статье 58 (2), ранее были предписаны против соответствующего контролера или обработчика в отношении одного и того же предмета, соблюдения этих мер;
(К) соблюдение утвержденных кодексов поведения в соответствии со статьей 40 или утвержденных механизмов сертификации в соответствии со статьей 42; а также
(К) любой другой отягчающий или смягчающий фактор, применимый к обстоятельствам дела, такой как полученные финансовые выгоды, или потери, прямо или косвенно связанные с нарушением.
3. Если умышленно или небрежно или по неосторожности контроллер или процессор для тех же или связанных операций обработки нарушает несколько положений настоящих Правил, общая сумма административного штрафа не должна превышать сумму, указанную для самого серьезного нарушения.
4. Нарушения следующих положений должны в соответствии с пунктом 2 облагаться административными штрафами до 10 000 000 евро или в случае обязательства - до 2% от общего годового оборота в мире за предыдущий финансовый год , в зависимости от того, что больше:
(А) обязанности контролера и процессора в соответствии со статьями 8, 11, 25 - 39 и 42 и 43;
(Б) обязательства органа по сертификации в соответствии со статьями 42 и 43;
(С) обязательства наблюдательного органа в соответствии со статьей 41 (4).
5. Нарушения следующих положений должны в соответствии с пунктом 2 облагаться административными штрафами до 20 000 000 евро или в случае обязательства до 4% от общего годового оборота за весь предыдущий финансовый год , в зависимости от того, что больше:
(А) основные принципы обработки, включая условия для согласия, в соответствии со статьями 5, 6, 7 и 9;
(Б) права субъектов данных в соответствии со статьями 12-22;
(С) передача персональных данных получателю в третьей стране или международной организации в соответствии со статьями 44-49;
(Д) любые обязательства в соответствии с законодательством государств-членов, принятые в соответствии с главой IX;
(Е) несоблюдение распоряжения или временное или окончательное ограничение на обработку или приостановление потоков данных контролирующим органом в соответствии со статьей 58 (2) или неспособность обеспечить доступ в нарушение статьи 58 (1).
6. Несоблюдение распоряжения органа надзора, упомянутого в статье 58 (2), в соответствии с пунктом 2 настоящей статьи подлежит административным штрафам до 20 000 000 евро или в случае до 4% от общего годового оборота за весь предыдущий финансовый год, в зависимости от того, что больше.
7. Без ущерба для корректирующих полномочий надзорных органов в соответствии со статьей 58 (2) каждое государство-член может устанавливать правила о том, могут ли административные штрафы и в какой степени налагать административные штрафы на государственные органы и органы, созданные в этом государстве-члене.
8. Осуществление надзорным органом своих полномочий в соответствии с настоящей статьей подлежит соответствующим процессуальным гарантиям в соответствии с законодательством Союза и государств-членов, включая эффективные судебные средства правовой защиты и надлежащую процедуру.
9. В тех случаях, когда правовая система государства-члена не предусматривает административных штрафов, эта статья может применяться таким образом, что штраф инициируется компетентным надзорным органом и налагается компетентными национальными судами, обеспечивая при этом, чтобы эти средства правовой защиты эффективны и имеют эквивалентное влияние на административные штрафы, налагаемые надзорными органами. В любом случае налагаемые штрафы должны быть эффективными, пропорциональными и сдерживающими. Эти государства-члены уведомляют Комиссию о положениях своих законов, которые они принимают в соответствии с настоящим пунктом, к 25 мая 2018 года и безотлагательно вносят любые последующие поправки или поправки, затрагивающие их.
Статья 84
Штрафы
1. Государства-члены устанавливают правила о других санкциях, применимых к нарушениям настоящих Правил, в частности, за нарушения, которые не подпадают под административные штрафы в соответствии со статьей 83, и принимают все необходимые меры для обеспечения их выполнения. Такие санкции должны быть эффективными, пропорциональными и сдерживающими.
2. Каждое государство-член уведомляет Комиссию о положениях своего законодательства, которые оно принимает в соответствии с пунктом 1, до 25 мая 2018 года и незамедлительно принимает любую последующую поправку, затрагивающую их.
ГЛАВА IX.
Положения, касающиеся конкретных ситуаций обработки
Статья 85.
Обработка и свобода выражения и информации
1. Государства-члены по закону согласуют право на защиту персональных данных в соответствии с настоящим Регламентом с правом на свободу выражения и информации, включая обработку в журналистских целях и целях академического, художественного или литературного выражения.
2. Для обработки, проводимой для журналистских целей или целей академического художественного или литературного выражения, государства-члены должны предусматривать исключения или отступления от главы II (принципов) главы III (права субъекта данных), глава IV (контроллер и процессор ), Глава V (передача персональных данных в третьи страны или международные организации), глава VI (независимые надзорные органы), глава VII (сотрудничество и согласованность) и глава IX (конкретные ситуации обработки данных), если они необходимы для согласования права на защита личных данных со свободой выражения и информации.
3. Каждое государство-член уведомляет Комиссию о положениях своего закона, которые оно приняло в соответствии с пунктом 2, и незамедлительно издает любой последующий закон о внесении поправок или поправку, затрагивающую их.
Статья 86
Обработка и доступ общественности к официальным документам
Личные данные в официальных документах, принадлежащих государственному органу или государственному органу или частному органу для выполнения задачи, выполняемой в общественных интересах, могут быть раскрыты органом или органом в соответствии с законодательством Союза или государства-члена, которому общественность орган или орган подлежат согласованию с общественным доступом к официальным документам с правом на защиту персональных данных на основании настоящих Правил.
Статья 87
Обработка национального идентификационного номера
Государства-члены могут дополнительно определять конкретные условия для обработки национального идентификационного номера или любого другого идентификатора общего приложения. В этом случае национальный идентификационный номер или любой другой идентификатор общей заявки должен использоваться только при соответствующих гарантиях прав и свобод субъекта данных в соответствии с настоящими Правилами.
Статья 88
Обработка в контексте занятости
1. Государства-члены могут в соответствии с законом или коллективными договорами устанавливать более конкретные правила обеспечения защиты прав и свобод в отношении обработки персональных данных сотрудников в контексте занятости, в частности для целей набора , выполнение трудового договора, в том числе выполнение обязательств, установленных законом или коллективными договорами, управление, планирование и организация работы, равенство и разнообразие на рабочем месте, охрана здоровья и безопасности на производстве, защита собственности работодателя или клиента и для целей осуществления и осуществления на индивидуальной или коллективной основе прав и выгод, связанных с занятостью, и с целью прекращения трудовых отношений.
2. Эти правила должны включать подходящие и конкретные меры для защиты человеческого достоинства субъекта, законные интересы и основные права с особым учетом прозрачности обработки, передачи персональных данных в рамках группы предприятий или группы предприятий, занимающихся в совместной экономической деятельности и системах мониторинга на рабочем месте.
3. Каждое государство-член уведомляет Комиссию те положения своего закона, которые она принимает в соответствии с пунктом 1, до 25 мая 2018 года и безотлагательно, любую последующую поправку, затрагивающую их.
Статья 89
Гарантии и отступления, связанные с обработкой для целей архивирования в интересах общества, научных или исторических исследований или статистических целей
1. Обработка в целях архивирования в общественных интересах, научных или исторических исследовательских целях или статистических целях подлежит соответствующим гарантиям в соответствии с настоящим Регламентом прав и свобод субъекта данных. Эти гарантии должны обеспечивать, чтобы технические и организационные меры были приняты, в частности, для обеспечения соблюдения принципа минимизации данных. Эти меры могут включать в себя псевдонимизацию при условии, что эти цели могут быть выполнены таким образом. Если эти цели могут быть выполнены путем дальнейшей обработки, которая не позволяет или не позволяет идентифицировать субъектов данных, эти цели должны выполняться таким образом.
2. Если личные данные обрабатываются в научных или исторических целях или в статистических целях, законодательство Союза или государства-члена может предусматривать отступления от прав, упомянутых в статьях 15, 16, 18 и 21, с учетом условий и гарантий, указанных в пункте 1 этой статьи, поскольку такие права могут оказать невозможное или серьезно ухудшить достижение конкретных целей, и такие отступления необходимы для выполнения этих целей.
3. Если личные данные обрабатываются для целей архивирования в общественных интересах, законодательство Союза или государства-члена может предусматривать отступления от прав, упомянутых в статьях 15, 16, 18, 19, 20 и 21, при условии соблюдения условий и гарантий, упомянутых в в пункте 1 настоящей статьи, поскольку такие права могут оказать невозможное или серьезно ухудшить достижение конкретных целей, и такие отклонения необходимы для выполнения этих целей.
4. Если обработка, упомянутая в пунктах 2 и 3, одновременно служит другой целью, отступления применяются только к обработке для целей, указанных в этих пунктах.
Статья 90
Обязанности секретности
1. Государства-члены могут принимать конкретные правила для определения полномочий надзорных органов, указанных в пунктах (e) и (f) статьи 58 (1), в отношении контролеров или переработчиков, которые подпадают под действие закона Союза или государства-члена или правил, установленных национальными компетентными органами, на обязательство профессиональной тайны или других эквивалентных обязательств по тайне, если это необходимо и соразмерно для согласования права на защиту персональных данных с обязательством хранить тайну. Эти правила применяются только в отношении персональных данных, которые контроллер или процессор получили в результате или получили в деятельности, охватываемой этим обязательством по тайне.
2. Каждое государство-член уведомляет Комиссию правила, принятые в соответствии с пунктом 1, к 25 мая 2018 года и безотлагательно, любую последующую поправку, затрагивающую их.
Статья 91
Существующие правила защиты данных церквей и религиозных объединений
1. В тех случаях, когда в государстве-члене церкви, религиозные объединения или общины применяют во время вступления в силу настоящих Правил всеобъемлющие правила, касающиеся защиты физических лиц в отношении обработки, такие правила могут продолжать применяться, при условии, что они приводятся в соответствие с настоящими Правилами.
2. Церкви и религиозные объединения, которые применяют всеобъемлющие правила в соответствии с пунктом 1 настоящей статьи, подлежат надзору за независимым надзорным органом, который может быть конкретным, при условии, что он выполняет условия, изложенные в главе VI настоящих Правил.
ГЛАВА X
Делегированные действия и действия
Статья 92
Упражнение делегации
1. Полномочие принимать делегированные действия возлагается на Комиссию в соответствии с условиями, изложенными в настоящей статье.
2. Делегирование полномочий, указанных в статье 12 (8) и статье 43 (8), предоставляется Комиссии в течение неопределенного периода времени с 24 мая 2016 года.
3. Делегирование полномочий, упомянутых в статье 12 (8) и статье 43 (8), может быть отозвано в любое время Европейским парламентом или Советом. Решение об отзыве прекращает делегирование полномочий, указанное в этом решении. Он вступает в силу на следующий день после его публикации в Официальном журнале Европейского Союза или на более поздний срок, указанный в нем. Это не влияет на действительность любых делегированных актов, которые уже действуют.
4. Как только он принимает делегированный акт, Комиссия уведомляет его одновременно с Европейским парламентом и Советом.
5. Делегированный акт, принятый в соответствии со Статьей 12 (8) и Статьей 43 (8), вступает в силу только в том случае, если Европейским парламентом или Советом не было высказано возражений в течение трех месяцев с момента уведомления об этом акте Европейского парламента и Совета, или если до истечения этого периода Европейский парламент и Совет проинформировали Комиссию о том, что они не будут возражать. Этот срок продлевается на три месяца по инициативе Европейского парламента или Совета.
Статья 93
Процедура Комитета
1. Комиссии оказывает помощь комитет. Этот комитет является комитетом по смыслу Регламента (ЕС) № 182/2011.
2. Если делается ссылка на настоящий параграф, применяется статья 5 Регламента (ЕС) № 182/2011.
3. В тех случаях, когда делается ссылка на этот пункт, применяется статья 8 Регламента (ЕС) № 182/2011 в сочетании с ее статьей 5.
ГЛАВА XI
Окончательные положения
Статья 94
Отмена Директивы 95/46 / EC
1. Директива 95/46 / EC отменяется с 25 мая 2018 года.
2. Ссылки на отмененную Директиву должны толковаться как ссылки на настоящие Правила. Ссылки на Рабочую группу по защите частных лиц в отношении обработки персональных данных, установленные статьей 29 Директивы 95/46 / ЕС, должны толковаться как ссылки на Европейский совет по защите данных, учрежденный настоящими Правилами.
Статья 95
Связь с директивой 2002/58 / EC
Настоящее Положение не налагает дополнительных обязательств перед физическими или юридическими лицами в отношении обработки в связи с предоставлением общедоступных услуг электронной связи в сетях общественной связи в Союзе в отношении вопросов, для которых они являются предметом конкретных обязательств с той же целью изложенных в Директиве 2002/58 / EC.
Статья 96
Связь с ранее заключенными соглашениями
Международные соглашения, предусматривающие передачу персональных данных в третьи страны или международные организации, которые были заключены государствами-членами до 24 мая 2016 года и которые соблюдают закон Союза, применимый до этой даты, остаются в силе до изменения, замены или отмены.
Статья 97.
Отчеты Комиссии
1. К 25 мая 2020 года и каждые четыре года после этого Комиссия представляет доклад об оценке и пересмотре настоящих Правил в Европейский парламент и Совет. Отчеты должны быть преданы гласности.
2. В контексте оценок и обзоров, упомянутых в пункте 1, Комиссия рассматривает, в частности, применение и функционирование:
(А) Глава V о передаче персональных данных третьим странам или международным организациям с особым учетом решений, принятых в соответствии с пунктом 3 статьи 45 настоящего Положения, и решений, принятых на основании статьи 25 (6) Директивы 95/46 / EC;
(Б) Глава VII о сотрудничестве и согласованности.
3. Для целей пункта 1 Комиссия может запрашивать информацию у государств-членов и надзорных органов.
4. При проведении оценок и обзоров, упомянутых в пунктах 1 и 2, Комиссия учитывает позиции и выводы Европейского парламента, Совета и других соответствующих органов или источников.
5. Комиссия при необходимости представляет соответствующие предложения по изменению настоящих Правил, в частности с учетом изменений в области информационных технологий и в свете прогресса в информационном обществе.
Статья 98.
Обзор других правовых актов Союза по защите данных
Комиссия, в случае необходимости, представляет законодательные предложения с целью внесения поправок в другие правовые акты Союза по защите персональных данных в целях обеспечения единообразной и последовательной защиты физических лиц в отношении обработки. Это, в частности, касается правил, касающихся защиты физических лиц в отношении обработки учреждениями, органами, офисами и учреждениями Союза и свободного перемещения таких данных.
Статья 99
Вступление в силу и применение
1. Настоящий Регламент вступает в силу на двадцатый день после его публикации в Официальном журнале Европейского Союза .
2. Он применяется с 25 мая 2018 года.
Настоящее Положение является обязательным в полном объеме и непосредственно применимым во всех государствах-членах.
Совершено в Брюсселе, 27 апреля 2016 года.
Для Европейского парламента
Президент
М. ШУЛЗ
Для Совета
Президент
JA HENNIS-PLASSCHAERT
________________________________________
( 1 ) OJ C 229, 31.7.2012, стр. 90 .
( 2 ) OJ C 391, 18.12.2012, стр. 127 .
( 3 ) Позиция Европейского парламента от 12 марта 2014 года (еще не опубликована в Официальном журнале) и позиция Совета в первом чтении от 8 апреля 2016 года (еще не опубликована в Официальном журнале). Позиция Европейского парламента от 14 апреля 2016 года.
( 4 ) Директива 95/46 / EC Европейского парламента и Совета от 24 октября 1995 года о защите частных лиц в отношении обработки персональных данных и о свободном перемещении таких данных ( OJ L 281, 23.11.1995 , стр. 31 ).
( 5 ) Рекомендация Комиссии от 6 мая 2003 года об определении микро, малых и средних предприятий (C (2003) 1422) ( OJ L 124, 20.5.2003, стр. 36 ).
( 6 ) Регламент (ЕС) № 45/2001 Европейского парламента и Совета от 18 декабря 2000 года о защите частных лиц в отношении обработки персональных данных учреждениями и органами Сообщества и о свободном перемещении таких данных ( OJ L 8, 12.1.2001, стр. 1 ).
( 7 ) Директива (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, а также свободного перемещения таких данных и отмены рамочного решения Совета 2008/977 / JHA (см. стр. 89 настоящего Официального журнала).
( 8 ) Директива 2000/31 / EC Европейского парламента и Совета от 8 июня 2000 года о некоторых правовых аспектах услуг информационного общества, в частности электронной коммерции, на внутреннем рынке («Директива об электронной торговле») ( OJ L 178, 17.7.2000, стр. 1).
( 9 ) Директива 2011/24 / ЕС Европейского парламента и Совета от 9 марта 2011 года о применении прав пациентов в трансграничном здравоохранении ( OJ L 88, 4.4.2011, стр. 45 ).
( 10 ) Директива Совета 93/13 / EEC от 5 апреля 1993 года о несправедливых условиях в потребительских контрактах ( OJ L 95, 21.4.1993, стр. 29 ).
( 11 ) Регламент (ЕС) № 1338/2008 Европейского парламента и Совета от 16 декабря 2008 года о статистике Сообщества по общественному здравоохранению и здоровью и безопасности на производстве ( OJ L 354, 31.12.2008, стр. 70 ).
( 12 ) Регламент (ЕС) № 182/2011 Европейского парламента и Совета от 16 февраля 2011 года, в котором излагаются правила и общие принципы, касающиеся механизмов контроля со стороны государств-членов в осуществлении Исполнительным полномочием Комиссии ( OJ L 55, 28.2 .2011, стр. 13 ).
( 13 ) Регламент (ЕС) № 1215/2012 Европейского парламента и Совета от 12 декабря 2012 года о юрисдикции и признании и исполнении судебных решений по гражданским и коммерческим вопросам ( OJ L 351, 20.12.2012, стр. 1 ) ,
( 14 ) Директива 2003/98 / EC Европейского парламента и Совета от 17 ноября 2003 года о повторном использовании информации в государственном секторе ( OJ L 345, 31.12.2003, стр. 90 ).
( 15 ) Регламент (ЕС) № 536/2014 Европейского парламента и Совета от 16 апреля 2014 года о клинических испытаниях лекарственных средств для использования человеком и отмена Директивы 2001/20 / EC ( OJ L 158, 27.5.2014, стр. 1 ).
( 16 ) Регламент (ЕС) № 223/2009 Европейского парламента и Совета от 11 марта 2009 года о европейской статистике и отмена Регламента (ЕС, Евроатом) № 1101/2008 Европейского парламента и Совета по передаче данные, подлежащие статистической конфиденциальности Статистическому управлению Европейских сообществ, Постановлению Совета (ЕС) № 322/97 «Статистика сообществ» и Решению Совета 89/382 / ЕЭС, «Евратом», учреждающий Комитет по статистическим программам Европейских сообществ ( OJ L 87, 31.3.2009, стр. 164 ).
( 17 ) OJ C 192, 30.6.2012, стр. 7 .
( 18 ) Директива 2002/58 / EC Европейского парламента и Совета от 12 июля 2002 года, касающаяся обработки персональных данных и защиты частной жизни в секторе электронных коммуникаций (Директива о конфиденциальности и электронных коммуникациях) ( OJ L 201, 31.7.2002, стр. 37 ).
( 19 ) Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 года, устанавливающая порядок предоставления информации в области технических регламентов и правил обслуживания информационного общества ( OJ L 241, 17.9 .2015, стр. 1 ).
( 20 ) Регламент (ЕС) № 765/2008 Европейского парламента и Совета от 9 июля 2008 года, в котором излагаются требования к аккредитации и надзору за рынком, связанные с маркетингом продукции и отменой Регламента (ЕЭС) № 339/93 ( OJ L 218, 13.8.2008, стр. 30 ).
( 21 ) Регламент (ЕС) № 1049/2001 Европейского парламента и Совета от 30 мая 2001 года о доступе общественности к документам Европейского парламента, Совета и Комиссии ( OJ L 145, 31.5.2001, стр. 43 ).
________________________________________