Навигация
GDPR > Статья 6. Законность обработки
Скачать в PDF

Статья 6 GDPR. Законность обработки

Article 6 GDPR. Lawfulness of processing

1. Обработка является законной только в тех случаях, когда — и в той степени, в которой — выполнено по меньшей мере одно из следующих условий:

1. Processing shall be lawful only if and to the extent that at least one of the following applies:

(a) субъект персональных данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

Руководство и прецедентное право Связанные статьи

(b) обработка необходима для исполнения договора, в котором субъект данных является стороной, или для реализации по поручению субъекта данных шагов, предшествующих заключению договора;

(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

Руководство и прецедентное право Преамбулы

(44) Обработка в контексте контракта, либо намерения заключить контракт должна быть законной, когда это необходимо.

(44) Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract.

Связанные статьи

(c) обработка необходима для выполнения правового обязательства, возложенного на контролёра;

(c) processing is necessary for compliance with a legal obligation to which the controller is subject;

Преамбулы

(45) В случае если обработка осуществляется согласно правовым обязательствам, которым подчиняется контролёр или если обработка необходима для выполнения задачи осуществляемой в общественных интересах либо в рамках должностных полномочий, обработка должна основываться на праве Союза или государства-члена. Настоящий Регламент не требует специального законодательства в отношении каждого отдельного вида обработки. Право как основание для нескольких операций по обработке, основанных на правовых обязательствах, которым подчиняется контролёр, или когда обработка необходима для выполнения задачи, осуществляемой в общественных интересах либо в рамках должностных полномочий, будет достаточным. Также необходимо, чтобы право Союза или право государства-члена определяло цель обработки. Более того, такое право может уточнять общие условия настоящего Регламента, определяя правомерность обработки персональных данных, устанавливая специальные требования к контролёрам, типы персональных данных, подлежащих обработке, соответствующих субъектов данных, организации, которым персональные данные могут раскрываться, целевые ограничения, срок хранения и другие меры по обеспечению правомерности и справедливости обработки. Необходимо также, чтобы право Союза или право государства-члена определяло, должен ли контролёр, выполняющий задачи в общественных интересах или в рамках должностных полномочий, быть органом власти, или иным физическим или юридическим лицом, которое руководствуется публичным правом, или, если это в интересах общества, действует для этих целей, включая основы жизнедеятельности, например, здравоохранение, социальную защиту и управление медицинскими услугами, либо подчиняется частному праву, например, в качестве объединения лиц свободных профессий.

(45) Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association.

(d) обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица;

(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;

Преамбулы

(46) Обработка персональных данных также должна считаться правомерной, когда необходимо защищать интерес, который жизненно важен для субъекта данных или иного физического лица. Обработка персональных данных, основанная на жизненно важном интересе другого физического лица, в принципе должна иметь место, только если она явно не может основываться на другом правовом основании. Некоторые виды обработки могут осуществляться на основании как важных публичных интересов, так и жизненно важных интересов субъекта данных, например, когда обработка необходима для гуманитарных целей, в том числе для мониторинга эпидемий и их распространения или в ситуациях чрезвычайных гуманитарных ситуаций, в частности, в ситуациях природных и техногенных катастроф.

(46) The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters.

(e) обработка необходима для выполнения задачи в публичном интересе или в рамках осуществления государственной власти, доверенной контролёру;

(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

Руководство и прецедентное право Преамбулы

(115) Некоторые третьи страны принимают нормативные и иные правовые акты, которые направлены на непосредственное регулирование обработки персональных данных физическими и юридическими лицами, находящихся под юрисдикцией государств-членов. Это может включать в себя решения судов или трибуналов или решения административных органов в третьих странах, требующие от контролёра или процессора передачи или раскрытия персональных данных, и которые не основаны на международном договоре, таком как договор о взаимной правовой помощи, действующий между запрашивающей третьей страной и Союзом или государством-членом. Экстерриториальное применение таких нормативных и иных правовых актов, может нарушать международное право и может препятствовать защите физических лиц, гарантированной в Союзе настоящим Регламентом. Передача персональных данных должна быть разрешена только при условии соблюдения положений настоящего Регламента, касающихся передачи персональных данных в третьи страны. Это может иметь место, в частности, в тех случаях, когда раскрытие информации необходимо в публичных интересах, признанных в праве Союза или праве государства-члена, которое применяется к контролёру.

(115) Some third countries adopt laws, regulations and other legal acts which purport to directly regulate the processing activities of natural and legal persons under the jurisdiction of the Member States. This may include judgments of courts or tribunals or decisions of administrative authorities in third countries requiring a controller or processor to transfer or disclose personal data, and which are not based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. The extraterritorial application of those laws, regulations and other legal acts may be in breach of international law and may impede the attainment of the protection of natural persons ensured in the Union by this Regulation. Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may be the case, inter alia, where disclosure is necessary for an important ground of public interest recognised in Union or Member State law to which the controller is subject.

(f) обработка необходима для целей, вытекающих из легитимных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.

(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

Руководство и прецедентное право Преамбулы

(47) Легитимные интересы контролёра (включая того контролёра, кому передаются персональные данные) или третьей стороны могут создать правовое основание для обработки, при условии, что они не превалируют над интересами или фундаментальными правами и свободами субъекта данных, с учётом разумных ожиданий субъектов данных, основанных на взаимоотношении с контролёром. Такой легитимный интерес может иметь место, если между субъектом данных и контролёром существуют соответствующие отношения, например, когда субъект данных является клиентом или состоит на службе у контролёра. В любом случае наличие легитимного интереса нуждается в тщательной оценке, в том числе относительно того, может ли субъект данных при сборе персональных данных ожидать, что обработка будет осуществляться для указанной цели. Интересы и основные права субъекта данных могут, в частности, превалировать над интересом контролёра данных, если персональные данные обрабатываются в условиях, когда субъекты данных обоснованно не ожидают проведения последующей обработки. Так как законодатель обязан на уровне правового акта предусмотреть правовые основания для обработки персональных данных органами государственной власти, такое правовое основание не должно применяться в отношении обработки органами государственной власти при выполнении ими своих задач. Обработка персональных данных, необходимая в целях предотвращения мошенничества, также является законным интересом соответствующего контролёра данных. Обработка персональных данных в целях прямого маркетинга может рассматриваться как обработка, служащая легитимному интересу.

(47) The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.

(48) Контролёры, являющиеся частью группы компаний или институтов, связанных с центральным органом, могут иметь легитимный интерес в передаче персональных данных в рамках группы компаний для внутренних административных целей, включая обработку персональных данных клиентов и работников. Это не влияет на общие принципы передачи персональных данных в рамках группы компаний компании, расположенной в третьей стране.

(48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected.

(49) Обработка персональных данных органами государственной власти, центрами реагирования на компьютерные чрезвычайные происшествия (CERTs), центрами реагирования на инциденты, связанные с компьютерной безопасностью (CSIRTs), поставщиками сетей электронных коммуникаций и услуг, а также поставщиками технологий и услуг по обеспечению безопасности является легитимным интересом соответствующего контролёра данных в той мере, в какой она необходима и соразмерна целям обеспечения сетевой и информационной безопасности, то есть способности сети или информационной системы противостоять, на заданном уровне достоверности, случайным событиям, незаконным или преднамеренным действиям, которые компрометируют доступность, подлинность, целостность и конфиденциальность сохранённых или переданных персональных данных, а также безопасность соответствующих услуг, переданных через указанные сети или системы. Такой легитимный интерес может включать в себя, например, предотвращение несанкционированного доступа к сетям электронных коммуникаций и распространение вредоносного кода, а также пресечение сетевых атак и угроз для компьютерных и электронных систем связи.

(49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems.

Пункт (f) первого подпараграфа не применяется к обработке, которую осуществляют государственные органы при выполнении ими своих задач.

Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.

Преамбулы

(40) Для того, чтобы обработка была законной, персональные данные должны обрабатываться с согласия субъекта данных или на другом правомерном основании, предусмотренном законом, как то в настоящем Регламенте, либо в законодательстве Союза или государства-члена, указанном в настоящем Регламенте, включая необходимость выполнять правовые обязательства, под действие которых подпадает контролёр, или необходимость исполнять договор, стороной которого является субъект данных, или в целях выполнения запроса субъекта данных до заключения договора.

(40) In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation, including the necessity for compliance with the legal obligation to which the controller is subject or the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.

(50) Обработка персональных данных в целях, отличных от тех, для которых персональные данные первоначально собирались, должна быть разрешена только, если она соответствует целям, для которых персональные данные были изначально собраны. В этом случае не требуется отдельное правовое основание, помимо того, что послужило основой первоначального сбора персональных данных. Если обработка необходима для выполнения задачи в общественных интересах или в рамках должностных полномочий, возложенных на контролёра, право Союза или право государства-члена может предусмотреть и установить задачи и цели, в которых последующая обработка должна считаться надлежащей и правомерной. Дальнейшая обработка для архивных целей в общественных интересах, в целях научного или исторического исследования или в статистических целях должна считаться надлежащей правомерной обработкой. Правовое основание, предусмотренное правом Союза или правом государства-члена для обработки персональных данных, может также правовым основанием для последующей обработки. Для того чтобы убедиться в том, соответствует ли цель дальнейшей обработки цели, для которой персональные данные были первоначально получены, контролёр, после выполнения всех требований законности первоначальной обработки, должен принять во внимание, в числе прочего, следующее: любую связь между указанными целями и целями запланированной дальнейшей обработки; контекст, в котором были получены персональные данные, в частности, разумные ожидания субъектов данных, основанные на отношениях с контролёром, касающиеся их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки для субъектов данных, и наличие соответствующих гарантий первоначальной и предполагаемой обработки.

(50) The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations.

В случаях, когда субъект данных дал согласие или когда обработка основывается на законодательстве Союза или государства-члена, представляющем собой необходимую и соразмерную меру в демократическом обществе, которая обеспечивает, в частности, достижение важных целей, представляющих общественный интерес, контролёр должен иметь возможность и далее обрабатывать персональные данные независимо от их совместимости с исходными целями. В любом случае должны применяться правила, изложенные в настоящем Регламенте, в частности, применение принципа информирования субъекта данных об этих других целях и его правах, включая право на возражение. Сигнализирование контролёром о возможных уголовно-наказуемых действиях или угрозах общественной безопасности и отправка компетентному органу в индивидуальном или нескольких случаях персональных данных, относящихся к этим уголовно-наказуемым действиям или угрозам общественной безопасности, следует считать реализацией контролёром своего легитимного интереса. Однако такое сообщение в легитимных интересах со стороны контролёра или дальнейшая обработка персональных данных должны быть запрещены, если эта обработка не соответствует правовому, профессиональному или иному обязательству секретности.

Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy.

2. Государства-члены могут сохранять или вводить более подробные положения, чтобы применить нормы данного Регламента в отношении обработки, которая производится для соблюдения пунктов (с) и (е) параграфа 1; Для этого, а также для других особых случаев обработки, предусмотренных в главе IX, государства-члены могут более точно определить конкретные требования к обработке и другие меры обеспечения легитимной и справедливой обработки.

2. Member States may maintain or introduce more specific provisions to adapt the application of the rules of this Regulation with regard to processing for compliance with points (c) and (e) of paragraph 1 by determining more precisely specific requirements for the processing and other measures to ensure lawful and fair processing including for other specific processing situations as provided for in Chapter IX.

3. Основание для обработки, указанной в пункте (с) и (е) параграфа 1 должны быть установлены:

3. The basis for the processing referred to in point (c) and (e) of paragraph 1 shall be laid down by:

a) законодательством Союза; или

(a) Union law; or

b) законодательством государства-члена, которому подчиняется контролёр;

(b) Member State law to which the controller is subject.

Цель обработки должна быть указана в правовом основании или, в случае обработки, упомянутой в пункте (е) параграфа 1 – эта обработка должно быть необходима для осуществления задачи, реализуемой в публичном интересе или при осуществлении государственной власти, или во исполнение служебных полномочий, возложенных на контролёра. Это правовое основание может содержать положения, адаптирующие применение положений настоящего Регламента, в том числе: общих условия правомерности обработки контролёром; типы данных, подлежащих обработке; заинтересованные субъекты данных; лица которым и цели для которых эти персональные данные можно разглашать; ограничения цели; сроки хранения; а также операции и процедуры обработки, включая меры по обеспечению законности и справедливости обработки, например, меры для особых случаев обработки, упомянутых в главе IX. Законодательство Союза или государства-члена должно служить цели публичного интереса и быть соразмерным преследуемой легитимной цели.

The purpose of the processing shall be determined in that legal basis or, as regards the processing referred to in point (e) of paragraph 1, shall be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. That legal basis may contain specific provisions to adapt the application of rules of this Regulation, inter alia: the general conditions governing the lawfulness of processing by the controller; the types of data which are subject to the processing; the data subjects concerned; the entities to, and the purposes for which, the personal data may be disclosed; the purpose limitation; storage periods; and processing operations and processing procedures, including measures to ensure lawful and fair processing such as those for other specific processing situations as provided for in Chapter IX. The Union or the Member State law shall meet an objective of public interest and be proportionate to the legitimate aim pursued.

Преамбулы

(41) Ссылки Регламента на правовые основания и законодательные меры, не означают обязательной необходимости принятия законодательного акта парламентом, при условии соблюдения требований, вытекающих из конституционного устройства заинтересованного государства-члена. Однако, такое правовое основание или законодательная мера должны быть четкими и точными, а их применение должно быть предсказуемым для лиц, к которым оно применяется, как того требует прецедентное право Европейского Суда Справедливости (далее - Суд справедливости) и Европейского суда по правам человека.

(41) Where this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union (the ‘Court of Justice’) and the European Court of Human Rights.

4. Если обработка для иной цели, нежели той для которой были собраны персональные данные, не базируется на согласии субъекта данных или законодательстве Союза или законодательстве государства-члена, являющихся в демократическом обществе необходимым и соразмерным средством гарантирования целей, упомянутых в статье 23 (1), контролёр, чтобы определить, согласуется ли обработка с другой целью, в той, для которой личные данные были первоначально собраны, должен учитывать в частности:

4. Where the processing for a purpose other than that for which the personal data have been collected is not based on the data subject’s consent or on a Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 23(1), the controller shall, in order to ascertain whether processing for another purpose is compatible with the purpose for which the personal data are initially collected, take into account, inter alia:

a) Любые отношения между целями, для которых были собраны личные данные, и целями дальнейшей предполагаемой обработки;

(a) any link between the purposes for which the personal data have been collected and the purposes of the intended further processing;

b) контекст, в котором были собраны персональные данные, в частности, отношения между субъектами данных и контролёром;

(b) the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller;

c) природу персональных данных, в частности, будут ли обрабатываться специальные категории персональных данных согласно статье 9 или обрабатываться персональные данные, касающиеся судимостей и правонарушений, согласно статье 10;

(c) the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 10;

d) возможные последствия для субъектов данных от дальнейшей предполагаемой обработки;

(d) the possible consequences of the intended further processing for data subjects;

e) существование надлежащих механизмов защиты, которые могут включать шифрование или псевдонимизацию.

(e) the existence of appropriate safeguards, which may include encryption or pseudonymisation.

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 6(4)(e) GDPR:

7.4.5. Деидентификация ПИИ и удаление в конце обработки

Средство управления

Организация должна либо удалить ПИИ, либо представить её в форме, которая не позволяет идентифицировать или повторно идентифицировать субъектов ПИИ, как только исходная ПИИ больше не нужна для определенных целей.


для доступа к полному тексту

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Связанные статьи Оставить комментарий
Комментарий эксперта
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Here is the relevant paragraph to article 6 GDPR:

7.2.2 Определение правового основания

Средство управления
Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.

Руководство по внедрению
В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления.
Правовое основание для обработки ПИИ может включать в себя:

 


для доступа к полному тексту

Преамбулы

(40) Для того, чтобы обработка была законной, персональные данные должны обрабатываться с согласия субъекта данных или на другом правомерном основании, предусмотренном законом, как то в настоящем Регламенте, либо в законодательстве Союза или государства-члена, указанном в настоящем Регламенте, включая необходимость выполнять правовые обязательства, под действие которых подпадает контролёр, или необходимость исполнять договор, стороной которого является субъект данных, или в целях выполнения запроса субъекта данных до заключения договора.

(40) In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation, including the necessity for compliance with the legal obligation to which the controller is subject or the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.

(41) Ссылки Регламента на правовые основания и законодательные меры, не означают обязательной необходимости принятия законодательного акта парламентом, при условии соблюдения требований, вытекающих из конституционного устройства заинтересованного государства-члена. Однако, такое правовое основание или законодательная мера должны быть четкими и точными, а их применение должно быть предсказуемым для лиц, к которым оно применяется, как того требует прецедентное право Европейского Суда Справедливости (далее - Суд справедливости) и Европейского суда по правам человека.

(41) Where this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union (the ‘Court of Justice’) and the European Court of Human Rights.

(42) Если обработка осуществляется на основании согласия субъекта данных, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операцию по обработке. В частности, в случае письменного заявления, представленного по другому вопросу, должны быть гарантии, что субъект данных осознает даваемое согласие и его объем. В соответствии с директивой Совета 93/13 / EEC [10] заявление о согласии, которое подготовил контролёр, должно предоставляться в понятной и легко доступной форме, использовать четкий и простой язык, не должно содержать несправедливые условия. Информированным согласие является когда субъект данных осведомлен, по крайней мере, о наименовании (имени) контролёра и целях обработки, для которых предназначаются персональные данные. Согласие не должно рассматриваться как данное свободно, если субъект данных не имеет подлинного или свободного выбора, либо не может отказаться или отозвать свое согласие без негативных последствий.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC [10] a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

[10] Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (Официальный журнал Европейского союза N L 95, 21.04.1993, стр. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(43) Для обеспечения добровольности согласия, оно не должно предоставлять допустимое правовое основание для обработки персональных данных в отдельных случаях, когда имеет место явное неравенство между субъектом данных и контролёром, особенно когда контролёр является публичным органом власти и поэтому низка вероятность того, что во всех условиях данного отдельного случая согласие дано свободно. Предполагается, что согласие не является свободным, если невозможно дать отдельного согласия на разные операции по обработке персональных данных, несмотря на то, что оно в данном случае было бы уместным, или если исполнение договора, в том числе предоставление услуги, ставится в зависимость от дачи согласия, несмотря на то, что для его исполнения согласие не является необходимым.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

(44) Обработка в контексте контракта, либо намерения заключить контракт должна быть законной, когда это необходимо.

(44) Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract.

(45) В случае если обработка осуществляется согласно правовым обязательствам, которым подчиняется контролёр или если обработка необходима для выполнения задачи осуществляемой в общественных интересах либо в рамках должностных полномочий, обработка должна основываться на праве Союза или государства-члена. Настоящий Регламент не требует специального законодательства в отношении каждого отдельного вида обработки. Право как основание для нескольких операций по обработке, основанных на правовых обязательствах, которым подчиняется контролёр, или когда обработка необходима для выполнения задачи, осуществляемой в общественных интересах либо в рамках должностных полномочий, будет достаточным. Также необходимо, чтобы право Союза или право государства-члена определяло цель обработки. Более того, такое право может уточнять общие условия настоящего Регламента, определяя правомерность обработки персональных данных, устанавливая специальные требования к контролёрам, типы персональных данных, подлежащих обработке, соответствующих субъектов данных, организации, которым персональные данные могут раскрываться, целевые ограничения, срок хранения и другие меры по обеспечению правомерности и справедливости обработки. Необходимо также, чтобы право Союза или право государства-члена определяло, должен ли контролёр, выполняющий задачи в общественных интересах или в рамках должностных полномочий, быть органом власти, или иным физическим или юридическим лицом, которое руководствуется публичным правом, или, если это в интересах общества, действует для этих целей, включая основы жизнедеятельности, например, здравоохранение, социальную защиту и управление медицинскими услугами, либо подчиняется частному праву, например, в качестве объединения лиц свободных профессий.

(45) Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association.

(46) Обработка персональных данных также должна считаться правомерной, когда необходимо защищать интерес, который жизненно важен для субъекта данных или иного физического лица. Обработка персональных данных, основанная на жизненно важном интересе другого физического лица, в принципе должна иметь место, только если она явно не может основываться на другом правовом основании. Некоторые виды обработки могут осуществляться на основании как важных публичных интересов, так и жизненно важных интересов субъекта данных, например, когда обработка необходима для гуманитарных целей, в том числе для мониторинга эпидемий и их распространения или в ситуациях чрезвычайных гуманитарных ситуаций, в частности, в ситуациях природных и техногенных катастроф.

(46) The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters.

(47) Легитимные интересы контролёра (включая того контролёра, кому передаются персональные данные) или третьей стороны могут создать правовое основание для обработки, при условии, что они не превалируют над интересами или фундаментальными правами и свободами субъекта данных, с учётом разумных ожиданий субъектов данных, основанных на взаимоотношении с контролёром. Такой легитимный интерес может иметь место, если между субъектом данных и контролёром существуют соответствующие отношения, например, когда субъект данных является клиентом или состоит на службе у контролёра. В любом случае наличие легитимного интереса нуждается в тщательной оценке, в том числе относительно того, может ли субъект данных при сборе персональных данных ожидать, что обработка будет осуществляться для указанной цели. Интересы и основные права субъекта данных могут, в частности, превалировать над интересом контролёра данных, если персональные данные обрабатываются в условиях, когда субъекты данных обоснованно не ожидают проведения последующей обработки. Так как законодатель обязан на уровне правового акта предусмотреть правовые основания для обработки персональных данных органами государственной власти, такое правовое основание не должно применяться в отношении обработки органами государственной власти при выполнении ими своих задач. Обработка персональных данных, необходимая в целях предотвращения мошенничества, также является законным интересом соответствующего контролёра данных. Обработка персональных данных в целях прямого маркетинга может рассматриваться как обработка, служащая легитимному интересу.

(47) The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.

(48) Контролёры, являющиеся частью группы компаний или институтов, связанных с центральным органом, могут иметь легитимный интерес в передаче персональных данных в рамках группы компаний для внутренних административных целей, включая обработку персональных данных клиентов и работников. Это не влияет на общие принципы передачи персональных данных в рамках группы компаний компании, расположенной в третьей стране.

(48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected.

(49) Обработка персональных данных органами государственной власти, центрами реагирования на компьютерные чрезвычайные происшествия (CERTs), центрами реагирования на инциденты, связанные с компьютерной безопасностью (CSIRTs), поставщиками сетей электронных коммуникаций и услуг, а также поставщиками технологий и услуг по обеспечению безопасности является легитимным интересом соответствующего контролёра данных в той мере, в какой она необходима и соразмерна целям обеспечения сетевой и информационной безопасности, то есть способности сети или информационной системы противостоять, на заданном уровне достоверности, случайным событиям, незаконным или преднамеренным действиям, которые компрометируют доступность, подлинность, целостность и конфиденциальность сохранённых или переданных персональных данных, а также безопасность соответствующих услуг, переданных через указанные сети или системы. Такой легитимный интерес может включать в себя, например, предотвращение несанкционированного доступа к сетям электронных коммуникаций и распространение вредоносного кода, а также пресечение сетевых атак и угроз для компьютерных и электронных систем связи.

(49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems.

(50) Обработка персональных данных в целях, отличных от тех, для которых персональные данные первоначально собирались, должна быть разрешена только, если она соответствует целям, для которых персональные данные были изначально собраны. В этом случае не требуется отдельное правовое основание, помимо того, что послужило основой первоначального сбора персональных данных. Если обработка необходима для выполнения задачи в общественных интересах или в рамках должностных полномочий, возложенных на контролёра, право Союза или право государства-члена может предусмотреть и установить задачи и цели, в которых последующая обработка должна считаться надлежащей и правомерной. Дальнейшая обработка для архивных целей в общественных интересах, в целях научного или исторического исследования или в статистических целях должна считаться надлежащей правомерной обработкой. Правовое основание, предусмотренное правом Союза или правом государства-члена для обработки персональных данных, может также правовым основанием для последующей обработки. Для того чтобы убедиться в том, соответствует ли цель дальнейшей обработки цели, для которой персональные данные были первоначально получены, контролёр, после выполнения всех требований законности первоначальной обработки, должен принять во внимание, в числе прочего, следующее: любую связь между указанными целями и целями запланированной дальнейшей обработки; контекст, в котором были получены персональные данные, в частности, разумные ожидания субъектов данных, основанные на отношениях с контролёром, касающиеся их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки для субъектов данных, и наличие соответствующих гарантий первоначальной и предполагаемой обработки.

(50) The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations.

В случаях, когда субъект данных дал согласие или когда обработка основывается на законодательстве Союза или государства-члена, представляющем собой необходимую и соразмерную меру в демократическом обществе, которая обеспечивает, в частности, достижение важных целей, представляющих общественный интерес, контролёр должен иметь возможность и далее обрабатывать персональные данные независимо от их совместимости с исходными целями. В любом случае должны применяться правила, изложенные в настоящем Регламенте, в частности, применение принципа информирования субъекта данных об этих других целях и его правах, включая право на возражение. Сигнализирование контролёром о возможных уголовно-наказуемых действиях или угрозах общественной безопасности и отправка компетентному органу в индивидуальном или нескольких случаях персональных данных, относящихся к этим уголовно-наказуемым действиям или угрозам общественной безопасности, следует считать реализацией контролёром своего легитимного интереса. Однако такое сообщение в легитимных интересах со стороны контролёра или дальнейшая обработка персональных данных должны быть запрещены, если эта обработка не соответствует правовому, профессиональному или иному обязательству секретности.

Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy.

(155) В праве государства-члена или коллективных договорах, в том числе в «соглашениях с представителями рабочих», могут быть предусмотрены конкретные положения об обработке персональных данных работников в контексте трудоустройства, в том числе условия, согласно которым персональные данные могут обрабатываться в контексте трудоустройства на основе согласия работника, в целях устройства на работу, выполнения трудового договора, включая исполнение обязательств, установленных в соответствии с законодательством или коллективным договором, в целях управления, планирования и организации работы, равноправия и многообразия на рабочем месте, охраны труда и производственной безопасности, а также в целях осуществления и удовлетворения индивидуальных и коллективных прав и гарантий, связанных с трудоустройством, а также в целях прекращения трудовых отношений.

(155) Member State law or collective agreements, including ‘works agreements’, may provide for specific rules on the processing of employees' personal data in the employment context, in particular for the conditions under which personal data in the employment context may be processed on the basis of the consent of the employee, the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship.

Руководство и прецедентное право Связанные статьи Оставить комментарий
[js-disqus]