... (143) Любое физическое или юридическое лицо имеет право подать иск о отмене решений Европейского совета по защите персональных данных в Европейский Суд на условиях, предусмотренных в Статьей 263 TFEU. В качестве адресатов таких решений соответствующие надзорные органы, которые хотят оспорить их, должны подать иск в течение двух месяцев после уведомления об этом в соответствии со Статьей 263 TFEU. Если решения Европейского совета по защите персональных данных прямо или косвенно относятся к контролёру, процессору или истцу, последний может подать иск об аннулировании этих решений в течение двух месяцев после их публикации на веб-сайте Европейского совета по защите персональных данных в соответствии со Статьей 263 TFEU. Без ущерба для такого права в соответствии со Статьей 263 TFEU каждое физическое или юридическое лицо должно иметь эффективное судебное средство правовой защиты в компетентном национальном суде против решения надзорного органа, которое порождает юридические последствия для этого лица. Такое решение касается, в частности, осуществления полномочий по рассмотрению, полномочий по устранению недостатков и разрешительных полномочий надзорного органа или либо отклонения жалобы, либо отказа в ее удовлетворении. Однако, право на эффективные судебные средства правовой защиты не охватывает меры, принимаемые надзорными органами, которые не являются юридически обязательными, такие как его заключения или рекомендации. Судебное производство в отношении надзорного органа должно быть возбуждено в судах государства-члена, в котором учрежден надзорный орган, и должно осуществляться в соответствии с процессуальным правом этого государства-члена. Такие суды должны осуществлять юрисдикцию, которая должна включать в себя полномочия на изучение всех вопросов факта и права, относящихся к рассматриваемому ими спору. ...
... (143) Any natural or legal person has the right to bring an action for annulment of decisions of the Board before the Court of Justice under the conditions provided for in Article 263 TFEU. As addressees of such decisions, the supervisory authorities concerned which wish to challenge them have to bring action within two months of being notified of them, in accordance with Article 263 TFEU. Where decisions of the Board are of direct and individual concern to a controller, processor or complainant, the latter may bring an action for annulment against those decisions within two months of their publication on the website of the Board, in accordance with Article 263 TFEU. Without prejudice to this right under Article 263 TFEU, each natural or legal person should have an effective judicial remedy before the competent national court against a decision of a supervisory authority which produces legal effects concerning that person. Such a decision concerns in particular the exercise of investigative, corrective and authorisation powers by the supervisory authority or the dismissal or rejection of complaints. However, the right to an effective judicial remedy does not encompass measures taken by supervisory authorities which are not legally binding, such as opinions issued by or advice provided by the supervisory authority. Proceedings against a supervisory authority should be brought before the courts of the Member State where the supervisory authority is established and should be conducted in accordance with that Member State's procedural law. Those courts should exercise full jurisdiction, which should include jurisdiction to examine all questions of fact and law relevant to the dispute before them. ...
... Пример Каждая организация, поддерживающая веб-сайт, должна опубликовать политику приватности на веб-сайте. Прямая ссылка на данную политику приватности должна быть четко видна на каждой странице данного веб-сайта под общепринятым термином (таким как "Приватность", "Политика приватности" или "Уведомление о защите персональных данных"). Такое размещение или цветовое оформление, которые делают текст или ссылку менее заметной или труднодоступной на веб-странице, не могут считаться легкодоступными. Для приложений, необходимая информация также должна быть доступна в интернет-магазине до их загрузки. После установки приложения, информация должна продолжать оставаться легкодоступной в рамках приложения. Одним из способов выполнения этого требования является обеспечение того, чтобы информация являлась всегда доступной в пределе "двух нажатий" (например, путем включения опции "Приватность"/ "Защита персональных данных" в функциональные возможности меню приложения). Кроме того, рассматриваемая информация в отношении порядка использования персональных данных должна быть специфичной для конкретного приложения и не должна быть просто шаблонной политикой приватности компании, которая является владельцем приложения или делает его доступным для общественности. В качестве рекомендуемой практики WP29 предлагает, чтобы на момент сбора персональных данных в режиме онлайн предоставлялась ссылка на политику приватности или чтобы эта информация была доступна на той же странице, на которой собираются персональные данные. ...
... Example Every organisation that maintains a website should publish a privacy statement/ notice on the website. A direct link to this privacy statement/ notice should be clearly visible on each page of this website under a commonly used term (such as “Privacy”, “Privacy Policy” or “Data Protection Notice”). Positioning or colour schemes that make a text or link less noticeable, or hard to find on a webpage, are not considered easily accessible. For apps, the necessary information should also be made available from an online store prior to download. Once the app is installed, the information still needs to be easily accessible from within the app. One way to meet this requirement is to ensure that the information is never more than “two taps away” (e.g. by including a “Privacy”/ “Data Protection” option in the menu functionality of the app). Additionally, the privacy information in question should be specific to the particular app and should not merely be the generic privacy policy of the company that owns the app or makes it available to the public. WP29 recommends as a best practice that at the point of collection of the personal data in an online context a link to the privacy statement/ notice is provided or that this information is made available on the same page on which the personal data is collected. ...
... Крайне важно, чтобы метод (методы), выбранный (выбранные) для предоставления информации, подходил(и) к конкретным обстоятельствам, т. е. способу взаимодействия владельца данных и субъекта данных или способу сбора информации о субъекте данных. Например, только предоставление информации в электронном текстовом виде, таком как политике приватности, доступной в режиме онлайн, может быть неподходящим/неосуществимым, если устройство, собирающее персональные данные, не имеет экрана (например, IoT/смарт-устройства) для доступа к веб-сайту/отображения такой текстовой информации. В таких случаях следует рассмотреть соответствующие дополнительные альтернативные средства. Например, предоставление политики приватности в печатном руководстве по эксплуатации или указание URL адреса веб-сайта (т.е. конкретной страницы веб-сайта), на которой политика приватности , доступная в режиме онлайн может встретиться в печатных инструкциях или в упаковке. Аудио (устное) предоставление информации также может быть осуществлено дополнительно, если устройство без экрана обладает звуковыми возможностями. WP29 в своем Мнении о последних достижениях в отношении Интернет устройств (такие как использование QR-кодов, размещенных на объектах Интернет устройствах,[26] чтобы при сканировании QR-код отображал необходимую информацию о прозрачности) ранее давала рекомендации относительно прозрачности и предоставляла информации субъектам данных. Эти рекомендации остаются применимыми в рамках GDPR. ...
... It is critical that the method(s) chosen to provide the information is/are appropriate to the particular circumstances, i.e. the manner in which the data controller and data subject interact or the manner in which the data subject’s information is collected. For example, only providing the information in electronic written format, such as in an online privacy statement/notice may not be appropriate/ workable where a device that captures personal data does not have a screen (e.g. IoT devices/ smart devices) to access the website/ display such written information. In such cases, appropriate alternative additional means should be considered, for example providing the privacy statement/ notice in hard copy instruction manuals or providing the URL website address (i.e. the specific page on the website) at which the online privacy statement/ notice can be found in the hard copy instructions or in the packaging. Audio (oral) delivery of the information could also be additionally provided if the screenless device has audio capabilities. WP29 has previously made recommendations around transparency and provision of information to data subjects in its Opinion on Recent Developments in the Internet of Things[26] (such as the use of QR codes printed on internet of things objects, so that when scanned, the QR code will display the required transparency information). These recommendations remain applicable under the GDPR. ...
... (50) Обработка персональных данных в целях, отличных от тех, для которых персональные данные первоначально собирались, должна быть разрешена только, если она соответствует целям, для которых персональные данные были изначально собраны. В этом случае не требуется отдельное правовое основание, помимо того, что послужило основой первоначального сбора персональных данных. Если обработка необходима для выполнения задачи в общественных интересах или в рамках должностных полномочий, возложенных на контролёра, право Союза или право государства-члена может предусмотреть и установить задачи и цели, в которых последующая обработка должна считаться надлежащей и правомерной. Дальнейшая обработка для архивных целей в общественных интересах, в целях научного или исторического исследования или в статистических целях должна считаться надлежащей правомерной обработкой. Правовое основание, предусмотренное правом Союза или правом государства-члена для обработки персональных данных, может также правовым основанием для последующей обработки. Для того чтобы убедиться в том, соответствует ли цель дальнейшей обработки цели, для которой персональные данные были первоначально получены, контролёр, после выполнения всех требований законности первоначальной обработки, должен принять во внимание, в числе прочего, следующее: любую связь между указанными целями и целями запланированной дальнейшей обработки; контекст, в котором были получены персональные данные, в частности, разумные ожидания субъектов данных, основанные на отношениях с контролёром, касающиеся их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки для субъектов данных, и наличие соответствующих гарантий первоначальной и предполагаемой обработки. ...
... (50) The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations. ...
... (159) Настоящий Регламент также применяется в отношении обработки персональных данных в целях научного исследования. В рамках настоящего Регламента обработка персональных данных для целей научного исследования должна трактоваться расширительно, охватывая, например, технологическое развитие и технологическую демонстрацию, фундаментальные исследования, прикладные исследования и исследования, финансируемые из частных источников. Кроме того, также должна учитываться стремление Союза в соответствии со Статьей 179(1) Договора о создании Европейского исследовательского пространства. Цели научного исследования также должны охватывать исследования, проводимые в публичном интересе в сфере здравоохранения. Чтобы соответствовать специфике обработки персональных данных для целей научных исследований, специфические условия должны применяться, в частности, в отношении публикации или иного раскрытия персональных данных в контексте целей научных исследований. Если результат научных исследований, в частности, в контексте здравоохранения, дает основания для осуществления дальнейших мер в интересах субъекта данных, общие положения настоящего Регламента должны применяться с учетом этих мер. ...
... (159) Where personal data are processed for scientific research purposes, this Regulation should also apply to that processing. For the purposes of this Regulation, the processing of personal data for scientific research purposes should be interpreted in a broad manner including for example technological development and demonstration, fundamental research, applied research and privately funded research. In addition, it should take into account the Union's objective under Article 179(1) TFEU of achieving a European Research Area. Scientific research purposes should also include studies conducted in the public interest in the area of public health. To meet the specificities of processing personal data for scientific research purposes, specific conditions should apply in particular as regards the publication or otherwise disclosure of personal data in the context of scientific research purposes. If the result of scientific research in particular in the health context gives reason for further measures in the interest of the data subject, the general rules of this Regulation should apply in view of those measures. ...
... Работодатель может быть обязан установить технологию слежения в автомобилях, чтобы продемонстрировать соблюдение других юридических обязательств, например, для обеспечения безопасности сотрудников, которые управляют этими автомобилями. Работодатель может также иметь легитимный интерес в том, чтобы иметь возможность найти транспортные средства в любое время. Даже если работодатели будут иметь легитимный интерес в достижении этих целей, сначала следует оценить, является ли обработка для этих целей необходимой и соответствует ли фактическая реализация принципам пропорциональности и субсидиарности. Там, где разрешено личное использование профессионального транспортного средства, наиболее важной мерой, которую работодатель может принять для обеспечения соблюдения этих принципов, является предложение об отказе: работник в принципе должен иметь возможность временно отключить отслеживание местонахождения, когда особые обстоятельства оправдывают такое отключение, например, посещение врача. Таким образом, работник может по собственной инициативе защитить определенные данные о местонахождении как частные. Работодатель должен следить за тем, чтобы собранные данные не использовались для незаконной дальнейшей обработки, например, для отслеживания и оценки работников. ...
... An employer might be obliged to install tracking technology in vehicles to demonstrate compliance with other legal obligations, e.g. to ensure the safety of employees who drive those vehicles. The employer may also have a legitimate interest in being able to locate the vehicles at any time. Even if employers would have a legitimate interest to achieve these purposes, it should first be assessed whether the processing for these purposes is necessary, and whether the actual implementation complies with the principles of proportionality and subsidiarity. Where private use of a professional vehicle is allowed, the most important measure an employer can take to ensure compliance with these principles is the offering of an opt-out: the employee in principle should have the option to temporarily turn off location tracking when special circumstances justify this turning off, such as a visit to a doctor. This way, the employee can on its own initiative protect certain location data as private. The employer must ensure that the collected data are not used for illegitimate further processing, such as the tracking and evaluation of employees. ...
... (52) Изъятия из запрета на обработку особых категорий персональных данных также должны быть разрешены, если они предусмотрены в праве Союза или праве государства-члена и обладают надлежащими гарантиями защиты персональных данных и других фундаментальных прав, если это оправдано с точки зрения общественного интереса, в частности, в отношении обработки персональных данных в области трудового права, права социальной защиты (включая пенсии), и в целях обеспечения безопасности, мониторинга здоровья и предупреждения заболеваний, профилактики или борьбы с инфекционными заболеваниями и других серьёзных угроз здоровью. Такое изъятие может быть сделано для целей здравоохранения и управления медицинскими услугами, особенно в целях гарантии качества и экономической эффективности методов, используемых для урегулирования претензий в системе медицинского страхования, или для архивных целей в интересах общества, для научных или исторических исследований или для статистических целей. Изъятие также может быть сделано для обработки персональных данных, необходимой для обоснования, исполнения или оспаривания исковых требований, в рамках судебной процедуры или в рамках административных или внесудебной процедур. ...
... (52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure. ...
... (54) По причинам общественного интереса в области общественного здравоохранения может быть необходима обработка особых категорий персональных данных без согласия субъекта данных. Указанная обработка должна осуществляться в соответствии с приемлемыми и конкретными средствами по защите прав и свобод физических лиц. В данном контексте понятие «общественное здравоохранение» должно пониматься в соответствии с Регламентом (ЕС) 1338/2008 Европейского Парламента и Совета ЕС [11] и включать в себя все элементы, связанные со здоровьем, а именно: состояние здоровья, в том числе заболеваемость и нетрудоспособность; факторы, влияющие на состояние здоровья; потребности в медицинском обслуживании; ресурсы, отнесённые к медицинскому обслуживанию; специальный и общий доступ к медицинскому обслуживанию; соответствующие расходы и финансирование, а также причины смертности. Указанная обработка персональных данных, касающихся здоровья, по причинам общественного интереса не должна приводить к тому, что персональные данные будут обрабатываться в иных целях третьими лицами, например, нанимателями или страховыми и банковскими компаниями. ...
... (54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council [11], namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies. ...
... Цель обработки должна быть указана в правовом основании или, в случае обработки, упомянутой в пункте (е) параграфа 1 – эта обработка должно быть необходима для осуществления задачи, реализуемой в публичном интересе или при осуществлении государственной власти, или во исполнение служебных полномочий, возложенных на контролёра. Это правовое основание может содержать положения, адаптирующие применение положений настоящего Регламента, в том числе: общих условия правомерности обработки контролёром; типы данных, подлежащих обработке; заинтересованные субъекты данных; лица которым и цели для которых эти персональные данные можно разглашать; ограничения цели; сроки хранения; а также операции и процедуры обработки, включая меры по обеспечению законности и справедливости обработки, например, меры для особых случаев обработки, упомянутых в главе IX. Законодательство Союза или государства-члена должно служить цели публичного интереса и быть соразмерным преследуемой легитимной цели. ...
... The purpose of the processing shall be determined in that legal basis or, as regards the processing referred to in point (e) of paragraph 1, shall be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. That legal basis may contain specific provisions to adapt the application of rules of this Regulation, inter alia: the general conditions governing the lawfulness of processing by the controller; the types of data which are subject to the processing; the data subjects concerned; the entities to, and the purposes for which, the personal data may be disclosed; the purpose limitation; storage periods; and processing operations and processing procedures, including measures to ensure lawful and fair processing such as those for other specific processing situations as provided for in Chapter IX. The Union or the Member State law shall meet an objective of public interest and be proportionate to the legitimate aim pursued. ...
... Пример Транспортная компания оснащает все свои автомобили видеокамерой внутри салона, которая записывает звук и видео. Целью обработки этих данных является повышение водительских навыков сотрудников. Камеры настроены на сохранение записей всякий раз, когда происходят такие инциденты, как резкое торможение или резкое изменение направления движения. Компания исходит из того, что у нее есть законное основание для обработки в своих легитимных интересах в соответствии со статьей 7 (f) Директивы, для защиты безопасности своих сотрудников и безопасности других водителей. Однако легитимный интерес компании, состоящий в мониторинге водителей, не превалирует над правами этих водителей на защиту своих персональных данных. Постоянный мониторинг сотрудников с помощью таких камер представляет собой серьезное нарушение их права на неприкосновенность частной жизни. Существуют и другие методы (например, установка оборудования, предотвращающего использование мобильных телефонов), а также другие системы безопасности, такие как усовершенствованная система экстренного торможения или система предупреждения о сходе с полосы движения, которые могут использоваться для предотвращения дорожно-транспортных происшествий, что может быть более целесообразным. Кроме того, такое видео имеет высокую вероятность привести к обработке персональных данных третьих лиц (например, пешеходов), и для такой обработки легитимный интерес компании не является достаточным основанием. ...
... Example A transport company equips all of its vehicles with a video camera inside the cabin which records sound and video. The purpose of processing these data is to improve the driving skills of the employees. The cameras are configured to retain recordings whenever incidents such as sudden braking or abrupt directional change take place. The company assumes it has a legal ground for the processing in its legitimate interest under Article 7(f) of the Directive, to protect the safety of its employees and other drivers’ safety. However, the legitimate interest of the company to monitor the drivers does not prevail over the rights of those drivers to the protection of their personal data. The continuous monitoring of employees with such cameras constitutes a serious interference with their right of privacy. There are other methods (e.g., the installation of equipment that prevents the use of mobile phones) as well as other safety systems like an advanced emergency braking system or a lane departure warning system that can be used for the prevention of vehicle accidents which may be more appropriate. Furthermore, such a video has a high probability of resulting in the processing of personal data of third parties (such as pedestrians) and, for such a processing, the legitimate interest of the company is not sufficient to justify the processing. ...