... (49) Обработка персональных данных органами государственной власти, центрами реагирования на компьютерные чрезвычайные происшествия (CERTs), центрами реагирования на инциденты, связанные с компьютерной безопасностью (CSIRTs), поставщиками сетей электронных коммуникаций и услуг, а также поставщиками технологий и услуг по обеспечению безопасности является легитимным интересом соответствующего контролёра данных в той мере, в какой она необходима и соразмерна целям обеспечения сетевой и информационной безопасности, то есть способности сети или информационной системы противостоять, на заданном уровне достоверности, случайным событиям, незаконным или преднамеренным действиям, которые компрометируют доступность, подлинность, целостность и конфиденциальность сохранённых или переданных персональных данных, а также безопасность соответствующих услуг, переданных через указанные сети или системы. Такой легитимный интерес может включать в себя, например, предотвращение несанкционированного доступа к сетям электронных коммуникаций и распространение вредоносного кода, а также пресечение сетевых атак и угроз для компьютерных и электронных систем связи. ...
... (49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems. ...
... (45) В случае если обработка осуществляется согласно правовым обязательствам, которым подчиняется контролёр или если обработка необходима для выполнения задачи осуществляемой в общественных интересах либо в рамках должностных полномочий, обработка должна основываться на праве Союза или государства-члена. Настоящий Регламент не требует специального законодательства в отношении каждого отдельного вида обработки. Право как основание для нескольких операций по обработке, основанных на правовых обязательствах, которым подчиняется контролёр, или когда обработка необходима для выполнения задачи, осуществляемой в общественных интересах либо в рамках должностных полномочий, будет достаточным. Также необходимо, чтобы право Союза или право государства-члена определяло цель обработки. Более того, такое право может уточнять общие условия настоящего Регламента, определяя правомерность обработки персональных данных, устанавливая специальные требования к контролёрам, типы персональных данных, подлежащих обработке, соответствующих субъектов данных, организации, которым персональные данные могут раскрываться, целевые ограничения, срок хранения и другие меры по обеспечению правомерности и справедливости обработки. Необходимо также, чтобы право Союза или право государства-члена определяло, должен ли контролёр, выполняющий задачи в общественных интересах или в рамках должностных полномочий, быть органом власти, или иным физическим или юридическим лицом, которое руководствуется публичным правом, или, если это в интересах общества, действует для этих целей, включая основы жизнедеятельности, например, здравоохранение, социальную защиту и управление медицинскими услугами, либо подчиняется частному праву, например, в качестве объединения лиц свободных профессий. ...
... (45) Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association. ...
... (g) обработка необходима из соображений важного публичного интереса на основании законодательства Союза или государства-члена, которые должны быть пропорциональны преследуемой цели, должны соответствовать сути права на защиту персональных данных и предусматривать подходящие и конкретные меры для защиты фундаментальных прав и интересов субъекта данных; ...
... (g) processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject; ...
... В случаях, когда субъект данных дал согласие или когда обработка основывается на законодательстве Союза или государства-члена, представляющем собой необходимую и соразмерную меру в демократическом обществе, которая обеспечивает, в частности, достижение важных целей, представляющих общественный интерес, контролёр должен иметь возможность и далее обрабатывать персональные данные независимо от их совместимости с исходными целями. В любом случае должны применяться правила, изложенные в настоящем Регламенте, в частности, применение принципа информирования субъекта данных об этих других целях и его правах, включая право на возражение. Сигнализирование контролёром о возможных уголовно-наказуемых действиях или угрозах общественной безопасности и отправка компетентному органу в индивидуальном или нескольких случаях персональных данных, относящихся к этим уголовно-наказуемым действиям или угрозам общественной безопасности, следует считать реализацией контролёром своего легитимного интереса. Однако такое сообщение в легитимных интересах со стороны контролёра или дальнейшая обработка персональных данных должны быть запрещены, если эта обработка не соответствует правовому, профессиональному или иному обязательству секретности. ...
... Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy. ...
... (156) Обработка персональных данных для архивных целей в публичном интересе, для целей научного или исторического исследования, а также для статистических целей, должна обеспечивать соответствующие механизмы защиты для прав и свобод субъекта данных в соответствии с настоящим Регламентом. Эти механизмы защиты должны обеспечить наличие технических и организационных мер, для того чтобы, в частности, гарантировать принцип минимизации данных. Последующая обработка персональных данных для архивных целей в публичном интересе, для целей научного или исторического исследования, а также для статистических целей, должна осуществляться, если контролёр оценил технические возможности достижения указанных целей посредством обработки данных, которые изначально не позволяют либо уже не позволяют идентифицировать субъектов данных, при условии, что имеются соответствующие механизмы защиты (такие как, например, псевдонимизация данных). Государства-члены должны предусмотреть соответствующие механизмы защиты для обработки персональных данных для архивных целей в публичном интересе, для целей научного или исторического исследования, а также для статистических целей. Государства-члены должны быть уполномочены предоставлять на конкретных условиях и при наличии надлежащих механизмов защиты для субъектов данных, уточнения и изъятия в отношении запросов информации, а также относительно прав на исправление, уничтожение, на забвение, ограничение обработки, на переносимость данных, на право возражать против обработки персональных данных для архивных целей в публичном интересе, для целей научного или исторического исследования, а также для статистических целей. Рассматриваемые условия и механизмы защиты могут предусматривать специальные процедуры для осуществления субъектами данных указанных прав, если это соответствует целям конкретной обработки в сочетании с техническими и организационными мерами, направленными на минимизацию обработки персональных данных согласно принципам пропорциональности и необходимости. Обработка персональных данных в научных целях должна также отвечать требованиям другого соответствующего законодательства, например, о клинических испытаниях. ...
... (156) The processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be subject to appropriate safeguards for the rights and freedoms of the data subject pursuant to this Regulation. Those safeguards should ensure that technical and organisational measures are in place in order to ensure, in particular, the principle of data minimisation. The further processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes is to be carried out when the controller has assessed the feasibility to fulfil those purposes by processing data which do not permit or no longer permit the identification of data subjects, provided that appropriate safeguards exist (such as, for instance, pseudonymisation of the data). Member States should provide for appropriate safeguards for the processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. Member States should be authorised to provide, under specific conditions and subject to appropriate safeguards for data subjects, specifications and derogations with regard to the information requirements and rights to rectification, to erasure, to be forgotten, to restriction of processing, to data portability, and to object when processing personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. The conditions and safeguards in question may entail specific procedures for data subjects to exercise those rights if this is appropriate in the light of the purposes sought by the specific processing along with technical and organisational measures aimed at minimising the processing of personal data in pursuance of the proportionality and necessity principles. The processing of personal data for scientific purposes should also comply with other relevant legislation such as on clinical trials. ...
... (53) Особые категории персональных данных, нуждающиеся в большей защите, должны обрабатываться в целях, связанных со здоровьем, только в интересах физических лиц или общества в целом, в том числе, в контексте управления медицинскими или социальными услугами и системами, включая обработку таких персональных данных центральными национальными органами здравоохранения в целях контроля качества, информации по управлению, в том числе общего национального и местного надзора за системой медицинского и социального обслуживания, а также в целях обеспечения непрерывности медицинского обслуживания или социального обеспечения, трансграничного медицинского обслуживания, или в целях обеспечения безопасности, мониторинга здоровья и профилактики заболеваний; в архивных целях в общественных интересах, в целях научного или исторического исследования, или в статистических целях, на основании права Союза или права государства-члена, которое должно соответствовать цели общественного интереса, равно и в отношении исследований, проводимых по причинам общественного интереса в области общественного здравоохранения. Вследствие этого, настоящий Регламент должен предусматривать гармонизированные условия для обработки особых категорий персональных данных, связанных со здоровьем, в отношении особых потребностей, в частности, если обработка данных осуществляется в конкретных, связанных со здоровьем, целях лицами, которые несут юридические обязательства по соблюдению профессиональной тайны. Право Союза или право государства-члена должно предусматривать конкретные и приемлемые средства по защите фундаментальных прав и персональных данных физических лиц. Государства-члены могут сохранять или вводить дополнительные условия, в том числе ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья. Однако это не должно препятствовать свободному движению персональных данных в Союза, если указанные условия применяются в отношении трансграничной обработки этих данных. ...
... (53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data. ...
... (48) Контролёры, являющиеся частью группы компаний или институтов, связанных с центральным органом, могут иметь легитимный интерес в передаче персональных данных в рамках группы компаний для внутренних административных целей, включая обработку персональных данных клиентов и работников. Это не влияет на общие принципы передачи персональных данных в рамках группы компаний компании, расположенной в третьей стране. ...
... (48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected. ...
... (69) В случае, когда данные могут быть законно обработаны, в силу того, что обработка необходима для выполнения задач, осуществляемых в общественных интересах, для осуществления официальных полномочий, возложенных на контролёра, либо на основании легитимного интереса контролёра или третьего лица, субъект данных должен, тем не менее, иметь право возражать против обработки любых персональных данных, относящихся к нему в конкретной ситуации. На контролёре лежит обязанность подтвердить, что легитимный интерес значительно перевешивает интересы или фундаментальные права и свободы субъектов данных. ...
... (69) Where personal data might lawfully be processed because processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, or on grounds of the legitimate interests of a controller or a third party, a data subject should, nevertheless, be entitled to object to the processing of any personal data relating to his or her particular situation. It should be for the controller to demonstrate that its compelling legitimate interest overrides the interests or the fundamental rights and freedoms of the data subject. ...
... (65) Субъект данных должен иметь право на уточнение касающихся его данных и “право быть забытым”, когда сохранение таких данных нарушает настоящий Регламент, законодательство Союза или государства-члена, к которому относится контролёр. В частности, субъект данных должен иметь право на удаление его персональных данных и прекращение их обработки, когда персональные данные уже не нужны для целей, в которых они собирались либо обрабатывались иным способом, либо когда субъект данных отозвал свое согласие или возражает против обработки касающихся его персональных данных, либо когда обработка персональных данные не соответствует настоящему Регламенту. Это правило применяется также в тех случаях, когда субъект данных дал свое согласие ребенком и полностью не осознавал риски, сопряженные с обработкой, и по прошествии времени хочет удалить такие персональные данные, особенно в интернете. Субъект данных должен иметь возможность осуществить данное право несмотря на обстоятельство, что он уже не является ребенком. Однако, дальнейшее сохранение персональных данных должно быть законным, если оно необходимо, для реализации права на свободу выражения и информации, для выполнения юридических обязательств, для выполнения задач, осуществляемых в общественных интересах, для осуществления официальных полномочий, возложенных на контролёра, исходя из общественного интереса в области здравоохранения, для достижения целей общественного интереса, в целях научного или исторического исследования, в статистических целях, либо для обоснования, исполнения или оспаривания исковых требований. ...
... (65) A data subject should have the right to have personal data concerning him or her rectified and a ‘right to be forgotten’ where the retention of such data infringes this Regulation or Union or Member State law to which the controller is subject. In particular, a data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation. That right is relevant in particular where the data subject has given his or her consent as a child and is not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet. The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child. However, the further retention of the personal data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, on the grounds of public interest in the area of public health, for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or for the establishment, exercise or defence of legal claims. ...
... 2. Передача согласно пункту (g) первого подпараграфа параграфа 1 не должна включать в себя все персональные данные или все категории персональных данных, содержащихся в регистре. Если целью регистра является ознакомление лиц, имеющих легитимный интерес, передача осуществляется только по запросу указанных лиц или если эти лица являются получателями данных. ...
... 2. A transfer pursuant to point (g) of the first subparagraph of paragraph 1 shall not involve the entirety of the personal data or entire categories of the personal data contained in the register. Where the register is intended for consultation by persons having a legitimate interest, the transfer shall be made only at the request of those persons or if they are to be the recipients. ...