Статья Материальная сфера
Скачать 45.84 Kb.
|
ЧАСТЬ 4. КОНТРОЛЕР И ОБРАБОТКА Статья 24. Ответственность контроллера Принимая во внимание характер, объем, контекст и цели обработки, а также риски различной вероятности и серьезности прав и свобод физических лиц, контролер должен принять соответствующие технические и организационные меры для обеспечения и возможности продемонстрировать, что обработка производится в соответствии с настоящими Правилами. Эти меры должны быть пересмотрены и обновлены в случае необходимости. В тех случаях, когда они соразмерны с обработкой, меры, указанные в параграфе 1, должны включать в себя реализацию соответствующих политик защиты данных контролером. Соблюдение утвержденных кодексов поведения, указанных в статье 40, или утвержденных механизмов сертификации, указанных в статье 42, может использоваться в качестве элемента, с помощью которого можно продемонстрировать соблюдение обязательств контролером. Статья 25. Защита данных по плану и по умолчанию Принимая во внимание уровень техники, стоимость реализации и характер, объем, контекст и цели обработки, а также риски различной вероятности и серьезности прав и свобод физических лиц, возникающие при обработке, контролер должен, как во время определения средств для обработки, так и во время самой обработки, применять соответствующие технические и организационные меры, такие как псевдонимы, которые предназначены для эффективной реализации таких принципов защиты данных, как минимизация данных, интегрировать необходимые меры предосторожности в обработку с целью удовлетворения требований настоящего Регламента и защиты прав субъектов данных. Контролер должен принять соответствующие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только те персональные данные, которые необходимы для каждой конкретной цели обработки. Это обязательство распространяется на количество собранных персональных данных, степень их обработки, срок их хранения и доступность. В частности, такие меры должны обеспечивать, чтобы по умолчанию персональные данные не были доступны без вмешательства человека неопределенному числу физических лиц. Утвержденный механизм сертификации в соответствии со статьей 42 может использоваться в качестве элемента для демонстрации соответствия требованиям, изложенным в пунктах 1 и 2 настоящей статьи. Статья 26. Совместные контроллеры Если два или более контролера совместно определяют цели и средства обработки, они должны быть совместными контролерами. Они прозрачным образом определяют свои соответствующие обязанности по соблюдению обязательств по настоящему Регламенту, в частности, в том, что касается осуществления прав субъекта данных и их соответствующих обязанностей по предоставлению информации, упомянутой в статьях 13 и 14, посредством договоренности между ними, и в той мере, в которой соответствующие обязанности контролеров определяются законодательством Союза или Государства, которому подчиняются контролеры. Соглашение (договор) может определять контактную точку (пункт) для субъектов данных. Соглашение, упомянутое в параграфе 1, должно должным образом отражать соответствующие роли и отношения совместных контролеров по отношению к субъектам данных. Сущность соглашения должна быть доступна субъекту данных. Независимо от условий соглашения, упомянутого в пункте 1, субъект данных может осуществлять свои права в соответствии с настоящим Регламентом в отношении каждого из контролеров. Статья 27. Представители контроллеров или процессоров, не учрежденных в Союзе Если применяется статья 3 (2), контролер или процессор должен назначить в письменном виде представителя в Союзе. Обязательство, изложенное в пункте 1 настоящей статьи, не распространяется на: обработка, которая носит эпизодический характер, не включает в себя крупномасштабную обработку специальных категорий данных, как указано в статье 9 (1), или обработку персональных данных, касающихся уголовных приговоров и преступлений, указанных в статье 10, и вряд ли приведет к риску в отношении прав и свобод физических лиц с учетом характера, контекста, объема и целей обработки; или же государственный орган или государственная личность. Представитель должен быть создан в одном из Государств, где находятся субъекты данных, чьи персональные данные обрабатываются в связи с предложением им товаров или услуг, или чье поведение контролируется. Представитель должен быть уполномоченным контролером или процессором обращаться в дополнение или вместо контролера или процессора, в частности, надзорными органами и субъектами данных, по всем вопросам, связанным с обработкой, в целях обеспечения соблюдения этого Регламента. Назначение представителя контроллером или процессором не должно наносить ущерба юридическим действиям, которые могут быть инициированы против самого контроллера или процессора. |