... 123. Иными словами, контролер не может менять правовые основания. Например, не разрешается ретроспективно использовать легитимный интерес в качестве основания для обработки, когда возникли проблемы с действительностью согласия. В связи с требованием раскрыть правовое основание, на которое опирается контролер во время сбора персональных данных, контролеры должны были заблаговременно решить, какое правовое основание применимо. ...
... 123. In other words, the controller cannot swap from consent to other lawful bases. For example, it is not allowed to retrospectively utilise the legitimate interest basis in order to justify processing, where problems have been encountered with the validity of consent. Because of the requirement to disclose the lawful basis which the controller is relying upon at the time of collection of personal data, controllers must have decided in advance of collection what the applicable lawful basis is. ...
... 3. Осуществление права, указанного в параграфе 1 настоящей Статьи, не умаляет положения Статьи 17. Данное право не применяется для обработки, необходимой для выполнения задачи, осуществляемой в публичном интересе или при исполнении официальных полномочий, возложенных на контролёра. ...
... 3. The exercise of the right referred to in paragraph 1 of this Article shall be without prejudice to Article 17. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. ...
... (31) Государственные органы, которым, в соответствии с их правовыми обязанностями по осуществлению их официальной деятельности, раскрываются персональные данные (такие как налоговые и таможенные органы, органы финансовых расследований, самостоятельные административные органы или службы по делам финансового рынка, ответственные за регулирование и надзор на рынке ценных бумаг) не должны рассматриваться в качестве получателей данных, если они получают персональные данные, которые в соответствии с правом Союза или государства-члена, необходимы для проведения конкретного расследования в общих интересах. Запросы на раскрытие персональных данных, направляемые государственными органами, всегда должны быть в письменной форме и обоснованными, и при этом не должны носить регулярный характер и касаться всей системы данных, либо приводить к объединению систем данных. Обработка персональных данных такими государственными органами должна соответствовать применимым нормам по защите персональных данных в соответствии с целями обработки. ...
... (31) Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing. ...
... Однако обработка, связанная с такими технологиями, несоразмерна, и работодатель не сможет ссылаться на легитимный интерес в качестве правового основания, например, для записи нажатий клавиш и движений мыши работника. ...
... However, the processing involved in such technologies are disproportionate and the employer is very unlikely to have a legal ground under legitimate interest, e.g. for recording an employee’s keystrokes and mouse movements. ...
... • если работодатель намерен полагаться на легитимный интерес (ст. 7 (f)), цель обработки должна быть легитимной; выбранный метод или конкретная технология должны быть необходимы, соразмерны и реализованы наименее инвазивным способом, а также должны быть созданы условия, позволяющие работодателю продемонстрировать, что были приняты надлежащие меры для обеспечения баланса с основными правами и свободами работников [9]; ...
... • should an employer seek to rely on legitimate interest (Art. 7(f)) the purpose of the processing must be legitimate; the chosen method or specific technology must be necessary, proportionate and implemented in the least intrusive manner possible along with the ability to enable the employer to demonstrate that appropriate measures have been put in place to ensure a balance with the fundamental rights and freedoms of employees [9]; ...
... [12] См. Также Wp 217, мнение 6/2014 о понятии легитимного интереса контроллера данных в соответствии со статьей 7, стр. 24, по вопросу: «Что делает интерес« законным »или« незаконным »?» ...
... [12] See also Wp 217, opinion 6/2014 on the notion of legitimate interest of the data controller under article 7, page 24, on the question: “What makes an interest “legitimate” or “illegitimate”?” ...
... В соответствии с параграфом 171 Преамбулы GDPR, в случаях, когда обработка уже осуществлялась до 25 мая 2018 года, контролер данных должен убедиться, что он выполняет свои обязательства по соблюдению прозрачности таким образом, каким должен их выполнять с 25 мая 2018 года (наряду со всеми другими обязательствами по GDPR). Это означает, что до 25 мая 2018 года контролеры данных должны пересмотреть всю информацию, предоставляемую субъектам данных при обработке их персональных данных (например, в политиках приватности и др.), чтобы убедиться, что они придерживаются требований в отношении прозрачности, которые анализируются в данном руководстве. Если в такую информацию вносятся изменения или дополнения, контролеры должны прояснить субъектам данных, что эти изменения были произведены с целью соблюдения GDPR. WP29 рекомендует, чтобы такие изменения или дополнения были активно доведены до сведения субъектов данных, но как минимум контролеры должны сделать эту информацию общедоступной (например, на своем веб-сайте). Однако, если изменения или дополнения являются практическими или существенными, то в соответствии с пунктами 29–32, представленными ниже, такие изменения должны активно доводиться до сведения субъекта данных. ...
... In accordance with Recital 171 of the GDPR, where processing is already under way prior to 25 May 2018, a data controller should ensure that it is compliant with its transparency obligations as of 25 May 2018 (along with all other obligations under the GDPR). This means that prior to 25 May 2018, data controllers should revisit all information provided to data subjects on processing of their personal data (for example in privacy statements/ notices etc.) to ensure that they adhere to the requirements in relation to transparency which are discussed in these guidelines. Where changes or additions are made to such information, controllers should make it clear to data subjects that these changes have been effected in order to comply with the GDPR. WP29 recommends that such changes or additions be actively brought to the attention of data subjects but at a minimum controllers should make this information publically available (e.g. on their website). However, if the changes or additions are material or substantive, then in line with paragraphs 29 to 32 below, such changes should be actively brought to the attention of the data subject. ...
... Веб-сайт: http://ec.europa.eu/newsroom/article29/news.cfm?item type=1358&tpa id=6936 ...
... Website: http://ec.europa.eu/newsroom/article29/news.cfm?item type=1358&tpa id=6936 ...
... [46] “Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете.” ...
... [46] “Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising.” ...
... 130. Употребление формулировки «предлагается непосредственно ребенку» означает, что статья 8 предназначена для применения к некоторым, а не ко всем услугам информационного общества. В этом отношении, если поставщик услуг информационного общества дает понять потенциальным пользователям, что он предлагает свои услуги только лицам в возрасте 18 лет и старше, и это не идет в разрез с другими доказательствами (такими как содержание сайта или маркетинговые планы) тогда услуга не будет считаться «предложенной непосредственно ребенку», и статья 8 не будет применяться. ...
... 130. The inclusion of the wording ‘offered directly to a child’ indicates that Article 8 is intended to apply to some, not all information society services. In this respect, if an information society service provider makes it clear to potential users that it is only offering its service to persons aged 18 or over, and this is not undermined by other evidence (such as the content of the site or marketing plans) then the service will not be considered to be ‘offered directly to a child’ and Article 8 will not apply. ...