Статья 6 GDPR. Законность обработки

1. Обработка является законной только в тех случаях, когда – и в той степени, в которой – выполнено по меньшей мере одно из следующих условий:

(a) субъект персональных данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

[…]

Статья 9 GDPR. Обработка специальных категорий персональных данных

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

2. Параграф 1 не применяется, в одном из следующих случаев:

(a) субъект данных выразил отчетливое согласие на обработку этих персональных данных для одной или нескольких обозначенных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что субъект данных не может снять запрет, указанный в параграфе 1;

[…]

Статья 21 GDPR. Право на возражение

1. Субъект данных, по основаниям, связанным с его/ее конкретной ситуацией, имеет право в любой момент заявить возражение против обработки своих персональных данных, которая базируется на пункте (e) или (f) Статьи 6(1), в том числе против профилирования, основанного на данных положениях. Контролёр не в праве далее обрабатывать персональные данные, пока не продемонстрирует наличие убедительных легитимных оснований для обработки, которые превалируют над интересами, правами и свободами субъекта данных, или для заявления, осуществления или оспаривания правовых требований и исков.

2. Если персональные данные обрабатываются для целей прямого маркетинга, субъект персональных данных имеет право в любое время возражать против обработки своих персональных данных для целей такого маркетинга, в том числе профилирования, в той мере, в которой обработка относится к данному прямому маркетингу.

[…]

1. Если применяется пункт (a) Статьи 6(1) при предоставлении услуг информационного общества непосредственно ребенку, обработка персональных данных ребенка является законной только в случае, если ребенку исполнилось как минимум 16 лет. Если ребенок еще не достиг возраста 16 лет, такая обработка является законной, исключительно в случаях, когда согласие было дано лицом, обладающим родительскими правами в отношении ребенка, или было дано с его одобрения.

Государства-члены могут законодательно предусмотреть меньший возраст для указанных целей при условии, что такой возраст не ниже 13 лет.

[…]

Руководство по согласию в соответствии с Регламентом 2016/679

Услуги информационного общества

129. При оценке сферы применения этого определения, EDPB также ссылается на прецедентное право Европейского Суда.[62] Европейский суд постановил, что услуги информационного общества охватывают контракты и другие услуги, которые заключаются или передаются в режиме онлайн. Если услуга имеет два экономически независимых компонента, один из которых является онлайн-компонентом, таким как предложение и принятие предложения, в контексте заключения договора или информации, касающейся продуктов или услуг, включая маркетинговую деятельность, этот компонент определяется как услуга информационного общества, а другой компонент, представляющий собой реальную доставку или распределение товаров, не охватывается понятием услуги информационного общества. Предоставление услуги в режиме онлайн подпадает под действие термина «информационное общество» в статье 8 GDPR.

_{[62] См. решение Европейского суда от 2 декабря 2010 г., Дело C-108/09 (Ker-Optika), пункты 22 и 28. В отношении «комплексных услуг» EDPB также ссылается на дело C-434/15 (Asociacion Profesional Elite Taxi v Uber Systems Spain SL), пункт 40, в котором говорится, что услуга информационного общества, являющаяся неотъемлемой частью общей услуги, основной компонент которой не является услуга информационного общества (в данном случае транспортной услугой), не должна квалифицироваться как «услуга информационного общества»}

Руководство по территориальной сфере действия GDPR (статья 3)

Предложение товаров или услуг независимо от того, требуется ли оплата от субъекта данных субъектам данных в Союзе

Первым видом деятельности, влекущим применение статьи 3(2), является «предложение товаров или услуг», концепция, которая получила дальнейшее развитие в законодательстве и прецедентном праве ЕС, что следует учитывать при применении критерия таргетинга. Предложение услуг также включает предложение услуг информационного общества, определенное в пункте (b) статьи 1(1) Директивы (ЕС) 2015/1535 [23] как «любая услуга информационного общества, то есть – любая услуга, обычно предоставляемая за вознаграждение, на расстоянии с помощью электронных средств и по индивидуальному запросу получателя услуг».

_{[23] Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 года, устанавливающая порядок предоставления информации в области технических регламентов и правил об услугах информационного общества.}

Статья 9 GDPR. Обработка специальных категорий персональных данных

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

2. Параграф 1 не применяется, в одном из следующих случаев:

[…]

(h) обработка необходима в целях профилактической или профессиональной медицины, для оценки трудоспособности работника, для диагностики медицинского состояния, предоставления медицинской или социальной помощи или лечения или для управления системами и услугами здравоохранения и социального обеспечения на основании законодательства Союза или государства-члена или на основании договора с работником здравоохранения и в соответствии с условиями и гарантиями, указанными в параграфе 3.

(i) обработка необходима по причинам публичного интереса в области общественного здравоохранения, например, защиты от серьезных трансграничных угроз здоровью или для обеспечения высоких стандартов качества и надежности медицинского обслуживания и лекарственных средств или медицинской техники, на основании законодательства Союза или государства-члена, которое предусматривает приемлемые и конкретные меры для защиты прав и свобод субъекта данных, в частности, профессиональной тайны;

[…]

3. Персональные данные, указанные в параграфе 1, могут обрабатываться для целей, указанных в пункте (h) параграфа 2, когда указанные данные обрабатываются специалистом, который обязан соблюдать профессиональную тайну согласно законодательству Союза или государства-члена или согласно нормам, установленным национальными компетентными органами, или когда обработка осуществляется иным лицом, которое также обязано соблюдать тайну согласно законодательству Союза или государства-члена или согласно правилам, установленным национальными компетентными органами.

Статья 89 GDPR. Гарантии и изъятия касающиеся обработки для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях

1. Обработка для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях подлежит соответствующим гарантиям, согласно настоящему Регламенту, в отношении прав и свобод субъекта данных. Такие гарантии должны обеспечивать, чтобы технические и организационные меры были приняты, в частности, для того, чтобы обеспечить соблюдение принципа минимизации данных. Названные меры могут охватывать псевдонимизацию при условии, что эти цели могут соблюдаться таким способом. В случае, когда обозначенные цели могут достигаться путем дальнейшей обработки, которая не позволяет или больше не позволяет идентификацию субъектов данных, эти цели должны осуществляться этим способом.

[…]

Руководство по согласию в соответствии с Регламентом 2016/679

Научное исследование

153. Преамбула 33, как можно заметить, обеспечивает своеобразную гибкость в конкретизации и детализации согласия в контексте научного исследования. Преамбула 33 гласит: “Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.”