Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

Статья 47 GDPR. Обязательные корпоративные правила

Статья 49 GDPR. Отступление от соблюдения обязательств в особых случаях

1. В случае отсутствия решения об адекватной защите согласно Статье 45(3) или соответствующих гарантий согласно Статье 46, включая обязательные корпоративные правила, передача или ряд передач персональных данных в третью страну или международную организацию должна осуществляться только при соблюдении одного из следующих условий:

[…]

В случае если передача не может основываться на положениях Статей 45 или 46, в том числе на положениях об обязательных корпоративных правилах, и если не применяются отступления от соблюдения обязательств в особых случаях согласно первому подпараграфу настоящего параграфа, передача персональных данных третьей стране или международной организации может осуществляться только, если передача не носит повторяющийся характер, касается только ограниченного количества субъектов данных, необходима в целях существенных легитимных интересов контролёра, которые не превалируют над интересами или правами и свободами субъектов данных, и контролёр оценил все обстоятельства, связанные с передачей персональных данных, и на основании указанной оценки предусмотрел соответствующие гарантии касательно защиты персональных данных. Контролёр информирует о передаче надзорный орган. В дополнение к предоставлению информации, указанной в Статьях 13 и 14, контролёр информирует субъекта данных о передаче персональных данных и о своих легитимных интересах.

[…]

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.1 Прозрачность [24]

_{[24] Более подробно о том, как понимать концепцию прозрачности, можно прочитать в документе Рабочей группы по статье 29 «Руководящие принципы прозрачности согласно Регламенту 2016/679». WP 260 rev.01, 11 апреля 2018 года: ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 — одобрено EDPB}

65. Контроллер должен быть ясным и открытым для субъектов данных в отношении того, как он будет собирать, использовать и распространять персональные данные. Прозрачность — это то, что позволяет субъектам данных понять и, если необходимо, использовать их права, закрепленные в статьях 15-22. Этот принцип закреплен в статьях 12, 13, 14 и 34 GDPR. Следует также принять меры и гарантии в поддержку принципа прозрачности для поддержания осуществления положений этих статей

65. Ключевые элементы спроектированной приватности по умолчанию в соответствии с принципом прозрачности могут включать в себя:

•Ясность – информация должна быть изложена ясным и понятным языком, должна быть краткой и понятной.

•Семантика – коммуникация должна быть понятной для аудитории.

•Доступность – информация должна быть легкодоступной для субъекта данных.

•Контекстуальная – информация должна предоставляться в соответствующее время и в надлежащее форме.

•Релевантность– информация должна быть релевантной и применимой к конкретному субъекту данных.

•Универсальная конструкция – информация должна быть доступна для всех субъектов данных, включая использование машиночитаемой информации для облегчения и автоматизации чтения и ясности.

•Понятность – субъекты данных должны иметь разумное понимание того, что они могут ожидать от обработки их персональных данных, особенно в тех случаях, когда субъекты данных являются детьми или другими уязвимыми группами населения.

•Многоканальность – информация должна предоставляться в различных каналах и средствах массовой информации, помимо текстовой, чтобы увеличить вероятность того, что информация эффективно достигнет субъекта данных.

• Многоуровневая — Информация должна быть многоуровневой, чтобы устранить противоречие между целостностью и пониманием, учитывая при этом обоснованные ожидания субъектов данных.

Статья 6 GDPR. Законность обработки

1. Обработка является законной только в тех случаях, когда — и в той степени, в которой — выполнено по меньшей мере одно из следующих условий:

[…]

(f) обработка необходима для целей, вытекающих из легитимных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.

[…]

Статья 6 GDPR. Законность обработки

1. Обработка является законной только в тех случаях, когда — и в той степени, в которой — выполнено по меньшей мере одно из следующих условий:

(a) субъект персональных данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

[…]

Статья 9 GDPR. Обработка специальных категорий персональных данных

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

[…]

2. Параграф 1 не применяется, в одном из следующих случаев:

(a) субъект данных выразил отчетливое согласие на обработку этих персональных данных для одной или нескольких обозначенных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что субъект данных не может снять запрет, указанный в параграфе 1;

[…]

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.2 Законность

67. Контролер должен определить действительное правовое основание для обработки персональных данных. Меры и гарантии должны подкреплять требование соответствия цикла хранения и обработки данных (processing lifecycle) надлежащему правовому основанию обработки.

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

1. Субъект данных имеет право не подвергаться решению, которое основано исключительно на автоматизированной обработке, в том числе профилировании, вызывающему для него юридические последствия или похожим образом существенно влияющему на него.

Статья 4 GDPR. Определения

Для целей настоящего Регламента используются следующие термины:

[…]

(4) «Профилирование» — это любая форма автоматической обработки персональных данных, заключающаяся в использовании персональных данных для оценки определенных личных аспектов физического лица, в частности, для анализа или предугадывания аспектов его результативности в работе, его экономического положения, здоровья, личных предпочтений, интересов, надежности, поведения и перемещений;

[…]

Статья 89 GDPR. Гарантии и изъятия касающиеся обработки для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях

1. Обработка для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях подлежит соответствующим гарантиям, согласно настоящему Регламенту, в отношении прав и свобод субъекта данных. Такие гарантии должны обеспечивать, чтобы технические и организационные меры были приняты, в частности, для того, чтобы обеспечить соблюдение принципа минимизации данных. Названные меры могут охватывать псевдонимизацию при условии, что эти цели могут соблюдаться таким способом. В случае, когда обозначенные цели могут достигаться путем дальнейшей обработки, которая не позволяет или больше не позволяет идентификацию субъектов данных, эти цели должны осуществляться этим способом.

[…]

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

“Оказывается невозможным”

Ситуация, когда в соответствии со статьей 14.5(b) «оказывается невозможным» предоставить информацию, представляет собой ситуацию «все или ничего», так как что-то либо невозможно, либо нет; нет степеней невозможности. Таким образом, если контролер данных пытается полагаться на это исключение, он должен продемонстрировать факторы, которые фактически мешают ему предоставлять соответствующую информацию субъектам данных. Если по истечении определенного периода времени факторы, вызвавшие «невозможность», больше не существуют и становится возможным предоставлять информацию субъектам данных, то контролер данных должен немедленно сделать это. На практике существует очень мало ситуаций, в которых контролер данных может продемонстрировать, что фактически невозможно предоставить информацию субъектам данных. Следующий пример демонстрирует это.

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

“Непропорциональное усилие”

При определении того, что может представлять собой либо невозможность, либо непропорциональные усилия в соответствии со статьей 14.5(b), важно, чтобы не было сопоставимых исключений в соответствии со статьей 13 (когда персональные данные собираются от субъекта данных). Единственная разница между статьей 13 и ситуацией по статье 14 заключается в том, что в последнем случае персональные данные не собираются от субъекта данных. Отсюда следует, что невозможность или непропорциональные усилия обычно возникают в силу обстоятельств, которые не применяются, если персональные данные собираются от субъекта данных. Другими словами, невозможность или непропорциональные усилия должны быть напрямую связаны с тем фактом, что персональные данные были получены не от субъекта данных.

Руководство по согласию в соответствии с Регламентом 2016/679

Научное исследование

153. Преамбула 33, как можно заметить, обеспечивает своеобразную гибкость в конкретизации и детализации согласия в контексте научного исследования. Преамбула 33 гласит: “Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.”

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

Факторы, упомянутые выше в Преамбуле 62 (количество субъектов данных, возраст данных и любые соответствующие принятые меры предосторожности), могут указывать на типы проблем, которые способствуют тому, что контролеру данных приходится использовать непропорциональные усилия для уведомления субъекта данных об информации, соответствующей статье 14.

Статья 14.5(c) допускает отмену требований к информации в статьях 14.1, 14.2 и 14.4, поскольку получение или раскрытие персональных данных «прямо предусмотрено законодательством Европейского Союза или государства-члена, которому подчиняется контролер». Это исключение обусловлено соответствующим законом, предусматривающим «надлежащие меры для защиты легитимных интересов субъекта данных». Такой закон должен непосредственно касаться контролера данных, и получение или раскрытие данных должно быть обязательным для контролера данных. Соответственно, контролер данных должен быть в состоянии продемонстрировать, как к ним применяется соответствующий закон и требует от них либо получения, либо раскрытия соответствующих персональных данных. Хотя закон Европейского Союза или государства-члена должен определять закон таким образом, чтобы он предусматривал «надлежащие меры для защиты легитимных интересов субъекта данных», контролер данных должен обеспечить (и иметь возможность продемонстрировать), что его получение или раскрытие персональных данных соответствует с этими мерами. Кроме того, контролер данных должен дать понять субъектам данных, что он получает или раскрывает персональные данные в соответствии с рассматриваемым законом, если только не существует юридического запрета, запрещающего контролеру данных делать это. Это согласуется с преамбулой 41 GDPR, в котором говорится, что правовое основание или законодательная мера должны быть четкими и точными, и их применение должно быть предсказуемым для лиц, на которых распространяется действие закона, в соответствии с прецедентным правом Суда ЕС и Европейского Суда по правам человека. Вместе с тем, статья 14.5(c) не будет применяться, если контролер данных обязан получать данные непосредственно от субъекта данных, когда будет применяться статья 13. В этом случае единственное исключение в рамках GDPR, освобождающее контролера от предоставления субъекту данных информации об обработке, будет заключаться в соответствии со статьей 13.4 (т.е. где и поскольку субъект данных уже имеет информацию). Однако, как указано ниже в пункте 68, на национальном уровне государства-члены могут также издавать законы, в соответствии со статьей 23, в отношении дополнительных конкретных ограничений права на прозрачность в соответствии со статьей 12 и информации в соответствии со статьями 13 и 14.