(EN) WP29, Guidelines on consent under Regulation 2016/679 (2018).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
1. Обработка является законной только в тех случаях, когда – и в той степени, в которой – выполнено по меньшей мере одно из следующих условий:
(a) субъект персональных данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
(b) обработка необходима для исполнения договора, в котором субъект данных является стороной, или для реализации по поручению субъекта данных шагов, предшествующих заключению договора;
(EN) EDPB, Guidelines 2/2019 on the Processing of Personal Data under Article 6(1)(b) GDPR in the Context of the Provision of Online Services to Data Subjects (2019).
EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (2020).
Payment services are always provided on a contractual basis between the payment services user and the payment services provider.
Controllers have to assess what processing of personal data is objectively necessary to perform the contract. Justification of the necessity is dependent on:
- the nature of the service;
- the mutual perspectives and expectations of the parties to the contract;
- the rationale of the contract; and
- the essential elements of the contract.
The controller should be able to demonstrate how the main object of the specific contract with the data subject cannot be performed if the specific processing of the personal data in question does not occur. Merely referencing or mentioning data processing in a contract is not enough to bring the processing in question within the scope of Article 6(1)(b) of the GDPR.
(45) В случае если обработка осуществляется согласно правовым обязательствам, которым подчиняется контролёр или если обработка необходима для выполнения задачи осуществляемой в общественных интересах либо в рамках должностных полномочий, обработка должна основываться на праве Союза или государства-члена. Настоящий Регламент не требует специального законодательства в отношении каждого отдельного вида обработки. Право как основание для нескольких операций по обработке, основанных на правовых обязательствах, которым подчиняется контролёр, или когда обработка необходима для выполнения задачи, осуществляемой в общественных интересах либо в рамках должностных полномочий, будет достаточным. Также необходимо, чтобы право Союза или право государства-члена определяло цель обработки. Более того, такое право может уточнять общие условия настоящего Регламента, определяя правомерность обработки персональных данных, устанавливая специальные требования к контролёрам, типы персональных данных, подлежащих обработке, соответствующих субъектов данных, организации, которым персональные данные могут раскрываться, целевые ограничения, срок хранения и другие меры по обеспечению правомерности и справедливости обработки. Необходимо также, чтобы право Союза или право государства-члена определяло, должен ли контролёр, выполняющий задачи в общественных интересах или в рамках должностных полномочий, быть органом власти, или иным физическим или юридическим лицом, которое руководствуется публичным правом, или, если это в интересах общества, действует для этих целей, включая основы жизнедеятельности, например, здравоохранение, социальную защиту и управление медицинскими услугами, либо подчиняется частному праву, например, в качестве объединения лиц свободных профессий.
(46) Обработка персональных данных также должна считаться правомерной, когда необходимо защищать интерес, который жизненно важен для субъекта данных или иного физического лица. Обработка персональных данных, основанная на жизненно важном интересе другого физического лица, в принципе должна иметь место, только если она явно не может основываться на другом правовом основании. Некоторые виды обработки могут осуществляться на основании как важных публичных интересов, так и жизненно важных интересов субъекта данных, например, когда обработка необходима для гуманитарных целей, в том числе для мониторинга эпидемий и их распространения или в ситуациях чрезвычайных гуманитарных ситуаций, в частности, в ситуациях природных и техногенных катастроф.
(e) обработка необходима для выполнения задачи в публичном интересе или в рамках осуществления государственной власти, доверенной контролёру;
(EN) EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
(115) Некоторые третьи страны принимают нормативные и иные правовые акты, которые направлены на непосредственное регулирование обработки персональных данных физическими и юридическими лицами, находящихся под юрисдикцией государств-членов. Это может включать в себя решения судов или трибуналов или решения административных органов в третьих странах, требующие от контролёра или процессора передачи или раскрытия персональных данных, и которые не основаны на международном договоре, таком как договор о взаимной правовой помощи, действующий между запрашивающей третьей страной и Союзом или государством-членом. Экстерриториальное применение таких нормативных и иных правовых актов, может нарушать международное право и может препятствовать защите физических лиц, гарантированной в Союзе настоящим Регламентом. Передача персональных данных должна быть разрешена только при условии соблюдения положений настоящего Регламента, касающихся передачи персональных данных в третьи страны. Это может иметь место, в частности, в тех случаях, когда раскрытие информации необходимо в публичных интересах, признанных в праве Союза или праве государства-члена, которое применяется к контролёру.
(f) обработка необходима для целей, вытекающих из легитимных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.
(EN)
WP29, Opinion on the „Notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC“ (2014).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020):
44. For what concerns the legitimate interest lawful basis, the EDPB recalls that in Fashion ID, the CJEU reiterated that in order for processing to rely on the legitimate interest, three cumulative conditions should be met, namely
- the pursuit of a legitimate interest by the data controller or by the third party or parties to whom the data are disclosed,
- the need to process personal data for the purposes of the legitimate interests pursued, and
- the condition that the fundamental rights and freedoms of the data subject whose data require protection do not take precedence.
The CJEU also specified that in a situation of joint controllership “it is necessary that each of those controllers should pursue a legitimate interest […] through those processing operations in order for those operations to be justified in respect of each of them”.
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020).
EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (2020).
The GDPR may allow for the processing of silent party data when this processing is necessary for purposes of the legitimate interests pursued by a controller or by a third party.
A lawful basis for the processing of silent party data by PISPs and AISPs – in the context of the provision of payment services under the PSD2 – could thus be the legitimate interest of a controller or a third party to perform the contract with the payment service user. The necessity to process personal data of the silent party is limited and determined by the reasonable expectations of these data subjects.
Effective and appropriate measures have to be established by all parties involved. In this respect, the controller has to establish the necessary safeguards for the processing, including technical measures. If feasible, also encryption or other techniques must be applied to achieve an appropriate level of security and data minimisation.
CJEU, TK v Asociaţia de Proprietari bloc M5A-ScaraA, Case C-708/18 (2018).
(47) Легитимные интересы контролёра (включая того контролёра, кому передаются персональные данные) или третьей стороны могут создать правовое основание для обработки, при условии, что они не превалируют над интересами или фундаментальными правами и свободами субъекта данных, с учётом разумных ожиданий субъектов данных, основанных на взаимоотношении с контролёром. Такой легитимный интерес может иметь место, если между субъектом данных и контролёром существуют соответствующие отношения, например, когда субъект данных является клиентом или состоит на службе у контролёра. В любом случае наличие легитимного интереса нуждается в тщательной оценке, в том числе относительно того, может ли субъект данных при сборе персональных данных ожидать, что обработка будет осуществляться для указанной цели. Интересы и основные права субъекта данных могут, в частности, превалировать над интересом контролёра данных, если персональные данные обрабатываются в условиях, когда субъекты данных обоснованно не ожидают проведения последующей обработки. Так как законодатель обязан на уровне правового акта предусмотреть правовые основания для обработки персональных данных органами государственной власти, такое правовое основание не должно применяться в отношении обработки органами государственной власти при выполнении ими своих задач. Обработка персональных данных, необходимая в целях предотвращения мошенничества, также является законным интересом соответствующего контролёра данных. Обработка персональных данных в целях прямого маркетинга может рассматриваться как обработка, служащая легитимному интересу.
(48) Контролёры, являющиеся частью группы компаний или институтов, связанных с центральным органом, могут иметь легитимный интерес в передаче персональных данных в рамках группы компаний для внутренних административных целей, включая обработку персональных данных клиентов и работников. Это не влияет на общие принципы передачи персональных данных в рамках группы компаний компании, расположенной в третьей стране.
(49) Обработка персональных данных органами государственной власти, центрами реагирования на компьютерные чрезвычайные происшествия (CERTs), центрами реагирования на инциденты, связанные с компьютерной безопасностью (CSIRTs), поставщиками сетей электронных коммуникаций и услуг, а также поставщиками технологий и услуг по обеспечению безопасности является легитимным интересом соответствующего контролёра данных в той мере, в какой она необходима и соразмерна целям обеспечения сетевой и информационной безопасности, то есть способности сети или информационной системы противостоять, на заданном уровне достоверности, случайным событиям, незаконным или преднамеренным действиям, которые компрометируют доступность, подлинность, целостность и конфиденциальность сохранённых или переданных персональных данных, а также безопасность соответствующих услуг, переданных через указанные сети или системы. Такой легитимный интерес может включать в себя, например, предотвращение несанкционированного доступа к сетям электронных коммуникаций и распространение вредоносного кода, а также пресечение сетевых атак и угроз для компьютерных и электронных систем связи.
Пункт (f) первого подпараграфа не применяется к обработке, которую осуществляют государственные органы при выполнении ими своих задач.
(40) Для того, чтобы обработка была законной, персональные данные должны обрабатываться с согласия субъекта данных или на другом правомерном основании, предусмотренном законом, как то в настоящем Регламенте, либо в законодательстве Союза или государства-члена, указанном в настоящем Регламенте, включая необходимость выполнять правовые обязательства, под действие которых подпадает контролёр, или необходимость исполнять договор, стороной которого является субъект данных, или в целях выполнения запроса субъекта данных до заключения договора.
(50) Обработка персональных данных в целях, отличных от тех, для которых персональные данные первоначально собирались, должна быть разрешена только, если она соответствует целям, для которых персональные данные были изначально собраны. В этом случае не требуется отдельное правовое основание, помимо того, что послужило основой первоначального сбора персональных данных. Если обработка необходима для выполнения задачи в общественных интересах или в рамках должностных полномочий, возложенных на контролёра, право Союза или право государства-члена может предусмотреть и установить задачи и цели, в которых последующая обработка должна считаться надлежащей и правомерной. Дальнейшая обработка для архивных целей в общественных интересах, в целях научного или исторического исследования или в статистических целях должна считаться надлежащей правомерной обработкой. Правовое основание, предусмотренное правом Союза или правом государства-члена для обработки персональных данных, может также правовым основанием для последующей обработки. Для того чтобы убедиться в том, соответствует ли цель дальнейшей обработки цели, для которой персональные данные были первоначально получены, контролёр, после выполнения всех требований законности первоначальной обработки, должен принять во внимание, в числе прочего, следующее: любую связь между указанными целями и целями запланированной дальнейшей обработки; контекст, в котором были получены персональные данные, в частности, разумные ожидания субъектов данных, основанные на отношениях с контролёром, касающиеся их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки для субъектов данных, и наличие соответствующих гарантий первоначальной и предполагаемой обработки.
В случаях, когда субъект данных дал согласие или когда обработка основывается на законодательстве Союза или государства-члена, представляющем собой необходимую и соразмерную меру в демократическом обществе, которая обеспечивает, в частности, достижение важных целей, представляющих общественный интерес, контролёр должен иметь возможность и далее обрабатывать персональные данные независимо от их совместимости с исходными целями. В любом случае должны применяться правила, изложенные в настоящем Регламенте, в частности, применение принципа информирования субъекта данных об этих других целях и его правах, включая право на возражение. Сигнализирование контролёром о возможных уголовно-наказуемых действиях или угрозах общественной безопасности и отправка компетентному органу в индивидуальном или нескольких случаях персональных данных, относящихся к этим уголовно-наказуемым действиям или угрозам общественной безопасности, следует считать реализацией контролёром своего легитимного интереса. Однако такое сообщение в легитимных интересах со стороны контролёра или дальнейшая обработка персональных данных должны быть запрещены, если эта обработка не соответствует правовому, профессиональному или иному обязательству секретности.
2. Государства-члены могут сохранять или вводить более подробные положения, чтобы применить нормы данного Регламента в отношении обработки, которая производится для соблюдения пунктов (с) и (е) параграфа 1; Для этого, а также для других особых случаев обработки, предусмотренных в главе IX, государства-члены могут более точно определить конкретные требования к обработке и другие меры обеспечения легитимной и справедливой обработки.
Цель обработки должна быть указана в правовом основании или, в случае обработки, упомянутой в пункте (е) параграфа 1 – эта обработка должно быть необходима для осуществления задачи, реализуемой в публичном интересе или при осуществлении государственной власти, или во исполнение служебных полномочий, возложенных на контролёра. Это правовое основание может содержать положения, адаптирующие применение положений настоящего Регламента, в том числе: общих условия правомерности обработки контролёром; типы данных, подлежащих обработке; заинтересованные субъекты данных; лица которым и цели для которых эти персональные данные можно разглашать; ограничения цели; сроки хранения; а также операции и процедуры обработки, включая меры по обеспечению законности и справедливости обработки, например, меры для особых случаев обработки, упомянутых в главе IX. Законодательство Союза или государства-члена должно служить цели публичного интереса и быть соразмерным преследуемой легитимной цели.
(41) Ссылки Регламента на правовые основания и законодательные меры, не означают обязательной необходимости принятия законодательного акта парламентом, при условии соблюдения требований, вытекающих из конституционного устройства заинтересованного государства-члена. Однако, такое правовое основание или законодательная мера должны быть четкими и точными, а их применение должно быть предсказуемым для лиц, к которым оно применяется, как того требует прецедентное право Европейского Суда Справедливости (далее - Суд справедливости) и Европейского суда по правам человека.
4. Если обработка для иной цели, нежели той для которой были собраны персональные данные, не базируется на согласии субъекта данных или законодательстве Союза или законодательстве государства-члена, являющихся в демократическом обществе необходимым и соразмерным средством гарантирования целей, упомянутых в статье 23 (1), контролёр, чтобы определить, согласуется ли обработка с другой целью, в той, для которой личные данные были первоначально собраны, должен учитывать в частности:
(EN) Documents
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
a) Любые отношения между целями, для которых были собраны личные данные, и целями дальнейшей предполагаемой обработки;
b) контекст, в котором были собраны персональные данные, в частности, отношения между субъектами данных и контролёром;
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО „Дата Прайваси Офис“.
(EN) The article outlines six legal grounds for lawfulness of processing personal data, including consent, contract, legal obligations, public, vital, and legitimate interests.
The order of the legal grounds has sometimes been seen as a hint about the importance of each ground. But as it was pointed out by European or national supervisory authorities the text doesn’t make a legal distinction between the six grounds or say that one is more important than the other. The order of the legal grounds does not imply any hierarchy.
Instead, “each instance of processing should be based on the legal basis which is most appropriate in the specific circumstances” (DPC, Guidance Note: Legal Bases for Processing Personal Data (2019))
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 6 GDPR:
7.2.2 Identify lawful basis
Control
The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.
Implementation guidance
Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.
The legal basis for the processing of PII can include:
(EN) […]
(EN) Sign in
to read the full text
(40) Для того, чтобы обработка была законной, персональные данные должны обрабатываться с согласия субъекта данных или на другом правомерном основании, предусмотренном законом, как то в настоящем Регламенте, либо в законодательстве Союза или государства-члена, указанном в настоящем Регламенте, включая необходимость выполнять правовые обязательства, под действие которых подпадает контролёр, или необходимость исполнять договор, стороной которого является субъект данных, или в целях выполнения запроса субъекта данных до заключения договора.
(41) Ссылки Регламента на правовые основания и законодательные меры, не означают обязательной необходимости принятия законодательного акта парламентом, при условии соблюдения требований, вытекающих из конституционного устройства заинтересованного государства-члена. Однако, такое правовое основание или законодательная мера должны быть четкими и точными, а их применение должно быть предсказуемым для лиц, к которым оно применяется, как того требует прецедентное право Европейского Суда Справедливости (далее - Суд справедливости) и Европейского суда по правам человека.
(42) Если обработка осуществляется на основании согласия субъекта данных, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операцию по обработке. В частности, в случае письменного заявления, представленного по другому вопросу, должны быть гарантии, что субъект данных осознает даваемое согласие и его объем. В соответствии с директивой Совета 93/13 / EEC [10] заявление о согласии, которое подготовил контролёр, должно предоставляться в понятной и легко доступной форме, использовать четкий и простой язык, не должно содержать несправедливые условия. Информированным согласие является когда субъект данных осведомлен, по крайней мере, о наименовании (имени) контролёра и целях обработки, для которых предназначаются персональные данные. Согласие не должно рассматриваться как данное свободно, если субъект данных не имеет подлинного или свободного выбора, либо не может отказаться или отозвать свое согласие без негативных последствий.
[10] Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (Официальный журнал Европейского союза N L 95, 21.04.1993, стр. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
(43) Для обеспечения добровольности согласия, оно не должно предоставлять допустимое правовое основание для обработки персональных данных в отдельных случаях, когда имеет место явное неравенство между субъектом данных и контролёром, особенно когда контролёр является публичным органом власти и поэтому низка вероятность того, что во всех условиях данного отдельного случая согласие дано свободно. Предполагается, что согласие не является свободным, если невозможно дать отдельного согласия на разные операции по обработке персональных данных, несмотря на то, что оно в данном случае было бы уместным, или если исполнение договора, в том числе предоставление услуги, ставится в зависимость от дачи согласия, несмотря на то, что для его исполнения согласие не является необходимым.
(44) Обработка в контексте контракта, либо намерения заключить контракт должна быть законной, когда это необходимо.
(45) В случае если обработка осуществляется согласно правовым обязательствам, которым подчиняется контролёр или если обработка необходима для выполнения задачи осуществляемой в общественных интересах либо в рамках должностных полномочий, обработка должна основываться на праве Союза или государства-члена. Настоящий Регламент не требует специального законодательства в отношении каждого отдельного вида обработки. Право как основание для нескольких операций по обработке, основанных на правовых обязательствах, которым подчиняется контролёр, или когда обработка необходима для выполнения задачи, осуществляемой в общественных интересах либо в рамках должностных полномочий, будет достаточным. Также необходимо, чтобы право Союза или право государства-члена определяло цель обработки. Более того, такое право может уточнять общие условия настоящего Регламента, определяя правомерность обработки персональных данных, устанавливая специальные требования к контролёрам, типы персональных данных, подлежащих обработке, соответствующих субъектов данных, организации, которым персональные данные могут раскрываться, целевые ограничения, срок хранения и другие меры по обеспечению правомерности и справедливости обработки. Необходимо также, чтобы право Союза или право государства-члена определяло, должен ли контролёр, выполняющий задачи в общественных интересах или в рамках должностных полномочий, быть органом власти, или иным физическим или юридическим лицом, которое руководствуется публичным правом, или, если это в интересах общества, действует для этих целей, включая основы жизнедеятельности, например, здравоохранение, социальную защиту и управление медицинскими услугами, либо подчиняется частному праву, например, в качестве объединения лиц свободных профессий.
(46) Обработка персональных данных также должна считаться правомерной, когда необходимо защищать интерес, который жизненно важен для субъекта данных или иного физического лица. Обработка персональных данных, основанная на жизненно важном интересе другого физического лица, в принципе должна иметь место, только если она явно не может основываться на другом правовом основании. Некоторые виды обработки могут осуществляться на основании как важных публичных интересов, так и жизненно важных интересов субъекта данных, например, когда обработка необходима для гуманитарных целей, в том числе для мониторинга эпидемий и их распространения или в ситуациях чрезвычайных гуманитарных ситуаций, в частности, в ситуациях природных и техногенных катастроф.
(47) Легитимные интересы контролёра (включая того контролёра, кому передаются персональные данные) или третьей стороны могут создать правовое основание для обработки, при условии, что они не превалируют над интересами или фундаментальными правами и свободами субъекта данных, с учётом разумных ожиданий субъектов данных, основанных на взаимоотношении с контролёром. Такой легитимный интерес может иметь место, если между субъектом данных и контролёром существуют соответствующие отношения, например, когда субъект данных является клиентом или состоит на службе у контролёра. В любом случае наличие легитимного интереса нуждается в тщательной оценке, в том числе относительно того, может ли субъект данных при сборе персональных данных ожидать, что обработка будет осуществляться для указанной цели. Интересы и основные права субъекта данных могут, в частности, превалировать над интересом контролёра данных, если персональные данные обрабатываются в условиях, когда субъекты данных обоснованно не ожидают проведения последующей обработки. Так как законодатель обязан на уровне правового акта предусмотреть правовые основания для обработки персональных данных органами государственной власти, такое правовое основание не должно применяться в отношении обработки органами государственной власти при выполнении ими своих задач. Обработка персональных данных, необходимая в целях предотвращения мошенничества, также является законным интересом соответствующего контролёра данных. Обработка персональных данных в целях прямого маркетинга может рассматриваться как обработка, служащая легитимному интересу.
(48) Контролёры, являющиеся частью группы компаний или институтов, связанных с центральным органом, могут иметь легитимный интерес в передаче персональных данных в рамках группы компаний для внутренних административных целей, включая обработку персональных данных клиентов и работников. Это не влияет на общие принципы передачи персональных данных в рамках группы компаний компании, расположенной в третьей стране.
(49) Обработка персональных данных органами государственной власти, центрами реагирования на компьютерные чрезвычайные происшествия (CERTs), центрами реагирования на инциденты, связанные с компьютерной безопасностью (CSIRTs), поставщиками сетей электронных коммуникаций и услуг, а также поставщиками технологий и услуг по обеспечению безопасности является легитимным интересом соответствующего контролёра данных в той мере, в какой она необходима и соразмерна целям обеспечения сетевой и информационной безопасности, то есть способности сети или информационной системы противостоять, на заданном уровне достоверности, случайным событиям, незаконным или преднамеренным действиям, которые компрометируют доступность, подлинность, целостность и конфиденциальность сохранённых или переданных персональных данных, а также безопасность соответствующих услуг, переданных через указанные сети или системы. Такой легитимный интерес может включать в себя, например, предотвращение несанкционированного доступа к сетям электронных коммуникаций и распространение вредоносного кода, а также пресечение сетевых атак и угроз для компьютерных и электронных систем связи.
(50) Обработка персональных данных в целях, отличных от тех, для которых персональные данные первоначально собирались, должна быть разрешена только, если она соответствует целям, для которых персональные данные были изначально собраны. В этом случае не требуется отдельное правовое основание, помимо того, что послужило основой первоначального сбора персональных данных. Если обработка необходима для выполнения задачи в общественных интересах или в рамках должностных полномочий, возложенных на контролёра, право Союза или право государства-члена может предусмотреть и установить задачи и цели, в которых последующая обработка должна считаться надлежащей и правомерной. Дальнейшая обработка для архивных целей в общественных интересах, в целях научного или исторического исследования или в статистических целях должна считаться надлежащей правомерной обработкой. Правовое основание, предусмотренное правом Союза или правом государства-члена для обработки персональных данных, может также правовым основанием для последующей обработки. Для того чтобы убедиться в том, соответствует ли цель дальнейшей обработки цели, для которой персональные данные были первоначально получены, контролёр, после выполнения всех требований законности первоначальной обработки, должен принять во внимание, в числе прочего, следующее: любую связь между указанными целями и целями запланированной дальнейшей обработки; контекст, в котором были получены персональные данные, в частности, разумные ожидания субъектов данных, основанные на отношениях с контролёром, касающиеся их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки для субъектов данных, и наличие соответствующих гарантий первоначальной и предполагаемой обработки.
В случаях, когда субъект данных дал согласие или когда обработка основывается на законодательстве Союза или государства-члена, представляющем собой необходимую и соразмерную меру в демократическом обществе, которая обеспечивает, в частности, достижение важных целей, представляющих общественный интерес, контролёр должен иметь возможность и далее обрабатывать персональные данные независимо от их совместимости с исходными целями. В любом случае должны применяться правила, изложенные в настоящем Регламенте, в частности, применение принципа информирования субъекта данных об этих других целях и его правах, включая право на возражение. Сигнализирование контролёром о возможных уголовно-наказуемых действиях или угрозах общественной безопасности и отправка компетентному органу в индивидуальном или нескольких случаях персональных данных, относящихся к этим уголовно-наказуемым действиям или угрозам общественной безопасности, следует считать реализацией контролёром своего легитимного интереса. Однако такое сообщение в легитимных интересах со стороны контролёра или дальнейшая обработка персональных данных должны быть запрещены, если эта обработка не соответствует правовому, профессиональному или иному обязательству секретности.
(155) В праве государства-члена или коллективных договорах, в том числе в «соглашениях с представителями рабочих», могут быть предусмотрены конкретные положения об обработке персональных данных работников в контексте трудоустройства, в том числе условия, согласно которым персональные данные могут обрабатываться в контексте трудоустройства на основе согласия работника, в целях устройства на работу, выполнения трудового договора, включая исполнение обязательств, установленных в соответствии с законодательством или коллективным договором, в целях управления, планирования и организации работы, равноправия и многообразия на рабочем месте, охраны труда и производственной безопасности, а также в целях осуществления и удовлетворения индивидуальных и коллективных прав и гарантий, связанных с трудоустройством, а также в целях прекращения трудовых отношений.
(EN)
Article 29 Working Party, Opinion 6/2014 on the Notion of Legitimate Interests of the Data Controller Under Article 7 of Directive 95/46/EC (2014).
EDPB, Assessing the Necessity of Measures That Limit the Fundamental Right to the Protection of Personal Data: A Toolkit (2017).
WP29, Opinion on data processing at work (2017).
Data Protection Commission of Ireland, Guidance Note: Legal Bases for Processing Personal Data (2019).
Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
CJEC, Rechnungshof/Österreichischer Rundfunk, C-465/00, C-138/01 and C-139/01 (2003).
CJEC, Huber/Germany, C-524/06 (2008).
CJEU, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs, C-70/10 (2011).
CJEU, Google Spain SL/Agencia española de protección de datos, C-131/12 (2014).
ECHR, Antović and Mirković v. Montenegro, no. 70838/13 (2017).
ECHR, López Ribalda v. Spain, nos 1874/13 and 8567/13 (2019).
Norwegian DPA, issues fine to Aquateknikk AS (2021).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 6(4)(e) GDPR:
7.4.5 PII de-identification and deletion at the end of processing
Control
The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).
(EN) […]
(EN) Sign in
to read the full text