Навигация
GDPR > Статья 6. Законность обработки
Скачать в PDF

Статья 6 GDPR. Законность обработки

1. Обработка является законной только в тех случаях, когда — и в той степени, в которой — выполнено по меньшей мере одно из следующих условий:

(a) субъект персональных данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

Руководство и прецедентное право Связанные статьи

(b) обработка необходима для исполнения договора, в котором субъект данных является стороной, или для реализации по поручению субъекта данных шагов, предшествующих заключению договора;

Руководство и прецедентное право Преамбулы

(44) Обработка в контексте контракта, либо намерения заключить контракт должна быть законной, когда это необходимо.

Связанные статьи

(c) обработка необходима для выполнения правового обязательства, возложенного на контролёра;

Преамбулы

(45) В случае если обработка осуществляется согласно правовым обязательствам, которым подчиняется контролёр или если обработка необходима для выполнения задачи осуществляемой в общественных интересах либо в рамках должностных полномочий, обработка должна основываться на праве Союза или государства-члена. Настоящий Регламент не требует специального законодательства в отношении каждого отдельного вида обработки. Право как основание для нескольких операций по обработке, основанных на правовых обязательствах, которым подчиняется контролёр, или когда обработка необходима для выполнения задачи, осуществляемой в общественных интересах либо в рамках должностных полномочий, будет достаточным. Также необходимо, чтобы право Союза или право государства-члена определяло цель обработки. Более того, такое право может уточнять общие условия настоящего Регламента, определяя правомерность обработки персональных данных, устанавливая специальные требования к контролёрам, типы персональных данных, подлежащих обработке, соответствующих субъектов данных, организации, которым персональные данные могут раскрываться, целевые ограничения, срок хранения и другие меры по обеспечению правомерности и справедливости обработки. Необходимо также, чтобы право Союза или право государства-члена определяло, должен ли контролёр, выполняющий задачи в общественных интересах или в рамках должностных полномочий, быть органом власти, или иным физическим или юридическим лицом, которое руководствуется публичным правом, или, если это в интересах общества, действует для этих целей, включая основы жизнедеятельности, например, здравоохранение, социальную защиту и управление медицинскими услугами, либо подчиняется частному праву, например, в качестве объединения лиц свободных профессий.

(d) обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица;

Преамбулы

(46) Обработка персональных данных также должна считаться правомерной, когда необходимо защищать интерес, который жизненно важен для субъекта данных или иного физического лица. Обработка персональных данных, основанная на жизненно важном интересе другого физического лица, в принципе должна иметь место, только если она явно не может основываться на другом правовом основании. Некоторые виды обработки могут осуществляться на основании как важных публичных интересов, так и жизненно важных интересов субъекта данных, например, когда обработка необходима для гуманитарных целей, в том числе для мониторинга эпидемий и их распространения или в ситуациях чрезвычайных гуманитарных ситуаций, в частности, в ситуациях природных и техногенных катастроф.

(e) обработка необходима для выполнения задачи в публичном интересе или в рамках осуществления государственной власти, доверенной контролёру;

Руководство и прецедентное право Преамбулы

(115) Некоторые третьи страны принимают нормативные и иные правовые акты, которые направлены на непосредственное регулирование обработки персональных данных физическими и юридическими лицами, находящихся под юрисдикцией государств-членов. Это может включать в себя решения судов или трибуналов или решения административных органов в третьих странах, требующие от контролёра или процессора передачи или раскрытия персональных данных, и которые не основаны на международном договоре, таком как договор о взаимной правовой помощи, действующий между запрашивающей третьей страной и Союзом или государством-членом. Экстерриториальное применение таких нормативных и иных правовых актов, может нарушать международное право и может препятствовать защите физических лиц, гарантированной в Союзе настоящим Регламентом. Передача персональных данных должна быть разрешена только при условии соблюдения положений настоящего Регламента, касающихся передачи персональных данных в третьи страны. Это может иметь место, в частности, в тех случаях, когда раскрытие информации необходимо в публичных интересах, признанных в праве Союза или праве государства-члена, которое применяется к контролёру.

(f) обработка необходима для целей, вытекающих из легитимных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.

Руководство и прецедентное право Преамбулы

(47) Легитимные интересы контролёра (включая того контролёра, кому передаются персональные данные) или третьей стороны могут создать правовое основание для обработки, при условии, что они не превалируют над интересами или фундаментальными правами и свободами субъекта данных, с учётом разумных ожиданий субъектов данных, основанных на взаимоотношении с контролёром. Такой легитимный интерес может иметь место, если между субъектом данных и контролёром существуют соответствующие отношения, например, когда субъект данных является клиентом или состоит на службе у контролёра. В любом случае наличие легитимного интереса нуждается в тщательной оценке, в том числе относительно того, может ли субъект данных при сборе персональных данных ожидать, что обработка будет осуществляться для указанной цели. Интересы и основные права субъекта данных могут, в частности, превалировать над интересом контролёра данных, если персональные данные обрабатываются в условиях, когда субъекты данных обоснованно не ожидают проведения последующей обработки. Так как законодатель обязан на уровне правового акта предусмотреть правовые основания для обработки персональных данных органами государственной власти, такое правовое основание не должно применяться в отношении обработки органами государственной власти при выполнении ими своих задач. Обработка персональных данных, необходимая в целях предотвращения мошенничества, также является законным интересом соответствующего контролёра данных. Обработка персональных данных в целях прямого маркетинга может рассматриваться как обработка, служащая легитимному интересу.

(48) Контролёры, являющиеся частью группы компаний или институтов, связанных с центральным органом, могут иметь легитимный интерес в передаче персональных данных в рамках группы компаний для внутренних административных целей, включая обработку персональных данных клиентов и работников. Это не влияет на общие принципы передачи персональных данных в рамках группы компаний компании, расположенной в третьей стране.

(49) Обработка персональных данных органами государственной власти, центрами реагирования на компьютерные чрезвычайные происшествия (CERTs), центрами реагирования на инциденты, связанные с компьютерной безопасностью (CSIRTs), поставщиками сетей электронных коммуникаций и услуг, а также поставщиками технологий и услуг по обеспечению безопасности является легитимным интересом соответствующего контролёра данных в той мере, в какой она необходима и соразмерна целям обеспечения сетевой и информационной безопасности, то есть способности сети или информационной системы противостоять, на заданном уровне достоверности, случайным событиям, незаконным или преднамеренным действиям, которые компрометируют доступность, подлинность, целостность и конфиденциальность сохранённых или переданных персональных данных, а также безопасность соответствующих услуг, переданных через указанные сети или системы. Такой легитимный интерес может включать в себя, например, предотвращение несанкционированного доступа к сетям электронных коммуникаций и распространение вредоносного кода, а также пресечение сетевых атак и угроз для компьютерных и электронных систем связи.

Пункт (f) первого подпараграфа не применяется к обработке, которую осуществляют государственные органы при выполнении ими своих задач.

Преамбулы

(40) Для того, чтобы обработка была законной, персональные данные должны обрабатываться с согласия субъекта данных или на другом правомерном основании, предусмотренном законом, как то в настоящем Регламенте, либо в законодательстве Союза или государства-члена, указанном в настоящем Регламенте, включая необходимость выполнять правовые обязательства, под действие которых подпадает контролёр, или необходимость исполнять договор, стороной которого является субъект данных, или в целях выполнения запроса субъекта данных до заключения договора.

(50) Обработка персональных данных в целях, отличных от тех, для которых персональные данные первоначально собирались, должна быть разрешена только, если она соответствует целям, для которых персональные данные были изначально собраны. В этом случае не требуется отдельное правовое основание, помимо того, что послужило основой первоначального сбора персональных данных. Если обработка необходима для выполнения задачи в общественных интересах или в рамках должностных полномочий, возложенных на контролёра, право Союза или право государства-члена может предусмотреть и установить задачи и цели, в которых последующая обработка должна считаться надлежащей и правомерной. Дальнейшая обработка для архивных целей в общественных интересах, в целях научного или исторического исследования или в статистических целях должна считаться надлежащей правомерной обработкой. Правовое основание, предусмотренное правом Союза или правом государства-члена для обработки персональных данных, может также правовым основанием для последующей обработки. Для того чтобы убедиться в том, соответствует ли цель дальнейшей обработки цели, для которой персональные данные были первоначально получены, контролёр, после выполнения всех требований законности первоначальной обработки, должен принять во внимание, в числе прочего, следующее: любую связь между указанными целями и целями запланированной дальнейшей обработки; контекст, в котором были получены персональные данные, в частности, разумные ожидания субъектов данных, основанные на отношениях с контролёром, касающиеся их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки для субъектов данных, и наличие соответствующих гарантий первоначальной и предполагаемой обработки.

В случаях, когда субъект данных дал согласие или когда обработка основывается на законодательстве Союза или государства-члена, представляющем собой необходимую и соразмерную меру в демократическом обществе, которая обеспечивает, в частности, достижение важных целей, представляющих общественный интерес, контролёр должен иметь возможность и далее обрабатывать персональные данные независимо от их совместимости с исходными целями. В любом случае должны применяться правила, изложенные в настоящем Регламенте, в частности, применение принципа информирования субъекта данных об этих других целях и его правах, включая право на возражение. Сигнализирование контролёром о возможных уголовно-наказуемых действиях или угрозах общественной безопасности и отправка компетентному органу в индивидуальном или нескольких случаях персональных данных, относящихся к этим уголовно-наказуемым действиям или угрозам общественной безопасности, следует считать реализацией контролёром своего легитимного интереса. Однако такое сообщение в легитимных интересах со стороны контролёра или дальнейшая обработка персональных данных должны быть запрещены, если эта обработка не соответствует правовому, профессиональному или иному обязательству секретности.

2. Государства-члены могут сохранять или вводить более подробные положения, чтобы применить нормы данного Регламента в отношении обработки, которая производится для соблюдения пунктов (с) и (е) параграфа 1; Для этого, а также для других особых случаев обработки, предусмотренных в главе IX, государства-члены могут более точно определить конкретные требования к обработке и другие меры обеспечения легитимной и справедливой обработки.

3. Основание для обработки, указанной в пункте (с) и (е) параграфа 1 должны быть установлены:

a) законодательством Союза; или

b) законодательством государства-члена, которому подчиняется контролёр;

Цель обработки должна быть указана в правовом основании или, в случае обработки, упомянутой в пункте (е) параграфа 1 – эта обработка должно быть необходима для осуществления задачи, реализуемой в публичном интересе или при осуществлении государственной власти, или во исполнение служебных полномочий, возложенных на контролёра. Это правовое основание может содержать положения, адаптирующие применение положений настоящего Регламента, в том числе: общих условия правомерности обработки контролёром; типы данных, подлежащих обработке; заинтересованные субъекты данных; лица которым и цели для которых эти персональные данные можно разглашать; ограничения цели; сроки хранения; а также операции и процедуры обработки, включая меры по обеспечению законности и справедливости обработки, например, меры для особых случаев обработки, упомянутых в главе IX. Законодательство Союза или государства-члена должно служить цели публичного интереса и быть соразмерным преследуемой легитимной цели.

Преамбулы

(41) Ссылки Регламента на правовые основания и законодательные меры, не означают обязательной необходимости принятия законодательного акта парламентом, при условии соблюдения требований, вытекающих из конституционного устройства заинтересованного государства-члена. Однако, такое правовое основание или законодательная мера должны быть четкими и точными, а их применение должно быть предсказуемым для лиц, к которым оно применяется, как того требует прецедентное право Европейского Суда Справедливости (далее - Суд справедливости) и Европейского суда по правам человека.

4. Если обработка для иной цели, нежели той для которой были собраны персональные данные, не базируется на согласии субъекта данных или законодательстве Союза или законодательстве государства-члена, являющихся в демократическом обществе необходимым и соразмерным средством гарантирования целей, упомянутых в статье 23 (1), контролёр, чтобы определить, согласуется ли обработка с другой целью, в той, для которой личные данные были первоначально собраны, должен учитывать в частности:

a) Любые отношения между целями, для которых были собраны личные данные, и целями дальнейшей предполагаемой обработки;

b) контекст, в котором были собраны персональные данные, в частности, отношения между субъектами данных и контролёром;

c) природу персональных данных, в частности, будут ли обрабатываться специальные категории персональных данных согласно статье 9 или обрабатываться персональные данные, касающиеся судимостей и правонарушений, согласно статье 10;

d) возможные последствия для субъектов данных от дальнейшей предполагаемой обработки;

e) существование надлежащих механизмов защиты, которые могут включать шифрование или псевдонимизацию.

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 6(4)(e) GDPR:

7.4.5. Деидентификация ПИИ и удаление в конце обработки

Средство управления

Организация должна либо удалить ПИИ, либо представить её в форме, которая не позволяет идентифицировать или повторно идентифицировать субъектов ПИИ, как только исходная ПИИ больше не нужна для определенных целей.


для доступа к полному тексту

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Связанные статьи Оставить комментарий
Комментарий эксперта
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Here is the relevant paragraph to article 6 GDPR:

7.2.2 Определение правового основания

Средство управления
Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.

Руководство по внедрению
В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления.
Правовое основание для обработки ПИИ может включать в себя:

 


для доступа к полному тексту

Преамбулы

(40) Для того, чтобы обработка была законной, персональные данные должны обрабатываться с согласия субъекта данных или на другом правомерном основании, предусмотренном законом, как то в настоящем Регламенте, либо в законодательстве Союза или государства-члена, указанном в настоящем Регламенте, включая необходимость выполнять правовые обязательства, под действие которых подпадает контролёр, или необходимость исполнять договор, стороной которого является субъект данных, или в целях выполнения запроса субъекта данных до заключения договора.

(41) Ссылки Регламента на правовые основания и законодательные меры, не означают обязательной необходимости принятия законодательного акта парламентом, при условии соблюдения требований, вытекающих из конституционного устройства заинтересованного государства-члена. Однако, такое правовое основание или законодательная мера должны быть четкими и точными, а их применение должно быть предсказуемым для лиц, к которым оно применяется, как того требует прецедентное право Европейского Суда Справедливости (далее - Суд справедливости) и Европейского суда по правам человека.

(42) Если обработка осуществляется на основании согласия субъекта данных, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операцию по обработке. В частности, в случае письменного заявления, представленного по другому вопросу, должны быть гарантии, что субъект данных осознает даваемое согласие и его объем. В соответствии с директивой Совета 93/13 / EEC [10] заявление о согласии, которое подготовил контролёр, должно предоставляться в понятной и легко доступной форме, использовать четкий и простой язык, не должно содержать несправедливые условия. Информированным согласие является когда субъект данных осведомлен, по крайней мере, о наименовании (имени) контролёра и целях обработки, для которых предназначаются персональные данные. Согласие не должно рассматриваться как данное свободно, если субъект данных не имеет подлинного или свободного выбора, либо не может отказаться или отозвать свое согласие без негативных последствий.

[10] Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (Официальный журнал Европейского союза N L 95, 21.04.1993, стр. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(43) Для обеспечения добровольности согласия, оно не должно предоставлять допустимое правовое основание для обработки персональных данных в отдельных случаях, когда имеет место явное неравенство между субъектом данных и контролёром, особенно когда контролёр является публичным органом власти и поэтому низка вероятность того, что во всех условиях данного отдельного случая согласие дано свободно. Предполагается, что согласие не является свободным, если невозможно дать отдельного согласия на разные операции по обработке персональных данных, несмотря на то, что оно в данном случае было бы уместным, или если исполнение договора, в том числе предоставление услуги, ставится в зависимость от дачи согласия, несмотря на то, что для его исполнения согласие не является необходимым.

(44) Обработка в контексте контракта, либо намерения заключить контракт должна быть законной, когда это необходимо.

(45) В случае если обработка осуществляется согласно правовым обязательствам, которым подчиняется контролёр или если обработка необходима для выполнения задачи осуществляемой в общественных интересах либо в рамках должностных полномочий, обработка должна основываться на праве Союза или государства-члена. Настоящий Регламент не требует специального законодательства в отношении каждого отдельного вида обработки. Право как основание для нескольких операций по обработке, основанных на правовых обязательствах, которым подчиняется контролёр, или когда обработка необходима для выполнения задачи, осуществляемой в общественных интересах либо в рамках должностных полномочий, будет достаточным. Также необходимо, чтобы право Союза или право государства-члена определяло цель обработки. Более того, такое право может уточнять общие условия настоящего Регламента, определяя правомерность обработки персональных данных, устанавливая специальные требования к контролёрам, типы персональных данных, подлежащих обработке, соответствующих субъектов данных, организации, которым персональные данные могут раскрываться, целевые ограничения, срок хранения и другие меры по обеспечению правомерности и справедливости обработки. Необходимо также, чтобы право Союза или право государства-члена определяло, должен ли контролёр, выполняющий задачи в общественных интересах или в рамках должностных полномочий, быть органом власти, или иным физическим или юридическим лицом, которое руководствуется публичным правом, или, если это в интересах общества, действует для этих целей, включая основы жизнедеятельности, например, здравоохранение, социальную защиту и управление медицинскими услугами, либо подчиняется частному праву, например, в качестве объединения лиц свободных профессий.

(46) Обработка персональных данных также должна считаться правомерной, когда необходимо защищать интерес, который жизненно важен для субъекта данных или иного физического лица. Обработка персональных данных, основанная на жизненно важном интересе другого физического лица, в принципе должна иметь место, только если она явно не может основываться на другом правовом основании. Некоторые виды обработки могут осуществляться на основании как важных публичных интересов, так и жизненно важных интересов субъекта данных, например, когда обработка необходима для гуманитарных целей, в том числе для мониторинга эпидемий и их распространения или в ситуациях чрезвычайных гуманитарных ситуаций, в частности, в ситуациях природных и техногенных катастроф.

(47) Легитимные интересы контролёра (включая того контролёра, кому передаются персональные данные) или третьей стороны могут создать правовое основание для обработки, при условии, что они не превалируют над интересами или фундаментальными правами и свободами субъекта данных, с учётом разумных ожиданий субъектов данных, основанных на взаимоотношении с контролёром. Такой легитимный интерес может иметь место, если между субъектом данных и контролёром существуют соответствующие отношения, например, когда субъект данных является клиентом или состоит на службе у контролёра. В любом случае наличие легитимного интереса нуждается в тщательной оценке, в том числе относительно того, может ли субъект данных при сборе персональных данных ожидать, что обработка будет осуществляться для указанной цели. Интересы и основные права субъекта данных могут, в частности, превалировать над интересом контролёра данных, если персональные данные обрабатываются в условиях, когда субъекты данных обоснованно не ожидают проведения последующей обработки. Так как законодатель обязан на уровне правового акта предусмотреть правовые основания для обработки персональных данных органами государственной власти, такое правовое основание не должно применяться в отношении обработки органами государственной власти при выполнении ими своих задач. Обработка персональных данных, необходимая в целях предотвращения мошенничества, также является законным интересом соответствующего контролёра данных. Обработка персональных данных в целях прямого маркетинга может рассматриваться как обработка, служащая легитимному интересу.

(48) Контролёры, являющиеся частью группы компаний или институтов, связанных с центральным органом, могут иметь легитимный интерес в передаче персональных данных в рамках группы компаний для внутренних административных целей, включая обработку персональных данных клиентов и работников. Это не влияет на общие принципы передачи персональных данных в рамках группы компаний компании, расположенной в третьей стране.

(49) Обработка персональных данных органами государственной власти, центрами реагирования на компьютерные чрезвычайные происшествия (CERTs), центрами реагирования на инциденты, связанные с компьютерной безопасностью (CSIRTs), поставщиками сетей электронных коммуникаций и услуг, а также поставщиками технологий и услуг по обеспечению безопасности является легитимным интересом соответствующего контролёра данных в той мере, в какой она необходима и соразмерна целям обеспечения сетевой и информационной безопасности, то есть способности сети или информационной системы противостоять, на заданном уровне достоверности, случайным событиям, незаконным или преднамеренным действиям, которые компрометируют доступность, подлинность, целостность и конфиденциальность сохранённых или переданных персональных данных, а также безопасность соответствующих услуг, переданных через указанные сети или системы. Такой легитимный интерес может включать в себя, например, предотвращение несанкционированного доступа к сетям электронных коммуникаций и распространение вредоносного кода, а также пресечение сетевых атак и угроз для компьютерных и электронных систем связи.

(50) Обработка персональных данных в целях, отличных от тех, для которых персональные данные первоначально собирались, должна быть разрешена только, если она соответствует целям, для которых персональные данные были изначально собраны. В этом случае не требуется отдельное правовое основание, помимо того, что послужило основой первоначального сбора персональных данных. Если обработка необходима для выполнения задачи в общественных интересах или в рамках должностных полномочий, возложенных на контролёра, право Союза или право государства-члена может предусмотреть и установить задачи и цели, в которых последующая обработка должна считаться надлежащей и правомерной. Дальнейшая обработка для архивных целей в общественных интересах, в целях научного или исторического исследования или в статистических целях должна считаться надлежащей правомерной обработкой. Правовое основание, предусмотренное правом Союза или правом государства-члена для обработки персональных данных, может также правовым основанием для последующей обработки. Для того чтобы убедиться в том, соответствует ли цель дальнейшей обработки цели, для которой персональные данные были первоначально получены, контролёр, после выполнения всех требований законности первоначальной обработки, должен принять во внимание, в числе прочего, следующее: любую связь между указанными целями и целями запланированной дальнейшей обработки; контекст, в котором были получены персональные данные, в частности, разумные ожидания субъектов данных, основанные на отношениях с контролёром, касающиеся их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки для субъектов данных, и наличие соответствующих гарантий первоначальной и предполагаемой обработки.

В случаях, когда субъект данных дал согласие или когда обработка основывается на законодательстве Союза или государства-члена, представляющем собой необходимую и соразмерную меру в демократическом обществе, которая обеспечивает, в частности, достижение важных целей, представляющих общественный интерес, контролёр должен иметь возможность и далее обрабатывать персональные данные независимо от их совместимости с исходными целями. В любом случае должны применяться правила, изложенные в настоящем Регламенте, в частности, применение принципа информирования субъекта данных об этих других целях и его правах, включая право на возражение. Сигнализирование контролёром о возможных уголовно-наказуемых действиях или угрозах общественной безопасности и отправка компетентному органу в индивидуальном или нескольких случаях персональных данных, относящихся к этим уголовно-наказуемым действиям или угрозам общественной безопасности, следует считать реализацией контролёром своего легитимного интереса. Однако такое сообщение в легитимных интересах со стороны контролёра или дальнейшая обработка персональных данных должны быть запрещены, если эта обработка не соответствует правовому, профессиональному или иному обязательству секретности.

(155) В праве государства-члена или коллективных договорах, в том числе в «соглашениях с представителями рабочих», могут быть предусмотрены конкретные положения об обработке персональных данных работников в контексте трудоустройства, в том числе условия, согласно которым персональные данные могут обрабатываться в контексте трудоустройства на основе согласия работника, в целях устройства на работу, выполнения трудового договора, включая исполнение обязательств, установленных в соответствии с законодательством или коллективным договором, в целях управления, планирования и организации работы, равноправия и многообразия на рабочем месте, охраны труда и производственной безопасности, а также в целях осуществления и удовлетворения индивидуальных и коллективных прав и гарантий, связанных с трудоустройством, а также в целях прекращения трудовых отношений.

Руководство и прецедентное право Связанные статьи Оставить комментарий
[js-disqus]