Статья 4 📖 GDPR. Определения

Статья 4 GDPR. Определения

Для целей настоящего Регламента используются следующие термины:

(1) «Персональные данные» — это любая информация, относящаяся к «субъекту данных», то есть идентифицированному или поддающемуся идентификации физическому лицу; поддающееся идентификации физическое лицо — это лицо, которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор, либо на один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица;

Комментарий эксперта Руководство и прецедентное право Преамбулы

Комментарий эксперта

Когда номер телефона – персональные данные?

(1) В настоящем комментарии рассматривается Позиция WP29 4/2007 о концепции
персональных данных от 20 июня 2007 года (далее—Позиция WP29).

В европейской доктрине и законодательстве определение персональных данных умышленно дано широко, не имеет и, скорее всего, никогда не будет иметь четких и однозначных критериев. Для чего эксперты в области приватности в составе WP29, а затем и законодатели это сделали?

Раздел III Позиции WP29 выделяет в конструкции персональных данных 4 «несущих» блока: «любая информация», «относящаяся к», «идентифицированному или идентифицируемому», «физическому лицу». Для целей нашего анализа потребуются два центральных элемента: «относящаяся к» и «идентифицированному или идентифицируемому», поскольку они в наибольшей степени характеризуют сторону контролера персональных данных как участника правоотношений.

(2) Данные, «относящиеся к» субъекту, включают в себя не только информацию о самом субъекте, но и о принадлежащих ему или иным образом связанных с ним объектах, питомцах. Таким образом, данными, «относящимися к» субъекту, являются не только номер телефона, автомобиля, компьютера, банковской карты, фитнес трекера, чипа питомца, но и иные характеристики этих объектов и животных: цена, износ, серийные номера, поломки, диагнозы, результаты анализов и т.д.

Позиция WP29 также выделяет три элемента, каждый из которых, независимо от наличия других, может сделать любую информацию «относящейся к» субъекту — это содержание, цель и результат.

Информация может относиться к субъекту по своему содержанию, если она о конкретном физическом лице, например, результаты тестов на экзамене, номер телефона конкретного лица, профиль определенного пользователя в соцсетях.

Информация может относиться к субъекту также по цели, если она используется или, вероятнее всего, будет использована в целях оценки, влияния на статус или поведение субъекта, проявления определенного рода отношения к субъекту. Например, список посещенных сотрудниками компании интернет страниц в корпоративной сети, может быть использован для целей мониторинга эффективности использования рабочего времени каждым сотрудником, или для блокировки определенных страниц определенным сотрудникам.

Информация может относиться к субъекту персональных данных, даже в отсутствие признаков «содержания» и «цели», если есть признак результата: если обработка данных, вероятнее всего, повлияет на права и интересы субъекта, например, даже если слегка изменит отношение окружающих к нему, заставит выделять его среди остальных в сообществе. Например, информация о том, что дедушка школьника получил премию Дарвина, может вызвать насмешки и издевательства со стороны сверстников.

Эти три элемента относимости данных к субъекту применяются каждый в отдельности, но, если присутствует хотя бы один элемент, нет надобности выявлять остальные два — данные точно относятся к субъекту.

(3) Третий блок конструкции персональных данных: «идентифицированному или идентифицируемому» — имеет квалифицирующее значение для номера телефона и прочих номеров, характеристик объектов и живых существ, относящихся к субъектам.

Позиция WP29 определяет лицо как идентифицируемое, если оно еще не идентифицировано, но его возможно идентифицировать прямо, например, по имени (если оно позволяет выделить субъекта из группы) или косвенно — по номеру паспорта, автомобиля, телефона или комбинации существенных критериев, позволяющих выделить субъекта из группы (это может быть возраст, место проживания, внешний вид и т.д.).

Однако одна лишь гипотетическая вероятность идентификации субъекта не делает информацию персональными данными. Если возможность идентифицировать субъекта отсутствует или ничтожно мала, данные не считаются персональными. В этом месте некоторые контролеры с радостью воскликнут, что у них и в мыслях не было идентифицировать кого либо, что они всего лишь собирают номера телефонов, автомобилей и некоторых карт, принадлежащих субъектам. Но мы понимаем, что идентификация по этим номерам возможна при сопоставлении с другой базой данных, например, в рамках межведомственного обмена данными, получения данных от сотовых контролеров, с дорожных камер видеонаблюдения, либо в рамках интеграции систем.

Как же определить степень и вероятность того, что контролер или любое третье лицо, завладевшее информацией, решит воспользоваться возможностью идентифицировать субъектов?

Для этого необходимо определить какие разумные усилия контролер или любое третье лицо должны будут приложить для идентификации конкретных субъектов: затраты денежных средств на такие усилия; временные и человеческие ресурсы; наличие технологии, позволяющей выполнить идентификацию без особых усилий и затрат; подразумеваемая (а не декларируемая цель) и построение обработки; какие выгоды может извлечь контролер или любое другое третье лицо; продолжительность хранения данных и потенциальное развитие технологий для идентификации в этот период.

В каждом конкретном случае необходимо определять наличие возможности и прилагаемые ресурсы контролера для идентификации субъектов по номеру телефона. Если возможность есть, или цель и контекст обработки предполагает идентификацию субъекта, то номер телефона является персональными данными.

Номер телефона — является персональными данными, так как он в зависимости от ситуации либо служит идентификатором личности, либо представляет собой информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Все прочие номера и характеристики принадлежащих субъекту объектов и живых существ, в том или ином контексте обработки, также могут квалифицироваться в качестве персональных данных.

(4) Даже при отсутствии ФИО субъекта персональных данных у контролера и любого третьего лица, и даже при отсутствии у них возможности идентифицировать субъекта, они все же имеют возможность очень серьезно повлиять на поведение субъекта, нарушить его права и интересы.

Ведь номер телефона, существенно отличается от остальных номеров вещей принадлежностей еще и тем, что по нему можно непосредственно связаться с субъектом и вмешаться в его частную жизнь, причинить ему беспокойство. Возможны: мошенничество, пранк, звонки ночью или ранним утром в выходные, нежелательные смс, звонки, спам. Все это может не только причинить вред здоровью субъекта, нанести ущерб его материальному благосостоянию, но и заставить субъекта сменить номер телефона, и даже поменять контролера, по вине которого произошло нарушение его прав.

Контактные данные в целом (номер телефона, email, адрес и т.д.) позволяют злоумышленникам вступить в непосредственный контакт с субъектом против его воли, чтобы, предположим, угрожать его жизни и безопасности, манипулировать им, назойливо завладеть его вниманием, мешать работе и личной жизни (вторжение согласно Таксономии приватности). Дополнением к мерам защиты таких данных должна быть разумная осмотрительность самого субъекта при раскрытии своих контактных данных третьим лицам, поскольку их компрометация может заставить субъекта сменить номер или переехать, а также нарушить интересы третьих лиц, например семьи субъекта.

Как показано выше, даже без полной идентификации субъекта по контактным данным возможно нарушение его прав. Конфиденциальность этих данных обеспечивает безопасность жизни и здоровья субъекта, его близких, позволяет держать под контролем свои внешние коммуникации, снижает его доступность для внешнего мира, выстраивает личные границы субъекта, оберегает его личное пространство, что дает субъекту комфорт и уверенность.

…

Войти
для доступа к полному тексту

Авторы

Елена Себякина CIPP/E, Privacy by design

Data Protection Officer, GDPR консультант

Задать вопрос

Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP

Сооснователь и директор DPO LLC. Тренер и ведущий консультант

Задать вопрос

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Opinion Nº 4/2007 on the concept of personal data (2007).

Article 29 Working Party, Opinion 1/2008 on data protection issues related to search engines (2008).

Data outlining the use of the service can be divided into different categories:

the query logs (content of the search queries, the date and time, source (IP address and cookie), the preferences of the user, and data relating to the user’s computer);

data on the content offered (links and advertisements as a result of each query);

and data on the subsequent user navigation (clicks).

Search engines may also process operational data relating to user data, data on registered users and data from other services and sources such as e-mail, desktop search, and advertising on third party websites.

An individual’s search history is personal data if the individual to which it relates, is identifiable

Though IP addresses in most cases are not directly identifiable by search engines, identification can be achieved by a third party. Internet access providers hold IP address data. Law enforcement and national security authorities can gain access to these data and in some Member States private parties have gained access also through civil litigation. Thus, in most cases – including cases with dynamic IP address allocation – the necessary data will be available to identify the user(s) of the IP address.

When a cookie contains a unique user ID, this ID is clearly personal data.

ANNEX 1 contains example of data processed by search engines.

Article 29 Working Party, Opinion 05/2014 on Anonymisation Techniques (2014).

Data Protection Commission (Ireland), Guidance Note: Anonymisation and Pseudonymisation (2019).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020):

9. There are two principal sources of location data available for modelling the spread of the virus and the overall effectiveness of confinement measures:
— location data collected by electronic communication service providers(such as mobile telecommunication operators) in the course of the provision of their service; and
— location data collected by information society service providers’ applications whose functionality requires the use of such data (e.g., navigation, transportation services,etc.).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020):

18. The term “user” is typically used to refer to individuals who are registered with the service, i.e. those who have an “account” or “profile”. Many social media services can, however, also be accessed by individuals without having registered (i.e. without creating an account or profile). Such individuals are typically not able to make use of all of the same features or services offered to individuals who have registered with the social media provider. Both users and non-registered individuals may be considered “data subjects” within the meaning of Article 4(1) GDPR insofar as the individual is directly or indirectly identified or identifiable.

Case Law

CJEU, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs, C-70/10 (2011).

CJEU, Worten – Equipamentos para o Lar SA/Autoridade para as condições de trabalho, C-342-12 (2013).

CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).

CJEU, Digital Rights Ireland Ltd/Minister for Communications, Marine and Natural Resources, C-293/12 and C-594/12 (2014).

CJEU, Breyer/Germany, C-582/14 (2016).

CJEU, Nowak/Data Protection Commissioner, C-434/16 (2017).

CJEU, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce/Manni, C-398/15 (2019).

Преамбулы

(26) Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Персональные данные, подвергнутые псевдонимизации, которые могут быть соотнесены с физическим лицом при наличии дополнительной информации должны рассматриваться в качестве информации об идентифицируемом лице. В целях установления того, поддается ли идентификации физическое лицо, следует принять во внимание все способы (включая извлечение записей, относящихся к данному лицу), в отношении которых существует разумная вероятность, что они будут использованы контролёром или иным лицом в целях прямой или косвенной идентификации физического лица. При определении того, может ли быть данный способ использован с разумной вероятностью для идентификации физического лица, следует принять во внимание все объективные факторы, такие как затраты и время, необходимые для его идентификации, а также учесть технологии, доступные на момент обработки персональных данных, а равно технологический прогресс. Принципы защиты персональных данных не следует применять к анонимной информации, а именно информации, которая не относится к идентифицированному или к поддающемуся идентификации физическому лицу, а также они не должны применяться к персональным данным, анонимизированным таким образом, что субъектов данных вообще или более не возможно идентифицировать. Настоящий Регламент не следует применять к обработке такой анонимной информации, в том числе в статистических или научных целях.

(2) «Обработка» — это любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, организацию, структурирование, хранение, адаптацию или изменение, загрузку, просмотр, использование, раскрытие посредством передачи, распространение или иной вид предоставления доступа, сопоставление или комбинирование, сокращение, удаление или уничтожение;

Комментарий эксперта Руководство и прецедентное право

Комментарий эксперта

(EN) Though GDPR Art.4(2) does not mention «purpose», a «processing» should actually be understood as an operation or set of operations united by one purpose. The purpose determines the role of data controller, legal ground for processing, defines the exception allowing for the processing of special categories of data, it limits processing to one purpose (purpose limitation principle), serves as a criteria for data minimisation, and determines a risk level and scope of data subject rights.

Some operations may serve multiple purposes, for instance, storage of email addresses allows a company to provide login to its website (purpose 1) and to send marketing communications (purpose 2). In that case this operation (storage) is a part of two processing activities at the same time. Stopping one of them (for example as a result of a withdrawal of consent for marketing emails) does not prevent company from continuing the another one (allowing the user to login).

…

Войти
для доступа к полному тексту

Автор

Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP

Сооснователь и директор DPO LLC. Тренер и ведущий консультант

Задать вопрос

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

The behavioural advertising methods often entail the processing of personal data. This is due to various reasons:

i) behavioural advertising normally involves the collection of IP addresses and the processing of unique identifiers (through the cookie). The use of such devices with a unique identifier allows the tracking of users of a specific computer even when dynamic IP addresses are used. In other words, such devices enable data subjects to be ‘singled out’, even if their real names are not known.

ii) Furthermore, the information collected in the context of behavioural advertising relates to, (i.e. is about) a person’s characteristics or behaviour and it is used to influence that particular person. This view is further confirmed if one takes into account the possibility for profiles to be linked at any moment with directly identifiable information provided by the data subject, such as registration related information.

DPC (Ireland), Guidance for Organisations Accidentally in Receipt of Personal Data (2020):

An organisation, whether in the public, private or voluntary sector, must be aware of the possibility of finding itself accidentally in possession of personal data. The broad definition of ‘processing’ in Article 4(2) of the GDPR means that opening, transmitting, deleting or simply storing personal data that you have unintentionally acquired will bring the GDPR into play.

DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).

Case Law

CJEC, Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy and Satamedia Oy, C-73/07 (2008).

CJEC, Lindqvist, C-101/01 (2003).

CJEU, Schwarz/Stadt Bochum, C-291/12 (2013).

CJEU, La Quadrature du Net et al./Premier ministre et al., C-511/18, C-512/18, C-520/18 (2020).

CJEU, Privacy International/Secretary of State for Foreign and Commonwealth Affairs, C-623/17 (2020).

(3)«Ограничение обработки» — это маркировка хранимых персональных данных с целью ограничения их обработки в будущем;

(4) «Профилирование» — это любая форма автоматической обработки персональных данных, заключающаяся в использовании персональных данных для оценки определенных личных аспектов физического лица, в частности, для анализа или предугадывания аспектов его результативности в работе, его экономического положения, здоровья, личных предпочтений, интересов, надежности, поведения и перемещений;

Руководство и прецедентное право

(EN) Article 29 Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (2018):

Profiling is composed of three elements:

it has to be an automated form of processing;

it has to be carried out on personal data; and

the objective of the profiling must be to evaluate personal aspects about a natural person.

Article 4(4) refers to ‘any form of automated processing’ rather than ‘solely’ automated processing (referred to in Article 22). Profiling has to involve some form of automated processing – although human involvement does not necessarily take the activity out of the definition.

Profiling is a procedure which may involve a series of statistical deductions. It is often used to make predictions about people, using data from various sources to infer something about an individual, based on the qualities of others who appear statistically similar.

The GDPR says that profiling is automated processing of personal data for evaluating personal aspects, in particular to analyse or make predictions about individuals. The use of the word ‘evaluating’ suggests that profiling involves some form of assessment or judgement about a person.

A simple classification of individuals based on known characteristics such as their age, sex, and height does not necessarily lead to profiling. This will depend on the purpose of the classification. For instance, a business may wish to classify its customers according to their age or gender for statistical purposes and to acquire an aggregated overview of its clients without making any predictions or drawing any conclusion about an individual. In this case, the purpose is not assessing individual characteristics and is therefore not profiling.

The GDPR is inspired by but is not identical to the definition of profiling in the Council of Europe Recommendation CM/Rec (2010)132 (the Recommendation), as the Recommendation excludes processing that does not include inference. Nevertheless the Recommendation usefully explains that profiling may involve three distinct stages:

data collection;

automated analysis to identify correlations;

applying the correlation to an individual to identify characteristics of present or future behaviour.

Controllers carrying out profiling will need to ensure they meet the GDPR requirements in respect of all of the above stages.

Broadly speaking, profiling means gathering information about an individual (or group of individuals) and evaluating their characteristics or behaviour patterns in order to place them into a certain category or group, in particular to analyse and/or make predictions about, for example, their:

ability to perform a task;

interests; or

likely behaviour.

(5) «Псевдонимизация» — это обработка персональных данных таким образом, что их больше невозможно отнести к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно, и в отношении нее приняты технические и организационные меры, предотвращающие ее отнесение идентифицированному или индетифицируемому физическому лицу;

Комментарий эксперта Руководство и прецедентное право Преамбулы

Комментарий эксперта

Псевдонимизация в значении GDPR фактически является обезличиванием в значении, принятом в Российской Федерации. В соответствии со ст.3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. от 31.12.2017) «обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных» (Выделение мое — СВ).

Автор

Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP

Сооснователь и директор DPO LLC. Тренер и ведущий консультант

Задать вопрос

Руководство и прецедентное право

(EN) EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

Преамбулы

(28) Применение псевдонимизации к персональным данным может снизить риски для соответствующих субъектов данных и помочь контролёрам и процессорам данных выполнить свои обязанности по защите персональных данных. Формальное использование «псевдонимизации» в настоящем Регламенте не подразумевает отказ от каких-либо иных мер защиты персональных данных.

(29) Для того, чтобы стимулировать применение псевдонимизации при обработке персональных данных, меры псевдонимизации, допускающие общий анализ, должны быть предусмотрены у одного и того же контролёра, в тех случаях, когда этот контролёр принял технические и организационные меры, необходимые для того, чтобы обеспечить исполнение настоящего Регламента в отношении соответствующей обработки, а также чтобы дополнительная информация, позволяющая отнести персональные данные к определённым субъектом данных хранилась отдельно. Контролёр, обрабатывающий персональные данные, должен назначить уполномоченных лиц из собственного состава.

(6) «Система данных» — это упорядоченный набор персональных данных, доступных по определенным критериям, независимо от того, является ли этот набор централизованным, децентрализованным или распределенным функционально либо географически;

Комментарий эксперта Руководство и прецедентное право Связанные статьи

Комментарий эксперта

Варианты перевода на русский термина Filing System

Наиболее приемлемым переводом filing system на русский язык является система данных либо файловая система (см. таблицу внизу).

	Filing System (en.), zbiór danych (pl.)
	Система данных	Файловая система	Картотека (Украина)	Картотека или систематизированное собрание персональных данных (Россия)	Если обеспечивается поиск по определенным критериям (картотеки, списки, базы данных, журналы и другое) (Беларусь)
Понятность	+		+
Отсутствие коллизии	+	+		+	+
Близость к оригиналу	+-	+

Руководство и прецедентное право

(EN)

Case Law

CJEU, Tietosuojavaltuutettu/Jehovan todistajat — uskonnollinen yhdyskunta, C-25/17 (2018).

Связанные статьи

Статья 2 GDPR. Материальная сфера действия

1. Данный Регламент применяется к обработке персональных данных, осуществляемой полностью или частично с помощью автоматизированных средств, а также к неавтоматизированной обработке персональных данных, формирующих часть системы данных либо предназначающихся, чтобы стать частью системы данных.

(7) «Контролёр» — это любое физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; контролёр или критерии для его определения могут быть установлены законодательством Союза или государства-члена в случаях когда, цели и средства этой обработки определяются законодательством Союза или государства-члена;

Комментарий эксперта Руководство и прецедентное право

Комментарий эксперта

(EN) Examples from the British supervisory authority (ICO):

A specialist company provides software and data analysis to process the daily pupil attendance records of a state-maintained school for an annual fee. For the software provision the company is not a processor, but for the data analysis it is a processor for the school.
The readers of a monthly science magazine receive a hard copy delivered to their home. Their subscriptions and the mailings are handled by a separate company at the publisher’s request. The company is a processor for the magazine publisher.
A marketing company sends promotional vouchers to a hairdresser’s customers on the hairdresser’s behalf. The marketing company is a processor for the hairdresser.
An organisation uses a cloud service to store and analyse its data. The organisation remains the controller and the cloud service provider is its processor.

Руководство и прецедентное право

(EN)

Document

Article 29 Working Party, Opinion 1/2008 on data protection issues related to search engines (2008).

A search engine provider that processes user data including IP addresses and/or persistent cookies containing a unique identifier falls within the material scope of the definition of the controller, since he effectively determines the purposes and means of the processing.

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

When behavioural advertising entails the processing of personal data, ad network providers also play the role of data controller. Ad network providers have complete control over the purposes and means of the processing.

However, the publishers’ responsibility covers the first stage, i.e. the initial part of the data processing, namely the transfer of the IP address that takes place when individuals visit their websites. This is because the publishers facilitate such transfer and co-determine the purposes for which it is carried out, i.e. to serve visitors with tailored adverting. In sum, for these reasons, publishers will have some responsibility as data controllers for these actions.

Article 29 Working Party, Opinion 1/2010 on the concepts of “controller” and “processor” (2010).

ICO, Guidelines Data controllers and data processors (2014) — Guidelines by the British Supervisory Authority ICO.

CNIL, Guide for processors (2017) — Guidelines by the French Supervisory Authority CNIL.

European Data Protection Supervisor, Concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 (2019).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020).

Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020):

The ‘controller’ of personal data is the entity that determines the ‘purposes and means’ of processing personal data – i.e. ‘why’ and ‘how’ the personal data is processed.

Case Law

CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16 (2018).

CJEU, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, C-40/17 (2019).

(8) «Процессор» — это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени и по поручению контролёра;

Руководство и прецедентное право

(EN) Article 29 Working Party, Opinion 1/2010 on the concepts of «controller» and «processor» (2010).

CNIL, Guide for processors (2017) — Guidelines from the French Supervisory Authority CNIL.

European Data Protection Supervisor, Concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 (2019).

(9) «Получатель» — это физическое или юридическое лицо, государственный орган, учреждение или иной орган, которому раскрываются персональные данные, независимо от того, является ли он третьим лицом или нет. Однако органы государственной власти, которые могут получать персональные данные в рамках отдельного запроса в соответствии с законодательством Союза или государства-члена, не должны рассматриваться в качестве получателей; обработка данных указанными государственными органами должна соответствовать применимым нормам о защите данных в соответствии с целями обработки;

Преамбулы

(31) Государственные органы, которым, в соответствии с их правовыми обязанностями по осуществлению их официальной деятельности, раскрываются персональные данные (такие как налоговые и таможенные органы, органы финансовых расследований, самостоятельные административные органы или службы по делам финансового рынка, ответственные за регулирование и надзор на рынке ценных бумаг) не должны рассматриваться в качестве получателей данных, если они получают персональные данные, которые в соответствии с правом Союза или государства-члена, необходимы для проведения конкретного расследования в общих интересах. Запросы на раскрытие персональных данных, направляемые государственными органами, всегда должны быть в письменной форме и обоснованными, и при этом не должны носить регулярный характер и касаться всей системы данных, либо приводить к объединению систем данных. Обработка персональных данных такими государственными органами должна соответствовать применимым нормам по защите персональных данных в соответствии с целями обработки.

(10) «Третье лицо» — это физическое или юридическое лицо, государственный орган, учреждение или орган, отличный от субъекта данных, контролёра, процессора и лиц, которые уполномочены контролёром или процессором под их прямым руководством обрабатывать персональные данные;

(11) «Согласие» субъекта данных — это добровольное, конкретное, информированное и однозначное волеизъявление, в котором субъект данных с помощью заявления или четкого утвердительного действия дает согласие на обработку своих персональных данных;

Руководство и прецедентное право Преамбулы Связанные статьи

Руководство и прецедентное право

(EN)

Document

EDPB, Guidelines 5/2020 on Consent under Regulation 2016/679 (2020).

Case law

CJEU, Schwarz/Stadt Bochum, C-291/12 (2013).

CJEU, Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV/Planet49 GmbH, C‑673/17 (2019).

Преамбулы

(32) Согласие на обработку персональных данных субъекта данных должно выражаться четким утвердительным действием, устанавливающим добровольное, конкретное, обоснованное и однозначное волеизъявление, например, письменным (в том числе, в электронной форме) либо устным заявлением. Таким согласием можно считать также проставление галочки при посещении сайта в интернете, выбор технических настроек услуг информационного общества, либо иные действия, которые явно указывают на то, что в данном контексте субъект данных согласен на предполагаемую обработку ее/его персональных данных. При этом, молчание, ранее проставленная галочка при посещении сайта или бездействие не должны рассматриваться как согласие. Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить согласие для каждой из них. Если согласие субъекта данных даётся по запросу с помощью электронных средств, этот запрос должен быть ясным, чётким и не препятствующим использованию сервиса его запрашивающего.

(33) Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.

Связанные статьи

Руководство по согласию в соответствии с Регламентом 2016/679

13. Элемент «свободный» предполагает реальный выбор и контроль для субъектов данных. По общему правилу GDPR предписывает, что если субъект данных не имеет реального выбора, вынужден согласиться или потерпит негативные последствия, если не согласится, то согласие не будет являться действительным.[13] Если согласие рассматривается в качестве безоговорочной части условия, то предполагается, что оно не было дано добровольно. Соответственно, согласие не будет считаться свободным, если субъект данных не может отказаться или отозвать свое согласие без ущерба для себя.[14] Понятие дисбаланса власти между контролером и субъектом данных также принимается во внимание GDPR.

_{[13] См. Мнение 15/2011 о понятии согласия (РГ 187), стр.12}

_{[14] См. преамбулы 42,43 GDPR и Мнение Рабочей группы 29-й статьи от 15/2011 о понятии согласия, принятое 13.07.2011 (РГ 187), стр.12.}

14. При оценке того, дается ли согласие свободно, следует учитывать не только конкретную ситуацию, связанную с закреплением согласия в контрактах или с предоставлением услуги, как описано в статье 7(4). Статья 7(4) была сформулирована в неисчерпывающей форме, что подтверждается выражением «среди прочего». Это означает, что может существовать ряд других ситуаций, которые охватываются этим положением. В общих чертах, любой элемент ненадлежащего давления или влияния на субъекта данных (который может проявляться разными способами), который не позволяет субъекту данных осуществлять свою волю в свободной форме, делает согласие недействительным.

43. Преамбула 43 уточняет, что предполагается, что согласие не является свободным, если невозможно дать отдельного согласия на разные операции по обработке персональных данных (например, только для некоторых операций обработки, а не для всех), несмотря на то, что оно в конкретном случае было бы уместным. Преамбула 32 гласит: “Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели.В случае, если обработка персональных данных имеет несколько целей, необходимо получить согласие для каждой из них.”

Минимальные требования к содержанию для получения согласия быть «информированным»

64. Для того, чтобы согласие было информированным, необходимо сообщить субъекту данных о некоторых элементах, которые имеют решающее значение для принятия решения. Исходя из этого, EDPB считает, что для получения действительного согласия требуется, как минимум, следующая информация: i. личность контролера [30], ii. цели для каждой операции обработки, для которых было запрошено согласие [31], iii. какие данные (категории) будут собираться и использоваться [32], iv. наличие права на отзыв своего согласия [33], v. информация об использовании данных для принятия решений, основанных исключительно на автоматизированной обработке, включая профилирование, в соответствии со статьей 22(2) [34] и vi. о возможных рисках передачи данных из-за отсутствия решения об адекватности и соответствующих гарантий, как описано в статье 46. [35].

_{[30] См. также преамбулу 42 GDPR: “[…] Информированным согласие является когда субъект данных осведомлен, по крайней мере, о наименовании контролёра и целях обработки, для которых предназначаются персональные данные. […]”}

_{[31] См. снова преамбулу 42 GDPR}

_{[32] Cм. также Мнение от 15/2011 о понятии согласия (РГ 187), стр. 19-20}

_{[33] См. статью 7 (3) GDPR}

_{[34] См. также Руководство по автоматизированному принятию индивидуальных решений и профилированию для целей положения Регламента 2016/679 (РГ 251), пункт IV.B, стр. 20 и последующие.}

_{[35] В соответствии со статьей 49 (1)(а), когда требуется явное согласие, необходима конкретная информация об отсутствии гарантий, описанных в статье 46. Cм. также Мнение от 15/2011 о понятии согласия (РГ 187), стр. 19.}

Однозначность

75. Из текста GDPR ясно вытекает, что согласие может выражаться в форме заявления субъекта данных или какого-либо четкого утвердительного действия, что означает, что оно должно быть получено путем активного действия или заявления. Очевидно, что субъект должен быть согласен на конкретную обработку данных.

77. «Четкое утвердительное действие» означает, что для согласия на конкретную обработку субъект данных должен предпринять осознанное действие.[41] Преамбула 32 содержит дополнительные указания по этому вопросу. Согласие может быть получено путем письменного или (записанного) устного заявления, в том числе полученного с помощью электронных средств.

_{[41] См. Рабочий документ сотрудников Комиссии, Оценка воздействия, Приложение 2, с. 20, а также с. 105–106: “Как также указывалось в мнении, принятом РГ29 о согласии, представляется важным пояснить, что для действительного согласия требуется использование механизмов, которые не оставляют сомнений в намерении субъекта данных дать согласие, при этом ясно, что — в контексте онлайн-среды — использование параметров по умолчанию, которые субъект данных должен изменить, чтобы отклонить обработку (“согласие, основанное на молчании”), само по себе не является однозначным согласием. Это дало бы людям больше контроля над своими собственными данными, когда обработка основана на их согласии. Что касается воздействия на контролеров данных, это не окажет существенного влияния, так как оно только поясняет и лучше разъясняет последствия действующей Директивы в отношении условий для действительного и осознанного согласия субъекта данных. В частности, в той мере, в какой «явное» согласие прояснило бы (путем замены «однозначного») условия и качество согласия и что оно не предназначено для расширения случаев и ситуаций, когда (явное) согласие должно использоваться в качестве основания для обработки, воздействие этой меры на контролеров данных, как ожидается, не будет значительным.”}

(12) «Нарушение безопасности персональных данных» — это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению пересылаемых, хранимых или иным образом обрабатываемых персональных данных или к несанкционированному доступу к ним;

Руководство и прецедентное право

(EN) Article 29 Working Party, Guidelines on Personal Data Breach Notification Under Regulation 2016/679 (2018):

In its Opinion 03/2014 on breach notification, WP29 explained that breaches can be categorised according to the following three well-known information security principles:
— “Confidentiality breach” — where there is an unauthorised or accidental disclosure of, or access to, personal data.
— “Integrity breach” — where there is an unauthorised or accidental alteration of personal data.
— “Availability breach” — where there is an accidental or unauthorised loss of access to, or destruction of, personal data.

(13) «Генетические данные» — это персональные данные, относящиеся к наследственным или приобретенным генетическим характеристикам физического лица, которые раскрывают уникальную информацию о физиологии или здоровье человека, и которые являются результатом, в частности, анализа биологического образца данного физического лица;

Руководство и прецедентное право Преамбулы

Руководство и прецедентное право

(EN) Article 29 Working Party, Working Document on Genetic Data (2004).

Преамбулы

(34) Генетические данные должны пониматься как персональные данные, касающиеся наследственных или приобретенных генетических характеристик физического лица, которые получены в результате анализа биологического образца такого физического лица, в частности, анализ хромосом, дезоксирибонуклеиновой кислоты (ДНК) или рибонуклеиновой кислоты (РНК), или в результате анализа других элементов, которые позволяют получить эквивалентную информацию.

(14) «Биометрические данные» — это персональные данные, полученные в результате специальной технической обработки, которые касаются физических, физиологических или поведенческих черт физического лица, а также позволяют произвести или подтверждают однозначную идентификацию этого физического лица, например, изображение лица или дактилоскопические данные;

Руководство и прецедентное право

(EN)

To qualify as biometric data as defined in the GDPR, processing of raw data, such as the physical, physiological or behavioural characteristics of a natural person, must imply a measurement of this characteristics. Since biometric data is the result of such measurements, the GDPR states in its Article 4.14 that it is “resulting from specific technical processing relating to the physical, physiological or behavioural characteristics”.The video footage of an individual cannot however in itself be considered as biometric data under Article 9, if it has not been specifically technically processed in order to contribute to the identification of an individual.

In order for it to be considered as processing of special categories of personal data (Article 9) it requires that biometric data is processed “for the purpose of uniquely identifying a natural person”.
To sum up, in light of Article 4.14 and 9, three criteria must be considered:

— Nature of data: data relating to physical, physiological or behavioural characteristics of a natural person,

— Means and way of processing: data “resulting from a specific technical processing”,

— Purpose of processing: data must be used for the purpose to uniquely identifying a natural person.

EDPB, Guidelines 3/2019 on processing of personal data through video devices — 2019

Article 29 Working Party, Opinion 03/2012 on developments in biometric technologies (2012).

Article 29 Working Party, Opinion 02/2012 on facial recognition in online and mobile services (2012).

Article 29 Working Party, Working document on biometrics (2003).

(15) «Данные, касающиеся здоровья» — это персональные данные о физическом или психическом здоровье физического лица — в том числе о пользовании медицинскими услугами, — раскрывающие информацию о состоянии его здоровья;

Руководство и прецедентное право Преамбулы

Руководство и прецедентное право

(EN)

Documents

EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak, (2020).

Преамбулы

(35) Персональные данные, касающиеся здоровья, должны включать в себя все данные о состоянии здоровья субъекта данных, которые раскрывают информацию о прошлом, текущем или будущем физическом или психическом состоянии здоровья субъекта данных. Сюда входит информация о физическом лице, собранная в процессе его регистрации для получения им или в процессе предоставления им услуг в области здравоохранения в соответствии с Директивой 95/46/ЕС Европейского Парламента и Совета [9]; номер, символ или знак, присвоенные физическому лицу для его однозначной идентификации для целей здравоохранения; информация, полученная в результате тестирования или осмотра части тела или тканей организма, включая генетические данные и биологические образцы; а также любая информация, например, о болезни, инвалидности, риске заболевания, анамнезе, клиническом лечении либо физическом или биомедицинском состоянии субъекта данных независимо от источника, которым может быть, например, терапевт или иной медицинский работник, учреждение здравоохранения, медицинский прибор или диагностический тест в лабораторных условиях.

_{[9] Директива 2011/24/ЕС Европейского Парламента и Совета ЕС от 9 марта 2011 г. о правах пациентов в трансграничном медицинском обслуживании (Официальный журнал Европейского союза N L 88, 04.04.2011, стр. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC}

(16) под термином «Основная организационная единица» понимается:

Преамбулы

(36) Основная организационная единица контролёра в Евросоюзе должна быть местом его центральной администрации в Союзе, кроме тех случаев, когда решения о целях и средствах обработки персональных данных принимаются другой организационной единицей контролёра в Союзе – в таком случае эта другая организационная единица должна считаться основной организационной единицей. Для определения основной организационной единицы контролёра в Союзе необходимо использовать объективные критерии, при этом предполагается эффективное и реальное осуществление управленческой деятельности, в рамках которой принимаются основные решения относительно целей и средств обработки в процессе постоянной организационной работы. Указанный критерий не должен зависеть от того, осуществляется ли обработка персональных данных в указанном месте. Наличие и использование технических средств и технологий для обработки персональных данных или деятельности по обработке, не создают сами по себе основной организационной единицы и, следовательно, не являются определяющим критерием основной организационной единицы. Основная организационная единица процессора должна быть местом его центральной администрации в Союзе либо (если он не имеет центральной администрации в Союзе) местом, где осуществляется основная деятельность по обработке данных в Союзе. В случае, когда задействованы и контролёр, и процессор, компетентным главным надзорным органом должен оставаться надзорный орган государства-члена, в котором находится основная организационная единица контролёра, а надзорный орган процессора должен считаться надзорным органом, к которому относится дело, и этот надзорный орган должен участвовать в предусмотренном настоящим Регламентом процессе сотрудничества. В любом случае надзорные органы государства-члена или государств-членов, в которых процессор имеет одно или несколько организационных единиц, не должны рассматриваться в качестве надзорных органов, к которым относится дело, если проект решения касается только контролёра. Когда обработка осуществляется группой субъектов хозяйствования, основная организационная единица руководящего субъекта хозяйствования должна рассматриваться как основная организационная единица группы субъектов хозяйствования, за исключением случаев, когда цели и средства обработки определяются другим субъектом хозяйствования.

(a) если речь идет о контролёре, обладающем организационными единицами в более чем одном государстве-члене, — местоположение его центральной администрации в Союзе, а если решения о целях и средствах обработки персональных данных принимаются в другой организационной единице контролёра в Союзе и данная единица имеет право требовать исполнения таких решений, то основной организационной единицей считается единица, принимающая такие решения;

(b) если речь идет о процессоре, имеющем организационные единицы в более чем одном государстве-члене — местонахождение центральной администрации в Союзе или, если процессор не имеет центральной администрации в Союзе — местонахождение в Союзе организационной единицы процессора, в которой проводятся основная деятельность по обработке в рамках деятельности организационной единицы процессора в тех случаях, когда на процессора в соответствии с настоящим Регламентом возлагаются определенные обязательства;

Связанные статьи

Руководство по территориальной сфере действия GDPR (статья 3)

Обработка персональных данных осуществляется «в контексте деятельности» организационной единицы

EDPB считает, что для целей статьи 3(1) «обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора» должна пониматься исходя из соответствующего прецедентного права. С одной стороны, с целью достижения цели обеспечения эффективной и полной защиты, значение «в контексте деятельности организационной единицы» не может толковаться ограничительно [12]. С другой стороны, существование организационной единицы по смыслу GDPR не следует толковать слишком широко, чтобы сделать вывод о том, что существование какого-либо присутствия на территории ЕС, имеющего даже самые отдаленные связи с деятельностью организации, расположенной не на территории ЕС, по обработке данных будет достаточным, чтобы включить эту обработку в сферу действия закона ЕС о защите данных. Некоторая коммерческая деятельность, осуществляемая организацией, расположенной не на территории ЕС, в государстве-члене, действительно может быть настолько не связана с обработкой персональных данных этой организацией, что осуществление коммерческой деятельности на территории ЕС будет недостаточным для отнесения обработки данных организацией, не расположенной на территории ЕС, к сфере действия закона ЕС о защите данных [13].

_{[12] Weltimmo, параграф 25 и Google Испания, параграф 53.}

_{[13] G29 WP 179 обновление — Обновление мнения 8/2010 о применимом праве в свете CJEU решения Google Испания, 16 декабря 2015.}

Рассмотрение следующих двух факторов может помочь определить, выполняется ли обработка контролёром или процессором в контексте его организационной единицы в Союзе.

i) Отношения между контролёром данных или процессором, находящегося за пределами Союза, и его организационной единицей в Союзе

Деятельность контролёра или процессора данных, имеющих организационную единицу за пределами ЕС, по обработке данных может быть неразрывно связана с деятельностью местной организационной единицы в государстве-члене и, таким образом, может инициировать применимость законодательства ЕС, даже если эта местная организационная единица фактически не принимает какое-либо участие в самой обработке данных [14]. Если в каждом конкретном случае анализ фактов показывает, что существует неразрывная связь между обработкой персональных данных, осуществляемой контроллером или процессором, не находящихся в ЕС, и деятельностью организационной единицы, расположенной в ЕС, то закон ЕС будет применяться к такой обработке организации, расположенной за пределами ЕС, вне зависимости от организационной единицы, расположенной в ЕС, в этой обработке данных [15].

_{[14] CJEU, Google Испания, Дело C‑131/12}

_{[15] G29 WP 179 обновление — обновление мнения 8/2010 о применимом праве в свете решения CJEU Google Испания, 16 декабря 2015}

ii) Получение доходов в Союзе

Получение доходов в ЕС местной организационной единицей в той степени, в которой такая деятельность может рассматриваться как «неразрывно связанная» с обработкой персональных данных, происходящей за пределами ЕС, и обработкой персональных данных отдельных лиц в ЕС, может свидетельствовать об обработке контролёром или процессором, расположенным за пределами ЕС, осуществляемой «в контексте деятельности организационной единицы в ЕС» и может быть достаточным для применения законодательства ЕС к такой обработке [16].

_{[16] Это может потенциально иметь место, например, для любого иностранного оператора с офисом продаж или некоторым другим присутствием в ЕС, даже если этот офис не играет никакой роли в фактической обработке данных, в частности, когда обработка происходит в контексте деятельности по продажам в ЕС и деятельности организационной единицы, ориентированной на жителей государств-членов, в которых находится организационная единица(обновление WP179).}

(17) «Представитель» — физическое или юридическое лицо, расположенное или проживающее в Союзе и назначенное контролёром или процессором в письменной форме в соответствии со Статьей 27, представляющее контролёра или процессора касательно их обязательств, вытекающих из настоящего Регламента;

Связанные статьи

Статья 27 GDPR. Представители контролёров или процессоров, не имеющих организационной единицы в Союзе

1. В случаях, указанных в Статье 3 (2), контролёр или процессор должны письменно назначить представителя в Союзе.

[…]

3. Представитель должен базироваться в одном из государств-членов, где находятся субъекты данных, чьи персональные данные обрабатываются в связи с предложением товаров или услуг, или чье поведение наблюдается.

4. Представитель должен быть уполномочен контролёром или процессором действовать в качестве контактного лица вместо контролёра или процессора или в наряду с ними по всем вопросам, связанным с обработкой в целях обеспечения соблюдения настоящего Регламента, к которому могут обращаться, в частности, надзорные органы и субъекты данных.

5. Назначение представителя контролёром или процессором не исключает юридических действий, которые могут быть инициированы против контролёра или процессора.

(18) «Предприятие» — физическое или юридическое лицо, осуществляющее экономическую деятельность, независимо от организационно-правовой формы, в том числе товарищества или ассоциации, систематически осуществляющие экономическую деятельность;

(19) «Группа субъектов хозяйствования» — контролирующий субъект хозяйствования и подконтрольные ему субъекты хозяйствования;

Комментарий эксперта Преамбулы

Комментарий эксперта

(EN)

In order to impose fines that are effective, proportionate and dissuasive, the supervisory authority shall use for the definition of the notion of an undertaking as provided for by the CJEU for the purposes of the application of Article 101 and 102 TFEU, namely that the concept of an undertaking is understood to mean an economic unit, which may be formed by the parent company and all involved subsidiaries. In accordance with EU law and case-law*, an undertaking must be understood to be the economic unit, which engages in commercial/economic activities, regardless of the legal person involved (Recital 150)

* The ECJ case law definition is: «the concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed” (Case Höfner and Elsner, para 21, ECLI:EU:C:1991:161). An undertaking «must be understood as designating an economic unit even if in law that economic unit consists of several persons, natural or legal» (Case Confederación Española de Empresarios de Estaciones de Servicio [para 40, ECLI:EU:C:2006:784)

Art29WP, Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253 (2017)

Преамбулы

(37) Группа субъектов хозяйствования должна включать в себя контролирующего субъекта хозяйствования и подконтрольные ему субъекты хозяйствования, в результате чего контролирующим субъектом хозяйствования должен быть субъектом хозяйствования, который может оказывать доминирующее влияние на других субъектов хозяйствования в силу, например, права владения, финансового участия, либо правил, которые регулируют его деятельность, либо право применения правила защиты личных данных. Субъекта хозяйствования, который контролирует обработку персональных данных в связанных с ним субъектах хозяйствования, следует рассматривать вместе с этими субъектами хозяйствования как группу субъектов хозяйствования.

(20) «Обязательные корпоративные правила» — политики защиты персональных данных, которые соблюдает контролёр или процессор, имеющий организационную единицу на территории государства-члена, применительно к передачам или совокупности передач персональных данных контролёру или процессору, находящемуся в одной или нескольких третьих странах, внутри одной группы субъектов хозяйствования или группы предприятий, осуществляющих совместную экономическую деятельность;

(21) «Надзорный орган» — независимый орган государственной власти, учрежденный государством-членом в соответствии со статьей 51;

(22) «Надзорный орган, к которому относится дело» — это надзорный орган, в ведомстве которого находится обработка, поскольку:

Преамбулы

(a) контролёр или процессор имеет организационную единицу на территории государства-члена данного надзорного органа;

(b) обработка существенно отражается или ожидаемо отразится существенным образом на лицах, проживающих в государстве-члене данного надзорного органа; или

(c) в данный надзорный орган подана жалоба;

(23) под термином «трансграничная обработка» понимается одно из следующего:

(a) обработка персональных данных, которая проводится в контексте деятельности организационных единиц контролёра или процессора из Союза в нескольких государствах-членах, если контролёр или процессор имеют организационные единицы в более чем в одном государстве-члене; или

(b) обработка персональных данных, которая проводится в Союзе в контексте одной организационной единицы контролёра или процессора в Союзе, но данная обработка существенно отражается или ожидаемо отразится существенным образом на субъектах данных более чем в одном государстве-члене.

Связанные статьи

Руководство по территориальной сфере действия GDPR (статья 3)

Организационная единица в Союзе

Порог для «постоянных структур [9]» может быть довольно низким, когда деятельность контролера сосредоточена на предоставлении услуг в режиме онлайн. В результате в некоторых обстоятельствах присутствие в Союзе одного единственного сотрудника или агента не-ЕС-организации, может быть достаточным для создания постоянной структуры (приравненной к «организационной единице» для целей статьи 3(1)), если этот сотрудник или агент действует с достаточной степенью постоянства. И наоборот, когда сотрудник находится в ЕС, но обработка не выполняется в Союзе в контексте деятельности сотрудника из ЕС (т. е. Обработка относится к действиям контролера за пределами ЕС), простое присутствие сотрудника в ЕС не приведет к тому, что эта обработка попадет в сферу действия GDPR. Другими словами, простого присутствия работника в ЕС недостаточно для применения GDPR, поскольку для того, чтобы рассматриваемая обработка попадала в сферу действия GDPR, она также должна выполняться в контексте деятельности сотрудника из ЕС.

_{[9] Weltimmo, параграф 31.}

Тот факт, что организация, не являющаяся членом ЕС, ответственна за обработку данных, не имеет филиала или дочерней компании в государстве-члене, не исключает возможности наличия ее организационной единицы в значении закона ЕС о защите данных. Хотя понятие организационной единицы является широким, оно не без ограничений. Невозможно сделать вывод о том, что организация не из ЕС, имеет организационную единицу в Союзе только потому, что веб-сайт организации доступен в Союзе [10].

_{[10] CJEU, Verein für Konsumenteninformation v. Amazon EU Sarl, Дело C‑191/15, 28 Июль 2016, параграф 76 (далее — “Verein für Konsumenteninformation”).}

(24) «Обоснованное и имеющее значение для дела возражение» — возражение на проект решения о том, имеется ли нарушение настоящего Регламента или о том, соответствует ли ему предполагаемая контролёром или процессором обработка, которое явственно демонстрирует значительность исходящих от проекта решения рисков для фундаментальных прав и свобод субъектов данных и, где это применимо, — рисков для свободного движения персональных данных внутри Союза;

Руководство и прецедентное право

(EN)

Documents

EDPB, Guidelines on relevant and reasoned objection under Regulation 2016/679 (2020).

(25) «Услуга информационного общества» — услуга в определении пункта (b) Статьи 1(1) Директивы (ЕС) 2015/1535 Европейского Парламента и Совета [19];

Связанные статьи

Руководство по согласию в соответствии с Регламентом 2016/679

129. При оценке сферы применения этого определения, EDPB также ссылается на прецедентное право Европейского Суда.[62] Европейский суд постановил, что услуги информационного общества охватывают контракты и другие услуги, которые заключаются или передаются в режиме онлайн. Если услуга имеет два экономически независимых компонента, один из которых является онлайн-компонентом, таким как предложение и принятие предложения, в контексте заключения договора или информации, касающейся продуктов или услуг, включая маркетинговую деятельность, этот компонент определяется как услуга информационного общества, а другой компонент, представляющий собой реальную доставку или распределение товаров, не охватывается понятием услуги информационного общества. Предоставление услуги в режиме онлайн подпадает под действие термина «информационное общество» в статье 8 GDPR.

_{[62] См. решение Европейского суда от 2 декабря 2010 г., Дело C-108/09 (Ker-Optika), пункты 22 и 28. В отношении «комплексных услуг» EDPB также ссылается на дело C-434/15 (Asociacion Profesional Elite Taxi v Uber Systems Spain SL), пункт 40, в котором говорится, что услуга информационного общества, являющаяся неотъемлемой частью общей услуги, основной компонент которой не является услуга информационного общества (в данном случае транспортной услугой), не должна квалифицироваться как «услуга информационного общества»}

_{[19] Директива (ЕС) 2015/1535 Европейского Парламента и Совета ЕС от 9 сентября 2015 г. о процедуре предоставления информации в области технических регламентов, а также правил оказания услуг в информационном обществе (Официальный журнал Европейского союза N L 241, 17.09.2015, стр. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC}

(26) «Международная организация» — организация и ее подчиненные органы, действующие на основе международного публичного права, или любой другой орган, учрежденный соглашением между двумя или более странами или на основе такого соглашения.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

Преамбулы Оставить комментарий

Преамбулы

(27) Настоящий Регламент не применяется к персональным данным умерших лиц. Государства-члены вправе принять нормы, касающиеся обработки персональных данных умерших лиц.

(30) Физическим лицам могут быть приписаны интернет-идентификаторы (такие как IP-адреса, идентификаторы cookie), генерируемые их устройствами, приложениями, инструментами и протоколами, либо иные идентификаторы, например, теги радиочастотной идентификации RFID. Это может вызывать оставление следов, которые в сочетании с уникальными идентификаторами и иной, полученной серверами информацией, могут быть использованы для создания профилей и идентификации этих лиц.

Оставить комментарий

[js-disqus]