Статья Материальная сфера
Скачать 45.84 Kb.
|
Chapter 2PrinciplesЧасть 2. Принципы Статья 5. Принципы обработки персональных данных Персональные данные должны: Обрабатываться законно, справедливо и прозрачно в отношении предмета данных («законность, справедливость и прозрачность»); Быть собраны для определенных, явных и законных целей и не обрабатываться в дальнейшем способом, несовместимым с этими целями; дальнейшая обработка в целях архивирования в общественных интересах, научных или исторических исследованиях или статистических целях, в соответствии со статьей 89 (1), не считается несовместимой с первоначальными целями («ограничение цели»); Быть адекватными, актуальными и ограничены тем, что необходимо в связи с целями, для которых они обрабатываются («минимизация данных»); Быть точными и, при необходимости, обновленными; необходимо предпринять все разумные меры для обеспечения того, чтобы личные данные, которые являются неточными, с учетом целей, для которых они обрабатываются, стирались или исправлялись без задержки («точность»); хранится в форме, которая позволяет идентифицировать субъекта данных не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные; Персональные данные могут храниться в течение более длительных периодов времени, поскольку персональные данные будут обрабатываться исключительно для целей архивирования в интересах общества, научных или исторических исследований или статистических целей в соответствии со статьей 89 (1) при условии выполнения соответствующих технических и организационных мер, требуемых настоящим Регламентом для защиты прав и свобод субъекта данных («ограничение хранения»); обрабатываться таким образом, который обеспечивает надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер («целостность и конфиденциальность»). Контролер должен нести ответственность и быть в состоянии продемонстрировать соответствие пункту 1 («подотчетность»). Статья 6. Законность обработки Обработка должна быть законной и только в той степени, в которой применимо хотя бы одно из следующего: субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей (статья 6.1, а); обработка необходима для исполнения договора, участником которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора; обработка необходима для соблюдения юридического обязательства, которому подчиняется контролер; обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица; обработка необходима для выполнения задачи, выполняемой в общественных интересах или для осуществления официальных полномочий, предоставленных контролеру; обработка необходима для законных интересов и используется контроллером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности, когда субъект данных является ребенком (данный Пункт не распространяется на обработку, осуществляемую государственными органами при выполнении ими своих задач). Государства-члены могут сохранить или ввести более конкретные положения, чтобы адаптировать применение правил настоящего Регламента в отношении обработки к соответствию пунктам (с) и (е) пункта 1 путем более точного определения конкретных требований к обработке и других мер для обеспечить законную и справедливую обработку, в том числе для других конкретных ситуаций обработки, как это предусмотрено в главе IX. Основой для обработки, упомянутой в пунктах (с) и (е) пункта 1, должна быть установлена: Союзное право; или же Закон государства-члена, которому подчиняется контролер. Цель обработки определяется на этой правовой основе или, что касается обработки, упомянутой в пункте (е) пункта 1, необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении служебных обязанностей, наделенных полномочиями контролер. Эта правовая основа может содержать конкретные положения для адаптации применения правил настоящего Регламента, в частности: общие условия, регулирующие законность обработки контролером; типы данных, которые подлежат обработке; соответствующие субъекты данных; субъекты и цели, для которых персональные данные могут быть раскрыты; ограничение цели; сроки хранения; и операции обработки и процедуры обработки, включая меры по обеспечению законной и справедливой обработки, например, для других конкретных ситуаций обработки, как это предусмотрено в главе IX. Закон Союза или государства-члена должен отвечать целям общественных интересов и быть соразмерным преследуемой законной цели. В тех случаях, когда обработка для целей, отличных от тех, для которых были собраны персональные данные, не основана на согласии субъекта данных или на законе Союза или государства-члена, контролер должен установить, совместима ли обработка для другой цели с целью, для которой персональные данные были первоначально собраны, принять во внимание, что: любая связь между целями, для которых были собраны персональные данные, и целями предполагаемой дальнейшей обработки; контекст, в котором собраны персональные данные, в частности, относительно отношений между субъектами данных и контроллером; характер персональных данных, в частности, обрабатываются ли специальные категории персональных данных в соответствии со статьей 9, или обрабатываются ли персональные данные, относящиеся к уголовным осуждениям и преступлениям, в соответствии со статьей 10; возможные последствия предполагаемой дальнейшей обработки для субъектов данных; наличие соответствующих гарантий, которые могут включать шифрование или псевдоним. Статья 7. Условия для согласия Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку его или ее персональных данных. Если согласие субъекта данных дается в контексте письменного заявления, касающегося также других вопросов, запрос о согласии должен быть представлен таким образом, который будет четко отличим от других вопросов, в понятной и легко доступной форме, с использованием четких и простой язык. Любая часть такой декларации, которая представляет собой нарушение настоящего Регламента, не должна быть обязывающей(ограничивающей). Субъект данных имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва. Прежде чем дать согласие, субъект данных должен быть проинформирован об этом. Отзыв должен быть таким же легким, как и дача согласия. При оценке того, дает ли согласие на свободу, следует в максимальной степени учитывать, зависит ли, в частности, выполнение контракта, включая предоставление услуги, от согласия на обработку персональных данных, которые не являются необходимыми для выполнения этого контракта. Статья 8. Условия, применимые к согласию ребенка в отношении услуг информационного общества Пункт (а) статьи 6.1 применяется в отношении предложения услуг информационного общества непосредственно ребенку, только если обработка личных данных ребенка законна, если ребенку не менее 16 лет. Если ребенку младше 16 лет, такая обработка должна быть законной, только если и в той степени, в которой это согласие дано или разрешено владельцем родительской ответственности за ребенка. Государство может предусматривать законом более низкий возраст для этих целей при условии, что такой возраст не ниже 13 лет. Контролер должен приложить разумные меры, чтобы проверить в таких случаях, что согласие дано или разрешено владельцем родительской ответственности за ребенка, принимая во внимание доступную технологию. Пункт 1 не влияет на общее договорное право государства, такое как правила о действительности, образовании или действии договора в отношении ребенка. Пояснения: 1. Дети заслуживают особой защиты в отношении своих персональных данных, так как они могут быть менее осведомлены о рисках, последствиях и гарантиях, а также о своих правах в отношении обработки персональных данных. 2. Такая особая защита должна, в частности, применяться к использованию личных данных детей в целях маркетинга или создания личных или пользовательских профилей, а также для сбора личных данных в отношении детей при использовании услуг, предлагаемых непосредственно ребенку. 3. Согласие владельца родительской ответственности не должно быть необходимым в контексте профилактических или консультационных услуг, предлагаемых непосредственно ребенку. Статья 9. Обработка специальных категорий персональных данных Обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзе, а также обработка генетических данных, биометрических данных с целью однозначной идентификации физического лица, данных о здоровье или данных, касающихся естественной половой жизни или сексуальной ориентации лица запрещены. Пункт 1 не применяется, если применяется одно из следующих: субъект данных дал явное согласие на обработку этих персональных данных для одной или нескольких указанных целей, за исключением случаев, когда законодательство Союза или Государство предусматривает, что запрет, упомянутый в пункте 1, не может быть снят субъектом данных; обработка необходима в целях выполнения обязательств и осуществления конкретных прав контролера или субъекта данных в области законодательства о занятости и социальном обеспечении и социальной защите, если это разрешено законодательством Союза или Государства или коллективное соглашение (договор) в соответствии с законодательством Государств, предусматривающее надлежащие гарантии основных прав и интересов субъекта данных; обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица (если последний субъект данных физически или юридически не способен дать согласие); обработка осуществляется в ходе его законной деятельности с соответствующими гарантиями фонда, ассоциации или любого другого некоммерческого органа с политической, философской, религиозной или профсоюзной целью и при условии, что обработка относится исключительно к членам или бывшим членам этого органа или лицам, которые регулярно контактируют с ним в связи с его целями и что личные данные не разглашаются за пределами этого органа без согласия субъектов данных; обработка относится к персональным данным, которые явно публикуются субъектом данных; обработка необходима для установления, осуществления или защиты судебных исков или в случаях, когда суды действуют в своем судебном разбирательстве; обработка необходима по причинам, представляющим значительный общественный интерес, на основе законодательства Союза или Государства, которое должно быть соразмерно преследуемой цели, уважать суть права на защиту данных и предусматривать подходящие и конкретные меры для защиты основных прав и интересы субъекта данных; обработка необходима для целей профилактической медицины или медицины труда, для оценки работоспособности работника, постановки медицинского диагноза, оказания медицинской или социальной помощи или лечения или управления системами и службами здравоохранения или социальной защиты на основе Закона Союза или Государства или в соответствии с договором с медицинским работником и при условии соблюдения условий и гарантий, упомянутых в пункте 3; обработка необходима по причинам общественного интереса в области общественного здравоохранения, таких как защита от серьезных трансграничных угроз для здоровья или обеспечение высоких стандартов качества и безопасности медицинской помощи, а также лекарственных средств или медицинских изделий на основе Союза или закона Государства, который предусматривает надлежащие и конкретные меры для защиты прав и свобод субъекта данных, в частности профессиональной тайны; обработка необходима для целей архивирования в интересах общества, научных или исторических исследований или статистических целей в соответствии со статьей 89 (1) на основании законодательства Союза или Государства, которое должно быть соразмерно преследуемой цели, уважать суть права на защиту данных и предусмотреть подходящие и конкретные меры для защиты основных прав и интересов субъекта данных. Персональные данные, упомянутые в пункте 1, могут обрабатываться в целях, указанных в пункте (h) пункта 2, когда эти данные обрабатываются профессиональным субъектом или под его ответственностью, на который распространяется обязанность соблюдения профессиональной тайны в соответствии с законодательством Союза или Государств или правилами, установленными национальными компетентными органами или другим лицом, также подлежат обязательству секретности в соответствии с законодательством Союза или Государства или правилами, установленными национальными компетентными органами. Государства могут поддерживать или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья. Статья 10. Обработка персональных данных, касающихся уголовных приговоров и правонарушений Обработка персональных данных, касающихся уголовных приговоров и правонарушений или связанных с ними мер безопасности, основанных на статье 6 .1, должна осуществляться только под контролем официальных властей или когда обработка разрешена законодательством Союза или Государства, предусматривающим надлежащие гарантии прав и свободы субъектов данных. 2. Любой всеобъемлющий реестр уголовных приговоров должен вестись только под контролем официальных властей. Статья 11. Обработка, которая не требует идентификации Если для целей, обрабатывающих контроллером персональных данных, не требуется или больше не требуется идентификация субъекта данных контроллером, контроллер не обязан хранить, получать или обрабатывать дополнительную информацию для идентификации субъекта данных для единственной цели соблюдения настоящих Правил. ЧАСТЬ 3. ПРАВА СУБЪЕКТА ДАННЫХ Статья 12. Прозрачная информация, коммуникация и условия для реализации прав субъекта данных Контроллер должен принять соответствующие меры для предоставления любой информации, упомянутой в статьях 13 и 14, и любого сообщения в соответствии со статьями 15–22 и 34, касающегося обработки субъекта данных, в краткой, прозрачной, понятной и легкодоступной форме, используя ясный и простой язык, в частности, для любой информации, адресованной конкретно ребенку. Информация должна предоставляться в письменном виде или другими способами, в том числе, при необходимости, электронными средствами. По запросу субъекта данных информация может предоставляться в устной форме при условии, что личность субъекта данных подтверждается другими способами. Контролер должен содействовать осуществлению прав субъекта данных в соответствии со статьями 15–22. В случаях, указанных в статье 11 (2), контролер не должен отказывать в действиях по запросу субъекта данных для осуществления его или ее прав в соответствии со статьями. 15-22, если только контроллер не продемонстрирует, что он не в состоянии идентифицировать субъект данных. Контролер должен предоставить информацию о действиях, предпринятых по запросу в соответствии со статьями 15-22, субъекту данных без неоправданной задержки и в любом случае в течение одного месяца с момента получения запроса. Этот срок может быть продлен еще на два месяца, если это необходимо, с учетом сложности и количества запросов. Контролер должен сообщить субъекту данных о любом таком продлении в течение одного месяца с момента получения запроса вместе с причинами задержки. Когда субъект данных делает запрос с помощью средств электронной формы, информация должна предоставляться, по возможности, с помощью электронных средств, если субъект данных не потребует иного. Если контролер не предпринимает действий по запросу субъекта данных, он должен незамедлительно и не позднее чем через месяц после получения запроса проинформировать субъекта данных о причинах отказа от действий и о возможности подачи заявления. жалоба в надзорный орган и о возможность обратиться в судебные средства правовой защиты. Информация, предоставляемая в соответствии со статьями 13 и 14, и любые сообщения и любые действия, предпринимаемые в соответствии со статьями 15-22 и 34, предоставляются бесплатно. Где запросы от субъекта данных являются явно необоснованными или чрезмерными, в частности из-за их повторяющегося характера, контроллер может: взимать разумную плату, принимая во внимание административные расходы на предоставление информации или сообщений или выполнение запрошенных действий; отказаться от действий по запросу. Контролер должен иметь возможность доказать явно необоснованного или чрезмерного характера запроса. Без ущерба для статьи 11, где у контролера имеются разумные сомнения относительно личности физического лица, делающего запрос, упомянутый в статьях 15–21, контролер может запросить предоставление дополнительной информации, необходимой для подтверждения личности субъекта данных. Информация, которая должна предоставляться субъектам данных в соответствии со статьями 13 и 14, может предоставляться в сочетании со стандартными значками, чтобы дать легко видимыми, понятными и четким образом понятными обзору предполагаемой обработки. Где значки представлены в электронном виде, они должны быть машиночитаемыми. Комиссия уполномочена принимать делегированные акты в соответствии со статьей 92 с целью определения информации, представляемой значками, и процедур предоставления стандартизированных значков. Статья 13. Информация, которая должна предоставляться, когда личные данные собираются от субъекта данных Если персональные данные, относящиеся к субъекту данных, собираются от субъекта данных, контроллер в момент получения персональных данных предоставляет субъекту данных всю следующую информацию: личность и контактные данные контроллера и, где это применимо, представителя контроллера; контактные данные сотрудника по защите данных, где это применимо; цели обработки, для которой предназначены персональные данные, а также правовое основание для обработки; если обработка основана на пункте (f) статьи 6 (1), законные интересы преследуемых контролером или третьей стороной; получатели или категории получателей персональных данных, если таковые имеются; где это применимо, тот факт, что контролер намеревается передать личные данные в третью страну или международную организацию, а также наличие или отсутствие решения об адекватности Комиссии, или в случае передач, упомянутых в статьях 46 или 47, или второго в подпункте статьи 49 (1), ссылка на соответствующие или подходящие гарантии и средства, с помощью которых можно получить их копию или где они были предоставлены. В дополнение к информации, упомянутой в пункте 1, контролер должен в момент получения персональных данных предоставить субъекту данных следующую дополнительную информацию, необходимую для обеспечения справедливой и прозрачной обработки: период, в течение которого будут храниться личные данные, или, если это невозможно, критерии, используемые для определения этого периода; наличие права запрашивать у диспетчера доступ и исправление или удаление персональных данных или ограничение обработки в отношении субъекта данных или объекта обработки, а также право на переносимость данных; если обработка основана на пункте (а) статьи 6 (1) или пункте (а) статьи 9 (2), наличие права на отзыв согласия в любое время без ущерба для законности обработки на основе согласия до его отзыва; право подать жалобу в надзорный орган; является ли предоставление персональных данных законодательным или договорным требованием или требованием, необходимым для заключения договора, а также обязан ли субъект данных предоставлять персональные данные и о возможных последствиях непредоставления таких данных; наличие автоматизированного процесса принятия решений, включая профилирование, о котором говорится в статье 22 (1) и (4), и, по крайней мере, в этих случаях, значимую информацию о соответствующей логике, а также о значении и предполагаемых последствиях такой обработки для предмета данных. Если контроллер намеревается дополнительно обрабатывать персональные данные для целей, отличных от тех, для которых были собраны персональные данные, контроллер должен предоставить субъекту данных перед дальнейшей обработкой информацию об этой другой цели и любую соответствующую дополнительную информацию, как указано в пункте 2. Пункты 1, 2 и 3 не применяются в тех случаях, когда субъект данных уже обладает информацией. Статья 14. Информация, которая должна быть предоставлена, если личные данные были получены от не субъекта данных Если личные данные были получены не от субъекта данных, контролер должен предоставить субъекту данных следующую информацию: личность и контактные данные контроллера и, где это применимо, представителя контроллера; контактные данные сотрудника по защите данных, где это применимо; цели обработки, для которой предназначены персональные данные, а также правовое основание для обработки; соответствующие категории персональных данных; получатели или категории получателей персональных данных, если таковые имеются; где это применимо, что контроллер намеревается передать персональные данные получателю третьей стране или международной организации и при наличии или отсутствии решения об адекватности Комиссии, или в случае передач, упомянутых в статьях 46 или 47, или второй подпункт статьи 49 (1), ссылка на соответствующие или подходящие гарантии и способы получения их копии или там, где они были предоставлены. В дополнение к информации, указанной в пункте 1, контроллер должен предоставить субъекту данных следующую информацию, необходимую для обеспечения справедливой и прозрачной обработки в отношении субъекта данных: период, в течение которого будут храниться личные данные, или, если это невозможно, критерии, используемые для определения этого периода; если обработка основана на пункте (f) статьи 6 (1), законные интересы преследуются контролером или третьей стороной; наличие права запрашивать у диспетчера доступ и исправление или удаление персональных данных или ограничение обработки, касающейся субъекта данных и объекта обработки, а также право на переносимость данных; если обработка основана на пункте (а) статьи 6 (1) или пункте (а) статьи 9 (2), наличие права на отзыв согласия в любое время, не затрагивая законность обработки на основе согласия до его отзыва; право подать жалобу в надзорный орган; из какого источника происходят персональные данные и, если применимо, получены ли они из общедоступных источников; наличие автоматизированного процесса принятия решений, включая профилирование, о котором говорится в статье 22 (1) и (4), и, по крайней мере, в этих случаях, значимую информацию о соответствующей логике, а также о значении и предполагаемых последствиях такой обработки для предмета данных. Контролер должен предоставить информацию, указанную в пунктах 1 и 2: в течение разумного периода времени после получения персональных данных, но не позднее одного месяца с учетом конкретных обстоятельств, при которых обрабатываются персональные данные; если личные данные должны использоваться для связи с субъектом данных, самое позднее на момент первого обращения к этому субъекту данных; если предполагается раскрытие другому получателю, самое позднее, когда личные данные будут впервые раскрыты. Если контроллер намеревается дополнительно обрабатывать персональные данные для целей, отличных от тех, для которых были получены персональные данные, контроллер должен предоставить субъекту данных перед дальнейшей обработкой информацию об этой другой цели и любую соответствующую дополнительную информацию, как указано в пункте 2. Пункты с 1 по 4 не применяются в тех случаях, когда: субъект данных уже имеет информацию; предоставление такой информации оказывается невозможным или предполагает непропорциональные усилия, в частности, для обработки в целях архивирования в общественных интересах, научных или исторических исследованиях или статистических целях, с учетом условий и гарантий, указанных в статье 89 (1), или поскольку обязательство, упомянутое в пункте 1 настоящей статьи, может сделать невозможным или нанести серьезный ущерб достижению целей такой обработки. В таких случаях контролер должен принять соответствующие меры для защиты прав и свобод субъекта данных и законных интересов, в том числе сделать информацию общедоступной; получение или разглашение прямо предусмотрено законодательством Союза или Государством, которому подчиняется контролер и которое предусматривает надлежащие меры для защиты законных интересов субъекта данных; где персональные данные должны оставаться конфиденциальными с обязательством соблюдения профессиональной тайны, регулируемым законодательством Союза или Государств, в том числе обязательством соблюдения тайны. Статья 15. Право доступа субъекта данных Субъект данных имеет право получить от контролера подтверждение о том, обрабатываются ли его персональные данные, и, где это имеет место быть, доступ к персональным данным и следующую информацию: цели обработки; соответствующие категории персональных данных; получатели или категории получателей, которым были или будут раскрыты персональные данные, в частности получатели в третьих странах или международных организациях; где это возможно, предполагаемый период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода; наличие права запрашивать у контроллера исправление или удаление персональных данных или ограничение обработки персональных данных, относящихся к субъекту данных или к возражению против такой обработки; право подать жалобу в надзорный орган; если личные данные не собраны у субъекта данных, любая доступная информация об их источнике; наличие автоматизированного процесса принятия решений, включая профилирование, о котором говорится в статье 22 (1) и (4), и, по крайней мере, в этих случаях, значимую информацию о соответствующей логике, а также о значении и предполагаемых последствиях такой обработки для предмета данных. Если личные данные передаются третьей стране или международной организации, субъект данных имеет право быть проинформированным о соответствующих гарантиях в соответствии со статьей 46, касающейся передачи. Контроллер должен предоставить копию персональных данных, подвергающихся обработке. За любые дополнительные копии, запрошенные субъектом данных, контролер может взимать разумную плату, основанную на административных расходах. Где субъект данных делает запрос с помощью электронных средств, и если субъект данных запрашивает иное, информация должна предоставляться в общепринятой электронной форме. Право на получение копии, упомянутой в пункте 3, не должно отрицательно влиять на права и свободы других лиц. Статья 16. Право на исправление Субъект данных имеет право без промедления получить от контролера исправление неточных персональных данных, касающихся его или ее. Принимая во внимание цели обработки, субъект данных имеет право на заполнение неполных персональных данных, в том числе посредством предоставления дополнительного заявления. Статья 17. Право на стирание («право быть забытым») Субъект данных имеет право получить от контролера удаление его персональных данных, без неоправданной задержки, а контролер обязан удалить персональные данные без неоправданной задержки, если применяется одно из следующих оснований: личные данные больше не нужны в связи с целями, для которых они были собраны или обработаны иным образом; субъект данных отзывает согласие, на котором основывается обработка, в соответствии с пунктом (а) статьи 6 (1) или пунктом (а) статьи 9 (2), и при отсутствии других правовых оснований для обработки; объектs субъекта данных подвергается обработке в соответствии со статьей 21 (1), и нет никаких основополагающих законных оснований для обработки, или объект данных подвергается обработке в соответствии со статьей 21 (2); личные данные были незаконно обработаны; личные данные должны быть стерты для соответствия юридическому обязательству в законодательстве Союза или Государства, которому подчиняется контролер; личные данные были собраны в связи с предложением услуг информационного общества, упомянутых в статье 8 (1). В тех случаях, когда контроллер сделал персональные данные общедоступными и обязан в соответствии с пунктом 1 уничтожить персональные данные, контроллер, принимая во внимание доступные технологии и стоимость внедрения, должен принять разумные меры, включая технические меры, для информирования всех контролеров, которые обрабатывают персональные данные (которые стали общедоступными), уничтожить такими контролерами любых ссылок, копий или репликаций на эти персональные данные (которые субъект персональных данных запросил уничтожить, если его персональные данные обрабатывались с источника, где стали общедоступными). Пункты 1 и 2 не применяются в той степени, в которой необходима обработка: для осуществления права на свободу выражения мнений и информации; за соблюдение юридического обязательства, которое требует обработки в соответствии с законодательством Союза или Государства, которому подчиняется контролер, или для выполнения задачи, выполняемой в общественных интересах, или для осуществления официальных полномочий, предоставленных контролеру; по соображениям общественного интереса в области общественного здравоохранения в соответствии с пунктами (h) и (i) статьи 9 (2), а также статьей 9 (3); для целей архивирования в общественных интересах, в целях научных или исторических исследований или в статистических целях в соответствии со статьей 89 (1), поскольку право, упомянутое в пункте 1, может сделать невозможным или нанести серьезный ущерб достижению целей этого обработки; для установления, осуществления или защиты судебных исков. Статья 18. Право на ограничение обработки Субъект данных имеет право получить от контроллера ограничение обработки, если применяется одно из следующих: точность персональных данных оспаривается субъектом данных, и обработка персональных данных будет ограничена в течение периода, позволяющего контролеру проверять точность персональных данных; обработка является незаконной, и субъект данных выступает против удаления персональных данных и вместо этого требует ограничить их использование; контролеру больше не нужны персональные данные для целей обработки, но они требуются субъекту данных для установления, исполнения или защиты юридических требований; субъект данных возражал против обработки в соответствии со статьей 21 (1) в ожидании проверки, перевешивают ли законные основания контролера основание субъекта данных. Если обработка данных ограничена в соответствии с пунктом 1, такие личные данные, за исключением хранения, должны обрабатываться только с согласия субъекта данных или для установления, осуществления или защиты юридических требований или для защиты прав другого физического или юридического лица, или по причинам, представляющим значительный общественный интерес для Союза или Государства. Субъект данных, который получил ограничение обработки в соответствии с пунктом 1, должен быть проинформирован контролером до снятия ограничения обработки. Статья 19. Обязательство по уведомлению относительно исправления или удаления персональных данных или ограничения обработки Контролер должен сообщать о любом исправлении или удалении персональных данных или ограничении обработки, осуществляемой в соответствии со статьей 16, статьей 17 (1) и статьей 18, каждому получателю, которому были раскрыты персональные данные, если только это не окажется невозможным или сопряжено с непропорциональностью усилий. Контролер должен информировать субъекта данных о получателях его персональных данных, если субъект данных запрашивает его. Статья 20. Право на переносимость данных Субъект данных имеет право получать персональные данные, касающиеся его, которые он предоставил контроллеру, в структурированном, широко используемом и машиночитаемом формате и имеет право передавать эти данные другому контроллеру без помех от контроллера, которому были предоставлены персональные данные, где: обработка основана на согласии в соответствии с пунктом (а) статьи 6 (1) или пунктом (а) статьи 9 (2) или на контракте в соответствии с пунктом (b) статьи 6 (1); и обработка осуществляется автоматизированными средствами. При осуществлении своего права на переносимость данных в соответствии с пунктом 1 субъект данных имеет право на передачу персональных данных непосредственно с одного контроллера на другого, где это технически возможно. Осуществление права, указанного в пункте 1 настоящей статьи, не должно наносить ущерба статье 17. Это право не распространяется на обработку, необходимую для выполнения задачи, выполняемой в общественных интересах, или для осуществления служебных полномочий, возложенных на контролера. Право, указанное в пункте 1, не должно отрицательно влиять на права и свободы других лиц. Статья 21. Право на возражение Субъект данных имеет право в любое время на основании оснований, касающихся его или ее конкретной ситуации, возражать против обработки относящихся к нему персональных данных, основанной на пункте (е) или (f) статьи 6 (1). в том числе профилирование на основе этих положений. Контролер больше не должен обрабатывать персональные данные, если только контролер не продемонстрирует убедительные законные основания для обработки, которая отвергает интересы, права и свободы субъекта данных или для установления, осуществления или защиты юридических требований. Если персональные данные обрабатываются в целях прямого маркетинга, субъект данных имеет право в любое время возражать против обработки относящихся к нему персональных данных для такого маркетинга, который включает профилирование в той степени, в которой оно связано с таким прямым маркетингом. Если данные подвергаются обработке для целей прямого маркетинга, персональные данные больше не обрабатываются для таких целей. Самое позднее на момент первого общения с субъектом данных право, упомянутое в пунктах 1 и 2, должно быть прямо доведено до сведения субъекта данных и должно быть представлено четко и отдельно от любой другой информации. В контексте использования услуг информационного общества и несмотря на Директиву 2002/58 / EC субъект данных может осуществлять свое право на возражение с помощью автоматизированных средств с использованием технических спецификаций. Если персональные данные обрабатываются для целей научных, исторических исследований или статистических целей в соответствии со статьей 89 (1), субъект данных на основаниях, касающихся его конкретной ситуации, имеет право возражать против обработки относящихся к нему персональных данных, если только обработка не необходима для выполнения задачи, выполняемой по соображениям общественного интереса. Статья 22. Автоматизированное принятие индивидуальных решений, в том числе профилирование Субъект данных имеет право не быть субъектом решения, основанного исключительно на автоматизированной обработке, включая профилирование, которое приводит к юридическим последствиям в отношении него или аналогичным образом существенно влияет на него. Пункт 1 не применяется, если решение: необходим для заключения или исполнения договора между субъектом данных и контроллером данных; уполномочен законодательством Союза или Государства, которому подчиняется контролер, и который также устанавливает надлежащие меры для защиты прав и свобод субъекта данных и законных интересов; или же основан на явном согласии субъекта данных. В случаях, указанных в пунктах (а) и (с) параграфа 2, контроллер данных должен принять соответствующие меры для защиты прав и свобод субъекта данных и законных интересов, по крайней мере, право на вмешательство человека со стороны контролера, чтобы выразить свою точку зрения и оспорить решение. Решения, упомянутые в параграфе 2, не должны основываться на специальных категориях персональных данных, упомянутых в статье 9 (1), за исключением случаев, когда применяются пункты (а) или (g) статьи 9 (2) и надлежащие меры уместны для защиты прав субъекта данных, свободы и законные интересы. Статья 23. Ограничения Закон Союза или Государства, которому подчиняется контроллер или обработчик данных, может посредством законодательной меры ограничивать объем обязательств и прав, предусмотренных в статьях 12-22 и статье 34, а также в статье 5 в той мере, в какой положения соответствуют правам и обязанностям, предусмотренным в статьях 12-22, когда такое ограничение учитывает сущность основных прав и свобод и является необходимой и пропорциональной мерой в демократическом обществе для защиты: национальной безопасности; обороны; общественной безопасности; предотвращения, расследования, выявления или судебного преследования за совершение уголовных преступлений или исполнения уголовных наказаний, включая защиту и предотвращение угроз общественной безопасности; других важных целей, представляющие общественный интерес для Союза или Государства, в частности важные экономические или финансовые интересы Союза или Государства, включая денежные, бюджетные и налоговые вопросы, здравоохранение и социальное обеспечение; защиты независимости судей и судебных разбирательств; предотвращения, расследования, выявления и судебного преследования нарушений этики для регулируемых профессий; контрольной, инспекционной или регулирующей функции, связанной, даже изредка, с осуществлением официальных полномочий в случаях, упомянутых в пунктах (а) - (е) и (g); защиты субъекта данных или прав и свобод других лиц; обеспечения соблюдения требований гражданского права. В частности, любая законодательная мера, упомянутая в пункте 1, должна содержать как минимум конкретные положения, где это уместно, в отношении: целей обработки или категории обработки; категории персональных данных; объема введенных ограничений; гарантии предотвращения злоупотреблений или незаконного доступа или передачи; спецификации контроллера или категории контроллеров; сроков хранения и применимых мер предосторожности с учетом характера, объема и целей обработки или категорий обработки; рисков для прав и свобод субъектов данных; и прав субъектов данных быть проинформированными об ограничении, если это не может нанести ущерб цели ограничения. |