(EN) WP29, Guidelines on consent under Regulation 2016/679 (2018).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
1. Опрацювання є законним, лише якщо виконано та мірою виконання принаймні однієї з наведених нижче умов:
(a) суб’єкт даних надав згоду на опрацювання своїх персональних даних для однієї чи декількох спеціальних цілей;
(EN) WP29, Guidelines on consent under Regulation 2016/679 (2018).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
(b) опрацювання є необхідним для виконання контракту, стороною якого є суб’єкт даних, або для вжиття дій на запит суб’єкта даних до укладення договору;
(EN) EDPB, Guidelines 2/2019 on the Processing of Personal Data under Article 6(1)(b) GDPR in the Context of the Provision of Online Services to Data Subjects (2019).
EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (2020).
Payment services are always provided on a contractual basis between the payment services user and the payment services provider.
Controllers have to assess what processing of personal data is objectively necessary to perform the contract. Justification of the necessity is dependent on:
- the nature of the service;
- the mutual perspectives and expectations of the parties to the contract;
- the rationale of the contract; and
- the essential elements of the contract.
The controller should be able to demonstrate how the main object of the specific contract with the data subject cannot be performed if the specific processing of the personal data in question does not occur. Merely referencing or mentioning data processing in a contract is not enough to bring the processing in question within the scope of Article 6(1)(b) of the GDPR.
(c) опрацювання є необхідним для дотримання встановленого законом зобов’язання, яке поширюється на контролера;
(45) Якщо опрацювання здійснюють відповідно до встановленого законом зобов'язання контролера, або якщо це необхідно для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, його необхідно проводити на підставі нормативно-правового акту Союзу чи держави-члена. Цей Регламент не вимагає ухвалення спеціального нормативно-правового акту для кожного окремого опрацювання. Нормативно-правового акту як основи для здійснення декількох операцій з опрацювання, що ґрунтуються на виконанні встановленого законом зобов'язання контролера, або, за умов необхідності, виконанні завдання в суспільних інтересах чи здійсненні офіційних повноважень, може бути достатньо. Ціль опрацювання повинен встановлювати безпосередньо нормативно-правовий акт Союзу або держави-члена. Крім того, такий нормативно-правовий акт може зазначати загальні умови цього Регламенту, що регулюють законність опрацювання персональних даних, встановлювати технічні вимоги до визначення контролера, тип персональних даних, що підлягають опрацюванню, відповідних суб'єктів даних, установи, яким можна розкривати персональні дані, цільові обмеження, період зберігання та інші заходи для забезпечення законного та правомірного опрацювання. Також саме нормативно-правовий акт Союзу або держави-члена визначає, чи повинен контролер, що виконує завдання в суспільних інтересах або для здійснення офіційних повноважень, бути органом публічної влади або ще однією фізичною або юридичною особою, діяльність якої регулюється публічним правом, або, якщо це є в суспільних інтересах, у тому числі для цілей здоров'я таких як охорона суспільного здоров'я та соціальний захист і управління послугами в сфері охорони здоров'я, приватним правом, зокрема професійною асоціацією.
(d) опрацювання є необхідним для того, щоб захистити життєво важливі інтереси суб’єкта даних або іншої фізичної особи;
(46) Опрацювання персональних даних необхідно також вважати законним, якщо постає необхідність захистити інтерес, що є важливим для життя суб'єкта даних або життя ще однієї фізичної особи. Опрацювання персональних даних на підставі життєво важливого інтересу іншої фізичної особи повинно мати місце лише у випадку, коли опрацювання неможливо відкрито здійснювати на іншій законній підставі. Деякі типи опрацювання можуть ґрунтуватися на важливих підставах суспільного інтересу та життєво важливих інтересах суб'єкта даних, наприклад, якщо опрацювання є необхідним для гуманітарних цілей, у тому числі моніторингу епідемій та їхнього розповсюдження чи у випадку надзвичайних гуманітарних ситуацій, зокрема в ситуаціях стихійних лих і антропогенних катастроф.
(e) опрацювання є необхідним для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера;
(EN) EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
(115) Деякі треті країни ухвалюють закони, регламенти та інші нормативно-правові акти, призначені безпосередньо для врегулювання питання щодо опрацювання персональних даних фізичних і юридичних осіб, що перебувають під юрисдикцією держав-членів. Це може включати рішення судів або трибуналів, рішення адміністративних органів у третіх країнах, що вимагають від контролера або оператора передати чи розкрити персональні дані, які ґрунтуються на міжнародній угоді, такій як договір про взаємну правову допомогу, що є чинною для третьої країни, яка подає запит, і Союзом або державою-членом. Екстериторіальна сфера застосування таких законів, регламентів та інших нормативно-правових актів може порушувати міжнародне право та може ускладнювати досягнення цілей захисту фізичних осіб, який гарантовано в Союзі цим Регламентом. Дозволено здійснювати лише передавання, під час якого дотримуються умови цього Регламенту щодо передавання до третіх країн. Це може мати місце, між іншим, коли розкриття є необхідним для важливих цілей суспільного інтересу, визнаних законодавством Союзу чи держави-члена, сфера застосування якого поширюється на контролера.
(f) опрацювання є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб’єкта даних, що вимагають охорони персональних даних, особливо, якщо суб’єктом даних є дитина.
(EN)
WP29, Opinion on the „Notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC“ (2014).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020):
44. For what concerns the legitimate interest lawful basis, the EDPB recalls that in Fashion ID, the CJEU reiterated that in order for processing to rely on the legitimate interest, three cumulative conditions should be met, namely
- the pursuit of a legitimate interest by the data controller or by the third party or parties to whom the data are disclosed,
- the need to process personal data for the purposes of the legitimate interests pursued, and
- the condition that the fundamental rights and freedoms of the data subject whose data require protection do not take precedence.
The CJEU also specified that in a situation of joint controllership “it is necessary that each of those controllers should pursue a legitimate interest […] through those processing operations in order for those operations to be justified in respect of each of them”.
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020).
EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (2020).
The GDPR may allow for the processing of silent party data when this processing is necessary for purposes of the legitimate interests pursued by a controller or by a third party.
A lawful basis for the processing of silent party data by PISPs and AISPs – in the context of the provision of payment services under the PSD2 – could thus be the legitimate interest of a controller or a third party to perform the contract with the payment service user. The necessity to process personal data of the silent party is limited and determined by the reasonable expectations of these data subjects.
Effective and appropriate measures have to be established by all parties involved. In this respect, the controller has to establish the necessary safeguards for the processing, including technical measures. If feasible, also encryption or other techniques must be applied to achieve an appropriate level of security and data minimisation.
CJEU, TK v Asociaţia de Proprietari bloc M5A-ScaraA, Case C-708/18 (2018).
(47) Законні інтереси контролера, в тому числі інтереси, задля яких можна розкрити персональні дані, або законні інтереси третьої сторони, можуть передбачати необхідність законодавчої бази опрацювання за умови, що інтереси чи фундаментальні права або свободи суб'єкта даних не є пріоритетними, враховуючи розумні очікування суб'єктів даних, засновані на їхніх відносинах з контролером. Такий законний інтерес може існувати, наприклад, якщо є відповідні та належні відносини між суб'єктом даних і контролером у ситуаціях, наприклад, коли суб'єкт даних є клієнтом або перебуває на службі в контролера. У будь-якому разі існування законного інтересу потребуватиме ретельного оцінювання, а саме, чи може суб'єкт даних відповідним чином очікувати ймовірного проведення опрацювання для такої цілі, на момент збирання і в контексті збирання персональних даних. Інтереси та фундаментальні права суб'єкта даних можуть, зокрема, переважати над інтересами контролера даних, якщо опрацювання персональних даних відбувається за обставин, коли суб'єкти даних відповідним чином не очікують на подальше опрацювання. З огляду на те, що саме законодавець повинен передбачити законом законодавчу базу для опрацювання персональних даних органами публічної влади, таку законодавчу базу не можна застосовувати до опрацювання даних органами публічної влади під час виконання своїх функцій. Опрацювання персональних даних, що є необхідним винятково для цілей запобігання шахрайству також становить законний інтерес відповідного контролера даних. Опрацювання персональних даних для цілей прямого маркетингу можна вважати опрацюванням, що здійснюють для забезпечення законного інтересу.
(48) Контролери, які є частиною групи підприємств чи установ, афілійованих з центральним органом, можуть мати законний інтерес у передаванні персональних даних усередині групи підприємств для внутрішніх адміністративних цілей, у тому числі для опрацювання персональних даних клієнтів або працівників. Загальні принципи щодо передавання персональних даних, що діють всередині групи підприємств, до підприємства, розташованого в третій країні, залишаються без змін.
(49) Опрацювання персональних даних мірою, що є надзвичайно необхідною та пропорційною цілям забезпечення мережевої та інформаційної безпеки, тобто здатності мережі чи інформаційної системи чинити опір, на певному рівні довіри, випадковим подіям або незаконним чи зловмисним діям, що ставлять під загрозу наявність, автентичність, цілісність та конфіденційність збережених або переданих персональних даних, і безпеки пов'язаних послуг, які пропонують через такі мережі чи системи або надають за їхньою допомогою доступ органи публічної влади, групи з реагування на надзвичайні ситуації в комп'ютерній сфері (CERT), групи для реагування на інциденти в сфері комп'ютерної безпеки (CSIRT), провайдери електронних мереж і послуг зв'язку та провайдери технологій і послуг у сфері безпеки, становить законний інтерес відповідного контролера даних. Це, наприклад, може включати запобігання несанкціонованому доступу до електронних мереж зв'язку і розподіл шкідливого коду, припинення атак на "відмову в обслуговуванні", а також пошкодження комп'ютера та систем електронного зв'язку.
Пункт (f) першого підпараграфа не застосовують до опрацювання, яке здійснюють публічні органи у ході виконання своїх завдань.
(40) Для того, щоб опрацювання було законним, персональні дані необхідно опрацьовувати на підставі згоди відповідного суб'єкта даних або на іншій законній підставі, встановленій законом, або у цьому Регламенті, або в іншому нормативно-правовому акті Союзу або держави-члена, як вказано в цьому Регламенті, у тому числі за необхідності дотримання встановленого законом зобов'язання, яке поширюється на контролера, або за необхідності виконання договору, стороною якого є суб'єкт даних, або для вжиття заходів на запит суб'єкта даних до укладення договору.
(50) Дозвіл на опрацювання персональних даних для інших цілей, на відміну від тих, для яких здійснювали первинне збирання персональних даних, необхідно надавати лише тоді, коли опрацювання є сумісним із первинними цілями збирання персональних даних. У такому разі немає необхідності в будь-якій законодавчій базі, окремій від такої, якою вже дозволено збирання персональних даних. Якщо опрацювання персональних даних є необхідним для виконання завдання в публічних інтересах або здійснення офіційних повноважень, покладених на контролера, законодавство Союзу або держави-члена може визначити та уточнити завдання і цілі, для виконання яких необхідно вважати сумісним та законним подальше опрацювання. Подальше опрацювання для архівних цілей у публічних інтересах, цілей наукового або історичного дослідження, статистичних цілей необхідно вважати сумісними законними операціями опрацювання. Законодавча база, передбачена законодавством Союзу або держави-члени щодо опрацювання персональних даних, може слугувати законодавчою базою для подальшого опрацювання. Для встановлення сумісності цілі подальшого опрацювання, для якого відбувається первинне збирання персональних даних, контролер, виконавши всі вимоги щодо законності первинного опрацювання, повинен враховувати, між іншим: будь-який зв'язок між тими цілями та цілями запланованого подальшого опрацювання; контекст, у якому збирають персональні дані, зокрема розумні очікування суб'єктів даних, засновані на їхніх домовленостях з контролером щодо їх подальшого використання; специфіку персональних даних; наслідки запланованого подальшого опрацювання для суб'єктів даних; та існування належних гарантій, як у первинній, так і в подальшій операціях опрацювання.
Якщо суб'єкт даних надав згоду, або якщо опрацювання здійснюють на основі законодавства Союзу чи держави-члена, що становить необхідний і пропорційний інструмент демократичного суспільства для охорони, зокрема, важливих цілей загального суспільного інтересу, контролер повинен отримувати дозвіл на подальше опрацювання персональних даних, незалежно від сумісності цілей. У будь-якому разі необхідно забезпечити застосування принципів, встановлених цим Регламентом, та, зокрема, інформування суб'єкта даних про такі інші цілі та про його або її права, у тому числі про право на заперечення. Повідомлення контролера про можливі кримінальні діяння або загрози громадській безпеці, а також передавання компетентному органу відповідних персональних даних в окремих випадках або в декількох ситуаціях, що стосуються такого самого кримінального діяння або загроз громадській безпеці, необхідно вважати такими, що відповідають законному інтересу контролера. Проте таке передавання, що відповідає законному інтересу контролера, або подальше опрацювання персональних даних необхідно заборонити, якщо опрацювання є несумісним із встановленими законом, професійними або іншими обов'язковими до виконання зобов'язаннями щодо збереження таємниці.
2. Держави-члени можуть мати або вводити уточнені положення для застосування норм цього Регламенту щодо опрацювання з метою дотримання пунктів (c) і (e) параграфа 1, визначивши більш чітко спеціальні вимоги опрацювання та інші засоби для забезпечення законного та правомірного опрацювання, в тому числі, для інших спеціальних ситуацій опрацювання, як це передбачено главою IX.
Мету опрацювання необхідно означити в такій законодавчій базі або, в частині опрацювання, вказаного в пункті (e) параграфа 1, її необхідно обов’язково передбачити для виконання завдання в суспільних інтересах чи здійснення офіційних повноважень, покладених на контролера. Така законодавча база може містити спеціальні положення для адаптації застосування правил цього Регламенту, між іншим: загальні умови, що регулюють питання законності опрацювання контролером; типи даних, що підлягають опрацюванню; відповідні суб’єкти даних; установи, яким можна розкривати персональні дані та цілі такого розкриття; цільове обмеження; періоди зберігання; операції опрацювання і процедури опрацювання, в тому числі, заходи щодо забезпечення законного та справедливого опрацювання як ті, що вживають в інших спеціальних ситуаціях опрацювання, як передбачено в главі IX. Законодавство Союзу або держави-члена повинно відповідати меті суспільного інтересу та бути пропорційним наявній законній цілі.
(41) Якщо цей Регламент містить покликання на законодавчу базу або законодавчий інструмент, ухвалення парламентом законодавчого акту, з дотриманням вимог, що відповідають конституційному порядку відповідної держави-члена, є необов'язковим. Проте така законодавча база або такий законодавчий інструмент повинні бути чіткими та точними, а їхнє застосування повинно бути передбачуваним для осіб, яких вони стосуються, згідно з прецедентним правом Суду Європейського Союзу ("Суд") і Європейського суду з прав людини.
4. Якщо опрацювання для іншої цілі, ніж тієї для якої відбувалося збирання персональних даних, не засновано на згоді суб’єкта даних або на законодавстві Союзу чи держави-члена, що є необхідним і пропорційним заходом у демократичному суспільстві для гарантування цілей, вказаних у статті 23(1), контролер, для того, щоб переконатися, чи є опрацювання для іншої цілі сумісним із ціллю первинного збирання персональних даних, повинен врахувати, між іншим:
(EN) Documents
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
(a) будь-який зв’язок між цілями, для яких збирають персональні дані, і цілями запланованого подальшого опрацювання;
(b) контекст збирання персональних даних, зокрема, щодо взаємозв’язку між суб’єктами даних і контролера;
Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf
(EN) The article outlines six legal grounds for lawfulness of processing personal data, including consent, contract, legal obligations, public, vital, and legitimate interests.
The order of the legal grounds has sometimes been seen as a hint about the importance of each ground. But as it was pointed out by European or national supervisory authorities the text doesn’t make a legal distinction between the six grounds or say that one is more important than the other. The order of the legal grounds does not imply any hierarchy.
Instead, “each instance of processing should be based on the legal basis which is most appropriate in the specific circumstances” (DPC, Guidance Note: Legal Bases for Processing Personal Data (2019))
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 6 GDPR:
7.2.2 Identify lawful basis
Control
The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.
Implementation guidance
Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.
The legal basis for the processing of PII can include:
…
Prisijungti
norėdami pasiekti visą tekstą
(40) Для того, щоб опрацювання було законним, персональні дані необхідно опрацьовувати на підставі згоди відповідного суб'єкта даних або на іншій законній підставі, встановленій законом, або у цьому Регламенті, або в іншому нормативно-правовому акті Союзу або держави-члена, як вказано в цьому Регламенті, у тому числі за необхідності дотримання встановленого законом зобов'язання, яке поширюється на контролера, або за необхідності виконання договору, стороною якого є суб'єкт даних, або для вжиття заходів на запит суб'єкта даних до укладення договору.
(41) Якщо цей Регламент містить покликання на законодавчу базу або законодавчий інструмент, ухвалення парламентом законодавчого акту, з дотриманням вимог, що відповідають конституційному порядку відповідної держави-члена, є необов'язковим. Проте така законодавча база або такий законодавчий інструмент повинні бути чіткими та точними, а їхнє застосування повинно бути передбачуваним для осіб, яких вони стосуються, згідно з прецедентним правом Суду Європейського Союзу ("Суд") і Європейського суду з прав людини.
(42) У разі, якщо опрацювання здійснюють на підставі згоди суб'єкта даних, контролер повинен бути спроможним довести те, що суб'єкт даних надав згоду на операцію опрацювання. Зокрема, в контексті письмової заяви з іншого питання, гарантії повинні забезпечувати те, що суб'єкт даних обізнаний про факт і межі надання згоди. Згідно з Директивою Ради 93/13/ЄЕС [10] заяву про надання згоди, попередньо сформульовану контролером, необхідно надавати в зрозумілій та доступній формі з використанням чітких і простих формулювань, а також вона не повинна містити неправомірні умови. Для того, щоб згода вважалася поінформованою, суб'єкт даних повинен бути обізнаним принаймні про особу контролера та цілі опрацювання, для яких призначено використання персональних даних. Згоду не можна вважати такою, що було добровільно надано, якщо суб'єкт даних не здійснює справжнього чи добровільного вибору, або неспроможний відмовити в наданні згоди або її відкликанні, не заподіюючи при цьому шкоди.
[10] Директива Ради 93/13/ЄЕС від 5 квітня 1993 року про несправедливі умови споживчих договорів (OB L 95, 21.04.93, с. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
(43) Щоб забезпечити, що згоду було надано добровільно, вона не повинна передбачати необхідність застосування дійсних законних підстав опрацювання персональних даних у спеціальному випадку, коли існує помітний дисбаланс між суб'єктом даних і контролером, зокрема коли контролер є органом публічної влади і, тому, малоймовірно, що згоду було надано добровільно за усіх обставин такої спеціальної ситуації. Презумпція ненадання добровільної згоди виникає у разі відсутності окремого дозволу на здійснення різних операцій опрацювання персональних даних, незважаючи на її відповідність окремому випадку, або, якщо виконання договору, в тому числі, надання послуги, залежить від надання згоди, незважаючи на те, що така згода не є обов'язковою для такого виконання.
(44) Опрацювання необхідно вважати законним у разі його необхідності для укладення договору або наміру щодо укладення договору.
(45) Якщо опрацювання здійснюють відповідно до встановленого законом зобов'язання контролера, або якщо це необхідно для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, його необхідно проводити на підставі нормативно-правового акту Союзу чи держави-члена. Цей Регламент не вимагає ухвалення спеціального нормативно-правового акту для кожного окремого опрацювання. Нормативно-правового акту як основи для здійснення декількох операцій з опрацювання, що ґрунтуються на виконанні встановленого законом зобов'язання контролера, або, за умов необхідності, виконанні завдання в суспільних інтересах чи здійсненні офіційних повноважень, може бути достатньо. Ціль опрацювання повинен встановлювати безпосередньо нормативно-правовий акт Союзу або держави-члена. Крім того, такий нормативно-правовий акт може зазначати загальні умови цього Регламенту, що регулюють законність опрацювання персональних даних, встановлювати технічні вимоги до визначення контролера, тип персональних даних, що підлягають опрацюванню, відповідних суб'єктів даних, установи, яким можна розкривати персональні дані, цільові обмеження, період зберігання та інші заходи для забезпечення законного та правомірного опрацювання. Також саме нормативно-правовий акт Союзу або держави-члена визначає, чи повинен контролер, що виконує завдання в суспільних інтересах або для здійснення офіційних повноважень, бути органом публічної влади або ще однією фізичною або юридичною особою, діяльність якої регулюється публічним правом, або, якщо це є в суспільних інтересах, у тому числі для цілей здоров'я таких як охорона суспільного здоров'я та соціальний захист і управління послугами в сфері охорони здоров'я, приватним правом, зокрема професійною асоціацією.
(46) Опрацювання персональних даних необхідно також вважати законним, якщо постає необхідність захистити інтерес, що є важливим для життя суб'єкта даних або життя ще однієї фізичної особи. Опрацювання персональних даних на підставі життєво важливого інтересу іншої фізичної особи повинно мати місце лише у випадку, коли опрацювання неможливо відкрито здійснювати на іншій законній підставі. Деякі типи опрацювання можуть ґрунтуватися на важливих підставах суспільного інтересу та життєво важливих інтересах суб'єкта даних, наприклад, якщо опрацювання є необхідним для гуманітарних цілей, у тому числі моніторингу епідемій та їхнього розповсюдження чи у випадку надзвичайних гуманітарних ситуацій, зокрема в ситуаціях стихійних лих і антропогенних катастроф.
(47) Законні інтереси контролера, в тому числі інтереси, задля яких можна розкрити персональні дані, або законні інтереси третьої сторони, можуть передбачати необхідність законодавчої бази опрацювання за умови, що інтереси чи фундаментальні права або свободи суб'єкта даних не є пріоритетними, враховуючи розумні очікування суб'єктів даних, засновані на їхніх відносинах з контролером. Такий законний інтерес може існувати, наприклад, якщо є відповідні та належні відносини між суб'єктом даних і контролером у ситуаціях, наприклад, коли суб'єкт даних є клієнтом або перебуває на службі в контролера. У будь-якому разі існування законного інтересу потребуватиме ретельного оцінювання, а саме, чи може суб'єкт даних відповідним чином очікувати ймовірного проведення опрацювання для такої цілі, на момент збирання і в контексті збирання персональних даних. Інтереси та фундаментальні права суб'єкта даних можуть, зокрема, переважати над інтересами контролера даних, якщо опрацювання персональних даних відбувається за обставин, коли суб'єкти даних відповідним чином не очікують на подальше опрацювання. З огляду на те, що саме законодавець повинен передбачити законом законодавчу базу для опрацювання персональних даних органами публічної влади, таку законодавчу базу не можна застосовувати до опрацювання даних органами публічної влади під час виконання своїх функцій. Опрацювання персональних даних, що є необхідним винятково для цілей запобігання шахрайству також становить законний інтерес відповідного контролера даних. Опрацювання персональних даних для цілей прямого маркетингу можна вважати опрацюванням, що здійснюють для забезпечення законного інтересу.
(48) Контролери, які є частиною групи підприємств чи установ, афілійованих з центральним органом, можуть мати законний інтерес у передаванні персональних даних усередині групи підприємств для внутрішніх адміністративних цілей, у тому числі для опрацювання персональних даних клієнтів або працівників. Загальні принципи щодо передавання персональних даних, що діють всередині групи підприємств, до підприємства, розташованого в третій країні, залишаються без змін.
(49) Опрацювання персональних даних мірою, що є надзвичайно необхідною та пропорційною цілям забезпечення мережевої та інформаційної безпеки, тобто здатності мережі чи інформаційної системи чинити опір, на певному рівні довіри, випадковим подіям або незаконним чи зловмисним діям, що ставлять під загрозу наявність, автентичність, цілісність та конфіденційність збережених або переданих персональних даних, і безпеки пов'язаних послуг, які пропонують через такі мережі чи системи або надають за їхньою допомогою доступ органи публічної влади, групи з реагування на надзвичайні ситуації в комп'ютерній сфері (CERT), групи для реагування на інциденти в сфері комп'ютерної безпеки (CSIRT), провайдери електронних мереж і послуг зв'язку та провайдери технологій і послуг у сфері безпеки, становить законний інтерес відповідного контролера даних. Це, наприклад, може включати запобігання несанкціонованому доступу до електронних мереж зв'язку і розподіл шкідливого коду, припинення атак на "відмову в обслуговуванні", а також пошкодження комп'ютера та систем електронного зв'язку.
(50) Дозвіл на опрацювання персональних даних для інших цілей, на відміну від тих, для яких здійснювали первинне збирання персональних даних, необхідно надавати лише тоді, коли опрацювання є сумісним із первинними цілями збирання персональних даних. У такому разі немає необхідності в будь-якій законодавчій базі, окремій від такої, якою вже дозволено збирання персональних даних. Якщо опрацювання персональних даних є необхідним для виконання завдання в публічних інтересах або здійснення офіційних повноважень, покладених на контролера, законодавство Союзу або держави-члена може визначити та уточнити завдання і цілі, для виконання яких необхідно вважати сумісним та законним подальше опрацювання. Подальше опрацювання для архівних цілей у публічних інтересах, цілей наукового або історичного дослідження, статистичних цілей необхідно вважати сумісними законними операціями опрацювання. Законодавча база, передбачена законодавством Союзу або держави-члени щодо опрацювання персональних даних, може слугувати законодавчою базою для подальшого опрацювання. Для встановлення сумісності цілі подальшого опрацювання, для якого відбувається первинне збирання персональних даних, контролер, виконавши всі вимоги щодо законності первинного опрацювання, повинен враховувати, між іншим: будь-який зв'язок між тими цілями та цілями запланованого подальшого опрацювання; контекст, у якому збирають персональні дані, зокрема розумні очікування суб'єктів даних, засновані на їхніх домовленостях з контролером щодо їх подальшого використання; специфіку персональних даних; наслідки запланованого подальшого опрацювання для суб'єктів даних; та існування належних гарантій, як у первинній, так і в подальшій операціях опрацювання.
Якщо суб'єкт даних надав згоду, або якщо опрацювання здійснюють на основі законодавства Союзу чи держави-члена, що становить необхідний і пропорційний інструмент демократичного суспільства для охорони, зокрема, важливих цілей загального суспільного інтересу, контролер повинен отримувати дозвіл на подальше опрацювання персональних даних, незалежно від сумісності цілей. У будь-якому разі необхідно забезпечити застосування принципів, встановлених цим Регламентом, та, зокрема, інформування суб'єкта даних про такі інші цілі та про його або її права, у тому числі про право на заперечення. Повідомлення контролера про можливі кримінальні діяння або загрози громадській безпеці, а також передавання компетентному органу відповідних персональних даних в окремих випадках або в декількох ситуаціях, що стосуються такого самого кримінального діяння або загроз громадській безпеці, необхідно вважати такими, що відповідають законному інтересу контролера. Проте таке передавання, що відповідає законному інтересу контролера, або подальше опрацювання персональних даних необхідно заборонити, якщо опрацювання є несумісним із встановленими законом, професійними або іншими обов'язковими до виконання зобов'язаннями щодо збереження таємниці.
(155) У законодавстві держави-члена чи колективних угодах, в тому числі "трудових договорах", може бути передбачені спеціальні норми щодо опрацювання персональних даних працівників у контексті зайнятості, зокрема, умови, за яких персональні дані в контексті зайнятості можна опрацьовувати на підставі згоди працівника, цілі працевлаштування, виконання трудового договору, в тому числі виконання обов'язків, установлених законом або колективними угодами, управління, планування та організацію праці, рівність та різноманітність на робочому місці, здоров'я та безпеку на робочому місці, для цілей реалізації та користування, індивідуально чи колективно, правами та перевагами, пов'язаними із зайнятістю, та для цілей припинення трудових відносин.
(EN)
Article 29 Working Party, Opinion 6/2014 on the Notion of Legitimate Interests of the Data Controller Under Article 7 of Directive 95/46/EC (2014).
EDPB, Assessing the Necessity of Measures That Limit the Fundamental Right to the Protection of Personal Data: A Toolkit (2017).
WP29, Opinion on data processing at work (2017).
Data Protection Commission of Ireland, Guidance Note: Legal Bases for Processing Personal Data (2019).
Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
CJEC, Rechnungshof/Österreichischer Rundfunk, C-465/00, C-138/01 and C-139/01 (2003).
CJEC, Huber/Germany, C-524/06 (2008).
CJEU, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs, C-70/10 (2011).
CJEU, Google Spain SL/Agencia española de protección de datos, C-131/12 (2014).
ECHR, Antović and Mirković v. Montenegro, no. 70838/13 (2017).
ECHR, López Ribalda v. Spain, nos 1874/13 and 8567/13 (2019).
Norwegian DPA, issues fine to Aquateknikk AS (2021).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 6(4)(e) GDPR:
7.4.5 PII de-identification and deletion at the end of processing
Control
The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).
…
Prisijungti
norėdami pasiekti visą tekstą