Airteagal 4 📖 RGCS (GDPR). Sainmhínithe

Airteagal 4 RGCS (GDPR). Sainmhínithe

Chun críocha an Rialacháin seo, tá feidhm ag na sainmhínithe seo a leanas:

(1) ciallaíonn “sonraí pearsanta” aon fhaisnéis a bhaineann le duine nádúrtha saineathanta nó in-sainaitheanta (“ábhar sonraí”); is é is duine nádúrtha in-sainaitheanta ann duine is féidir a shainaithint, go díreach nó go hindíreach, go háirithe trí thagairt a dhéanamh d’aitheantóir amhail ainm, uimhir aitheantais, sonraí suímh, aitheantóir ar líne nó ceann amháin nó níos mó de thosca a bhaineann go sonrach le céannacht fhisiceach, fhiseolaíoch, ghéiniteach, mheabhrach, eacnamaíoch, chultúrtha nó shóisialta an duine nádúrtha sin;

Tráchtaireacht Dlí Treoirlínte & Cásanna Recitals

Tráchtaireacht

(RU)

Когда номер телефона – персональные данные?

(1) В настоящем комментарии рассматривается Позиция WP29 4/2007 о концепции
персональных данных от 20 июня 2007 года (далее—Позиция WP29).

В европейской доктрине и законодательстве определение персональных данных умышленно дано широко, не имеет и, скорее всего, никогда не будет иметь четких и однозначных критериев. Для чего эксперты в области приватности в составе WP29, а затем и законодатели это сделали?

Раздел III Позиции WP29 выделяет в конструкции персональных данных 4 «несущих» блока: «любая информация», «относящаяся к», «идентифицированному или идентифицируемому», «физическому лицу». Для целей нашего анализа потребуются два центральных элемента: «относящаяся к» и «идентифицированному или идентифицируемому», поскольку они в наибольшей степени характеризуют сторону контролера персональных данных как участника правоотношений.

(2) Данные, «относящиеся к» субъекту, включают в себя не только информацию о самом субъекте, но и о принадлежащих ему или иным образом связанных с ним объектах, питомцах. Таким образом, данными, «относящимися к» субъекту, являются не только номер телефона, автомобиля, компьютера, банковской карты, фитнес трекера, чипа питомца, но и иные характеристики этих объектов и животных: цена, износ, серийные номера, поломки, диагнозы, результаты анализов и т.д.

Позиция WP29 также выделяет три элемента, каждый из которых, независимо от наличия других, может сделать любую информацию «относящейся к» субъекту — это содержание, цель и результат.

Информация может относиться к субъекту по своему содержанию, если она о конкретном физическом лице, например, результаты тестов на экзамене, номер телефона конкретного лица, профиль определенного пользователя в соцсетях.

Информация может относиться к субъекту также по цели, если она используется или, вероятнее всего, будет использована в целях оценки, влияния на статус или поведение субъекта, проявления определенного рода отношения к субъекту. Например, список посещенных сотрудниками компании интернет страниц в корпоративной сети, может быть использован для целей мониторинга эффективности использования рабочего времени каждым сотрудником, или для блокировки определенных страниц определенным сотрудникам.

Информация может относиться к субъекту персональных данных, даже в отсутствие признаков «содержания» и «цели», если есть признак результата: если обработка данных, вероятнее всего, повлияет на права и интересы субъекта, например, даже если слегка изменит отношение окружающих к нему, заставит выделять его среди остальных в сообществе. Например, информация о том, что дедушка школьника получил премию Дарвина, может вызвать насмешки и издевательства со стороны сверстников.

Эти три элемента относимости данных к субъекту применяются каждый в отдельности, но, если присутствует хотя бы один элемент, нет надобности выявлять остальные два — данные точно относятся к субъекту.

(3) Третий блок конструкции персональных данных: «идентифицированному или идентифицируемому» — имеет квалифицирующее значение для номера телефона и прочих номеров, характеристик объектов и живых существ, относящихся к субъектам.

Позиция WP29 определяет лицо как идентифицируемое, если оно еще не идентифицировано, но его возможно идентифицировать прямо, например, по имени (если оно позволяет выделить субъекта из группы) или косвенно — по номеру паспорта, автомобиля, телефона или комбинации существенных критериев, позволяющих выделить субъекта из группы (это может быть возраст, место проживания, внешний вид и т.д.).

Однако одна лишь гипотетическая вероятность идентификации субъекта не делает информацию персональными данными. Если возможность идентифицировать субъекта отсутствует или ничтожно мала, данные не считаются персональными. В этом месте некоторые контролеры с радостью воскликнут, что у них и в мыслях не было идентифицировать кого либо, что они всего лишь собирают номера телефонов, автомобилей и некоторых карт, принадлежащих субъектам. Но мы понимаем, что идентификация по этим номерам возможна при сопоставлении с другой базой данных, например, в рамках межведомственного обмена данными, получения данных от сотовых контролеров, с дорожных камер видеонаблюдения, либо в рамках интеграции систем.

Как же определить степень и вероятность того, что контролер или любое третье лицо, завладевшее информацией, решит воспользоваться возможностью идентифицировать субъектов?

Для этого необходимо определить какие разумные усилия контролер или любое третье лицо должны будут приложить для идентификации конкретных субъектов: затраты денежных средств на такие усилия; временные и человеческие ресурсы; наличие технологии, позволяющей выполнить идентификацию без особых усилий и затрат; подразумеваемая (а не декларируемая цель) и построение обработки; какие выгоды может извлечь контролер или любое другое третье лицо; продолжительность хранения данных и потенциальное развитие технологий для идентификации в этот период.

В каждом конкретном случае необходимо определять наличие возможности и прилагаемые ресурсы контролера для идентификации субъектов по номеру телефона. Если возможность есть, или цель и контекст обработки предполагает идентификацию субъекта, то номер телефона является персональными данными.

Номер телефона — является персональными данными, так как он в зависимости от ситуации либо служит идентификатором личности, либо представляет собой информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Все прочие номера и характеристики принадлежащих субъекту объектов и живых существ, в том или ином контексте обработки, также могут квалифицироваться в качестве персональных данных.

(4) Даже при отсутствии ФИО субъекта персональных данных у контролера и любого третьего лица, и даже при отсутствии у них возможности идентифицировать субъекта, они все же имеют возможность очень серьезно повлиять на поведение субъекта, нарушить его права и интересы.

Ведь номер телефона, существенно отличается от остальных номеров вещей принадлежностей еще и тем, что по нему можно непосредственно связаться с субъектом и вмешаться в его частную жизнь, причинить ему беспокойство. Возможны: мошенничество, пранк, звонки ночью или ранним утром в выходные, нежелательные смс, звонки, спам. Все это может не только причинить вред здоровью субъекта, нанести ущерб его материальному благосостоянию, но и заставить субъекта сменить номер телефона, и даже поменять контролера, по вине которого произошло нарушение его прав.

Контактные данные в целом (номер телефона, email, адрес и т.д.) позволяют злоумышленникам вступить в непосредственный контакт с субъектом против его воли, чтобы, предположим, угрожать его жизни и безопасности, манипулировать им, назойливо завладеть его вниманием, мешать работе и личной жизни (вторжение согласно Таксономии приватности). Дополнением к мерам защиты таких данных должна быть разумная осмотрительность самого субъекта при раскрытии своих контактных данных третьим лицам, поскольку их компрометация может заставить субъекта сменить номер или переехать, а также нарушить интересы третьих лиц, например семьи субъекта.

Как показано выше, даже без полной идентификации субъекта по контактным данным возможно нарушение его прав. Конфиденциальность этих данных обеспечивает безопасность жизни и здоровья субъекта, его близких, позволяет держать под контролем свои внешние коммуникации, снижает его доступность для внешнего мира, выстраивает личные границы субъекта, оберегает его личное пространство, что дает субъекту комфорт и уверенность.

(EN) […]

(EN) Sign in
to read the full text

(EN) Author

(EN) Elena Sebjakina CIPP/E, Privacy by design

(EN) Data Protection Officer, GDPR Consultant

(EN) Ask a question

(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN) Ask a question

Dlí Treoirlínte & Cásanna

(EN)

Documents

Article 29 Working Party, Opinion Nº 4/2007 on the concept of personal data (2007).

Article 29 Working Party, Opinion 1/2008 on data protection issues related to search engines (2008).

Data outlining the use of the service can be divided into different categories:

the query logs (content of the search queries, the date and time, source (IP address and cookie), the preferences of the user, and data relating to the user’s computer);

data on the content offered (links and advertisements as a result of each query);

and data on the subsequent user navigation (clicks).

Search engines may also process operational data relating to user data, data on registered users and data from other services and sources such as e-mail, desktop search, and advertising on third party websites.

An individual’s search history is personal data if the individual to which it relates, is identifiable

Though IP addresses in most cases are not directly identifiable by search engines, identification can be achieved by a third party. Internet access providers hold IP address data. Law enforcement and national security authorities can gain access to these data and in some Member States private parties have gained access also through civil litigation. Thus, in most cases – including cases with dynamic IP address allocation – the necessary data will be available to identify the user(s) of the IP address.

When a cookie contains a unique user ID, this ID is clearly personal data.

ANNEX 1 contains example of data processed by search engines.

Article 29 Working Party, Opinion 05/2014 on Anonymisation Techniques (2014).

Data Protection Commission (Ireland), Guidance Note: Anonymisation and Pseudonymisation (2019).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020):

9. There are two principal sources of location data available for modelling the spread of the virus and the overall effectiveness of confinement measures:
— location data collected by electronic communication service providers(such as mobile telecommunication operators) in the course of the provision of their service; and
— location data collected by information society service providers’ applications whose functionality requires the use of such data (e.g., navigation, transportation services,etc.).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020):

18. The term “user” is typically used to refer to individuals who are registered with the service, i.e. those who have an “account” or “profile”. Many social media services can, however, also be accessed by individuals without having registered (i.e. without creating an account or profile). Such individuals are typically not able to make use of all of the same features or services offered to individuals who have registered with the social media provider. Both users and non-registered individuals may be considered “data subjects” within the meaning of Article 4(1) GDPR insofar as the individual is directly or indirectly identified or identifiable.

Case Law

CJEU, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs, C-70/10 (2011).

CJEU, Worten – Equipamentos para o Lar SA/Autoridade para as condições de trabalho, C-342-12 (2013).

CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).

CJEU, Digital Rights Ireland Ltd/Minister for Communications, Marine and Natural Resources, C-293/12 and C-594/12 (2014).

CJEU, Breyer/Germany, C-582/14 (2016).

CJEU, Nowak/Data Protection Commissioner, C-434/16 (2017).

CJEU, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce/Manni, C-398/15 (2019).

Recitals

(26) Ba cheart feidhm a bheith ag prionsabail na cosanta sonraí maidir le haon fhaisnéis a bhaineann le duine nádúrtha sainaitheanta nó in-sainaitheanta. Sonraí pearsanta ar cuireadh ainm bréige i bhfeidhm orthu agus a d'fhéadfaí a chur i leith duine nádúrtha trí fhaisnéis bhreise a úsáid, ba cheart a mheas gur faisnéis faoi dhuine nádúrtha in-sainaitheanta na sonraí sin. Chun a chinneadh an bhfuil duine nádúrtha in-sainaitheanta nó nach bhfuil, ba cheart aird a thabhairt ar na modhanna go léir, amhail díriú ar leith, is dócha, le réasún, a úsáidfidh an rialaitheoir nó duine eile chun an duine nádúrtha a shainaithint go díreach nó go hindíreach. Lena fháil amach an bhfuil sé réasúnta dóchúil go mbainfear úsáid as bealaí chun an duine nádúrtha a shainaithint, ba cheart aird a thabhairt ar fhachtóirí oibiachtúla uile, amhail na costais a ghearrfar agus an t-achar ama is gá le haghaidh sainaitheanta, agus an teicneolaíocht a bheidh ar fáil tráth na próiseála agus forbairtí teicneolaíocha á gcur san áireamh. Níor cheart, dá bhrí sin, feidhm a bheith ag prionsabail na cosanta sonraí maidir le faisnéis anaithnid, eadhon faisnéis nach mbaineann le duine nádúrtha sainaitheanta nó in-sainaitheanta nó le sonraí persanta atá anaithnid ar bhealach agus nach bhfuil an t-ábhar sonraí in-sainaitheanta nó nach bhfuil an duine sin in-sainaitheanta a thuilleadh. Dá bhrí sin, ní bhaineann an Rialachán seo leis an bpróiseáil a dhéantar ar fhaisnéis anaithnid den sórt sin, lena n-áirítear chun críoch staidrimh agus taighde.

(2) ciallaíonn “próiseáil” aon oibríocht nó aon sraith d’oibríochtaí a dhéantar ar shonraí pearsanta nó ar shraitheanna de shonraí pearsanta, trí mhodhanna uathoibrithe nó trí mhodhanna eile, amhail bailiú, taifeadadh, eagrú, struchtúrú, stóráil, oiriúnú nó athrú, aisghabháil, ceadú, úsáid, nochtadh trí tharchur, trí scaipeadh nó trí chur ar fáil ar bhealach eile, ailíniú nó comhcheangal, srianadh, léirscriosadh nó díothú;

Tráchtaireacht Dlí Treoirlínte & Cásanna

Tráchtaireacht

(EN) Though GDPR Art.4(2) does not mention «purpose», a «processing» should actually be understood as an operation or set of operations united by one purpose. The purpose determines the role of data controller, legal ground for processing, defines the exception allowing for the processing of special categories of data, it limits processing to one purpose (purpose limitation principle), serves as a criteria for data minimisation, and determines a risk level and scope of data subject rights.

Some operations may serve multiple purposes, for instance, storage of email addresses allows a company to provide login to its website (purpose 1) and to send marketing communications (purpose 2). In that case this operation (storage) is a part of two processing activities at the same time. Stopping one of them (for example as a result of a withdrawal of consent for marketing emails) does not prevent company from continuing the another one (allowing the user to login).

(EN) […]

(EN) Sign in
to read the full text

(EN) Author

(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN) Ask a question

Dlí Treoirlínte & Cásanna

(EN)

Documents

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

The behavioural advertising methods often entail the processing of personal data. This is due to various reasons:

i) behavioural advertising normally involves the collection of IP addresses and the processing of unique identifiers (through the cookie). The use of such devices with a unique identifier allows the tracking of users of a specific computer even when dynamic IP addresses are used. In other words, such devices enable data subjects to be ‘singled out’, even if their real names are not known.

ii) Furthermore, the information collected in the context of behavioural advertising relates to, (i.e. is about) a person’s characteristics or behaviour and it is used to influence that particular person. This view is further confirmed if one takes into account the possibility for profiles to be linked at any moment with directly identifiable information provided by the data subject, such as registration related information.

DPC (Ireland), Guidance for Organisations Accidentally in Receipt of Personal Data (2020):

An organisation, whether in the public, private or voluntary sector, must be aware of the possibility of finding itself accidentally in possession of personal data. The broad definition of ‘processing’ in Article 4(2) of the GDPR means that opening, transmitting, deleting or simply storing personal data that you have unintentionally acquired will bring the GDPR into play.

DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).

Case Law

CJEC, Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy and Satamedia Oy, C-73/07 (2008).

CJEC, Lindqvist, C-101/01 (2003).

CJEU, Schwarz/Stadt Bochum, C-291/12 (2013).

CJEU, La Quadrature du Net et al./Premier ministre et al., C-511/18, C-512/18, C-520/18 (2020).

CJEU, Privacy International/Secretary of State for Foreign and Commonwealth Affairs, C-623/17 (2020).

(3) ciallaíonn “srianadh ar phróiseáil” sonraí pearsanta stóráilte a mharcáil agus é d’aidhm leis sin teorainn a chur leis an bpróiseáil a dhéanfar orthu sa todhchaí;

(4) ciallaíonn “próifíliú” aon chineál próiseála uathoibrithe a dhéantar ar shonraí pearsanta arb éard í úsáid na sonraí sin chun measúnú a dhéanamh ar ghnéithe pearsanta áirithe a bhaineann le duine nádúrtha, go háirithe chun anailís a dhéanamh ar ghnéithe a bhaineann le feidhmíocht an duine nádúrtha sin ag an obair, le staid eacnamaíoch, le sláinte, le roghanna pearsanta, le hábhair spéise, le hiontaofacht, le hiompar, le suíomh nó le gluaiseachtaí an duine nádúrtha sin nó chun na gnéithe sin a thuar;

Dlí Treoirlínte & Cásanna

(EN) Article 29 Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (2018):

Profiling is composed of three elements:

it has to be an automated form of processing;

it has to be carried out on personal data; and

the objective of the profiling must be to evaluate personal aspects about a natural person.

Article 4(4) refers to ‘any form of automated processing’ rather than ‘solely’ automated processing (referred to in Article 22). Profiling has to involve some form of automated processing – although human involvement does not necessarily take the activity out of the definition.

Profiling is a procedure which may involve a series of statistical deductions. It is often used to make predictions about people, using data from various sources to infer something about an individual, based on the qualities of others who appear statistically similar.

The GDPR says that profiling is automated processing of personal data for evaluating personal aspects, in particular to analyse or make predictions about individuals. The use of the word ‘evaluating’ suggests that profiling involves some form of assessment or judgement about a person.

A simple classification of individuals based on known characteristics such as their age, sex, and height does not necessarily lead to profiling. This will depend on the purpose of the classification. For instance, a business may wish to classify its customers according to their age or gender for statistical purposes and to acquire an aggregated overview of its clients without making any predictions or drawing any conclusion about an individual. In this case, the purpose is not assessing individual characteristics and is therefore not profiling.

The GDPR is inspired by but is not identical to the definition of profiling in the Council of Europe Recommendation CM/Rec (2010)132 (the Recommendation), as the Recommendation excludes processing that does not include inference. Nevertheless the Recommendation usefully explains that profiling may involve three distinct stages:

data collection;

automated analysis to identify correlations;

applying the correlation to an individual to identify characteristics of present or future behaviour.

Controllers carrying out profiling will need to ensure they meet the GDPR requirements in respect of all of the above stages.

Broadly speaking, profiling means gathering information about an individual (or group of individuals) and evaluating their characteristics or behaviour patterns in order to place them into a certain category or group, in particular to analyse and/or make predictions about, for example, their:

ability to perform a task;

interests; or

likely behaviour.

(5) ciallaíonn “ainm bréige a chur i bhfeidhm” próiseáil a dhéantar ar chaoi nach féidir na sonraí a chur i leith ábhair sonraí ar leith a thuilleadh gan faisnéis bhreise a úsáid, ar choinníoll go gcoimeádtar faisnéis bhreise den sórt sin ar leithligh agus go bhfuil sí faoi réir bearta teicniúla agus eagraíochtúla chun a áirithiú nach gcuirtear na sonraí pearsanta i leith duine nádúrtha sainaitheanta nó in-sainaitheanta;

Tráchtaireacht Dlí Treoirlínte & Cásanna Recitals

Tráchtaireacht

(RU) Псевдонимизация в значении GDPR фактически является обезличиванием в значении, принятом в Российской Федерации. В соответствии со ст.3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. от 31.12.2017) «обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных» (Выделение мое — СВ).

(EN) Author

(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN) Ask a question

Dlí Treoirlínte & Cásanna

(EN) EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

Recitals

(28) Is féidir, trí ainm bréige a chur i bhfeidhm ar na sonraí pearsanta, na rioscaí a laghdú do na hábhair sonraí lena mbaineann agus cuidiú le rialaitheoirí agus próiseálaithe a gcuid oibleagáidí cosanta sonraí a chomhlíonadh. Ní bheartaítear, le “ainm bréige a chur i bhfeidhm” a thabhairt isteach go sainráite sa Rialachán seo bac a chur ar aon bhearta eile cosanta sonraí.

(29) Chun go gcruthófar dreasachtaí do chur i bhfeidhm ainm bhréige tráth a ndéantar sonraí pearsanta a phróiseáil, ba cheart deis a bheith ag an rialaitheoir céanna bearta le haghaidh ainm bréige a chur i bhfeidhm, cé go gceadaítear anailís ghinearálta ag an am céanna, má tá bearta teicniúla agus eagraíochtúla glactha ag an rialaitheoir sin ar gá iad chun a áirithiú, don phróiseáil lena mbaineann, go gcuirtear an Rialachán seo chun feidhme, agus a áirithiú go gcoimeádtar i leataobh faisnéis bhreise le haghaidh na sonraí pearsanta a shannadh d' ábhar sonraí ar leith. Ba cheart don rialaitheoir a phróiseálann na sonraí pearsanta na daoine údaraithe ar de chuid an rialaitheora chéanna iad a lua.

(6) ciallaíonn “córas comhdúcháin” aon sraith struchtúraithe de shonraí pearsanta a bhfuil rochtain orthu de réir critéir shonracha, is cuma má tá an sraith sin lárnaithe, díláraithe nó scaipthe ar bhonn feidhmeach nó geografach;

Tráchtaireacht Dlí Treoirlínte & Cásanna Téacsanna gaolmhara

Tráchtaireacht

(RU) Варианты перевода на русский термина Filing System

Наиболее приемлемым переводом filing system на русский язык является система данных либо файловая система (см. таблицу внизу).

	Filing System (en.), zbiór danych (pl.)
	Система данных	Файловая система	Картотека (Украина)	Картотека или систематизированное собрание персональных данных (Россия)	Если обеспечивается поиск по определенным критериям (картотеки, списки, базы данных, журналы и другое) (Беларусь)
Понятность	+		+
Отсутствие коллизии	+	+		+	+
Близость к оригиналу	+-	+

Dlí Treoirlínte & Cásanna

(EN)

Case Law

CJEU, Tietosuojavaltuutettu/Jehovan todistajat — uskonnollinen yhdyskunta, C-25/17 (2018).

Téacsanna gaolmhara

Airteagal 2 RGCS (GDPR). Raon feidhme ábhartha

1. Tá feidhm ag an Rialachán seo maidir le sonraí pearsanta a phróiseáil go hiomlán nó go páirteach trí mhodhanna uathoibrithe, agus maidir le sonraí pearsanta, ar cuid de chóras comhdúcháin iad nó atá beartaithe a bheith ina gcuid de chóras comhdúcháin, a phróiseáil trí mhodhanna eile seachas modhanna uathoibrithe.

(7) ciallaíonn “rialaitheoir” an duine nádúrtha nó dlítheanach, an t-údarás poiblí, an ghníomhaireacht nó an comhlacht eile a chinneann, ina aonar nó i gcomhpháirt, críocha agus modhanna na próiseála; i gcás ina gcinntear críocha agus modhanna na próiseála sin le dlí an Aontais nó le dlí Ballstáit, féadfar foráil a dhéanamh don rialaitheoir le dlí an Aontais nó le dlí Ballstáit nó féadfar foráil a dhéanamh do na critéir shonracha dá ainmniú le dlí an Aontais nó le dlí Ballstáit;

Tráchtaireacht Dlí Treoirlínte & Cásanna

Tráchtaireacht

(EN) Examples from the British supervisory authority (ICO):

A specialist company provides software and data analysis to process the daily pupil attendance records of a state-maintained school for an annual fee. For the software provision the company is not a processor, but for the data analysis it is a processor for the school.
The readers of a monthly science magazine receive a hard copy delivered to their home. Their subscriptions and the mailings are handled by a separate company at the publisher’s request. The company is a processor for the magazine publisher.
A marketing company sends promotional vouchers to a hairdresser’s customers on the hairdresser’s behalf. The marketing company is a processor for the hairdresser.
An organisation uses a cloud service to store and analyse its data. The organisation remains the controller and the cloud service provider is its processor.

Dlí Treoirlínte & Cásanna

(EN)

Document

Article 29 Working Party, Opinion 1/2008 on data protection issues related to search engines (2008).

A search engine provider that processes user data including IP addresses and/or persistent cookies containing a unique identifier falls within the material scope of the definition of the controller, since he effectively determines the purposes and means of the processing.

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

When behavioural advertising entails the processing of personal data, ad network providers also play the role of data controller. Ad network providers have complete control over the purposes and means of the processing.

However, the publishers’ responsibility covers the first stage, i.e. the initial part of the data processing, namely the transfer of the IP address that takes place when individuals visit their websites. This is because the publishers facilitate such transfer and co-determine the purposes for which it is carried out, i.e. to serve visitors with tailored adverting. In sum, for these reasons, publishers will have some responsibility as data controllers for these actions.

Article 29 Working Party, Opinion 1/2010 on the concepts of “controller” and “processor” (2010).

ICO, Guidelines Data controllers and data processors (2014) — Guidelines by the British Supervisory Authority ICO.

CNIL, Guide for processors (2017) — Guidelines by the French Supervisory Authority CNIL.

European Data Protection Supervisor, Concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 (2019).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020).

Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020):

The ‘controller’ of personal data is the entity that determines the ‘purposes and means’ of processing personal data – i.e. ‘why’ and ‘how’ the personal data is processed.

Case Law

CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16 (2018).

CJEU, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, C-40/17 (2019).

(8) ciallaíonn “próiseálaí” duine nádúrtha nó dlítheanach, údarás poiblí, gníomhaireacht nó comhlacht eile a phróiseálann sonraí pearsanta thar ceann an rialaitheora;

Dlí Treoirlínte & Cásanna

(EN) Article 29 Working Party, Opinion 1/2010 on the concepts of «controller» and «processor» (2010).

CNIL, Guide for processors (2017) — Guidelines from the French Supervisory Authority CNIL.

European Data Protection Supervisor, Concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 (2019).

(9) ciallaíonn “faighteoir” duine nádúrtha nó dlítheanach, údarás poiblí, gníomhaireacht, nó comhlacht eile, dá nochtar na sonraí pearsanta, bíodh siad ina dtríú páirtí nó ná bíodh. Maidir le húdaráis phoiblí a fhéadfaidh sonraí pearsanta a fháil faoi chuimsiú fiosrúchán ar leith i gcomhréir le dlí an Aontais nó le dlí Ballstáit, ní mheasfar gur faighteoirí iad; comhlíonfaidh an phróiseáil a dhéanfaidh na húdaráis phoiblí sin ar na sonraí sin na rialacha is infheidhme maidir le cosaint sonraí de réir na gcríoch atá leis an bpróiseáil;

Recitals

(31) Údaráis phoiblí a nochtar sonraí pearsanta dóibh i gcomhréir le hoibleagáid dhlíthiúil maidir le feidhmiú a misin oifigiúil, amhail údaráis chustaim agus chánach, aonaid imscrúdúcháin airgeadais, údaráis neamhspleácha riaracháin, nó údaráis de chuid an mhargaidh airgeadais atá freagrach as rialáil agus as maoirseacht a dhéanamh ar mhargaí urrús, níor cheart a mheas gur faighteoirí iad má fhaigheann siad sonraí pearsanta a theastaíonn chun fiosrúchán ar leith a dhéanamh ar mhaithe leis an leas ginearálta, i gcomhréir le dlí an Aontais nó le dlí Ballstáit. Aon iarrataí a sheolfaidh údaráis phoiblí, ba cheart iad a bheith i gcónaí i scríbhinn, réasúnaithe agus ócáideach i gcónaí agus níor cheart córas comhdúcháin ina iomláine a bheith i gceist leo ná níor cheart idirnascadh córas comhdúcháin a bheith mar thoradh orthu. An phróiseáil a dhéanann na húdaráis phoiblí sin ar shonraí pearsanta, ba cheart di na rialacha cosanta sonraí is infheidhme de réir chríocha na próiseála a chomhlíonadh.

(10) ciallaíonn “tríú páirtí” duine nádúrtha nó dlítheanach, údarás poiblí, gníomhaireacht, nó comhlacht eile seachas an t-ábhar sonraí, an rialaitheoir, an próiseálaí agus daoine a údaraítear, faoi údarás díreach an rialaitheora nó an phróiseálaí, chun na sonraí a phróiseáil;

(11) ciallaíonn “toiliú” an ábhair sonraí aon chur in iúl atá sonrach, feasach agus gan athbhrí, a dhéanann an t-ábhar sonraí a thabhairt faoi shaoirse, trí ráiteas nó trí ghníomhaíocht shoiléir dhearfach, á rá gur mian leis nó léí aontú le próiseáil sonraí pearsanta a bhaineann leis nó léi;

Dlí Treoirlínte & Cásanna Recitals Téacsanna gaolmhara

Dlí Treoirlínte & Cásanna

(EN)

Document

EDPB, Guidelines 5/2020 on Consent under Regulation 2016/679 (2020).

Case law

CJEU, Schwarz/Stadt Bochum, C-291/12 (2013).

CJEU, Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV/Planet49 GmbH, C‑673/17 (2019).

Recitals

(32) Ba cheart toiliú a thabhairt trí ghníomh soiléir dearfach lena mbunaítear cur in iúl a thugann a t-ábhar sonraí faoi shaoirse agus atá sonrach, feasach agus gan athbhrí á rá go n-aontaíonn an t-ábhar sonraí le sonraí pearsanta a bhaineann leis nó léi a phróiseáil, amhail trí ráiteas scríofa, lena n-áirítear trí mheán leictreonach, nó ráiteas ó bhéal. D'fhéadfaí go n-áireofaí air sin tic a chur i mbosca nuair a thugtar cuairt ar shuíomh gréasáin idirlín, socruithe teicniúla a roghnú do sheirbhísí na sochaí faisnéise nó trí ráiteas nó iompar eile lena gcuirtear in iúl go soiléir sa chomhthéacs sin go dtoilíonn an t-ábhar sonraí leis an bpróiseáil atá beartaithe a dhéanamh ar a shonraí pearsanta nó ar a sonraí pearsanta. Dá bhrí sin, níor cheart gurbh ionann agus toiliú iad tost, boscaí ar cuireadh tic leo roimh ré nó neamhghníomhaíocht. Ba cheart don toiliú gach gníomhaíocht próiseála arna déanamh chun na críche céanna nó chun na gcríoch céanna a chumhdach. I gcás ina bhfuil an iliomad críoch leis an bpróiseáil, ba cheart toiliú a thabhairt dóibh uile. Má tá an t-ábhar sonraí le toiliú leis an bpróiseáil tar éis iarraidh trí mheán leictreonach a fháil chuige sin, ní mór don iarraidh sin a bheith soiléir achomair agus níor cheart di cur isteach barraíocht ar úsáid na seirbhíse ar ina leith a tugadh an toiliú.

(33) Is minic nach féidir críoch próiseála sonraí pearsanta chun críocha an taighde eolaíoch a shainaithint go hiomlán tráth bhailiú na sonraí. Dá bhrí sin, ba cheart a cheadú do na hábhair sonraí a dtoiliú a thabhairt maidir le réimsí áirithe den taighde eolaíoch i gcomhréir le caighdeáin eiticiúla aitheanta i ndáil leis an taighde eolaíoch. Ba cheart an deis a bheith ag na hábhair sonraí gan a dtoiliú a thabhairt ach do réimsí áirithe taighde nó do chodanna de thionscadail taighde, a mhéid a cheadaítear sin leis an gcríoch a beartaíodh.

Téacsanna gaolmhara

(12) ciallaíonn “sárú i ndáil le sonraí pearsanta” sárú ar shlándáil as a dtiocfaidh scrios, cailleadh, athrú, nó nochtadh neamhúdaraithe sonraí pearsanta a rinneadh a tharchur, a stóráil nó a phróiseáil ar bhealach eile, nó rochtain neamhúdaraithe ar na sonraí sin, bíodh sé sin de thaisme nó neamhdhleathach;

Dlí Treoirlínte & Cásanna

(EN) Article 29 Working Party, Guidelines on Personal Data Breach Notification Under Regulation 2016/679 (2018):

In its Opinion 03/2014 on breach notification, WP29 explained that breaches can be categorised according to the following three well-known information security principles:
— “Confidentiality breach” — where there is an unauthorised or accidental disclosure of, or access to, personal data.
— “Integrity breach” — where there is an unauthorised or accidental alteration of personal data.
— “Availability breach” — where there is an accidental or unauthorised loss of access to, or destruction of, personal data.

(13) ciallaíonn “sonraí géiniteacha” sonraí pearsanta a bhaineann le tréithe géiniteacha duine nádúrtha a fuarthas le hoidhreacht nó a fuarthas, a thugann faisnéis uathúil faoi fhiseolaíocht nó sláinte an duine nádúrtha sin agus arb é atá iontu an toradh, go háirithe, ar anailís arna déanamh ar shampla bitheolaíoch ón duine nádúrtha atá i gceist;

Dlí Treoirlínte & Cásanna Recitals

Dlí Treoirlínte & Cásanna

(EN) Article 29 Working Party, Working Document on Genetic Data (2004).

Recitals

(34) Ba cheart sonraí géiniteacha a shainmhíniú mar shonraí pearsanta a bhaineann le tréithe géiniteacha duine nádúrtha a fuarthas le hoidhreacht nó a fuarthas mar thoradh ar anailís a rinneadh ar shampla bitheolaíoch a tógadh ón duine nádúrtha atá i gceist, go háirithe anailís chrómasómach, anailís ar aigéad dí-ocsairibeanúicléasach (ADN) nó anailís ar aigéad ribeanúicléasach (RNA), nó mar thoradh ar an anailís ar aon ghné eile lena bhféadfar faisnéis choibhéiseach a fháil.

(14) ciallaíonn “sonraí bithmhéadracha” sonraí pearsanta a eascraíonn as próiseáil theicniúil ar leith agus a bhaineann le saintréithe fisiciúla, fiseolaíocha nó iompraíochta duine nádúrtha, ar sonraí iad lena gceadaítear nó lena ndeimhnítear sainaithint uathúil an duine nádúrtha sin, amhail íomhánna den aghaidh nó sonraí dachtalascópacha;

Dlí Treoirlínte & Cásanna

(EN)

To qualify as biometric data as defined in the GDPR, processing of raw data, such as the physical, physiological or behavioural characteristics of a natural person, must imply a measurement of this characteristics. Since biometric data is the result of such measurements, the GDPR states in its Article 4.14 that it is “resulting from specific technical processing relating to the physical, physiological or behavioural characteristics”.The video footage of an individual cannot however in itself be considered as biometric data under Article 9, if it has not been specifically technically processed in order to contribute to the identification of an individual.

In order for it to be considered as processing of special categories of personal data (Article 9) it requires that biometric data is processed “for the purpose of uniquely identifying a natural person”.
To sum up, in light of Article 4.14 and 9, three criteria must be considered:

— Nature of data: data relating to physical, physiological or behavioural characteristics of a natural person,

— Means and way of processing: data “resulting from a specific technical processing”,

— Purpose of processing: data must be used for the purpose to uniquely identifying a natural person.

EDPB, Guidelines 3/2019 on processing of personal data through video devices — 2019

Article 29 Working Party, Opinion 03/2012 on developments in biometric technologies (2012).

Article 29 Working Party, Opinion 02/2012 on facial recognition in online and mobile services (2012).

Article 29 Working Party, Working document on biometrics (2003).

(15) ciallaíonn “sonraí a bhaineann leis an tsláinte” sonraí pearsanta a bhaineann le sláinte fhisiciúil nó mheabhrach duine nádúrtha, lena n-áirítear soláthar seirbhísí cúraim sláinte, lena nochtar faisnéis faoina stádas sláinte;

Dlí Treoirlínte & Cásanna Recitals

Dlí Treoirlínte & Cásanna

(EN)

Documents

EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak, (2020).

Recitals

(35) Ba cheart a áireamh ar shonraí pearsanta a bhaineann leis an tsláinte na sonraí uile i ndáil le stádas sláinte ábhair sonraí, ar sonraí iad lena nochtar faisnéis a bhaineann le stádas sláinte coirp nó meabhrach an duine is ábhar de na sonraí, mar atá ag an am, mar a bhí nó mar a bheidh. Áirítear ar an méid sin faisnéis faoin duine nádúrtha a bailíodh le linn an chláraithe le haghaidh seirbhísí cúraim sláinte nó le linn sholáthar na seirbhísí sin amhail dá dtagraítear i dTreoir 2011/24/AE ó Pharlaimint na hEorpa agus ón gComhairle (9) don duine nádúrtha sin; uimhir, siombal nó mír eolais a shanntar do dhuine nádúrtha le go ndéanfar an duine nádúrtha a shainaithint go huathúil chun críocha sláinte; faisnéis a fhaightear de bharr tástáil nó scrúdú a dhéanamh ar chuid den chorp nó ar shubstaint de chuid an choirp, lena n-áirítear de bharr sonraí géiniteacha agus samplaí bitheolaíocha; agus aon fhaisnéis faoi ghalar, mar shampla, nó faoi mhíchumas, baol galair, stair liachta, cóir chliniciúil, nó staid fhiseolaíoch nó bhithleighis an ábhair sonraí, beag beann ar an bhfoinse as a dtagann sí, mar shampla ó dhochtúir nó ó ghairmí cúram sláinte eile, ó ospidéal, ó fheiste míochaine nó ó thástáil in vitro diagnóiseach.

_{(9) Treoir 2011/24/AE ó Pharlaimint na hEorpa agus ón gComhairle an 9 Márta 2011 maidir le cearta othar i gcúram sláinte trasteorann a chur i bhfeidhm (IO L 88, 4.4.2011, lch. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC}

(16) ciallaíonn “príomhbhunaíocht”:

Recitals

(36) Ba cheart gurb é an áit a bhfuil a riarachán lárnach san Aontas ag rialaitheoir príomhbhunaíocht an rialaitheora san Aontas, murar i mbunaíocht eile de chuid an rialaitheora san Aontas a ghlactar na cinntí maidir le críocha agus modhanna phróiseáil na sonraí pearsanta, agus sa chás sin ba cheart an bhunaíocht eile sin a mheas mar an phríomhbhunaíocht. Ba cheart príomhbhunaíocht de chuid rialaitheora san Aontas a chinneadh de réir critéir oibiachtúla agus, tríd an gcinneadh sin, ba cheart a thabhairt le tuiscint gur inti a dhéantar feidhmiú éifeachtach agus iarbhír na ngníomhaíochtaí bainistíochta lena ndéantar na príomhchinntí maidir le críocha agus modhanna na próiseála trí shocruithe cobhsaí. Níor cheart don chritéar sin a bheith ag brath ar cibé an ndéantar an phróiseáil ar shonraí pearsanta ag an áit sin. Má tá modhanna teicniúla agus teicneolaíochtaí ann agus in úsáid chun sonraí pearsanta a phróiseáil nó chun gníomhaíochtaí próiseála a dhéanamh, ní hionann sin is a rá gur príomhbhunaíocht an áit sin agus, dá bhrí sin, ní critéir chinntitheacha iad sin maidir le príomhbhunaíocht. Ba cheart an áit ina bhfuil a riarachán lárnach san Aontas príomhbhunaíocht an phróiseálaí nó, mura bhfuil aon riarachán lárnach aige san Aontas, ba cheart gurbh í an áit ina ndéantar na príomhghníomhaíochtaí próiseála san Aontas. I gcásanna a bhaineann leis an rialaitheoir agus leis an bpróiseálaí araon, ba cheart gurb é an príomhúdarás inniúil maoirseachta i gcónaí údarás maoirseachta an Bhallstáit ina bhfuil a phríomhbhunaíocht ag an rialaitheoir, ach ba cheart údarás maoirseachta an phróiseálaí a mheas mar údarás maoirseachta lena mbaineann agus ba cheart don údarás maoirseachta sin a bheith rannpháirteach sa nós imeachta comhair dá bhforáiltear sa Rialachán seo. In aon chás, níor cheart údaráis mhaoirseachta an Bhallstáit nó na mBallstát ina bhfuil bunaíocht amháin nó níos mó ag an bpróiseálaí a mheas mar na húdaráis mhaoirseachta lena mbaineann. I gcás inar leis an rialaitheoir amháin a bhaineann an dréachtchinneadh. I gcás ina ndéanann grúpa gnóthas an phróiseáil, ba cheart príomhbhunaíocht an ghnóthais rialaithigh a mheas mar phríomhbhunaíocht an ghrúpa gnóthas, seachas i gcás ina gcinneann gnóthas eile na críocha agus na modhanna próiseála.

(a) maidir le rialaitheoir a bhfuil bunaíochtaí i níos mó ná Ballstát amháin aige, an áit a bhfuil a riarachán lárnach san Aontas, mura rud é go nglactar na cinntí maidir le críocha agus modhanna próiseála na sonraí pearsanta i mbunaíocht eile de chuid an rialaitheora san Aontas agus go bhfuil an chumhacht ag an mbunaíocht sin chun a chur faoi deara cinntí den sórt sin a chur chun feidhme, agus sa chás sin meastar gurb í an bhunaíocht a ghlac cinntí den sórt sin an phríomh-bhunaíocht;

(b) i ndáil le próiseálaí a bhfuil bunaíochtaí i níos mó ná Ballstát amháin aige, an áit a bhfuil a riarachán lárnach san Aontas, nó mura bhfuil aon riarachán lárnach ag an bpróiseálaí san Aontas, bunaíocht an phróiseálaí san Aontas ina ndéantar na príomhghníomhaíochtaí próiseála i gcomhthéacs gníomhaíochtaí bunaíochta de chuid an phróiseálaí a mhéid atá an próiseálaí faoi réir oibleagáidí sonracha faoin Rialachán seo;

Téacsanna gaolmhara

(17) ciallaíonn “ionadaí” duine nádúrtha nó dlítheanach atá bunaithe san Aontas a dhéanann ionadaíocht thar ceann an rialaitheora nó an phróiseálaí maidir lena n-oibleagáidí faoi seach faoin Rialachán seo, agus atá ceaptha i scríbhinn ag an rialaitheoir nó ag an bpróiseálaí de bhun Airteagal 27;

Téacsanna gaolmhara

Airteagal 27 RGCS (GDPR). Ionadaithe do rialaitheoirí nódo phróiseálaithe nach bhfuil bunaithe san Aontas

1. I gcás ina mbeidh feidhm ag Airteagal 3(2), déanfaidh an rialaitheoir nó an próiseálaí ionadaí a ainmniú, i scríbhinn, san Aontas.

[…]

3. Beidh an t-ionadaí bunaithe i gceann amháin de na Ballstáit ina bhfuil na hábhair sonraí a bpróiseáiltear a sonraí pearsanta i ndáil le hearraí nó seirbhísí a chur ar fáil dóibh, nó a ndéantar faireachán ar a n iompar.

4. Tabharfaidh an rialaitheoir nó an próiseálaí sainordú go rachaidh na húdaráis mhaoirseachta agus na hábhair sonraí go háirithe, de bhreis ar an rialaitheoir nó an próiseálaí nó ina n-ionad siúd, i dteagmháil leis an ionadaí maidir leis na saincheisteanna uile a bhaineann leis an bpróiseáil, d’fhonn a áirithiú go gcomhlíonfar an Rialachán seo.

5. Ní dochar do chaingean dlí a d’fhéadfaí a thionscnamh i gcoinne an rialaitheora féin nó an phróiseálaí féin an rialaitheoir nó an próiseálaí do cheapadh ionadaí.

(18) ciallaíonn “fiontar” duine nádúrtha nó dlítheanach atá ag gabháil do ghníomhaíocht eacnamaíoch, is cuma faoi fhoirm dhlíthiúil na gníomhaíochta sin, lena n-áirítear comhpháirtíochtaí nó comhlachais a bhíonn ag gabháil go rialta do ghníomhaíocht eacnamaíoch;

(19) ciallaíonn “grúpa gnóthas” gnóthas rialaitheach agus a ghnóthais atá faoi rialú;

Tráchtaireacht Recitals

Tráchtaireacht

(EN)

In order to impose fines that are effective, proportionate and dissuasive, the supervisory authority shall use for the definition of the notion of an undertaking as provided for by the CJEU for the purposes of the application of Article 101 and 102 TFEU, namely that the concept of an undertaking is understood to mean an economic unit, which may be formed by the parent company and all involved subsidiaries. In accordance with EU law and case-law*, an undertaking must be understood to be the economic unit, which engages in commercial/economic activities, regardless of the legal person involved (Recital 150)

* The ECJ case law definition is: «the concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed” (Case Höfner and Elsner, para 21, ECLI:EU:C:1991:161). An undertaking «must be understood as designating an economic unit even if in law that economic unit consists of several persons, natural or legal» (Case Confederación Española de Empresarios de Estaciones de Servicio [para 40, ECLI:EU:C:2006:784)

Art29WP, Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253 (2017)

Recitals

(37) Ba cheart gnóthas rialaitheach agus a ghnóthais atá faoi rialú a chumhdach faoi ghrúpa gnóthas, agus ba cheart, dá réir sin, don ghnóthas rialaitheach a bheith in ann tionchar ceannasach a imirt ar na gnóthais eile de bhua úinéireachta, mar shampla, nó de bhua rannpháirtíocht airgeadais nó na rialacha lena rialaítear an rannpháirtíocht sin nó de bhua na cumhachta chun rialacha maidir le cosaint sonraí pearsanta a chur chun feidhme. Comhlacht lárnach a dhéanann rialú ar phróiseáil sonraí pearsanta i ngnóthais atá cleamhnaithe leis, ba cheart féachaint air, i dteannta na ngnóthas sin, mar ghrúpa gnóthas.

(20) ciallaíonn “rialacha ceangailteacha corparáideacha” beartais um chosaint sonraí pearsanta a gcloíonn rialaitheoir nó próiseálaí atá bunaithe ar chríoch Ballstáit leo, ar beartais iad le haghaidh aistrithe sonraí pearsanta nó sraith d’aistrithe sonraí pearsanta chuig rialaitheoir nó chuig próiseálaí i dtríú tír amháin nó níos mó laistigh de ghrúpa gnóthas, nó grúpa fiontar a bhfuil gníomhaíocht chomhpháirteach eacnamaíoch ar bun acu;

(21) ciallaíonn “údarás maoirseachta” údarás poiblí neamhspleách a bhunaíonn Ballstát de bhun Airteagal 51;

(22) ciallaíonn “údarás maoirseachta lena mbaineann” údarás maoirseachta a mbaineann próiseáil somraí pearsanta leis mar gurb amhlaidh:

Recitals

(a) go bhfuil an rialaitheoir nó an próiseálaí bunaithe ar chríoch Bhallstáit an údaráis mhaoirseachta sin;

(b) go bhfuil éifeacht shubstainteach nó gur dóchúil go mbeidh éifeacht shubstainteach ag an bpróiseáil ar ábhair sonraí atá ina gcónaí i mBallstát an údaráis mhaoirseachta sin; nó

(c) go ndearnadh gearán a thaisceadh leis an údarás maoirseachta sin;

(23) ciallaíonn “próiseáil trasteorann” ceann acu seo:

(a) próiseáil sonraí pearsanta a dhéantar i gcomhthéacs gníomhaíochtaí bunaíochtaí i níos mó ná Ballstát amháin de chuid rialaitheora nó próiseálaí san Aontas, i gcás ina bhfuil an rialaitheoir nó an próiseálaí bunaithe i níos mó ná Ballstát amháin; nó

(b) próiseáil sonraí pearsanta a dhéantar san Aontas a dhéantar i gcomhthéacs gníomhaíochtaí bunaíochta aonair de chuid rialaitheora nó próiseálaí san Aontas ach a bhfuil éifeacht shubstainteach ag an bpróiseáil sin ar ábhair sonraí i níos mó ná Ballstát amháin nó gur dóchúil go mbeidh éifeacht shubstainteach aici orthu.

Téacsanna gaolmhara

(24) ciallaíonn “agóid ábhartha réasúnaithe” agóid i gcoinne dréachtchinneadh i dtaca le cibé an ann do shárú ar an Rialachán seo nó nach ann dó, nó an gcomhlíonann an gníomhaíocht a bheartaítear i dtaca leis an rialaitheoir nó leis an bpróiseálaí an Rialachán seo, agóid a thaispeánann go soiléir suntasacht na rioscaí a d’fhéadfadh a bheith mar thoradh ar an dréachtchinneadh maidir le cearta bunúsacha agus saoirsí bunúsacha ábhar sonraí agus, i gcás inarb infheidhme, saorghluaiseacht sonraí pearsanta laistigh den Aontas;

Dlí Treoirlínte & Cásanna

(EN)

Documents

EDPB, Guidelines on relevant and reasoned objection under Regulation 2016/679 (2020).

(25) ciallaíonn “seirbhís de chuid na sochaí faisnéise” seirbhís mar a shainmhínítear í i bpointe (b) d’Airteagal 1(1) de Threoir (AE) 2015/1535 ó Pharlaimint na hEorpa agus ón gComhairle (19);

Téacsanna gaolmhara

_{(19) Treoir (AE) 2015/1535 ó Pharlaimint na hEorpa agus ón gComhairle an 9 Meán Fómhair 2015 lena leagtar síos nós imeachta chun faisnéis a sholáthar i réimse na gcaighdeán teicniúil agus na rialachán teicniúil agus na rialacha maidir le seirbhísí na Sochaí Faisnéise (IO L 241, 17.9.2015, lch. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC}

(26) ciallaíonn “eagraíocht idirnáisiúnta” eagraíocht agus a gcuid fochomhlachtaí a rialaítear leis an dlí idirnáisiúnta poiblí, nó aon chomhlacht eile a bhunaítear le comhaontú idir dhá thír nó níos mó nó ar bhonn chomhaontaithe idir dhá thír nó níos mó.

An Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS, GDPR)

Recitals Leave a comment

Recitals

(27) Níl feidhm ag an Rialachán seo maidir le sonraí pearsanta daoine éagtha. Féadfaidh na Ballstáit foráil a dhéanamh do rialacha i dtaca le próiseáil sonraí pearsanta daoine éagtha.

(30) Féadfar daoine nádúrtha a chomhcheangal le sainaitheantóirí ar líne a sholáthraítear lena gcuid gléasanna, feidhmchlár, uirlisí agus prótacal, amhail seoltaí prótacail idirlín, aitheantóirí fianán nó aitheantóirí eile amhail clibeanna aitheantais radaimhinicíochta. D'fhéadfadh sé go bhfágfaí loirg leis an méid sin a d'fhéadfaí a úsáid chun próifílí de na daoine nádúrtha a chruthú agus chun iad a shainaithint, go háirithe tráth a gcuirfí i gcomhcheangal le sainaitheantóirí uathúla iad agus le faisnéis eile a fhaigheann na freastalaithe.