Больше
Навигация
ГЛАВА I. Общие положения (1-4)
Статья 1. Предмет и задачи
Статья 2. Материальная сфера действия
Статья 3. Территориальная сфера действияСтатья 4. Определения
ГЛАВА II. Принципы (5-11)
Статья 5. Принципы, касающиеся обработки персональных данныхСтатья 6. Законность обработкиСтатья 7. Условия согласияСтатья 8. Условия, применимые к согласию ребенка в случае оказания услуг информационного обществаСтатья 9. Обработка специальных категорий персональных данныхСтатья 10. Обработка персональных данных, касающихся судимостей и правонарушенийСтатья 11. Обработка, не требующая идентификации
ГЛАВА III. ПРАВА СУБЪЕКТА ДАННЫХ (12-23)
Статья 12. Прозрачное информирование и коммуникация, а также режим осуществления прав субъекта данныхСтатья 13. Информация, предоставляемая в случае сбора персональных данных от субъекта данныхСтатья 14. Информация, предоставляемая при получении персональных данных не от субъекта данныхСтатья 15. Право доступа субъекта данныхСтатья 16. Право на уточнение данныхСтатья 17. Право на удаление данных ("право быть забытым")Статья 18. Право на ограничение обработкиСтатья 19. Обязанность уведомления относительно изменения или уничтожения персональных данных или ограничения обработкиСтатья 20. Право на переносимость данныхСтатья 21. Право на возражениеСтатья 22. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилированиеСтатья 23. Ограничения
ГЛАВА IV. Контролёр и процессор (24-43)
Статья 24. Предмет и задачиСтатья 25. Защита персональных данных: проектируемая и по умолчаниюСтатья 26. Со-контролёрыСтатья 27. Представители контролёров или процессоров, не имеющих организационной единицы в СоюзеСтатья 28. ПроцессорСтатья 29. Обработка от имени контролёра или процессораСтатья 30. Учет деятельности по обработкеСтатья 31. Сотрудничество с надзорным органомСтатья 32. Безопасность обработкиСтатья 33. Уведомление надзорного органа о нарушении безопасности персональных данныхСтатья 34. Уведомление субъекта данных о нарушении безопасности персональных данныхСтатья 35. Оценка воздействия на защиту персональных данныхСтатья 36. Предварительная консультацияСтатья 37. Назначение инспектора по защите персональных данныхСтатья 38. Должность инспектора по защите персональных данныхСтатья 39. Задачи инспектора по защите персональных данныхСтатья 40. Кодексы поведенияСтатья 41. Мониторинг утвержденных кодексов поведенияСтатья 42. СертификацияСтатья 43. Органы по сертификации
ГЛАВА V. Передача персональных данных в третьи страны или международным организациям (44-50)
Статья 44. Общий принцип передачиСтатья 45. Передача данных на основании решения об адекватностиСтатья 46. Передача данных при условии осуществления надлежащих гарантийСтатья 47. Обязательные корпоративные правилаСтатья 48. Передача или раскрытие данных, не разрешенное законодательством СоюзаСтатья 49. Отступление от соблюдения обязательств в особых случаяхСтатья 50. Международное сотрудничество в области защиты персональных данных
ГЛАВА VI. Независимые надзорные органы (51-59)
Статья 51. Надзорный органСтатья 52. НезависимостьСтатья 53. Общие условия для членов надзорного органаСтатья 54. Правила учреждения надзорного органаСтатья 55. КомпетенцияСтатья 56. Компетенция ведущего надзорного органаСтатья 57. ЗадачиСтатья 58. ПолномочияСтатья 59. Отчет о деятельности
ГЛАВА VII. Сотрудничество и согласованность (60-70)
Статья 60. Сотрудничество между ведущим надзорным органом и иными заинтересованными надзорными органамиСтатья 61. Взаимная помощьСтатья 62. Совместные операции надзорных органовСтатья 63. Механизм согласованияСтатья 64. Заключение Европейского совета по защите персональных данныхСтатья 65. Разрешение споров Европейским советом по защите персональных данныхСтатья 66. Процедура срочностиСтатья 67. Обмен информациейСтатья 68. Европейский совет по защите персональных данныхСтатья 69. НезависимостьСтатья 70. Задачи Европейского совета по защите персональных данныхСтатья 71. ОтчетыСтатья 72. ПроцедураСтатья 73. ПредседательСтатья 74. Задачи ПредседателяСтатья 75. СекретариатСтатья 76. Конфиденциальность
ГЛАВА VIII. Средства правовой защиты, ответственность и санкции (77-84)
Статья 77. Право подать жалобу в надзорный органСтатья 78. Право на эффективные средства судебной защиты против надзорного органаСтатья 79. Право на эффективные средства судебной защиты в отношении контролёра или процессораСтатья 80. Представительство субъектов данныхСтатья 81. Приостановление производства по делуСтатья 82. Ответственность и право на компенсациюСтатья 83. Общие условия для наложения административных штрафовСтатья 84. Санкции
ГЛАВА IX. Положения, касающиеся отдельных случаев обработки (85-91)
Статья 85. Обработка и свобода выражения мнений и распространения информацииСтатья 86. Обработка и доступ общественности к официальным документамСтатья 87. Обработка национального идентификационного номераСтатья 88. Обработка в контексте занятостиСтатья 89. Гарантии и изъятия касающиеся обработки для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целяхСтатья 90. Обязательства сохранения секретностиСтатья 91. Действующие нормы защита персональных данных церквей и религиозных организаций
ГЛАВА X. Делегированные акты и исполнительные акты (92-93)
Статья 92. Реализация подзаконных актовСтатья 93. Процедура Комитета
ГЛАВА XI. Заключительные положения (94-95)
Статья 94. Отмена Директивы 95/46/ЕССтатья 95. Соотношение с Директивой 2002/58/ЕССтатья 96. Соотношение с ранее заключенными соглашениямиСтатья 97. Отчеты Европейской КомиссииСтатья 98. Пересмотр иных правовых актов Евросоюза о защита персональных данныхСтатья 99. Вступление в силу и применение
GDPR > Статья 2. Материальная сфера действия
Скачать в PDF

Статья 2 GDPR. Материальная сфера действия

1. Данный Регламент применяется к обработке персональных данных, осуществляемой полностью или частично с помощью автоматизированных средств, а также к неавтоматизированной обработке персональных данных, формирующих часть системы данных либо предназначающихся, чтобы стать частью системы данных.

Комментарий эксперта Руководство и прецедентное право Преамбулы
Комментарий эксперта

Данная статья ограничивает предмет регулирования GDPR. Европейские законодатели решили не обременять выполнением многочисленных правил в быту и личной жизни основную часть населения. Они вывели из-под действия регламента процессы обработки, которые не представляют большой угрозы (не автоматизированные обработки, где персональные данные не собраны в систему).

За сочетанием «автоматизированные средствами» скрываются в первую очередь компьютеры, которыми переполнена современная жизнь (смартфоны, ноутбуки, сервера, «умные» часы т.п.). Обработка с их помощью подпадает под GDPR. Исключения для бытовой и личной обработки сделаны в следующем параграфе данной статьи.

Если же процесс обработки ведется в уме или на бумаге, то придерживаться Регламента придется, только если обрабатываемые личные данные представляют систему, то есть делают возможным быстрый и эффективный поиск конкретного лица и сведений о нем.

Например, таблички с именами жильцов, которые так любят немцы, не «запускают» Регламент.  Домовладельцы вешают их рядом со звонками в квартиры у двери подъезда. В данном случае данные не собраны в каталог или систему.


для доступа к полному тексту

Автор
Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант
Задать вопрос
Руководство и прецедентное право Преамбулы

(15) Для предотвращения риска обхождения норм, защита физических лиц должна быть технологически нейтральной и не должна зависеть от используемых технологий. Защита физических лиц должна применяться для обработки персональных данных автоматическими средствами, а также для обработки вручную, если персональные данные содержатся или предназначены для содержания в системе данных. Файлы или наборы файлов, а также их титульные страницы, которые не структурированы в соответствии со специальными критериями, не должны подпадать под действие настоящего Регламента.

2. Настоящий Регламент не распространяются на обработку персональных данных:

a) в ходе деятельности за рамками сферы применения права Союза;

Преамбулы
Преамбулы

(16) Настоящий Регламент не применяется к вопросам защиты фундаментальных прав и свобод человека или свободного движения персональных данных, в отношении деятельности, которая выходит за рамки права Союза, к примеру, деятельности, связанной со сферой национальной безопасности. Настоящий Регламент не распространяется на обработку персональных данных государствами-членами при осуществлении деятельности, связанной с общей внешней политикой и политикой безопасности Союза.

b) государствами-членами при осуществлении деятельности, подпадающей под сферу действия Главы 2 Раздела V Договора о Европейском союзе;

c) физическим лицом в рамках исключительно личной или бытовой деятельности;

Руководство и прецедентное право Преамбулы
Руководство и прецедентное право Преамбулы

(18) Настоящий Регламент не применяется к обработке персональных данных физическим лицом при осуществлении сугубо личной или бытовой деятельности и, соответственно, не связанной с профессиональной или коммерческой деятельностью. Личная или бытовая деятельность может включать переписку и хранение адресов, или взаимодействие в социальных сетях и онлайн операции, осуществляемые в контексте такой деятельности. Однако настоящий Регламент распространяется на контролёров и процессоров, которые предоставляют средства для обработки персональных данных для такой личной или бытовой деятельности.

d) компетентными органами в целях предупреждения, расследования, выявления уголовных преступлений, привлечения к ответственности или исполнения уголовных наказаний, в том числе в целях защиты от угроз общественной безопасности и предотвращения таких угроз.

Преамбулы
Преамбулы

(19) Защита физических лиц при обработке персональных данных компетентными органами в целях предупреждения, расследования, выявления или судебного рассмотрения уголовных преступлений, либо приведения в исполнение уголовных наказаний, включая обеспечение защиты и предотвращения угроз общественной безопасности, а также свободное движение таких данных, является предметом регулирования специального нормативного правового акта Союза. Соответственно, настоящий Регламент не применяется к обработке (данных) для таких целей. При этом, персональные данные, обрабатываемые государственными органами в соответствии с настоящим Регламентом, при их использовании в обозначенных целях, должны регулироваться более конкретным нормативным правовым актом Союза, а именно, Директивой (ЕС) 2016/680 Европейского Парламента и Совета [7]. Государства-члены могут поручить компетентным органам, в значении Директивы (ЕС) 2016/680, осуществление задач, которые не обязательно выполняются для целей предотвращения, расследования, выявления преступлений привлечения к ответственности или приведения в исполнение уголовных наказаний, включая обеспечение защиты общественной безопасности и предотвращение угроз общественной безопасности, так, чтобы обработка персональных данных для таких других целей попадала под действие настоящего Регламента, в той мере в какой она находится в рамках права Союза.

В отношении обработки персональных данных такими компетентными органами в целях, попадающих под действие настоящего Регламента, государства-члены должны обладать возможностью сохранять или принимать более конкретные нормы для применения положений настоящего Регламента. Такие нормы могут более точно определять конкретные требования к обработке персональных данных этими компетентными органами для таких других целей, принимая во внимание конституционное, организационное и административное устройство соответствующего государства-члена. Когда обработка персональных данных частными организациями попадает под действие настоящего Регламента, данный Регламент должен обеспечивать возможность для государств-членов, при наличии конкретных условий, ограничивать по закону осуществление отдельных обязанностей и прав, если такое ограничение представляет собой необходимую и соразмерную меру в демократическом обществе для защиты конкретных жизненных интересов, включая общественную безопасность, а также предупреждение, расследование, выявление уголовных преступлений, либо привлечение к ответственности или приведение в исполнение уголовных наказаний, в том числе защиту и предотвращение угроз общественной безопасности. Это имеет значение, к примеру, в рамках борьбы с отмыванием доходов или деятельности лабораторий судебной экспертизы.

[7] Директива (ЕС) 2016/680 Европейского Парламента и Совета ЕС от 27 апреля 2016 г о защите физических лиц при обработке персональных данных компетентными органами в целях предупреждения, расследования, выявления уголовных преступлений или привлечения к ответственности, или приведения в исполнение уголовных наказаний, и о свободном движении таких данных и отмене Рамочного Решения 2008/977/ПВД Совета ЕС (см. стр. 89 настоящего Официального журнала Европейского союза).

3. К обработке персональных данных союзными институтами, органами, учреждениями и агентствами применяется Регламент (EC) № 45/2001. Регламент (EC) № 45/2001 и другие правовые акты Союза, применимые к такой обработке персональных данных, должны быть приведены в соответствие с принципами и правилами настоящего Регламента согласно статье 98.

Преамбулы
Преамбулы

(17) Регламент (ЕС) № 45/2001 Европейского Парламента и Совета [6] применяется к обработке персональных данных учреждениями, органами, организациями и агентствами ЕС. Регламент (ЕС) № 45/2001 И иные нормативные правовые акты Союза, применимые к такой обработке персональных данных, должны быть адаптированы к принципам и нормам, предусмотренным настоящим Регламентом и применяться в соответствии с настоящим Регламентом. Для обеспечения чёткой и согласованной защиты данных в рамках Союза, после принятия настоящего Регламента, необходимо внести изменения в Регламент (EC) № 45/2001, для того чтобы обеспечить возможность его применения наряду с настоящим Регламентом.

[6] Регламент (ЕС) 45/2001 Европейского Парламента и Совета ЕС от 18 декабря 2000 г. о защите физических лиц при обработке персональных данных, осуществляемой институтами и органами Сообщества и о свободном обращении таких данных (Официальный журнал Европейского союза N L 8, 12.01.2001, стр. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2001:008:TOC

(172) В соответствии со статьей 28(2) Регламента (ЕС) № 45/2001 была проведена консультация с Европейским инспектором по защите данных, и 7 марта 2012 г. он дал свое заключение [17].

[17] Официальный журнал Европейского союза N C 192, 30.06.2012, стр. 7. https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:C:2012:192:TOC

4. Настоящий Регламент не отменяет действия Директивы 2000/31 /ЕС, в частности, действия правил об ответственности поставщиков посреднических услуг, изложенных в статьях 12-15 этой Директивы.

Преамбулы
Преамбулы

(21) Настоящий Регламент действует без ущерба для применения Директивы 2000/31/ЕС Европейского Парламента и Совета [8], в частности, правил об ответственности поставщиков посреднических услуг, изложенных в статьях 12-15 Директивы. Данная Директива направлена на содействие надлежащему функционированию внутреннего рынка путём обеспечения свободного движения услуг информационного общества среди государств-членов.

[8] Директива 2000/31/EC Европейского Парламента и Совета ЕС от 8 июня 2000 г. о некоторых правовых аспектах информационных услуг на внутреннем рынке, в частности, об электронной коммерции (Директива об электронной коммерции) (Официальный журнал Европейского союза N L 178, 17.07.2000, стр. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2000:178:TOC

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

Комментарий эксперта Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Данная статья ограничивает предмет регулирования GDPR. Европейские законодатели решили не обременять выполнением многочисленных правил в быту и личной жизни основную часть населения. Также они вывели из-под действия Регламента…


для доступа к полному тексту

Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант
Задать вопрос
Преамбулы

(14) Защита, предусмотренная настоящим Регламентом, должна применяться к физическим лицам, независимо от их гражданства или места жительства, в связи с обработкой их персональных данных. Настоящий Регламент не распространяется на обработку персональных данных юридических лиц и, в частности, на предприятия, созданные как юридические лица, включая наименование и организационно-правовую форму юридического лица, а также и реквизиты юридического лица.

(15) Для предотвращения риска обхождения норм, защита физических лиц должна быть технологически нейтральной и не должна зависеть от используемых технологий. Защита физических лиц должна применяться для обработки персональных данных автоматическими средствами, а также для обработки вручную, если персональные данные содержатся или предназначены для содержания в системе данных. Файлы или наборы файлов, а также их титульные страницы, которые не структурированы в соответствии со специальными критериями, не должны подпадать под действие настоящего Регламента.

(16) Настоящий Регламент не применяется к вопросам защиты фундаментальных прав и свобод человека или свободного движения персональных данных, в отношении деятельности, которая выходит за рамки права Союза, к примеру, деятельности, связанной со сферой национальной безопасности. Настоящий Регламент не распространяется на обработку персональных данных государствами-членами при осуществлении деятельности, связанной с общей внешней политикой и политикой безопасности Союза.

(17) Регламент (ЕС) № 45/2001 Европейского Парламента и Совета [6] применяется к обработке персональных данных учреждениями, органами, организациями и агентствами ЕС. Регламент (ЕС) № 45/2001 И иные нормативные правовые акты Союза, применимые к такой обработке персональных данных, должны быть адаптированы к принципам и нормам, предусмотренным настоящим Регламентом и применяться в соответствии с настоящим Регламентом. Для обеспечения чёткой и согласованной защиты данных в рамках Союза, после принятия настоящего Регламента, необходимо внести изменения в Регламент (EC) № 45/2001, для того чтобы обеспечить возможность его применения наряду с настоящим Регламентом.

[6] Регламент (ЕС) 45/2001 Европейского Парламента и Совета ЕС от 18 декабря 2000 г. о защите физических лиц при обработке персональных данных, осуществляемой институтами и органами Сообщества и о свободном обращении таких данных (Официальный журнал Европейского союза N L 8, 12.01.2001, стр. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2001:008:TOC

(18) Настоящий Регламент не применяется к обработке персональных данных физическим лицом при осуществлении сугубо личной или бытовой деятельности и, соответственно, не связанной с профессиональной или коммерческой деятельностью. Личная или бытовая деятельность может включать переписку и хранение адресов, или взаимодействие в социальных сетях и онлайн операции, осуществляемые в контексте такой деятельности. Однако настоящий Регламент распространяется на контролёров и процессоров, которые предоставляют средства для обработки персональных данных для такой личной или бытовой деятельности.

(19) Защита физических лиц при обработке персональных данных компетентными органами в целях предупреждения, расследования, выявления или судебного рассмотрения уголовных преступлений, либо приведения в исполнение уголовных наказаний, включая обеспечение защиты и предотвращения угроз общественной безопасности, а также свободное движение таких данных, является предметом регулирования специального нормативного правового акта Союза. Соответственно, настоящий Регламент не применяется к обработке (данных) для таких целей. При этом, персональные данные, обрабатываемые государственными органами в соответствии с настоящим Регламентом, при их использовании в обозначенных целях, должны регулироваться более конкретным нормативным правовым актом Союза, а именно, Директивой (ЕС) 2016/680 Европейского Парламента и Совета [7]. Государства-члены могут поручить компетентным органам, в значении Директивы (ЕС) 2016/680, осуществление задач, которые не обязательно выполняются для целей предотвращения, расследования, выявления преступлений привлечения к ответственности или приведения в исполнение уголовных наказаний, включая обеспечение защиты общественной безопасности и предотвращение угроз общественной безопасности, так, чтобы обработка персональных данных для таких других целей попадала под действие настоящего Регламента, в той мере в какой она находится в рамках права Союза.

В отношении обработки персональных данных такими компетентными органами в целях, попадающих под действие настоящего Регламента, государства-члены должны обладать возможностью сохранять или принимать более конкретные нормы для применения положений настоящего Регламента. Такие нормы могут более точно определять конкретные требования к обработке персональных данных этими компетентными органами для таких других целей, принимая во внимание конституционное, организационное и административное устройство соответствующего государства-члена. Когда обработка персональных данных частными организациями попадает под действие настоящего Регламента, данный Регламент должен обеспечивать возможность для государств-членов, при наличии конкретных условий, ограничивать по закону осуществление отдельных обязанностей и прав, если такое ограничение представляет собой необходимую и соразмерную меру в демократическом обществе для защиты конкретных жизненных интересов, включая общественную безопасность, а также предупреждение, расследование, выявление уголовных преступлений, либо привлечение к ответственности или приведение в исполнение уголовных наказаний, в том числе защиту и предотвращение угроз общественной безопасности. Это имеет значение, к примеру, в рамках борьбы с отмыванием доходов или деятельности лабораторий судебной экспертизы.

[7] Директива (ЕС) 2016/680 Европейского Парламента и Совета ЕС от 27 апреля 2016 г о защите физических лиц при обработке персональных данных компетентными органами в целях предупреждения, расследования, выявления уголовных преступлений или привлечения к ответственности, или приведения в исполнение уголовных наказаний, и о свободном движении таких данных и отмене Рамочного Решения 2008/977/ПВД Совета ЕС (см. стр. 89 настоящего Официального журнала Европейского союза).

(20) Исходя из того, что настоящий Регламент применяется, помимо всего прочего, к деятельности судов и других судебных органов, право Евросоюза или право государства-члена может определять порядок и процедуру применительно к обработке персональных данных судами и иными судебными органами. Компетенция надзорных органов не должна охватывать обработку персональных данных, для того, чтобы суды действовали в рамках своей судебной дееспособности, с тем, чтобы обеспечить независимость судебной власти при выполнении ею судебных задач, включая принятие решений. Должна быть предусмотрена возможность поручить надзор за такими операциями по обработке данных специально уполномоченным органам судебной системы государства-члена, которые должны, в частности, обеспечить соблюдение норм настоящего Регламента, повысить осведомлённость представителей судебных органов относительно их обязанностей в соответствии с настоящим Регламентом, а также рассматривать жалобы в отношении таких операций по обработке данных.

(21) Настоящий Регламент действует без ущерба для применения Директивы 2000/31/ЕС Европейского Парламента и Совета [8], в частности, правил об ответственности поставщиков посреднических услуг, изложенных в статьях 12-15 Директивы. Данная Директива направлена на содействие надлежащему функционированию внутреннего рынка путём обеспечения свободного движения услуг информационного общества среди государств-членов.

[8] Директива 2000/31/EC Европейского Парламента и Совета ЕС от 8 июня 2000 г. о некоторых правовых аспектах информационных услуг на внутреннем рынке, в частности, об электронной коммерции (Директива об электронной коммерции) (Официальный журнал Европейского союза N L 178, 17.07.2000, стр. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2000:178:TOC

Руководство и прецедентное право Оставить комментарий
[js-disqus]