(50) Обработка персональных данных в целях, отличных от тех, для которых персональные данные первоначально собирались, должна быть разрешена только, если она соответствует целям, для которых персональные данные были изначально собраны.
В этом случае не требуется отдельное правовое основание, помимо того, что послужило основой первоначального сбора персональных данных.
Если обработка необходима для выполнения задачи в общественных интересах или в рамках должностных полномочий, возложенных на контролёра, право Союза или право государства-члена может предусмотреть и установить задачи и цели, в которых последующая обработка должна считаться надлежащей и правомерной.
Дальнейшая обработка для архивных целей в общественных интересах, в целях научного или исторического исследования или в статистических целях должна считаться надлежащей правомерной обработкой.
Правовое основание, предусмотренное правом Союза или правом государства-члена для обработки персональных данных, может также правовым основанием для последующей обработки.
Для того чтобы убедиться в том, соответствует ли цель дальнейшей обработки цели, для которой персональные данные были первоначально получены, контролёр, после выполнения всех требований законности первоначальной обработки, должен принять во внимание, в числе прочего, следующее: любую связь между указанными целями и целями запланированной дальнейшей обработки; контекст, в котором были получены персональные данные, в частности, разумные ожидания субъектов данных, основанные на отношениях с контролёром, касающиеся их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки для субъектов данных, и наличие соответствующих гарантий первоначальной и предполагаемой обработки.
В случаях, когда субъект данных дал согласие или когда обработка основывается на законодательстве Союза или государства-члена, представляющем собой необходимую и соразмерную меру в демократическом обществе, которая обеспечивает, в частности, достижение важных целей, представляющих общественный интерес, контролёр должен иметь возможность и далее обрабатывать персональные данные независимо от их совместимости с исходными целями.
В любом случае должны применяться правила, изложенные в настоящем Регламенте, в частности, применение принципа информирования субъекта данных об этих других целях и его правах, включая право на возражение.
Сигнализирование контролёром о возможных уголовно-наказуемых действиях или угрозах общественной безопасности и отправка компетентному органу в индивидуальном или нескольких случаях персональных данных, относящихся к этим уголовно-наказуемым действиям или угрозам общественной безопасности, следует считать реализацией контролёром своего легитимного интереса.
Однако такое сообщение в легитимных интересах со стороны контролёра или дальнейшая обработка персональных данных должны быть запрещены, если эта обработка не соответствует правовому, профессиональному или иному обязательству секретности.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».