Навигация
GDPR > Статья 4. Определения
Скачать в PDF

Статья 4 GDPR. Определения

Для целей настоящего Регламента используются следующие термины:

(1) «Персональные данные» — это любая информация, относящаяся к «субъекту данных», то есть идентифицированному или поддающемуся идентификации физическому лицу; поддающееся идентификации физическое лицо — это лицо, которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор, либо на один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица;

Комментарий эксперта

Когда номер телефона – персональные данные?

(1) В настоящем комментарии рассматривается Позиция WP29 4/2007 о концепции
персональных данных от 20 июня 2007 года (далее—Позиция WP29).

В европейской доктрине и законодательстве определение персональных данных умышленно дано широко, не имеет и, скорее всего, никогда не будет иметь четких и однозначных критериев. Для чего эксперты в области приватности в составе WP29, а затем и законодатели это сделали?

Раздел III Позиции WP29 выделяет в конструкции персональных данных 4 «несущих» блока: «любая информация», «относящаяся к», «идентифицированному или идентифицируемому», «физическому лицу». Для целей нашего анализа потребуются два центральных элемента: «относящаяся к» и «идентифицированному или идентифицируемому», поскольку они в наибольшей степени характеризуют сторону контролера персональных данных как участника правоотношений.

(2) Данные, «относящиеся к» субъекту, включают в себя не только информацию о самом субъекте, но и о принадлежащих ему или иным образом связанных с ним объектах, питомцах. Таким образом, данными, «относящимися к» субъекту, являются не только номер телефона, автомобиля, компьютера, банковской карты, фитнес трекера, чипа питомца, но и иные характеристики этих объектов и животных: цена, износ, серийные номера, поломки, диагнозы, результаты анализов и т.д.

Позиция WP29 также выделяет три элемента, каждый из которых, независимо от наличия других, может сделать любую информацию «относящейся к» субъекту — это содержание, цель и результат.

Информация может относиться к субъекту по своему содержанию, если она о конкретном физическом лице, например, результаты тестов на экзамене, номер телефона конкретного лица, профиль определенного пользователя в соцсетях.

Информация может относиться к субъекту также по цели, если она используется или, вероятнее всего, будет использована в целях оценки, влияния на статус или поведение субъекта, проявления определенного рода отношения к субъекту. Например, список посещенных сотрудниками компании интернет страниц в корпоративной сети, может быть использован для целей мониторинга эффективности использования рабочего времени каждым сотрудником, или для блокировки определенных страниц определенным сотрудникам.

Информация может относиться к субъекту персональных данных, даже в отсутствие признаков «содержания» и «цели», если есть признак результата: если обработка данных, вероятнее всего, повлияет на права и интересы субъекта, например, даже если слегка изменит отношение окружающих к нему, заставит выделять его среди остальных в сообществе. Например, информация о том, что дедушка школьника получил премию Дарвина, может вызвать насмешки и издевательства со стороны сверстников.

Эти три элемента относимости данных к субъекту применяются каждый в отдельности, но, если присутствует хотя бы один элемент, нет надобности выявлять остальные два — данные точно относятся к субъекту.

(3) Третий блок конструкции персональных данных: «идентифицированному или идентифицируемому» — имеет квалифицирующее значение для номера телефона и прочих номеров, характеристик объектов и живых существ, относящихся к субъектам.

Позиция WP29 определяет лицо как идентифицируемое, если оно еще не идентифицировано, но его возможно идентифицировать прямо, например, по имени (если оно позволяет выделить субъекта из группы) или косвенно — по номеру паспорта, автомобиля, телефона или комбинации существенных критериев, позволяющих выделить субъекта из группы (это может быть возраст, место проживания, внешний вид и т.д.).

Однако одна лишь гипотетическая вероятность идентификации субъекта не делает информацию персональными данными. Если возможность идентифицировать субъекта отсутствует или ничтожно мала, данные не считаются персональными. В этом месте некоторые контролеры с радостью воскликнут, что у них и в мыслях не было идентифицировать кого либо, что они всего лишь собирают номера телефонов, автомобилей и некоторых карт, принадлежащих субъектам. Но мы понимаем, что идентификация по этим номерам возможна при сопоставлении с другой базой данных, например, в рамках межведомственного обмена данными, получения данных от сотовых контролеров, с дорожных камер видеонаблюдения, либо в рамках интеграции систем.

Как же определить степень и вероятность того, что контролер или любое третье лицо, завладевшее информацией, решит воспользоваться возможностью идентифицировать субъектов?

Для этого необходимо определить какие разумные усилия контролер или любое третье лицо должны будут приложить для идентификации конкретных субъектов: затраты денежных средств на такие усилия; временные и человеческие ресурсы; наличие технологии, позволяющей выполнить идентификацию без особых усилий и затрат; подразумеваемая (а не декларируемая цель) и построение обработки; какие выгоды может извлечь контролер или любое другое третье лицо; продолжительность хранения данных и потенциальное развитие технологий для идентификации в этот период.

В каждом конкретном случае необходимо определять наличие возможности и прилагаемые ресурсы контролера для идентификации субъектов по номеру телефона. Если возможность есть, или цель и контекст обработки предполагает идентификацию субъекта, то номер телефона является персональными данными.

Номер телефона — является персональными данными, так как он в зависимости от ситуации либо служит идентификатором личности, либо представляет собой информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Все прочие номера и характеристики принадлежащих субъекту объектов и живых существ, в том или ином контексте обработки, также могут квалифицироваться в качестве персональных данных.

(4) Даже при отсутствии ФИО субъекта персональных данных у контролера и любого третьего лица, и даже при отсутствии у них возможности идентифицировать субъекта, они все же имеют возможность очень серьезно повлиять на поведение субъекта, нарушить его права и интересы.

Ведь номер телефона, существенно отличается от остальных номеров вещей принадлежностей еще и тем, что по нему можно непосредственно связаться с субъектом и вмешаться в его частную жизнь, причинить ему беспокойство. Возможны: мошенничество, пранк, звонки ночью или ранним утром в выходные, нежелательные смс, звонки, спам. Все это может не только причинить вред здоровью субъекта, нанести ущерб его материальному благосостоянию, но и заставить субъекта сменить номер телефона, и даже поменять контролера, по вине которого произошло нарушение его прав.

Контактные данные в целом (номер телефона, email, адрес и т.д.) позволяют злоумышленникам вступить в непосредственный контакт с субъектом против его воли, чтобы, предположим, угрожать его жизни и безопасности, манипулировать им, назойливо завладеть его вниманием, мешать работе и личной жизни (вторжение согласно Таксономии приватности). Дополнением к мерам защиты таких данных должна быть разумная осмотрительность самого субъекта при раскрытии своих контактных данных третьим лицам, поскольку их компрометация может заставить субъекта сменить номер или переехать, а также нарушить интересы третьих лиц, например семьи субъекта.

Как показано выше, даже без полной идентификации субъекта по контактным данным возможно нарушение его прав. Конфиденциальность этих данных обеспечивает безопасность жизни и здоровья субъекта, его близких, позволяет держать под контролем свои внешние коммуникации, снижает его доступность для внешнего мира, выстраивает личные границы субъекта, оберегает его личное пространство, что дает субъекту комфорт и уверенность.


для доступа к полному тексту

Авторы
Елена Себякина CIPP/E, Privacy by design
Data Protection Officer, GDPR консультант
Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант
Руководство и прецедентное право Преамбулы

(26) Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Персональные данные, подвергнутые псевдонимизации, которые могут быть соотнесены с физическим лицом при наличии дополнительной информации должны рассматриваться в качестве информации об идентифицируемом лице. В целях установления того, поддается ли идентификации физическое лицо, следует принять во внимание все способы (включая извлечение записей, относящихся к данному лицу), в отношении которых существует разумная вероятность, что они будут использованы контролёром или иным лицом в целях прямой или косвенной идентификации физического лица. При определении того, может ли быть данный способ использован с разумной вероятностью для идентификации физического лица, следует принять во внимание все объективные факторы, такие как затраты и время, необходимые для его идентификации, а также учесть технологии, доступные на момент обработки персональных данных, а равно технологический прогресс. Принципы защиты персональных данных не следует применять к анонимной информации, а именно информации, которая не относится к идентифицированному или к поддающемуся идентификации физическому лицу, а также они не должны применяться к персональным данным, анонимизированным таким образом, что субъектов данных вообще или более не возможно идентифицировать. Настоящий Регламент не следует применять к обработке такой анонимной информации, в том числе в статистических или научных целях.

(2) «Обработка» — это любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, организацию, структурирование, хранение, адаптацию или изменение, загрузку, просмотр, использование, раскрытие посредством передачи, распространение или иной вид предоставления доступа, сопоставление или комбинирование, сокращение, удаление или уничтожение;

Комментарий эксперта

(EN) Though GDPR Art.4(2) does not mention «purpose», a «processing» should actually be understood as an operation or set of operations united by one purpose. The purpose determines the role of data controller, legal ground for processing, defines the exception allowing for the processing of special categories of data, it limits processing to one purpose (purpose limitation principle), serves as a criteria for data minimisation, and determines a risk level and scope of data subject rights.

Some operations may serve multiple purposes, for instance, storage of email addresses allows a company to provide login to its website (purpose 1) and to send marketing communications (purpose 2). In that case this operation (storage) is  a part of two processing activities at the same time. Stopping one of them (for example as a result of a withdrawal of consent for marketing emails) does not prevent company from continuing the another one (allowing the user to login).


для доступа к полному тексту

Автор
Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант
Руководство и прецедентное право

(3)«Ограничение обработки» — это маркировка хранимых персональных данных с целью ограничения их обработки в будущем;

(4) «Профилирование» — это любая форма автоматической обработки персональных данных, заключающаяся в использовании персональных данных для оценки определенных личных аспектов физического лица, в частности, для анализа или предугадывания аспектов его результативности в работе, его экономического положения, здоровья, личных предпочтений, интересов, надежности, поведения и перемещений;

Руководство и прецедентное право

(5) «Псевдонимизация» — это обработка персональных данных таким образом, что их больше невозможно отнести к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно, и в отношении нее приняты технические и организационные меры, предотвращающие ее отнесение идентифицированному или индетифицируемому физическому лицу;

Комментарий эксперта
Автор
Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант
Руководство и прецедентное право Преамбулы

(26) Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Персональные данные, подвергнутые псевдонимизации, которые могут быть соотнесены с физическим лицом при наличии дополнительной информации должны рассматриваться в качестве информации об идентифицируемом лице. В целях установления того, поддается ли идентификации физическое лицо, следует принять во внимание все способы (включая извлечение записей, относящихся к данному лицу), в отношении которых существует разумная вероятность, что они будут использованы контролёром или иным лицом в целях прямой или косвенной идентификации физического лица. При определении того, может ли быть данный способ использован с разумной вероятностью для идентификации физического лица, следует принять во внимание все объективные факторы, такие как затраты и время, необходимые для его идентификации, а также учесть технологии, доступные на момент обработки персональных данных, а равно технологический прогресс. Принципы защиты персональных данных не следует применять к анонимной информации, а именно информации, которая не относится к идентифицированному или к поддающемуся идентификации физическому лицу, а также они не должны применяться к персональным данным, анонимизированным таким образом, что субъектов данных вообще или более не возможно идентифицировать. Настоящий Регламент не следует применять к обработке такой анонимной информации, в том числе в статистических или научных целях.

(28) Применение псевдонимизации к персональным данным может снизить риски для соответствующих субъектов данных и помочь контролёрам и процессорам данных выполнить свои обязанности по защите персональных данных. Формальное использование «псевдонимизации» в настоящем Регламенте не подразумевает отказ от каких-либо иных мер защиты персональных данных.

(29) Для того, чтобы стимулировать применение псевдонимизации при обработке персональных данных, меры псевдонимизации, допускающие общий анализ, должны быть предусмотрены у одного и того же контролёра, в тех случаях, когда этот контролёр принял технические и организационные меры, необходимые для того, чтобы обеспечить исполнение настоящего Регламента в отношении соответствующей обработки, а также чтобы дополнительная информация, позволяющая отнести персональные данные к определённым субъектом данных хранилась отдельно. Контролёр, обрабатывающий персональные данные, должен назначить уполномоченных лиц из собственного состава.

(6) «Система данных» — это упорядоченный набор персональных данных, доступных по определенным критериям, независимо от того, является ли этот набор централизованным, децентрализованным или распределенным функционально либо географически;

Комментарий эксперта
Руководство и прецедентное право Связанные статьи

(7) «Контролёр» — это любое физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; контролёр или критерии для его определения могут быть установлены законодательством Союза или государства-члена в случаях когда, цели и средства этой обработки определяются законодательством Союза или государства-члена;

Комментарий эксперта
Руководство и прецедентное право

(8) «Процессор» — это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени и по поручению контролёра;

(9) «Получатель» — это физическое или юридическое лицо, государственный орган, учреждение или иной орган, которому раскрываются персональные данные, независимо от того, является ли он третьим лицом или нет. Однако органы государственной власти, которые могут получать персональные данные в рамках отдельного запроса в соответствии с законодательством Союза или государства-члена, не должны рассматриваться в качестве получателей; обработка данных указанными государственными органами должна соответствовать применимым нормам о защите данных в соответствии с целями обработки;

Преамбулы

(31) Государственные органы, которым, в соответствии с их правовыми обязанностями по осуществлению их официальной деятельности, раскрываются персональные данные (такие как налоговые и таможенные органы, органы финансовых расследований, самостоятельные административные органы или службы по делам финансового рынка, ответственные за регулирование и надзор на рынке ценных бумаг) не должны рассматриваться в качестве получателей данных, если они получают персональные данные, которые в соответствии с правом Союза или государства-члена, необходимы для проведения конкретного расследования в общих интересах. Запросы на раскрытие персональных данных, направляемые государственными органами, всегда должны быть в письменной форме и обоснованными, и при этом не должны носить регулярный характер и касаться всей системы данных, либо приводить к объединению систем данных. Обработка персональных данных такими государственными органами должна соответствовать применимым нормам по защите персональных данных в соответствии с целями обработки.

(10) «Третье лицо» — это физическое или юридическое лицо, государственный орган, учреждение или орган, отличный от субъекта данных, контролёра, процессора и лиц, которые уполномочены контролёром или процессором под их прямым руководством обрабатывать персональные данные;

(11) «Согласие» субъекта данных — это добровольное, конкретное, информированное и однозначное волеизъявление, в котором субъект данных с помощью заявления или четкого утвердительного действия дает согласие на обработку своих персональных данных;

Руководство и прецедентное право Преамбулы

(32) Согласие на обработку персональных данных субъекта данных должно выражаться четким утвердительным действием, устанавливающим добровольное, конкретное, обоснованное и однозначное волеизъявление, например, письменным (в том числе, в электронной форме) либо устным заявлением. Таким согласием можно считать также проставление галочки при посещении сайта в интернете, выбор технических настроек услуг информационного общества, либо иные действия, которые явно указывают на то, что в данном контексте субъект данных согласен на предполагаемую обработку ее/его персональных данных. При этом, молчание, ранее проставленная галочка при посещении сайта или бездействие не должны рассматриваться как согласие. Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить согласие для каждой из них. Если согласие субъекта данных даётся по запросу с помощью электронных средств, этот запрос должен быть ясным, чётким и не препятствующим использованию сервиса его запрашивающего.

(33) Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.

Связанные статьи

(12) «Нарушение безопасности персональных данных» — это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению пересылаемых, хранимых или иным образом обрабатываемых персональных данных или к несанкционированному доступу к ним;

Руководство и прецедентное право

(13) «Генетические данные» — это персональные данные, относящиеся к наследственным или приобретенным генетическим характеристикам физического лица, которые раскрывают уникальную информацию о физиологии или здоровье человека, и которые являются результатом, в частности, анализа биологического образца данного физического лица;

Руководство и прецедентное право Преамбулы

(34) Генетические данные должны пониматься как персональные данные, касающиеся наследственных или приобретенных генетических характеристик физического лица, которые получены в результате анализа биологического образца такого физического лица, в частности, анализ хромосом, дезоксирибонуклеиновой кислоты (ДНК) или рибонуклеиновой кислоты (РНК), или в результате анализа других элементов, которые позволяют получить эквивалентную информацию.

(14) «Биометрические данные» — это персональные данные, полученные в результате специальной технической обработки, которые касаются физических, физиологических или поведенческих черт физического лица, а также позволяют произвести или подтверждают однозначную идентификацию этого физического лица, например, изображение лица или дактилоскопические данные;

Руководство и прецедентное право

(15) «Данные, касающиеся здоровья» — это персональные данные о физическом или психическом здоровье физического лица — в том числе о пользовании медицинскими услугами, — раскрывающие информацию о состоянии его здоровья;

Руководство и прецедентное право Преамбулы

(35) Персональные данные, касающиеся здоровья, должны включать в себя все данные о состоянии здоровья субъекта данных, которые раскрывают информацию о прошлом, текущем или будущем физическом или психическом состоянии здоровья субъекта данных. Сюда входит информация о физическом лице, собранная в процессе его регистрации для получения им или в процессе предоставления им услуг в области здравоохранения в соответствии с Директивой 95/46/ЕС Европейского Парламента и Совета [9]; номер, символ или знак, присвоенные физическому лицу для его однозначной идентификации для целей здравоохранения; информация, полученная в результате тестирования или осмотра части тела или тканей организма, включая генетические данные и биологические образцы; а также любая информация, например, о болезни, инвалидности, риске заболевания, анамнезе, клиническом лечении либо физическом или биомедицинском состоянии субъекта данных независимо от источника, которым может быть, например, терапевт или иной медицинский работник, учреждение здравоохранения, медицинский прибор или диагностический тест в лабораторных условиях.

[9] Директива 2011/24/ЕС Европейского Парламента и Совета ЕС от 9 марта 2011 г. о правах пациентов в трансграничном медицинском обслуживании (Официальный журнал Европейского союза N L 88, 04.04.2011, стр. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

(16) под термином «Основная организационная единица» понимается:

Преамбулы

(36) Основная организационная единица контролёра в Евросоюзе должна быть местом его центральной администрации в Союзе, кроме тех случаев, когда решения о целях и средствах обработки персональных данных принимаются другой организационной единицей контролёра в Союзе – в таком случае эта другая организационная единица должна считаться основной организационной единицей. Для определения основной организационной единицы контролёра в Союзе необходимо использовать объективные критерии, при этом предполагается эффективное и реальное осуществление управленческой деятельности, в рамках которой принимаются основные решения относительно целей и средств обработки в процессе постоянной организационной работы. Указанный критерий не должен зависеть от того, осуществляется ли обработка персональных данных в указанном месте. Наличие и использование технических средств и технологий для обработки персональных данных или деятельности по обработке, не создают сами по себе основной организационной единицы и, следовательно, не являются определяющим критерием основной организационной единицы. Основная организационная единица процессора должна быть местом его центральной администрации в Союзе либо (если он не имеет центральной администрации в Союзе) местом, где осуществляется основная деятельность по обработке данных в Союзе. В случае, когда задействованы и контролёр, и процессор, компетентным главным надзорным органом должен оставаться надзорный орган государства-члена, в котором находится основная организационная единица контролёра, а надзорный орган процессора должен считаться надзорным органом, к которому относится дело, и этот надзорный орган должен участвовать в предусмотренном настоящим Регламентом процессе сотрудничества. В любом случае надзорные органы государства-члена или государств-членов, в которых процессор имеет одно или несколько организационных единиц, не должны рассматриваться в качестве надзорных органов, к которым относится дело, если проект решения касается только контролёра. Когда обработка осуществляется группой субъектов хозяйствования, основная организационная единица руководящего субъекта хозяйствования должна рассматриваться как основная организационная единица группы субъектов хозяйствования, за исключением случаев, когда цели и средства обработки определяются другим субъектом хозяйствования.

(a) если речь идет о контролёре, обладающем организационными единицами в более чем одном государстве-члене, — местоположение его центральной администрации в Союзе, а если решения о целях и средствах обработки персональных данных принимаются в другой организационной единице контролёра в Союзе и данная единица имеет право требовать исполнения таких решений, то основной организационной единицей считается единица, принимающая такие решения;

(b) если речь идет о процессоре, имеющем организационные единицы в более чем одном государстве-члене — местонахождение центральной администрации в Союзе или, если процессор не имеет центральной администрации в Союзе — местонахождение в Союзе организационной единицы процессора, в которой проводятся основная деятельность по обработке в рамках деятельности организационной единицы процессора в тех случаях, когда на процессора в соответствии с настоящим Регламентом возлагаются определенные обязательства;

Связанные статьи

(17) «Представитель» — физическое или юридическое лицо, расположенное или проживающее в Союзе и назначенное контролёром или процессором в письменной форме в соответствии со Статьей 27, представляющее контролёра или процессора касательно их обязательств, вытекающих из настоящего Регламента;

Связанные статьи

(18) «Предприятие» — физическое или юридическое лицо, осуществляющее экономическую деятельность, независимо от организационно-правовой формы, в том числе товарищества или ассоциации, систематически осуществляющие экономическую деятельность;

(19) «Группа субъектов хозяйствования» — контролирующий субъект хозяйствования и подконтрольные ему субъекты хозяйствования;

Комментарий эксперта
Преамбулы

(37) Группа субъектов хозяйствования должна включать в себя контролирующего субъекта хозяйствования и подконтрольные ему субъекты хозяйствования, в результате чего контролирующим субъектом хозяйствования должен быть субъектом хозяйствования, который может оказывать доминирующее влияние на других субъектов хозяйствования в силу, например, права владения, финансового участия, либо правил, которые регулируют его деятельность, либо право применения правила защиты личных данных. Субъекта хозяйствования, который контролирует обработку персональных данных в связанных с ним субъектах хозяйствования, следует рассматривать вместе с этими субъектами хозяйствования как группу субъектов хозяйствования.

(20) «Обязательные корпоративные правила» — политики защиты персональных данных, которые соблюдает контролёр или процессор, имеющий организационную единицу на территории государства-члена, применительно к передачам или совокупности передач персональных данных контролёру или процессору, находящемуся в одной или нескольких третьих странах, внутри одной группы субъектов хозяйствования или группы предприятий, осуществляющих совместную экономическую деятельность;

(21) «Надзорный орган» — независимый орган государственной власти, учрежденный государством-членом в соответствии со статьей 51;

(22) «Надзорный орган, к которому относится дело» — это надзорный орган, в ведомстве которого находится обработка, поскольку:

Преамбулы

(36) Основная организационная единица контролёра в Евросоюзе должна быть местом его центральной администрации в Союзе, кроме тех случаев, когда решения о целях и средствах обработки персональных данных принимаются другой организационной единицей контролёра в Союзе – в таком случае эта другая организационная единица должна считаться основной организационной единицей. Для определения основной организационной единицы контролёра в Союзе необходимо использовать объективные критерии, при этом предполагается эффективное и реальное осуществление управленческой деятельности, в рамках которой принимаются основные решения относительно целей и средств обработки в процессе постоянной организационной работы. Указанный критерий не должен зависеть от того, осуществляется ли обработка персональных данных в указанном месте. Наличие и использование технических средств и технологий для обработки персональных данных или деятельности по обработке, не создают сами по себе основной организационной единицы и, следовательно, не являются определяющим критерием основной организационной единицы. Основная организационная единица процессора должна быть местом его центральной администрации в Союзе либо (если он не имеет центральной администрации в Союзе) местом, где осуществляется основная деятельность по обработке данных в Союзе. В случае, когда задействованы и контролёр, и процессор, компетентным главным надзорным органом должен оставаться надзорный орган государства-члена, в котором находится основная организационная единица контролёра, а надзорный орган процессора должен считаться надзорным органом, к которому относится дело, и этот надзорный орган должен участвовать в предусмотренном настоящим Регламентом процессе сотрудничества. В любом случае надзорные органы государства-члена или государств-членов, в которых процессор имеет одно или несколько организационных единиц, не должны рассматриваться в качестве надзорных органов, к которым относится дело, если проект решения касается только контролёра. Когда обработка осуществляется группой субъектов хозяйствования, основная организационная единица руководящего субъекта хозяйствования должна рассматриваться как основная организационная единица группы субъектов хозяйствования, за исключением случаев, когда цели и средства обработки определяются другим субъектом хозяйствования.

(a) контролёр или процессор имеет организационную единицу на территории государства-члена данного надзорного органа;

(b) обработка существенно отражается или ожидаемо отразится существенным образом на лицах, проживающих в государстве-члене данного надзорного органа; или

(c) в данный надзорный орган подана жалоба;

(23) под термином «трансграничная обработка» понимается одно из следующего:

(a) обработка персональных данных, которая проводится в контексте деятельности организационных единиц контролёра или процессора из Союза в нескольких государствах-членах, если контролёр или процессор имеют организационные единицы в более чем в одном государстве-члене; или

(b) обработка персональных данных, которая проводится в Союзе в контексте одной организационной единицы контролёра или процессора в Союзе, но данная обработка существенно отражается или ожидаемо отразится существенным образом на субъектах данных более чем в одном государстве-члене.

Связанные статьи

(24) «Обоснованное и имеющее значение для дела возражение» — возражение на проект решения о том, имеется ли нарушение настоящего Регламента или о том, соответствует ли ему предполагаемая контролёром или процессором обработка, которое явственно демонстрирует значительность исходящих от проекта решения рисков для фундаментальных прав и свобод субъектов данных и, где это применимо, — рисков для свободного движения персональных данных внутри Союза;

(25) «Услуга информационного общества» — услуга в определении пункта (b) Статьи 1(1) Директивы (ЕС) 2015/1535 Европейского Парламента и Совета [19];

Связанные статьи

[19] Директива (ЕС) 2015/1535 Европейского Парламента и Совета ЕС от 9 сентября 2015 г. о процедуре предоставления информации в области технических регламентов, а также правил оказания услуг в информационном обществе (Официальный журнал Европейского союза N L 241, 17.09.2015, стр. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC

(26) «Международная организация» — организация и ее подчиненные органы, действующие на основе международного публичного права, или любой другой орган, учрежденный соглашением между двумя или более странами или на основе такого соглашения.

Преамбулы Оставить комментарий
Преамбулы

(26) Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Персональные данные, подвергнутые псевдонимизации, которые могут быть соотнесены с физическим лицом при наличии дополнительной информации должны рассматриваться в качестве информации об идентифицируемом лице. В целях установления того, поддается ли идентификации физическое лицо, следует принять во внимание все способы (включая извлечение записей, относящихся к данному лицу), в отношении которых существует разумная вероятность, что они будут использованы контролёром или иным лицом в целях прямой или косвенной идентификации физического лица. При определении того, может ли быть данный способ использован с разумной вероятностью для идентификации физического лица, следует принять во внимание все объективные факторы, такие как затраты и время, необходимые для его идентификации, а также учесть технологии, доступные на момент обработки персональных данных, а равно технологический прогресс. Принципы защиты персональных данных не следует применять к анонимной информации, а именно информации, которая не относится к идентифицированному или к поддающемуся идентификации физическому лицу, а также они не должны применяться к персональным данным, анонимизированным таким образом, что субъектов данных вообще или более не возможно идентифицировать. Настоящий Регламент не следует применять к обработке такой анонимной информации, в том числе в статистических или научных целях.

(27) Настоящий Регламент не применяется к персональным данным умерших лиц. Государства-члены вправе принять нормы, касающиеся обработки персональных данных умерших лиц.

(28) Применение псевдонимизации к персональным данным может снизить риски для соответствующих субъектов данных и помочь контролёрам и процессорам данных выполнить свои обязанности по защите персональных данных. Формальное использование «псевдонимизации» в настоящем Регламенте не подразумевает отказ от каких-либо иных мер защиты персональных данных.

(29) Для того, чтобы стимулировать применение псевдонимизации при обработке персональных данных, меры псевдонимизации, допускающие общий анализ, должны быть предусмотрены у одного и того же контролёра, в тех случаях, когда этот контролёр принял технические и организационные меры, необходимые для того, чтобы обеспечить исполнение настоящего Регламента в отношении соответствующей обработки, а также чтобы дополнительная информация, позволяющая отнести персональные данные к определённым субъектом данных хранилась отдельно. Контролёр, обрабатывающий персональные данные, должен назначить уполномоченных лиц из собственного состава.

(30) Физическим лицам могут быть приписаны интернет-идентификаторы (такие как IP-адреса, идентификаторы cookie), генерируемые их устройствами, приложениями, инструментами и протоколами, либо иные идентификаторы, например, теги радиочастотной идентификации RFID. Это может вызывать оставление следов, которые в сочетании с уникальными идентификаторами и иной, полученной серверами информацией, могут быть использованы для создания профилей и идентификации этих лиц.

(31) Государственные органы, которым, в соответствии с их правовыми обязанностями по осуществлению их официальной деятельности, раскрываются персональные данные (такие как налоговые и таможенные органы, органы финансовых расследований, самостоятельные административные органы или службы по делам финансового рынка, ответственные за регулирование и надзор на рынке ценных бумаг) не должны рассматриваться в качестве получателей данных, если они получают персональные данные, которые в соответствии с правом Союза или государства-члена, необходимы для проведения конкретного расследования в общих интересах. Запросы на раскрытие персональных данных, направляемые государственными органами, всегда должны быть в письменной форме и обоснованными, и при этом не должны носить регулярный характер и касаться всей системы данных, либо приводить к объединению систем данных. Обработка персональных данных такими государственными органами должна соответствовать применимым нормам по защите персональных данных в соответствии с целями обработки.

(32) Согласие на обработку персональных данных субъекта данных должно выражаться четким утвердительным действием, устанавливающим добровольное, конкретное, обоснованное и однозначное волеизъявление, например, письменным (в том числе, в электронной форме) либо устным заявлением. Таким согласием можно считать также проставление галочки при посещении сайта в интернете, выбор технических настроек услуг информационного общества, либо иные действия, которые явно указывают на то, что в данном контексте субъект данных согласен на предполагаемую обработку ее/его персональных данных. При этом, молчание, ранее проставленная галочка при посещении сайта или бездействие не должны рассматриваться как согласие. Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить согласие для каждой из них. Если согласие субъекта данных даётся по запросу с помощью электронных средств, этот запрос должен быть ясным, чётким и не препятствующим использованию сервиса его запрашивающего.

(33) Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.

(34) Генетические данные должны пониматься как персональные данные, касающиеся наследственных или приобретенных генетических характеристик физического лица, которые получены в результате анализа биологического образца такого физического лица, в частности, анализ хромосом, дезоксирибонуклеиновой кислоты (ДНК) или рибонуклеиновой кислоты (РНК), или в результате анализа других элементов, которые позволяют получить эквивалентную информацию.

(35) Персональные данные, касающиеся здоровья, должны включать в себя все данные о состоянии здоровья субъекта данных, которые раскрывают информацию о прошлом, текущем или будущем физическом или психическом состоянии здоровья субъекта данных. Сюда входит информация о физическом лице, собранная в процессе его регистрации для получения им или в процессе предоставления им услуг в области здравоохранения в соответствии с Директивой 95/46/ЕС Европейского Парламента и Совета [9]; номер, символ или знак, присвоенные физическому лицу для его однозначной идентификации для целей здравоохранения; информация, полученная в результате тестирования или осмотра части тела или тканей организма, включая генетические данные и биологические образцы; а также любая информация, например, о болезни, инвалидности, риске заболевания, анамнезе, клиническом лечении либо физическом или биомедицинском состоянии субъекта данных независимо от источника, которым может быть, например, терапевт или иной медицинский работник, учреждение здравоохранения, медицинский прибор или диагностический тест в лабораторных условиях.

[9] Директива 2011/24/ЕС Европейского Парламента и Совета ЕС от 9 марта 2011 г. о правах пациентов в трансграничном медицинском обслуживании (Официальный журнал Европейского союза N L 88, 04.04.2011, стр. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

(36) Основная организационная единица контролёра в Евросоюзе должна быть местом его центральной администрации в Союзе, кроме тех случаев, когда решения о целях и средствах обработки персональных данных принимаются другой организационной единицей контролёра в Союзе – в таком случае эта другая организационная единица должна считаться основной организационной единицей. Для определения основной организационной единицы контролёра в Союзе необходимо использовать объективные критерии, при этом предполагается эффективное и реальное осуществление управленческой деятельности, в рамках которой принимаются основные решения относительно целей и средств обработки в процессе постоянной организационной работы. Указанный критерий не должен зависеть от того, осуществляется ли обработка персональных данных в указанном месте. Наличие и использование технических средств и технологий для обработки персональных данных или деятельности по обработке, не создают сами по себе основной организационной единицы и, следовательно, не являются определяющим критерием основной организационной единицы. Основная организационная единица процессора должна быть местом его центральной администрации в Союзе либо (если он не имеет центральной администрации в Союзе) местом, где осуществляется основная деятельность по обработке данных в Союзе. В случае, когда задействованы и контролёр, и процессор, компетентным главным надзорным органом должен оставаться надзорный орган государства-члена, в котором находится основная организационная единица контролёра, а надзорный орган процессора должен считаться надзорным органом, к которому относится дело, и этот надзорный орган должен участвовать в предусмотренном настоящим Регламентом процессе сотрудничества. В любом случае надзорные органы государства-члена или государств-членов, в которых процессор имеет одно или несколько организационных единиц, не должны рассматриваться в качестве надзорных органов, к которым относится дело, если проект решения касается только контролёра. Когда обработка осуществляется группой субъектов хозяйствования, основная организационная единица руководящего субъекта хозяйствования должна рассматриваться как основная организационная единица группы субъектов хозяйствования, за исключением случаев, когда цели и средства обработки определяются другим субъектом хозяйствования.

(37) Группа субъектов хозяйствования должна включать в себя контролирующего субъекта хозяйствования и подконтрольные ему субъекты хозяйствования, в результате чего контролирующим субъектом хозяйствования должен быть субъектом хозяйствования, который может оказывать доминирующее влияние на других субъектов хозяйствования в силу, например, права владения, финансового участия, либо правил, которые регулируют его деятельность, либо право применения правила защиты личных данных. Субъекта хозяйствования, который контролирует обработку персональных данных в связанных с ним субъектах хозяйствования, следует рассматривать вместе с этими субъектами хозяйствования как группу субъектов хозяйствования.

Оставить комментарий
[js-disqus]