ПОЛОЖЕНИЕ

РЕГУЛИРОВАНИЕ (Евросоюз) 2016/679 ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ

27 апреля 2016

о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отменяющая Директивы 95/46 / EC (Общие Положение о конфиденциальности)

(Текст ЕЭЗ)

ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОСОЮЗА,
Принимая во внимание Договор о функционировании Европейского Союза, и, в частности, статьи 16, Принимая во внимание предложение Комиссии,
После передачи проекта законодательного акта в национальных парламентах,
Принимая во внимание мнение Европейского экономического и социального комитета (1),
Принимая во внимание мнение Комитета (2),
Действуя в соответствии с обычной законодательной процедурой, (3),
в то время как:

1. (1) Защита физических лиц в отношении обработки персональных данных является фундаментальным правом. статья 8 пункт 1 Хартия основных прав («Карта») и статьи 16 пункт 1 Договор о функционировании Европейского Союза (TFEU) гласит, что каждый имеет право на защиту персональных данных о нем.
2. (2) Принципы и правила о защите физических лиц в отношении обработки их персональных данных должны, независимо от национальности и места жительства, уважение основных прав и свобод, в частности, их права на защиту персональных данных. Настоящее Положение направлено на содействие достижению свободы, безопасности и справедливости и экономического союза, экономический и социальный прогресс, укрепление и конвергенция экономик на внутреннем рынке и процветание лиц.
3. (3) Директива 95/46 / ЕС Европейского парламента и Совета (4) Она стремится к гармонизации защиты основных прав и свобод физических лиц в отношении обработки деятельности и обеспечить свободное движение личных данных между государствами-членами.

1. (1) EEC229tis31.7.2012, s.90.
2. (2) EEC391tis18.12.2012, s.127.
3. (3) Позиция парламента от 12 марта 2014 (еще не опубликовано в Официальном журнале) и позиция Совета

   в первом чтении 8 апреля 2016 (еще не опубликовано в Официальном журнале). Европейская позиция парламента

   14апреля 2016.

4. (4) Директива 95/46 / EK Европейского Парламента и Совета, 24 октября 1995, о защите лиц

   против личных данных и о свободном перемещении таких данных (OJ L 281 из 23.11.1995, р. 31).

Официальный журнал Европейского Союза 4.5.2016

Обработка персональных данных должна быть разработана, чтобы служить человеку. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, соответствии с принципом пропорциональности. Настоящее Положение уважает все основные права и свободы, а также соблюдает принципы, признанные Уставом, закрепленные в договорах, в частности, уважение частной и семейной жизни, Корпус и связь, Защита персональных данных, свобода мысли, совести и религии, свобода выражения мнений и информации, свобода предпринимательства, право на эффективное средство правовой защиты и на справедливое судебное разбирательство и культурное, религиозное и языковое разнообразие.

Экономическая и социальная интеграция, которые в результате операции внутреннего рынка, приводит к значительному увеличению трансграничных потоков данных личного характера. H обмен персональных данных между государственными и частными субъектами, в том числе физических лиц, объединения и предприятия по всему Союзу, увеличилась. Национальные органы государств-членов в соответствии с законодательством ЕС сотрудничать и обмениваться персональными данными, чтобы они могли выполнять свои обязанности или выполнять задачи от имени другого государства-члена органа.

Быстрые технологические изменения и глобализация создают новые проблемы для защиты персональных данных. Масштаб сбора и обмена персональных данных значительно возрос. Технология позволяет как частным компаниям и государственным органам использования персональных данных в беспрецедентных масштабах в погоне за их деятельностью. Лица, чаще раскрывать личную информацию и сделать ее доступной по всему миру. Технологии изменили как экономику и социальную жизнь и должны дополнительно облегчить свободное движение личных данных в рамках Союза и передачи в третьи страны и международные организации, обеспечивая при этом высокий уровень защиты персональных данных.

Эти изменения требуют сильной и более согласованной основы защиты данных в Союзе, Поддержка tiated путем строгого применения закона, как это важно, чтобы создать необходимое доверие, которое позволит цифровой экономике расти на протяжении внутреннего рынка. Люди должны иметь контроль над своими личными данными собственного характера. Будет ли правовая охрана должна быть усилена и практическая определенность для физических лиц, экономические операторы и государственные органы.

Там, где это регулирование содержит спецификацию или ограничение норм права государств-членов, Государства-члены могут включать элементы настоящих Правил в их национальном законодательстве, в объем, необходимый для обеспечения последовательности и следует понимать национальные положения для лиц, к которым они относятся.

Хотя цели и принципы Директивы 95/46 / ЕС остаются сильными, Директива не удалось предотвратить фрагментацию применения защиты данных на всей территории Союза, правовая неопределенность и широкое общественное мнение, что существуют значительные риски для защиты лиц,, в частности в отношении деятельности в Интернете. Различия в уровне защиты прав и свобод лиц,, в частности право на защиту персональных данных, в отношении обработки персональных данных в государствах-членах, может препятствовать свободному движению личных данных на всей территории Союза. поэтому, Эти различия могут быть препятствием для ведения бизнеса в Союзе, искажать конкуренцию и препятствует органам в выполнении их обязанностей, такие как те, вытекающие из права Европейского Союза. Это различие в уровнях защиты связано с расхождениями в реализации и применения Директивы 95/46 / EC.

Для того, чтобы обеспечить последовательный и высокий уровень защиты людей и устранение препятствий на пути потоки персональных данных в рамках Союза, уровень защиты прав и свободы человека в отношении обработки таких данных должен быть эквивалентным во всех государствах-членах. Оно должно обеспечить последовательное и единообразное применение правил о защите основных прав и свобод физических лиц в отношении обработки персональных данных на всей территории Союза. Что касается обработки персональных данных в соответствии с юридическим обязательством, выполнить задачу, проводимую в интересах общества или при исполнении служебных полномочий, возложенных на контроллер, Государства-члены должны иметь возможность сохранять или вводить национальные положения для дальнейшего определения применения норм настоящих Правил. В сочетании с общими и горизонтальных законов о защите данных, направленных на реализацию Директивы 95/46 / ЕС, Государства-члены применяют различные законы по секторам в тех областях, которые требуют конкретных положений. Настоящее Положение также предоставляет пространство для маневра для государств-членов, для того, чтобы адаптировать правила, в том числе относящиеся к обработке специальных категорий персональных данных («Конфиденциальные данные»). В этой степени, настоящий Регламент не исключает права государств-членов для определения обстоятельств, особых условий обработки, в частности, чтобы более точно определить условия, при которых обработка персональных данных является законным.

Официальный журнал Европейского Союза L 119/3

11. (11) Эффективная защита персональных данных по всему Союзу требует укреплений и детального определения прав субъектов данных, а также те, усилитель обязательства предпоса работает и определяет обработку персональных данных, и их соответствующие полномочия для мониторинга и обеспечения соблюдения стандартов защиты персональных данных и соответствующие штрафы за нарушения в государствах-членах.
12. (12) статья 16 пункт 2 TFEU ​​вверяет Европейский парламент и Совет, чтобы установить правила по защите физических лиц в отношении обработки персональных данных и правил о свободном перемещении личных данных.
13. (13) Для того, чтобы обеспечить соответствующий уровень защиты для людей по всему Союзу и избежать пробелов, которые препятствуют свободному движению личных данных на внутреннем рынке, регулирование требуется, который будет гарантировать правовую определенность и прозрачность для экономических агентов, в том числе микро, малые и средние предприятия, и обеспечить для физических лиц во всех государствах-членах на том же уровне юридически осуществимых прав и обязанностей, и обязанности для контроллеров и процессоров, для обеспечения постоянного контроля за обработкой персональных данных, и эквивалентные санкции во всех государствах-членах и эффективное сотрудничество между контролирующими органами различных государств-членов. Бесперебойное функционирование внутреннего рынка, свободное перемещение личных данных в рамках Союза не должно быть ограничено, не запрещено по причинам, связанным с защитой лиц, в отношении обработки персональных данных. Для того, чтобы принять во внимание конкретной ситуации микро-, малые и средние предприятия, это регулирование включает в себя отступление для организаций, использующих менее 250 лица, в отношении учета. дополнительный, институты и органы Союза, а также государства-члены и их надзорные органы, рекомендуется принимать во внимание специфические потребности микро-, малые и средние предприятия в реализации настоящих Правил. Понятие микро-, малые и средние предприятия должны быть основаны на статье 2 Приложение к Рекомендации 2003/361 / EC (1).
14. (14) Защита, обеспечиваемая настоящим Правилам, должны применяться к физическим лицам, независимо от национальности или места жительства, в отношении обработки личного характера данных. Настоящее Положение не распространяется на обработку персональных данных, касающихся юридических лиц, так и в отдельных предприятий, созданных в качестве юридических лиц, включая имя, тип и контактная информация лица.
15. (15) Для того, чтобы предотвратить серьезный риск обхода, Защита отдельных лиц должна быть технологически нейтральной и не зависит от методов, используемых. Защита лиц, должна применяться как к обработке персональных данных с помощью автоматизированных средств, и ручной обработки, если личные данные содержатся или должны быть включены в систему подачи. Файлы и наборы файлов, а также их обложки, которые не структурированы в соответствии с определенными критериями, не должны попадать под действие настоящих Правил.
16. (16) Настоящие Правила не применяются к защите основных прав и свобод или свободного перемещения персональных данных, относящихся к деятельности, не указанных в приложении поля закона Союза, в деятельности, связанной с национальной безопасностью. Настоящие Правила не распространяются на обработку персональных данных государств-членов, когда они осуществляют деятельность, связанную с общей внешней политикой и политикой безопасности Союза.
17. (17) регулирование (ЕС) нет. 45/2001 Европейский парламент и Совет (2) применительно к обработке персональных данных учреждениями и органами, агентства и услуги Союза. регулирование (ЕС) нет. 45/2001 а также другие правовые акты Союза, личные данные применимы к такой обработке символов должен быть адаптирован к принципам и правилам, изложенным в настоящих Правилах, и применяются в свете настоящих Правил. Для обеспечения прочной и последовательной основы защиты данных в Союзе, после принятия настоящих Правил, должны выполнить необходимые приспособления для регулирования (ЕС) нет. 45/2001, чтобы разрешить приложению одновременно с настоящими Правилами.
18. (18) Настоящие Правила не распространяются на обработку персональных данных физическим лицом в ходе чисто личной или бытовой деятельности и, следовательно, без связи с какой-либо профессиональной или

1. (1) Рекомендация Комиссии, 6 мая 2003, относительно определения микро-, малые и средние предприятия [С(2003) 1422] (OJ L 124 из 20.5.2003, р. 36).
2. (2) регулирование(ЕС)arith.45 / 2001touEfropaikouKoinovoulioukaitouSymvouliou,tis18isDekemvriou2000, schetikametinprostasiaton лиц в отношении обработки персональных данных учреждений и органами и о свободном перемещении таких данных (OJ L 8 из 12.1.2001, р. 1).

Официальный журнал Европейского Союза 4.5.2016

(19)

коммерческая деятельность. Личные или домашняя работа может включать в себя переписку и адрес делопроизводство или социальных сетей и онлайн-активность в такой деятельности. однако, она должна применяться к контроллерам или процессорам, которые обеспечивают обработку персональных данных в характере такой личной или внутренней деятельность.

Защита физических лиц в отношении обработки персональных данных компетентных органов в целях предотвращения, исследование, обнаружение или преследование за совершение уголовных преступлений или исполнение уголовных санкций, включая обеспечение от угроз общественной безопасности и их предупреждений и свободного перемещения таких данных, при условии соблюдения определенного правового акта ЕС. Поэтому Настоящие Правила не должны применяться к деятельности по обработке для этих целей. однако, персональные данные, обрабатываемые государственными органами в соответствии с настоящими Правилами должны, когда они использовали для этих целей, регулируются конкретным правовым актом ЕС, а именно Директива (Евросоюз) 2016/680 Европейский парламент и Совет (1). Государства-члены могут наделять компетентные органы в значении Директивы (Евросоюз) 2016/680 Задачи, которые не обязательно тренировались в целях профилактики, исследование, обнаружение или преследование за совершение уголовных преступлений или исполнение уголовных санкций, включая обеспечение от угроз общественной безопасности и их профилактика, так что обработка персональных данных для этих целей, если он подпадает под действие закона Союза, в пределах объема настоящего Положения.

Что касается обработки персональных данных этих органов для целей в рамках настоящих Правил, Государства-члены должны быть в состоянии поддерживать или вводить специальные положения, чтобы адаптировать применение правил настоящих Правил. Эти правила могут более точно указать конкретные требования к обработке персональных данных от этих органов для этих целей, принимая во внимание конституционный, организационно-административная структура соответствующих государств-членов. Когда обработка персональных данных частных лиц, подпадающих под действием настоящих Правил, это регулирование должно предусматривать возможность для государств-членов, чтобы ограничить законом, в особых условиях, определенные обязательства и права, когда такое ограничение является необходимой и соразмерной мерой в демократическом обществе для защиты особо важных интересов, в том числе общественной безопасности и профилактики, исследование, выявление и преследование за совершение уголовных преступлений или исполнение уголовных наказаний, включая обеспечение от угроз общественной безопасности и их профилактика. Этот вопрос, например, в борьбе с отмыванием денег или деятельности судебно-медицинских лабораторий.

Хотя это регулирование применяется, включая, деятельность судов и других судебных органов, Закон Союза или государства-члены могли бы определить операции и процедуры обработки по отношению к обработке персональных данных судов и других судебных органов. К компетенции надзорных органов не должна охватывать обработку персональных данных, когда суды действуют в своем судебном качестве, для обеспечения независимости судебной системы при осуществлении своих судебных функций, в том числе принятия решений. Контроль операций по обработке данных должны быть в состоянии быть отнесены к конкретным органам в судебной системе государства-члена, которые должны, в частности, обеспечить соблюдение правил настоящих Правил, для информирования сотрудников судебных органов в отношении своих обязательств в соответствии с настоящим Положением и рассмотрения жалоб в отношении указанных процедур обработки данных.

Настоящие Правила применяются без ущерба для положений Директивы 2000/31 / EC Европейского парламента и Совета (2), в частности, правила, касающиеся ответственности посреднических услуг изложены в статьях 12 до 15 этой Директивы. Эта Директива призвана способствовать нормальному функционированию внутреннего рынка, обеспечивая свободное движение услуг информационного общества между государствами-членами.

Любая обработка персональных данных в рамках деятельности контроллера объекта или процессор в Союзе должен проводиться в соответствии с настоящими Правилами, независимо от того, выполняется та же обработка в Союзе. Установка требует эффективного и реального осуществления деятельности через стабильные механизмы. В связи с этим, правовая форма таких соглашений, ли приложение или дочерняя правосубъектность, Это не является решающим.

(1) инструкция (Евросоюз) 2016/680 Европейский парламент и Совет, 27 апреля 2016, для защиты физических лиц в отношении обработки персональных данных компетентных органов в целях предотвращения, исследование, обнаружение или преследование за совершение уголовных преступлений или исполнение уголовных наказаний и о свободном перемещении таких данных и отменив Рамочное решение Совета 2008/977 / ПВД (см 89 этого Официальном вестнике).

1. (2) Директива 2000/31 / EC Европейского парламента и Совета, 8 июня 2000, о некоторых правовых аспектах услуг информационного общества, в частности электронной торговли, на внутреннем рынке («Для Директивы по электронной коммерции") (OJ L 178 из 17.7.2000, р. 1).

Официальный журнал Европейского Союза L 119/5

23. (23) Для того, чтобы люди не были лишены защиты, они имеют право на основании настоящих Правил, обработка персональных данных субъектов в Союзе контроллера или процессор не установлена ​​в Союзе должен регулироваться настоящими Правилами, где деятельность по обработке связаны с предоставлением товаров или услуг таких субъектов данных, ли связанные с оплатой. Для того, чтобы определить, предлагает ли такой контроллер или процессор товаров или услуг субъектам данных в Союзе, она должна быть определена, если контроллер или процессор явно предназначен для предоставления услуг субъектам данных в одном или нескольких государствах-членах ЕС. В то время как простая доступность на сайте контроллера, процессор или посредник в Союзе или адрес электронной почты и других контактов или использование элементов языка, как правило, используется в третьей стране, где установлен контроллер не является достаточным для обоснования такого намерения, такие факторы, как использование языка или валюты обычно используется в одном или нескольких государствах-членах, с возможностью заказа товаров и услуг на этом другом языке, или ссылки на клиенты или пользователи, находящиеся в Союзе может дать понять, что контроллер данных намерен предложить товары или услуги субъектам данных в Союзе.
24. (24) Личные данные лиц, которые находятся в Союзе контроллер или процессор не устанавливается в Союзе также должны быть охвачены настоящим Положением, если контроль за поведением таких субъектов данных в той степени, что их поведение происходит в рамках Союза. Для того, чтобы определить, является ли деятельность обработки можно рассматривать как контролировать поведение субъекта данных, оно должно быть установлено, являются ли лицо, отслеживается в Интернете, в том числе потенциал последующего использования обработки персональных данных технического характера, которая заключается в формировании «профиль» физического лица, в частности, для того, чтобы принимать решения, касающиеся его или анализировать и предсказывать личные предпочтения, поведения и отношения.
25. (25) Если закон государства-члена применяется в силу международного публичного права, настоящего Положения, должны также применяться к контроллеру, не прописан в Союзе, такие как, пример, для дипломатического представительства или консульского учреждения государства-члена.
26. (26) Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Личные данные, которые были psefdonymopoiisi, которые можно было бы отнести к индивидууму за счет использования дополнительной информации, Их следует рассматривать информацию о идентифицируемом физическом лице. Для того, чтобы определить, является ли лицо идентифицируемым, Они должны быть приняты из всех средств, которые с достаточной степенью вероятности можно использовать, например, разделение, либо контроллер или третья сторона за прямую или косвенную идентификацию индивидуальной идентичности. Для того, чтобы увидеть, если какие-либо средства, достаточно вероятно, будут использоваться для проверки личности физического лица, следует учитывать все объективные факторы, как стоимость и время, необходимое для идентификации, с учетом технологий, имеющихся на момент событий обработки и технологии. Принципы защиты данных должны, следовательно, не относятся к анонимной информации, то есть информация, которая не связана с идентифицированных или идентифицируемых физическое лицо или персональные данные были предоставлены анонимно, так что личность субъекта данных не может не или больше не может быть установлено. Таким образом, это положение является обработкой такой анонимной информации, не в том числе для статистических или научных целей.
27. (27) Настоящие Правила не распространяются на личные данные умерших. Государства-члены могут предусмотреть правила обработки персональных данных умерших.
28. (28) Использование psefdonymopoiisis персональных данных могут снизить риски для субъектов данных и облегчить их контроллеры и процессоры для удовлетворения соответствующих требований по защите данных. Явное введение «psefdonymopoiisis» настоящее правило не предназначено, чтобы исключить какие-либо другие меры защит данных.
29. (29) Для того, чтобы создать стимулы для psefdonymopoiisi при обработке персональных данных, Должна быть обеспечена возможность принять меры psefdonymopoiisis, позволяя при этом общий анализ, в пределах того же контроллера, когда упомянутый контроллер приняты технические и организационные меры, необходимые, для обеспечения, для соответствующей обработки данных, применение настоящих Правил и дополнительная информация о выполнении персональных данных субъекта данных заинтересованных хранятся отдельно. Контроллер данных, который обрабатывает персональные данные должны назначать уполномоченных лиц в пределах одного контроллера.

Официальный журнал Европейского Союза 4.5.2016

Физические лица могут быть связаны с интернет-идентификаторов элементов, которые предусмотрены устройства, приложений, инструменты и протоколы, такие как интернет-протокол адреса, Идентификаторы печенье или другие идентификаторы, такие как радиочастотная идентификация. Они могут оставить следы, которые, особенно в сочетании с уникальными идентификаторами и другой информацией, полученных с помощью серверов, Они могут быть использованы для создания профилей людей и признать их идентичность.

Государственные органы, которым персональные данные, раскрываемые в соответствии с юридическим обязательством выполнять свои служебные обязанности, такие как налоговые и таможенные органы, экономические исследовательские подразделения, независимые административные органы или финансовые рынки органы, ответственные за регулирование и надзор за рынками ценных бумаг, не должны рассматриваться в качестве получателей, если они получают персональные данные, необходимые для проведения специального расследования в интересах общества, в соответствии с законодательством Союза или государства-члена. Запросы к раскрытию информации, посланные государственными органами всегда должны быть написаны, оправданно при таких обстоятельствах и не должен включать в себя полноту системы подачи или привести к связыванию систем подачи. Обработка персональных данных этих государственных органы, должна соблюдать правила защиты данных применяются в зависимости от целей обработки.

Согласие должно быть обеспечено с чистой положительной энергией, которые составляют бесплатно, специфические, явное и осознанное указание согласия субъекта данных для обработки данных, касающейся его, например, путем письменного заявления, в том числе с помощью электронных средств, или устное заявление. Это может включать в себя завершение коробки при посещении веб-сайта, выбрать требуемые технические меры для услуг информационного общества или утверждение или поведение, которое явно указывает на, в этом контексте, что субъект данных принимает обработку заявки их персональных данных. поэтому, тишина, предварительно проверили коробки или бездействие не должны быть истолкованы как согласие. Согласие должно охватывать все виды деятельности по обработке, осуществляемой в одной и той же цели, или для тех же целей. Когда обработка имеет несколько целей, Согласие должно быть дано для всех этих целей. Если согласие субъекта данных будет предоставлено по запросу в электронном виде, запрос должен быть ясно, всесторонние и необоснованно не мешать использование сервиса, который предоставляется.

часто, Она не может быть полностью определена цель обработки персональных данных для научных исследований на момент сбора данных. поэтому, субъекты данных должны быть в состоянии дать свое согласие на определенные направления научных исследований, когда признанные этические стандарты следует для научных исследований. Субъекты данных должны иметь возможность дать свое согласие только в определенных областях научных исследований или только части научно-исследовательских программ, в той степени, допускаемой по прямому назначению.

Поскольку генетические данные должны быть определены личные данные, связанные с наследственными или apokektimena генетических характеристик индивида в результате биологического анализа проб физического лица, особенно из хромосомного анализа дезоксирибонуклеиновой кислоты (ДНК) или рибонуклеиновая кислота (РНК) или относительно другого элемента, что позволяет получить эквивалентную информацию.

Личные данные, касающиеся здоровья, должны включать в себя все данные, относящиеся к состоянию здоровья субъекта данных и которые раскрывают информацию о прошлом, текущее или будущее состояние физического или психического здоровья субъекта данных. Это включает в себя информацию о личности, собранные во время регистрации медицинских услуг и их предоставления, как это определено в Директиве 2011/24 / ЕС Европейского парламента и Совета (1) προς το εν λόγω φυσικό πρόσωπο· έναν αριθμό, ένα σύμβολο ή ένα χαρακτηριστικό ταυτότητας που αποδίδεται σε φυσικό πρόσωπο με σκοπό την πλήρη ταυτοποίηση του φυσικού προσώπου για σκοπούς υγείας· πληροφορίες που προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, в частности, с помощью генетических данных и биологических образцов и любой информации, например, по болезни, инвалидность, риск заболевания, история болезни, Клиническое лечение или физиологический или биомедицинский статус субъекта данных, независимо от его источника, например, врачом или другим профессиональным здравоохранения, больница, медицинский прибор или диагностический тест в пробирке.

H основная установка Союза контроллера должна быть местом центрального управления в Союзе, если не указаны решения о целях и способами обработки персональных данных, полученных в другом учреждении контроллера в Союзе, так что другой объект будет рассматриваться в качестве основной установки. Основное создание контроллера в Союзе должно определяться в соответствии с объективными критериями и должны подразумевать эффективное и реальное осуществление деятельности по управлению, которые определяют основные решения, касающиеся целей и средств обработки посредством устойчивых механизмов. Этот критерий не должен зависеть от того, при обработке

(1) Директива 2011/24 / ЕС Европейского парламента и Совета, 9 марта 2011, о применении прав пациентов в приграничном здравоохранении (OJ L 88 из 4.4.2011, р. 45).

Официальный журнал Европейского Союза

Персональные данные могут быть в этом месте. Существование и использование технических средств и технологий для обработки персональных данных или обработки деятельности не конституироваться’ Основная установка себе, поэтому, не является решающим критерием для основной установки. Основное создание процессора должно быть местом центрального управления в Союзе или, если он не имеет головной офис в Союзе, место, где основные операции обработки в Союзе. В тех случаях, когда оба контроллера и процессор, ответственный главный надзорный орган должен оставаться надзорным органом государства-члена, где основным учреждением контроллера, но супервизор процессора следует рассматривать как заинтересованный наблюдатель, и что руководитель должен участвовать в процедуре о сотрудничестве, изложенный в настоящих Правилах. В любом случае, надзорные органы государства-члена или государств, где процессор имеет один или несколько учреждений не следует рассматривать как надзорные органы обеспокоены, когда проект решения относится только к контроллеру. Когда обработка осуществляется бизнес-группы, в качестве основного места управления обязательство следует считать основным местом бизнес-группы, если цель и средства обработки не определяются другой компанией.

37. (37) Группа предприятий должна охватывать управляющей компании и компании, она контролирует, где контроль предприятие должно быть обязательство, которое может оказывать доминирующее влияние на других предприятиях в рамках, например, собственности, финансовое участие или правила, которые регулируют его или правила защиты персональных данных, применяющие силу. Проведение осуществления контроля за обработкой персональных данных, связанных предприятий следует рассматривать, вместе с этими компаниями, бизнес-группы.
38. (38) Дети нуждаются в особой защите их персональных данных, так как дети могут быть менее осведомлены о рисках, Последствия и гарантии и их права в отношении обработки персональных данных. Это специальная защита будет особенно верно в использовании личных данных для маркетинга или создания профилей личности или профилей пользователей и собирать личные данные, касающиеся ребенок при использовании услуг, непосредственно предлагаемых к ребенку. Согласие родителя или опекун не должно быть необходимым в связи с консультациями или услугами по профилактике, непосредственно доступных для ребенка.
39. (39) Любая обработка персональных данных должна быть законной и справедливой. Это должно быть ясно лиц, персональные данные, касающиеся их собирают, используемый, рассмотренная или представленный’ в противном случае обрабатывается, и в какой степени личные данные или будут обрабатываться. Этот принцип требует, чтобы любая информация и коммуникация на обработку своих персональных данных, чтобы быть легко доступной и понятной, а также использовать простой и ясный язык. Этот принцип относится, в частности, для информирования субъектов данных о личности контроллера и целях обработки и получении дополнительной информации в целях обеспечения справедливого и прозрачного процесса в отношении этих лиц и их право на получение подтверждения и для достижения сообщения, относящееся к этим персональным данным обрабатывается. Вы должны быть доступны для физических лиц, рискует быть, правила, гарантии и права в отношении обработки персональных данных и как осуществлять свои права в отношении такой обработки. особенно, Персональные данные, конкретные цели обработки должно быть ясно,, правовые и детерминированный, когда сбор персональных данных. Личные данные должны быть адекватными, и ограничивается тем, что необходимо для целей их обработки. Это требует, в частности, для того, чтобы хранение личных данных ограничивается до минимума. Личные данные должны быть обработаны, только если цель обработки не может быть достигнуто с помощью других средств. Для того, чтобы убедиться, что персональные данные не хранятся дольше, чем это необходимо, контроллер должен установить сроки для их удаления или для их периодического обзора. Он должен принять все разумные меры, чтобы гарантировать, что персональные данные, которые являются неточными быть исправлены или удалены. Личные данные должны быть обработаны таким образом, чтобы обеспечить надлежащую защиту и конфиденциальность персональных данных, в частности, для предотвращения несанкционированного доступа к таким личным данным и к оборудованию, используемому для обработки или использовать персональные данные и такого оборудования.
40. (40) Лечиться довольно, персональные данные должны быть обработаны с согласия субъекта данных или другой основе, закон, или в настоящих Правилах или в других законодательных актах Союза или государства-члена, как указано в этом

Официальный журнал Европейского Союза 4.5.2016

регулирование, включая необходимость соблюдения правовых обязательств, к которым контроллер подлежит, или необходимости исполнения договора, к которому субъект данных является стороной или для того, чтобы принять меры по просьбе субъекта данных перед сжиматься.

Всякий раз, когда это правило относится к правовой основе или законодательным мерам, это не обязательно требует законодательства, утвержденного парламент, при условии соблюдения требований в соответствии с конституционным порядком государства-члена. однако, эта правовая основа или законодательная мера должна быть сформулирована четко и точно, и его применение предсказуемы для лиц, подпадающих под действие настоящего, в соответствии с практикой Европейского Суда («Суд») и Европейский суд по правам человека.

Когда обработка основана на согласии субъекта данных, контроллер должен быть в состоянии доказать, что субъект данных дал согласие на операцию обработки. конкретно, на основании письменного заявления по другому вопросу, Они должны быть гарантии для обеспечения того, чтобы субъект данных осведомлен об этом факте и в какой степени согласие. В соответствии с Директивой 93/13 / EEC (1), Вы должны быть предоставлены формы согласия, подготовлено заранее контроллер в понятной и доступной форме, ясно и просто формулировка, без несправедливой. Для того, чтобы рассматривать информированное согласие, субъект данных должен знать, по крайней мере, идентификатор контроллера и цель обработки персональных данных, предназначенные. Согласие не следует рассматривать как дарованное, если субъект данных не имеет никакой реальной или свободный выбор или не быть в состоянии отказаться или отозвать свое согласие без ущерба.

Для того, чтобы гарантировать, что согласие дано свободно, согласие не должно предоставить действующую правовую базу для обработки персональных данных в каждом конкретном случае, когда существует явный дисбаланс между субъектом данных и контроллером, особенно там, где контроллер является органом государственной власти, и поэтому вряд ли дали согласие свободно все обстоятельства этой конкретной ситуации. Согласие считается не было дано свободно, если не разрешено давать отдельное согласие на различную обработку природы персональных данных, даже если это уместно в данном случае, или когда исполнение договора, В том числе матема- услуги, согласие, даже если такое согласие не является необходимым для такого исполнения.

Лечение должно быть законным, необходимым в соответствии с договором или договором о намерениях.

Когда обработка осуществляются в соответствии с юридическим обязательством, к которому контроллер под или когда это необходимо для выполнения поставленной задачи осуществляется в интересах общества или при осуществлении служебных полномочий, Лечение должно быть основано на законе Союза или государства-члена. Настоящие Правила не требуют специального закона для каждого индивидуального лечения. один закон может быть достаточным основанием для более чем одной операции обработки на основе правового обязательства, к которому контроллер подлежит или где обработка необходима для выполнения поставленной задачи осуществляется в интересах общества или при осуществлении служебных полномочий. также, определение целей переработки следует оставить на усмотрение закона Союза или государства-члена. дополнительный, этот закон может определить общие условия настоящих Правил, регулирующих законной обработку персональных данных и принять спецификации для определения контроллера, вид личных данных обрабатываются, соответствующие субъекты данных, субъекты могут koinolo gountai персональных данных, объективные ограничения, срок хранения и другие меры по обеспечению законного и справедливого обработки. также, Это должно быть оставлено законом Союза или законодательством государств-членов, чтобы определить является ли контроллер для выполнения обязанности, выполняемую в интересах общества или при исполнении служебных полномочий должен быть государственный орган или другое физическое или юридическое лицо, регулируется публичное право или, если это оправдано соображениями общественного интереса, в том числе по состоянию здоровья, такие как здравоохранение и социальная защита и медицинские услуги по управлению, частное право, как профессиональный орган.

Обработка персональных данных также следует считать правомерным, где это необходимо для защиты интересов, которая необходима для жизни субъекта данных или другого лица. Обработка персональных данных жизненных интересов другого человека, должна,’

(1) Директива 93/13 / ЕОК Совета, 5 апреля 1993, на несправедливых условиях в договорах, заключаемых с потребителями (OJ L 95 из 21.4.1993, р. 29).

4.5.2016

принцип будет осуществляться только в том случае, очевидно, что обработка не может иметь другую правовую основу. Некоторые виды лечения могут быть использованы как для важных причин, представляющих общественный интерес, а другой для жизненно важных интересов субъекта данных, такие как, например, когда обработка необходима для гуманитарных целей, в том числе для мониторинга эпидемии и их распространения, или в ситуациях срочной гуманитарной необходимости, особенно в тех случаях, природных и техногенных катастроф.

47. (47) Законные интересы контроллера, в том числе и из контроллера, который может быть раскрыт личные данные или треть, может обеспечить правовую основу для обработки, при условии, что они не отменяют интересы или основные права и свободы субъекта данных, принимая во внимание законные ожидания субъектов данных на основе их отношений с контроллером. Такой интерес, например, может произойти, если нет уместно и целесообразно соотношение между субъектом данных и контроллером, как если субъект данных является клиентом контроллера или в службе. В любом случае, наличие законного интереса необходимо будет тщательно проанализировать, в частности, в отношении того субъекта данных, в то время и в контексте сбора персональных данных, разумно ожидать, что для этой цели может быть обработана. конкретно, интересы и основные права субъекта данных могут иметь приоритет над интересами контроллера, когда персональные данные обрабатываются в тех случаях, когда субъект данных не разумно ожидать дальнейшую обработку данных. Так как для законодательной власти обеспечить законодательно-правовую базу для обработки персональных данных органов государственной власти, эта правовая основа не должна применяться к лечению со стороны государственных органов при исполнении ими своих обязанностей. Обработка Н персональных данных, в той степени, строго необходимо в целях предотвращения мошенничества, также представляют собой законный интерес контроллера данных. обработка H персональных данных для целей прямого маркетинга можно считать, что экземпляр законного интереса.
48. (48) Контроллеры, которые являются членами группы компаний или организаций, связанных с центральным органом могут иметь законный интерес к передаче персональных данных в рамках бизнес-группы для внутренних административных целей, включая обработку личного клиента или данных о сотрудниках. Общие принципы передачи личных данных, в группе компаний, к предприятию, учрежденному в третьей стране, не затрагивается.
49. (49) Обработка персональных данных, поскольку является строго необходимым и соразмерным для целей обеспечения сетевой и информационной безопасности, то есть способность сети или информационной системы противостоять, на заданном уровне доверия, случайные события или незаконные или злонамеренные действия, которые ставят под угрозой доступности, подлинность, целостность и конфиденциальность храниться или передаваться тивность, своевременность персональных данных, и безопасность услуг, предоставляемых эти сети и системы или доступных через эту сеть и системы, или предлагаемые государственными органами, Чрезвычайные группы реагирования в области ИТ (CERT), от команд вмешательства для событий, связанных с компьютерной безопасностью (CSIRT), от сетевых провайдеров услуг электронных коммуникаций и поставщиков технологий и служб безопасности, Он представляет собой законный интерес контроллера данных. Это может включать в себя, пример, предотвращение несанкционированного доступа к электронным сетям связи и распространения вредоносного кода и остановки «отказ в обслуживании» и повреждения компьютерных систем и электронных коммуникаций.
50. (50) Обработка персональных данных, отличных от тех, по которым персональные данные были первоначально собраны должно быть разрешено только тогда, когда обработка является совместимым с целями, для которых личные данные были первоначально собранных целей. В этом случае, нет отдельной правовой основы не требуется, допускаемые для сбора персональных данных. Если обработка необходима для выполнения поставленной задачи осуществляется в интересах общества или при осуществлении служебных полномочий, возложенных на контроллер, Закон Союза или государства-члены может определить и определить задачи и цели, для которых они должны считаться совместимой и правомерной дальнейшей обработкой. Дальнейшая обработка архивных причинам, связанным с общественными интересами, для целей научных или исторических исследований или для статистических целей следует считать совместимой противоправной операцию обработки. Правовая основа предусмотренного законодательства Союза или государства-члена для обработки персональных данных также может представлять собой правовую основу для дальнейшей обработки. Для того, чтобы определить, является ли целью дальнейшей обработки совместит с целью первоначального сбора персональных данных, контроллер, если она отвечает всем требованиям законности первичной обработки, Вы должны принять во внимание, включая: τυχόν συνδέσμους μεταξύ των σκοπών αυτών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους· τη φύση των δεδομένων προσωπικού χαρακτήρα· τις

Официальный журнал Европейского Союза 4.5.2016

(51)

συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων· και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας.

Когда субъект данных предоставил свое согласие или обработку на основе закона Союза или государства-члена является необходимой и соразмерной мерой в демократическом обществе для обеспечения, частности, Основные задачи в контексте интереса широкой общественности, Это должно позволить контроллеру осуществлять дальнейшую обработку персональных данных, независимо от совместимости целей. В любом случае, Это должно обеспечить применение принципов, изложенных в настоящих Правилах и, особенно, сообщить субъекту данные о тех, других целях и их права, в том числе права на объект. Пометка возможных преступлений или угрозы общественной безопасности с помощью контроллера и передач персональных данных связанных с компетентным органом в каждом конкретном случае или более одного случаев с участием того же правонарушения или одни и те же угрозы для общественной безопасности его следует рассматривать как подпадающие под законных интересов, преследуемых контроллером. однако, Передачи находится в пределах законного интереса контроллера или дальнейшей обработки персональных данных должна быть запрещена, если процесс не совместим с правовой, профессиональное или иное связаны обязательство конфиденциальности.

Личные данные, которые особенно чувствительны в природе в отношении основных прав и свобод, требующих особой защиты, потому что контекст лечения может создать серьезные риски для основных прав и свобод. Эти персональные данные должны включать в себя персональные данные выявления расовой или этнической принадлежности, где использование термина «расового происхождения» в настоящих Правилах не означает, что Союз принял теории, которые поддерживают существование отдельных человеческих рас. Редактирование фотографий не должно систематически рассматриваться как обработка специальных категорий персональных данных, поскольку они подпадают под определение биометрических данных только тогда, когда обработка с помощью специальных технических средств, позволяющих однозначно идентифицировать или аутентификации физического лица. Такие персональные данные не должны быть обработаны, если такое лечение не допускается в особых случаях, предусмотренных в настоящих Правилах, в то время как закон государства-члены могут установить конкретные положения о защите данных, адаптировать применение правил настоящих Правил соблюдать правовые обязательства или выполнить эту задачу, выполняемую в интересах общества или при исполнении служебных полномочий, возложенных на контроллер. Помимо специфических требований, которые подлежат такая обработка, Они должны применяться общие принципы и другие нормы настоящих Правил, в частности, в,Что касается правовых условий лечения. Исключения из общего запрета личного характера данных, подпадающего этих конкретных категорий должны быть прямо предусмотрено, включая, в случае явно выраженного согласия субъекта данных или в отношении инвалидов, особенно если обработка осуществляется в рамках законной деятельности определенных ассоциаций и фондов, чья цель состоит в том, чтобы обеспечить осуществление основных свобод.

Отступления от запрета на обработку специальных категорий персональных данных, также должно быть разрешено, если это предусмотрено законодательством Союза или государства-члена и при условии соблюдения соответствующих гарантий, для защиты персональных данных и других основных прав, если это оправдано соображениями общественного интереса, в частности, обработка персональных данных в сфере трудового права, закон социальной защиты, включая пенсии, и в целях безопасности для здоровья, мониторинга и сигнализации для предотвращения или борьбы с инфекционными заболеваниями и другими серьезными угрозами для здоровья. Это исключение может быть сделано в медицинских целях, в том числе общественного здравоохранения и управления здравоохранением, в частности, в целях обеспечения качества и эффективности затрат на процедуры, используемые для урегулирования претензий на пособия и услуги в системе обязательного медицинского страхования, или для архивирования целей в интересах общества, Цели научного или исторического исследования или статистических целей. Он также должен быть отходом разрешить обработку таких персональных данных, когда необходимо установить, подготовки или поддержки юридических претензий, либо в судебном разбирательстве или в каком-либо административном или внесудебном процессе.

Обработка специальных категорий персональных данных, которые требуют более высокой степени защиты должна быть сделана только для целей, связанных со здоровьем, если это необходимо для достижения этих целей, в интересах отдельных лиц и общества в целом, в частности, в контексте управления и медицинских систем обслуживания и социальной помощи, включая обработку таких данных руководства и центральные органы здравоохранения с целью контроля качества, управление информацией и в целом на национальном и местном надзор здравоохранения или социальной помощи, и обеспечение непрерывности медицинской помощи или социальной работы и приграничному здравоохранения или медицинской безопасности, для целей мониторинга и сигнализации или для архивирования в интересах общества, научные или исторические исследования или

4.5.2016

Официальный журнал Европейского Союза

статистических целей, законодательством Союза или государств-членов с целью служить общественным интересам, а также исследования, проведенные в интересах общества в сфере общественного здравоохранения. следовательно, это регулирование должно предусматривать гармонизированные условия для обработки специальных категорий персональных данных, касающееся здравоохранения, по сравнению с ограниченными возможностями, особенно если обработка этих данных осуществляется для определенных целей, касающихся здоровья лиц, находящихся под юридическим обязательством профессиональной тайны. Закон Союза или государства-члены должны обеспечить конкретные и адекватные меры по защите основных прав и персональных данных физических лиц. Государства-члены должны быть в состоянии поддерживать или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрические данные или данные, касающиеся здоровья. однако, это не должно препятствовать свободному движению личных данных в рамках Союза, когда эти условия применяются к приграничному обработке таких данных.

54. (54) Обработка специальных категорий персональных данных, которые могут потребоваться по соображениям общественного интереса в области общественного здравоохранения, без согласия субъекта данных. Такая обработка должна быть предметом надлежащих и конкретных мер, направленных на защиту прав и свобод граждан. В этом контексте, «Общественного здравоохранения» следует толковать, как это определено в Постановлении (ЕС) нет. 1338/2008 Европейский парламент и Совет (1), то есть все элементы, связанные со здоровьем, а именно здоровье, в том числе заболеваемости и инвалидности, детерминанты, влияющие на здоровье, потребности здравоохранения, ресурсы, выделяемые на здравоохранение, оказание медицинской помощи и обеспечения всеобщего доступа к нему, а также расходы и финансирование медицинской помощи и причины смертности. Эти данные, касающиеся здоровья в интересах общества не должны приводить к обработке персональных данных для других целей третьих лиц, такие как работодатели или страховые компании и банки.
55. (55) дополнительный, обработка персональных данных официальных органов для достижения целей, официально признанная религиозных объединений, изложенный в конституционном законе или международном публичном праве, вещь topoieitai общественного интереса.
56. (56) ли, в рамках деятельности по проведению выборов, функционирование демократической системы в государстве-члене должны требовать от политических партий личные данные, касающиеся политических взглядов граждан, обработка таких данных может быть разрешена по соображениям общественного интереса, если имеются надлежащие гарантии.
57. (57) Если персональные данные обрабатываются с помощью контроллера не позволяет контроллеру определить физическое лицо, контроллер данных не должен быть обязан приобретать дополнительную информацию, для идентификации субъекта данных с единственной целью соблюдения какого-либо положения настоящих Правил. однако, контроллер не должен отказаться от получения дополнительной информации, представленной субъектом данных в целях оказания поддержки осуществлению его прав. Идентификация должна включать в себя цифровую идентификацию субъекта данных, например, с помощью механизма аутентификации, в одной и той же идентификационной информации используются субъектом данных при входе (авторизоваться) онлайн сервис обеспечивается контроллером.
58. (58) Принцип прозрачности требует, чтобы любая информация, адресованное общественности или субъекта данных краток, легко доступны и легко понять и ясно и просто формулировки и, дополнительный, где это уместно, изображение. Такая информация может быть предоставлена ​​в электронном виде, например, если они предназначены для общественности, через веб-сайт. Это особенно важно в тех случаях, когда множество участников и сложность технологии делают его трудным для субъекта данных, чтобы знать и понять,, кем и с какой целью собранных персональных данных, касающихся,как и в случае интернет-рекламы. Так как дети нуждаются в особой защите, каждая информация и связь, если лечение направлено на детях, Она должна быть выражена четко и простым языком, что ребенок может легко понять.
59. (59) Они должны обеспечивать способы, позволяющие субъекту данных осуществлять свои права в соответствии с настоящими Правилами, среди других механизмов, с помощью которых можно запросить и, где это уместно, быть получены бесплатно, особенно, Доступ к личным данным и исправить или удалить их и осуществлять право на объект. Контроллер должен также предоставить средства для электронной подачи заявок, особенно когда персональные данные обрабатываются в электронном виде. Контроллер должен быть обязан отвечать на запросы субъекта данных без задержки и не позднее одного месяца и обосновать, когда он не намерен выполнять любые такие запросы.

(1) регулирование (ЕС) нет. 1338/2008 Европейский парламент и Совет, 16 декабря 2008, по статистике Сообщества в области общественного здравоохранения и охраны здоровья и безопасности труда (OJ L 354 из 31.12.2008, р. 70).

Официальный журнал Европейского Союза 4.5.2016

Принципы справедливой и прозрачной обработки требуют, чтобы сообщить субъекту данных о существовании операции обработки и ее целей. Контроллер должен предоставить субъекту данных любую дополнительную информацию, которая необходима для обеспечения справедливого и прозрачного лечения, принимая во внимание конкретные обстоятельства и контекст, в котором она выполняется обработка персональных данных. далее, Субъект данных будут последствия и что профиль должен быть обновлен, если установлено. Если персональные данные, предоставленные субъектом данных, субъект данных также должен быть информирован о том, обязаны ли предоставить личные данные, и за последствия, когда он не дает такие данные. Эта информация может быть представлена ​​в сочетании со стандартными иконками, которые будут размещены на видном, понятным и читаемым образом существенный обзор предполагаемой обработки. Если иконки доступны в электронном виде, Они должны быть машиночитаемой.

Информация в отношении обработки персональных данных, относящихся к предмету данных должна быть представлена ​​в коллекции субъекта данных или, если персональные данные, полученные от другого источника, в течение разумного периода времени, в зависимости от обстоятельств каждого дела. Если личные данные могут быть переданы другому получателю, субъект данных должен быть проинформирован, когда личные данные раскрыты впервые получатель. Когда контроллер планирует обрабатывать персональные данные для других целей, кроме тех, для которых она была собрана, контроллер данных должен предоставить субъекту данных, перед указанным дальнейшей обработкой, Информация для этой цели и другой необходимой информации. Когда происхождение персональных данных не может быть раскрыто субъекту данные, поскольку различные источники были использованы, Они должны быть приведены общие сведения.

однако, нет необходимости вводить обязательство предоставлять информацию, если субъект данных уже имеет информацию, если запись или раскрытие персональных данных прямо предусмотрено законом или если предоставление информации субъекту данных оказывается невозможным или потребует чрезмерных усилий. Последнее может быть особенно, когда обработка для архивных целей в интересах общества, для целей научных или исторических исследований или статистических целей. соединение, Они должны принимать во внимание количество субъектов данных, возраст данных и любых соответствующих гарантий введены.

Субъект данных имеет право на доступ персональных данных, собранные и заботу и осуществлять это право легко и с разумными интервалами, чтобы быть в курсе и проверить законность обработки. Это включает в себя право субъектов данных на доступ к данным, касающимся их здоровья, например, данные в их медицинских записей, содержащих такую ​​информацию, как диагноз, результаты экзамена, Оценки по лечащим врачам и какого-либо лечения или вмешательств, оказываемых. поэтому, каждый субъект данных должен иметь право знать и особенно объявлено, что цель обработки персональных данных, если это возможно, как долго обработка персональных данных, Получатели, которые получают персональные данные, Какая логика следует в любой автоматической обработке персональных данных и какие могут быть последствия такой обработки, по крайней мере, на основе профилирования. Контроллер должен быть в состоянии обеспечить удаленный доступ к защищенной системе, через которую субъект данных получает прямой доступ к данным, касающимся его. Это право не должно негативно повлиять на права и свободы других лиц, такие как профессиональная тайна или права на интеллектуальную собственность и, частности, авторское право защиты программного обеспечения. однако, Эти факторы не должны приводить к отказу в предоставлении какой-либо информации субъекту данных. Когда контроллер процесс большое количество информации о субъекте данных, контроллер должен иметь возможность задать тему, с учетом априорной информации, указать информацию или обработки деятельности, связанной с запросом.

Контроллер должен использовать все разумные меры для проверки личности субъекта данных, который запрашивает доступ, в частности, в контексте онлайн-сервисов и онлайн-идентификаторов идентичности. Контроллер не должен сохранять личные данные для единственной цели, чтобы быть в состоянии реагировать на потенциальные просьбы.

Субъект данных имеет право требовать коррекции персональных данных, относящихся к нему, и «право на забвение», если сохранение таких данных нарушает настоящие Правила или закон Союза или государства-члена, где контроллер подлежит. особенно, субъект данных должен иметь право потребовать удаления и прекращения обработки персональных данных, относящихся к нему, если персональные данные больше не нужно в отношении целей, для которых они собираются или передаются в соответствии’ в противном случае обрабатывается, если субъект данных отзывает согласие на лечение или если объект на обработку персональных данных в отношении к нему, или если обработке персональных данных, относящихся к нему, не в соответствии с настоящими Правилами в’ в противном случае. Это право особенно важно, когда субъект данных предоставил свое согласие в детстве, когда он не был полностью в курсе

4.5.2016

Официальный журнал Европейского Союза

риски лечения, а потом хочет, чтобы удалить определенные личные данные, главным образом из Интернета. Субъект данных должен быть в состоянии осуществить это право, даже если она уже не ребенок. однако, дальнейшее сохранение персональных данных должно быть законным, где это необходимо для осуществления права на свободу выражения мнений и информации, для соблюдения юридических обязательств, выполнить задачу, проводимую в интересах общества или при исполнении служебных полномочий, возложенных на контроллер, общественный интерес в сфере общественного здравоохранения, для архивных целей в интересах общества, для целей научных или исторических исследований или статистических целей, или для установления, подготовки или поддержки юридических претензий.

66. (66) Для того, чтобы усилить право быть забытым в онлайновой среде, право на стирание также должно быть расширено таким образом, что контроллер, который опубликовал персональные данные будет обязан информировать Контроллеры технологических процессов таких персональные данные для того, чтобы стереть любые ссылки или копирования или репликации этих данных личный. Когда она делает это, что контроллер должен предпринять разумные шаги, с учетом технологии, доступные и средства доступны для контроллера данных, в том числе технических мер, информировать контроллеры, которые обрабатывают персональные данные по требованию субъекта данных.
67. (67) Методы, используемые для ограничения обработки персональных данных могут включать в себя, включая, временное перемещение выбранных данных в другую систему обработки, удаление доступности выбранных персональных данных пользователей или временного удаления опубликованных данных с сайта. В автоматизированных системах подачи ограничивающих обработки должны в’ Принцип быть обеспечен с помощью технических средств, так что личные данные не подлежат дальнейшую операцию обработки и не могут быть изменены. Тот факт, что обработка персональных данных ограничена будет указано в системе.
68. (68) В целях дальнейшего усиления контроля над персональными данными, когда обработка персональных данных осуществляется с помощью автоматизированных средств, субъект данных также должен иметь возможность получать личные данные, относящиеся к нему, который предоставил контроллер, структурированное, широко используется и машиночитаемый формат совместимых, и пересылать их на другой контроллер. Контроллеры данных должны включать в себя поощрение nontai разработки совместимых форматов позволяют портативность данных. Это право должно применяться, если субъект данных при условии, что персональные данные с согласием или если обработка необходима для исполнения договора. Она не должна применяться, когда обработка основана на иных, чем согласие или договор полномочий. От природы этого права не должно осуществляться контроллерами, которые обрабатывают персональные данные в исполнении своих общественных обязанностей. Поэтому она должна применяться там, где обработка персональных данных необходима для соблюдения юридических обязательств, к которым контроллер подлежит, или выполнить какую-либо задачу, проводимой в интересах общества или при исполнении служебных полномочий, возложенных на контроллер. Право субъекта данных для передачи или приема персональных данных, относящихся к нему не должен создавать обязательства диспетчеров принимать или поддерживать системы очистки, которые совместимы технически. когда, определенный набор личных данных, затрагиваемые более одного субъекты данных, право на получение персональных данных не должен затрагивать права и свободы других субъектов данных в соответствии с настоящим Положением. дополнительный, это право не должно наносить ущерба праву субъекта данных, чтобы запросить удаление личных данных или ограничения этого права, как это предусмотрено в настоящих Правилах, и, в частности, не должен приводить к удалению персональных данных в отношении субъекта данных личного характера и которое было поставлено им в соответствии с договором, степень и если эти данные необходимы для выполнения настоящего договора. Когда это технически возможно, субъект данных должен иметь право гарантировать, что личные данные передаются непосредственно от одного контроллера на другой.
69. (69) Если персональные данные могут законно обрабатываться, так как обработка необходима для выполнения поставленной задачи осуществляется в интересах общества или при осуществлении служебных полномочий, возложенных на контроллере или по причинам законных интересов контролера или третьей стороны, любой субъект данных должен иметь право на пар’ все они возражают против обработки личных данных, относящихся к конкретной ситуации. Это должно быть для контроллера, чтобы доказать, что императивные законные интересы могут переопределять интересы или основные права и свободы субъекта данных.
70. (70) Если персональные данные обрабатываются для целей прямого маркетинга, субъект данных должен иметь право на объект такой обработки, в том числе и профильное обучение в той степени, которая связана с этой прямой маркетинг, ли первоначальное или для дальнейшей обработки, в любое время и без оплаты. Это право должно быть специально доведено до сведения субъекта данных, и ясно показано отдельно от любой другой информации.

Официальный журнал Европейского Союза 4.5.2016

Субъект данных должен иметь право не подвергаться решению, которая может включать в себя некоторую меру, которые оценивают личные аспекты, связанные с ним, получен исключительно автоматизированной обработки и которая производит юридические последствия для этого человека или существенно влияет соответственно, как автоматический отказ онлайн кредитной заявки или электронных методов найма без вмешательства человека. Эта процедура включает в себя «профилирование», который состоит из какой-либо формы автоматизированной обработки персональных данных для оценки личных аспектов, связанных с физическим лицом, особенно анализа или прогнозирования аспекты производительности на рабочем месте, экономическая ситуация, здоровье, личные предпочтения или интересы, надежность или поведение, положение или движение субъекта данных, поскольку в законную силу в отношении такого лица или существенно влияет аналогично. однако, решение, основанное на этом лечении, включая профильное обучение, Это должно быть разрешено, если прямо не предусмотрено законом Союза или государства-члена, в котором контроллер подлежит, в том числе для целей мониторинга и предотвращения мошенничества и уклонения от уплаты налогов в соответствии с Положением, стандарты и рекомендации институтов Союза и национальных надзорных органов, а также обеспечить безопасность и надежность услуг, предоставляемых контроллером, или, когда это необходимо для заключения или исполнения договора между субъектом данных и контроллер или когда субъект данных при условии их явного согласия. В любом случае, такая обработка должна быть с учетом соответствующих гарантий, которая должна включать в себя конкретную информацию о субъекте данных и право, обеспечивающее вмешательство человека, право выражения мнения, право на получение причины принятого решения в контексте этой оценки и право оспаривать решение. Эта мера не должна касаться ребенка.

В целях обеспечения справедливого и прозрачного процесса в отношении субъекта данных, принимая во внимание конкретные обстоятельства и контекст, в котором она выполняется обработка персональных данных, контроллер должен использовать соответствующие математические или статистические процедуры для составления профиля, для реализации технических и организационных мер,, исправить факторы, которые приводят к неточностям в личных данных и свести к минимуму риск возникновения ошибок, сделать безопасные персональные данные таким образом, что принимает во внимание потенциальные риски, связанные с интересами и правами субъекта данных и таким образом, что предотвращает, включая, дискриминационные последствия в отношении лиц, на основе расового или этнического происхождения, политическое мнение, религии или убеждений, участие в профсоюзах, генетическое заболевание или состояние здоровья или сексуальной Guidance, или эквивалентные им меры. Автоматизированное принятие решений и профилирование на основе определенных категорий персональных данных должно быть разрешено только при определенных условиях.

Профилирование в соответствии с правилами настоящих Правил, регулирующих обработку персональных данных, как правовые основания для обработки или данных органов охраны. В этом контексте, Совет Европы о защите данных установлено настоящим Положением («Совет по защите данных») Вы должны быть в состоянии дать указание.

Они могут быть установлены законом Союза или ограничением права государств-членов на некоторых основополагающих принципах и права на информацию, доступ и исправление или уничтожение персональных данных, право на переносимость данных, право на объект, решения, основанные на профилирование, и нарушение личной передачи данных субъекта данных и на некоторых соответствующих обязательства контроллеров, в той степени, которая является необходимым и соразмерным в демократическом обществе для обеспечения общественной безопасности, включая защиту человеческой жизни, особенно в случае природных или техногенных катастроф, профилактика, расследование и судебное преследование за совершение уголовных преступлений или исполнение уголовных санкций, включая обеспечение от угроз общественной безопасности и их предупреждения или нарушений этических норм в регулируемых профессиях, другие важные цели общенародных интересов Союза или государства-члена, в частности, является важными экономическими или финансовыми интересами Союза или государств-члена, соблюдение публичных записей в общих интересах, дальнейшая обработка персональных данных в архив, чтобы предоставить конкретную информацию о политическом поведении в бывших авторитарных режимов или защиты субъекта данных или прав и свобод других лиц, в том числе социальной защиты, общественное здравоохранение и гуманитарные цели. Эти ограничения должны быть в соответствии с требованиями, изложенными в Уставе и Европейской конвенции о защите прав человека и основных свобод.

Он должен установить ответственность и компенсацию контроллера для любой обработки персональных данных, выполняемых контроллером или от имени контроллера. конкретно, контроллер должен быть обязан надлежащим образом осуществлять и эффективно оценивать и быть в состоянии продемонстрировать соответствие технологических операций с настоящими Правилами, в том числе эффективности мер. Эти меры должны учитывать природу, контекст, масштабы и цели обработки и риск прав и свобод личности.

Официальный журнал Европейского Союза

75. (75) Риски для прав и свобод физических лиц, различной вероятности и тяжести, Они могут быть получены в результате обработки персональных данных, которые могут привести к физическому, физическое или не физическое повреждение, особенно, когда лечение может привести к дискриминации, злоупотребления или кражи личных данных, финансовый убыток, ущерб репутации, потеря конфиденциальности личных данных защищены профессиональной тайны, незаконное изъятие psefdonymopoiisis, ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα· όταν τα υποκείμενα των δεδομένων θα μπορούσαν να στερηθούν των δικαιωμάτων και ελευθεριών τους ή να εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα· όταν υπόκεινται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, политические убеждения, религии или философские убеждения, участие в профсоюзах и переработанные генетические данные, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας· όταν αξιολογούνται προσωπικές πτυχές, особенно при попытке анализировать и предсказывать аспекты производительности при работе, экономическая ситуация, здоровье, личные предпочтения или интересы, надежность или поведение, положение или движение, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ· όταν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα ευάλωτων φυσικών προσώπων, ιδίως παιδιών· ή όταν η επεξεργασία περιλαμβάνει μεγάλη ποσότητα δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων των δεδομένων.
76. (76) Вероятность и серьезность риски для прав и свобод субъекта данных должны определяться ссылкой на характер, сфера, контекст и цель обработки. Этот риск должен быть оценен на объективной оценке, объявляя ли операции по обработке данных включают в себя риск или высокий риск.
77. (77) Руководство по осуществлению соответствующих мер, а также для демонстрации соответствия контроллера и процессора, в частности, в отношении определения рисков, связанных с лечением, их оценка с точки зрения происхождения, природа, вероятность и степень тяжести и определить оптимальные методы уменьшения рисков, в частности, могут быть предоставлены с утвержденными кодами поведения, утвержденные сертификаты, рекомендации, представленные Советом по защите данных или инструкций при условии, DPO. Совет по защите данных может также выдавать директивы по операциям обработки, которые считаются вряд ли приведет к высокому риску прав и свобод человека и гражданина, который указывает на то, какие меры могут быть достаточными в данном случае для решения относительного риска.
78. (78) Защита прав и свобод человека в отношении обработки персональных данных требует, чтобы соответствующие технические и организационные меры по обеспечению соблюдения требований настоящих Правил. Для того, чтобы быть в состоянии продемонстрировать соблюдение настоящих Правил, контроллер должен принять внутреннюю политику и осуществлять меры, которые отвечают, в частности принципов защиты данных по конструкции и по умолчанию. Такие меры могут включать в себя, включая, сводя к минимуму обработку персональных данных, psefdonymopoiisi личные данные как можно скорее, прозрачность в отношении функций и обработки персональных данных, чтобы позволить субъекту данные контролировать обработку данных и быть в состоянии контроллера создает и улучшает функцию безопасности. При разработке, дизайн, выбор и использование приложений, услуг и продуктов на основе обработки персональных данных или вниз обработки персональных данных для выполнения ими своих обязанностей, производители, услуг и приложений, следует поощрять принимать во внимание право на защиту данных, в разработке и проектировании таких продуктов, услуги и приложения, что, принимая во внимание последние события, обеспечение того, чтобы контроллеры и процессоры будут иметь возможность выполнять свои обязательства в отношении защиты данных. Принципы защиты данных по конструкции и по умолчанию также должны быть приняты во внимание при осуществлении государственных закупок.
79. (79) Защита прав и свобод субъектов данных, а также ответственность и ответственность за ущерб, контроллеры и исполняющей обработку, в том числе в отношении контроля со стороны надзорных органов и надзорных мер, Это требует четкого распределения обязанностей в соответствии с настоящим Положением, включая случай, когда контроллер определяет цели и средства обработки совместно с другими контроллерами или когда операция обработки осуществляется от имени контроллера.
80. (80) Если контроллер или процессор не установлен в Союзе обработка персональных данных субъектов, которые в Союзе и выполнение мероприятий по обработке, связанные с поставкой товаров или услуг, или требовать компенсации от лица или нет, по этим предметам в Союзе или контроль за их поведением в той степени, что их поведение имеет место в Союзе, контроллер или процессор должен назначить представителя, если обработка не является случайной, не включает в себя обработку, большой масштаб, персональные данные или обработки персональных данных, относящихся к судимостей и правонарушений, и, скорее всего, приведет к опасности для прав и свобод физических лиц, принимая во внимание области видимости, контекст, характер и цели обработки, или если контроллер является государственным органом или органом. Представитель должен действовать от имени контроллера или процессора, и которые могут быть адресованы каждому руководителю. Представитель должен быть четко определен

L 119/16

Официальный журнал Европейского Союза 4.5.2016

(81)

письменное разрешение контроллера или процессора действовать от его имени в отношении своих обязательств в соответствии с настоящим Положением. Назначение представителя не влияет на ответственность или ответственность контроллера или процессор в соответствии с настоящим Положением. Этот представитель должен выполнять свои функции в соответствии с мандатом, предоставленным контроллером или процессором, среди прочего, сотрудничать с компетентными органами каких-либо мер, принятых в целях обеспечения соблюдения настоящих Правил. Назначенный представитель будет зависеть от принудительных процедур в случае несоблюдения контроллера или процессор.

Для того, чтобы обеспечить соблюдение требований настоящих Правил в отношении проведения обработки процессора, контроллером, где назначены деятельности по обработке процессора, контроллер должен использовать только процессоры, которые предлагают адекватные гарантии, в частности, с точки зрения опыта, доверие и ресурсы, для реализации технических и организационных мер по выполнению требований настоящих Правил, в том числе по безопасности обработки. Присоединение процессора к утвержденному кодексу поведения или одобренной схема сертификации может быть использовано в качестве доказательств, чтобы доказать соответствие с обязательствами контроллера. Обработка процессора должна регулироваться договором или иным правовым актом, основанный на законе Союза или законодательством государств-членов, подключения процессора к контроллеру, который определяет объем и продолжительность лечения, характер и цели обработки, вид личных данных и категорий субъектов данных, принимая во внимание конкретные задачи и функции процессора в рамках обработки будет осуществляться и риск для прав и свобод субъектов данных. Контроллер и процессор может выбрать, чтобы использовать индивидуальный контракт или стандартные условия договора или одобрен непосредственно Комиссией или контролирующего органа в соответствии с механизмом, консистенция и впоследствии одобрен Комиссией. После завершения обработки от имени контроллера, процессор должен, в зависимости от выбора контроллера, вернуть или удалить личные данные, если это не требуется для хранения персональных данных в соответствии с законодательством Союза или законодательством государства-члена, которому принадлежит процессору.

Для того, чтобы быть в состоянии продемонстрировать соблюдение настоящих Правил, контроллер или процессор должен вести учет операций обработки под их ответственность. Каждый контроллер и каждый процессор должны быть обязаны сотрудничать с надзорным органом и делают доступным, по требованию, такие записи, поэтому он может быть использован для мониторинга конкретных операций по обработке.

Для обеспечения безопасности и предотвращение обработки в нарушении настоящих Правил, контроллер или процессор должен оценить риски, связанные с обработкой и осуществлять меры по снижению этих рисков, например, с помощью шифрования. Эти меры должны обеспечить надлежащий уровень безопасности, которая включает в себя конфиденциальную тивность, своевременность, принимая во внимание последние события и стоимость реализации по отношению к рискам и природы персональных данных должны быть защищены. При оценке риска для безопасности данных следует уделять рискам, связанным с обработкой персональных данных, такие как случайное или незаконное уничтожение,, потеря, изменение, несанкционированное раскрытие или доступ к личным данным, передаваемым, сохранены или подвергнуты плоским’ обработаны иным образом, который может привести к физическому, физическое или не физическое повреждение.

Для того, чтобы укрепить соблюдение настоящих Правил при обработке операций может привести к высокому риску прав и свобод человека и гражданина, контроллер будет отвечать за проведение оценки воздействия на защите данных, для оценки, особенно, источник, природа, вероятность и серьезность этого риска. Результатом оценки должны быть приняты во внимание при определении того, какие действия следует предпринять, чтобы продемонстрировать, что обработка персональных данных осуществляется в соответствии с настоящими Правилами. Если оценка воздействия на защиту данных указывает на то, что обработка операций сопряжено с высоким риском, что контроллер не может быть смягчено путем принятия соответствующих мер с точки зрения имеющихся технологий и затрат на внедрение, Они должны проконсультироваться с органом надзора перед обработкой.

Нарушение личных данных может, если не будет решена в адекватной и своевременной, результат в физическом, физический или не физический вред лицам,, такие как потеря контроля над их личными данными или ограничение их права, дискриминационный, злоупотребления или кражи личных данных, финансовый убыток, незаконное изъятие psefdonymopoiisis, ущерб репутации, потеря конфиденциальности личных данных, защищенных от профессиональной тайны или другими важным социальным или экономическим невыгодным для заинтересованного лица. следовательно, как только контроллер

Официальный журнал Европейского Союза

становится известно о нарушении личных данных, должен без задержки, если это возможно, в 72 часы приобретенных знаний о событии, раскрывать нарушения личных данных компетентного надзорный орган, если о контроллер не может доказать,, в соответствии с принципом подотчетности, что нарушение личных данных не может вызвать опасность для прав и свобод личности. Если такое уведомление не может быть достигнуто в течение 72 часов, Уведомление должно сопровождаться обоснованием с указанием причины задержки и информации может быть постепенно поставляется без неоправданной задержки.

86. (86) Контроллер должен немедленно уведомить субъект данных о нарушении персональных данных, когда нарушение персональных данных может привести к высокому риску прав и свобод личности, для того, чтобы иметь возможность принять необходимые меры предосторожности. В уведомлении должны описать характер нарушения личных данных и рекомендаций по заинтересованному лицу, чтобы смягчить возможные негативные последствия. Эти субъекты данных должны быть сделаны как можно скорее, в тесном сотрудничестве с надзорным органом, соблюдая указания, предоставляемых им или другими соответствующими органами, таких, как сотрудники правоохранительных органов. например, необходимость смягчения неизбежного риска потери требует немедленного уведомления субъектов данных, а также необходимость осуществления соответствующих мер против продолжения или подобных нарушений данных личного характера может служить основанием дольше уведомления.
87. (87) Следует удостовериться в том, были ли они реализованы все необходимые меры технологической защиты и организационные меры для немедленной идентификации любого личного нарушения данных и незамедлительного уведомления контролирующего органа и субъекта данных. Следует отметить, что раскрытие было сделано без излишней задержки, принимая во внимание, в частности, характер и серьезность нарушения личных данных, а также последствия и побочные эффекты для субъекта данных. Уведомление может привести к вмешательству контролирующего органа, в соответствии с задачами и полномочиями, определенными в настоящих Правилах.
88. (88) Устанавливая подробные правила, касающиеся формат и процедуры, применимый к уведомлению о персональных данных нарушений, Они должны принимать во внимание обстоятельства такого нарушения, в том числе ли защищены персональные данные с помощью соответствующих технических средств защиты, эффективно ограничивая вероятность мошенничества или других форм жестокого обращения. дополнительный, эти правила и процедуры должны учитывать законные интересы правоохранительных органов, где раннее раскрытие может неоправданно препятствовать расследованию обстоятельств нарушения личных данных.
89. (89) Директива 95/46 / ЕС предусматривает общее обязательство раскрывать личные данные в надзорные органы. Хотя это обязательство влечет за собой административное и финансовое бремя, Это не помогло, во всех случаях для улучшения защиты персональных данных. поэтому, общие обязательства такое раскрытие, недифференцированный, Они должны быть отменены и заменены на эффективные процедуры и механизмы, которые фокусируются на тех типах операций обработки, которые могут привести к высокому риску прав и свобод человека и гражданина в силу характера, сфера, контекст и их цели. Эти виды операций обработки могут быть те,, особенно, в том числе использования новых технологий или нового типа, когда он ранее проводил оценку воздействия в отношении защиты данных от контроллера или когда они необходимы из-за время, прошедшее от первичной обработки.
90. (90) В этих случаях, контроллер, до лечения, следует провести оценку воздействия в отношении защиты данных, оценить конкретную вероятность и тяжесть высокого риска, принимая во внимание природу, степень, Контекст и назначение источников обработки и риски. Такая оценка воздействия должна включать в себя, особенно, планируемые мероприятия, гарантии и механизмы, которые уменьшают этот риск, обеспечение защиты персональных данных и продемонстрировать соблюдение настоящих Правил.
91. (91) Это будет особенно актуально для крупных операций обработки масштаба, направленных на обработку значительного количества персональных данных на региональном, национальный или наднациональный уровень, которые могут повлиять на большое количество субъектов данных и которая может привести к высокому риску, например, из-за их чувствительности, когда в соответствии с существующим технологическим уровнем знаний используется новая технология широко, и другие операции обработки, которые приводят к высокому риску прав и свобод субъектов данных, в частности, когда такие действия препятствуют осуществлению прав субъектов данных. Кроме того, следует проводить оценку воздействия в отношении защиты данных, когда персональные данные обрабатываются в наступающих решения, касающиеся конкретных лицо, после систематической и тщательной оценки личных аспектов, связанных с обучением лиц, на основе

Официальный журнал Европейского Союза

профили на основе этих данных, или после обработки определенных категорий персональных данных, биометрические данные или данные, относящиеся к преступлениям и судимостей или связанные с ними меры безопасности. Оценка воздействия на защите данных также необходима для мониторинга общедоступных зон в больших масштабах, особенно при использовании для оптоэлектронных устройств или любой другой работы, если компетентный орган сочтет, что обработка может привести к высокому риску прав и свобод субъектов данных, в частности потому, что не позволяет субъектам данных осуществлять какие-либо права или использовать услугу или контракт или потому, что систематически проводят в больших масштабах. Обработка персональных данных не должно считаться основным, если обработка относится к персональным данным пациентов и врачей как частных клиентов, других профессиональных медицинских или адвокат. В таких случаях, оценка воздействия защиты данных не должна быть обязательной.

Есть случаи, когда это может быть разумным и экономическим субъектом оценки воздействия в отношении защиты данных, превышающего один проект, например, когда государственные органы или органы намерены создать общее приложение или обработку платформу или более контроллеры планируют ввести общую заявку или среду обработки для промышленного сектора или отрасли или для широко используемой горизонтальной активности.

По версии законодательству государства-члена, лежащего в основе исполнения обязанностей государственного органа или государственного органа, который регулирует действие или ряд операций по обработке, Государства-члены могут счесть необходимым провести эту оценку до лечебных мероприятий.

Если оценка воздействия, связанные с защитой данных позволяет предположить, что лечение, без гарантий, меры безопасности и механизмы для снижения риска, может привести к высокому риску прав и свобод человека и контроллер считает, что риск не может быть смягчено путем разумных мер в отношении имеющихся технологий и стоимость реализации, следует проконсультироваться с надзорным органом до начала деятельности по переработке. Такой высокий риск, вероятно, произойдут от определенной обработки и в определенной степени обработки и частот, так что даже повреждение или вмешательство прав и свобод личности. Надзорный орган должен ответить на запрос на консультацию в течение определенного периода. однако, Отсутствие реакции контролирующего органа в течение указанного срока не должно затрагивать какое-либо вмешательства контролирующего органа, в соответствии с задачами и полномочиями, определенными в настоящих Правилах, включая запрещение обработки операций власти. В рамках этого процесса консультаций, может быть представлен в надзорный орган результата оценки воздействия на защите данных, проведенной в связи с обработкой выпуска, в частности, меры, при условии, чтобы снизить риск для прав и свобод личности.

Процессор должен оказывать помощь контроллеру, при необходимости и по запросу, в целях обеспечения соблюдения обязательств, вытекающих из проведения оценки воздействия на защите данных и предварительных консультациях контролирующего органа.

Консультации с органом надзора также должны быть выполнены во время подготовки законодательной или нормативной меры в соответствии с которым обработка персональных данных, для обеспечения соответствия предполагаемой обработки с настоящими Правилами и, особенно, Для снижения рисков для субъекта данных.

Если обработка осуществляется государственным органом, за исключением судов или независимые судебные органы, действуя в их судебной компетенции, при условии, частный сектор, обработка, выполняемая контроллер, основная деятельность которых связана операция обработки, которые требуют регулярного и систематического мониторинга субъектов данных в крупном масштабе, или если основные действия контроллера или процессор масштабны обработки специальных категорий персональных данных и данных, касающихся судимости и правонарушения,

Официальный журнал Европейского Союза

люди с опытом работы в области права и защиты данных практики должны помогать контроллеру или процессору в мониторинге внутренних соответствии с настоящими Правилами. В частном секторе, основные операции контроллера, связанный с основной деятельностью, а не обработку персональных данных в качестве вспомогательной деятельности. Необходимый уровень опыта должен быть определен, в частности, в соответствии с обработкой данных, осуществляемой защитой, которые требуют, чтобы персональные данные обрабатываются контроллером или процессор. Эти сотрудники по защите данных, независимо от того, являются ли они сотрудниками контроллера, Вы должны быть в состоянии выполнять свои обязательства и обязанности независимым образом.

98. (98) Соединения или другие объекты, которые представляют категорию контроллеров или процессоры следует поощрять рисовать коды, в рамках настоящих Правил, в целях содействия эффективного осуществления настоящих Правил, принимая во внимание специфические характеристики обработки, проводимой в определенных областях и конкретных потребностей микро-, малые и средние предприятия. конкретно, Эти коды могут регулировать обязанности контроллеров и процессоров, принимая во внимание риск, который может возникнуть в результате обращения к правам и свободам лиц.
99. (99) При составлении кодекса поведения или изменения или расширения такого кода, ассоциации и другие органы, представляющие категории контроллеров или процессоров должны проконсультироваться с заинтересованными сторонами, в том числе по субъектам данных, где это возможно, и принимать во внимание любые замечания, представленные и эти мнения, высказанные в ходе этих консультаций.
100. (100) В целях повышения прозрачности и соблюдения настоящих Правил, Их следует поощрять создание механизмов сертификации и пломбы и сигналы защиты данных, позволяя субъект данных быстро оценить уровень защиты данных соответствующих продуктов и услуг.
101. (101) Личные данные потоки и из стран, не входящие в ЕС и международные организации, которые необходимы для расширения международной торговли и международного сотрудничества. Расширение этих потоков создают новые проблемы и проблемы, связанные с защитой персональных данных. однако, когда личные данные передаются из Союза к контроллерам, процессоры или другие получатели в третьих странах или международных организациях, Уровень не должен подрывать защиту лиц, который гарантирует Союзу настоящие Правила, в том числе, где дальнейшие переводы личных данных в третьи страны или международной организации контроллеров и процессоров в той же или другой третьей страны или другой международной организации. В любом случае, переводы в третьи страны и международные организации могут быть уведомлены осуществляются только в полном соответствии с настоящими Правилами. Передача может происходить только тогда, когда, в соответствии с другими положениями настоящих Правил, контроллер или процессор должен соответствовать условиям положений настоящих Правил, касающиеся передачи персональных данных третьим странам или международным организациям.
102. (102) Настоящее Положение без ущерба для международных соглашений, заключенных между странами Союза и третьей, регулирующей передачей персональных данных и обеспечивать адекватные гарантии для субъекта данных. Государства-члены могут заключать международные договоры, предусматривающие передачу персональных данных третьим странам или международным организациям, поскольку эти соглашения не затрагивают положения настоящих Правил или других положения закона Союза и включают в себя соответствующий уровень защиты основных прав субъектов данных.
103. (103) Комиссия может принять решение, с эффектом для всего Союза, что в третьей стране, почвы или конкретный сектор в третьей стране или международной организации, предлагают адекватный уровень защиты данных и тем самым сохранить правовую определенность и единообразие на всей территории Союза в отношении третьей страны или международной организации, которая считается обеспечить такой уровень защиты. В таких случаях, личные данные в этой третьей стране или международной организации, может быть выполнены без необходимости запрашивать другую лицензию. Комиссия может также принять решение об отмене этого решения, на уведомление и обоснование заявления на третьей страны или международной организации.
104. (104) В соответствии с основными принципами Союза, в частности, защита прав человека, Комиссия должна, при оценке третьей страны или территории или конкретного сектора в третьей стране, принимать во внимание уважает ли данная третья страна законности, Доступ к правосудию, и международные нормы и стандарты в области прав человека, а также общие и отраслевые законы, по, в том числе законодательства о государственной безопасности, обороны и национальной безопасности, и государственная политика и уголовное право. Решение Адекватность Версия для поля почвы или в третьей стране должно быть

Официальный журнал Европейского Союза

составляют четкие и объективные критерии, В качестве конкретных мероприятий по обработке и объема применимых правовых норм и законодательства в третьей стране. Третья страна должна предложить гарантии, которые обеспечивают адекватный уровень защиты, по существу, эквивалентно тому, что обеспечивается в Союзе, особенно если обработка персональных данных осуществляется в одном или нескольких конкретных областях. конкретно, третья страна должна обеспечить эффективный независимый контроль защиты данных и предоставляет механизмы для взаимодействия с органами по защите данных в государствах-членах, не субъекты данных должны иметь в своем распоряжении эффективно и юридически закрепленное право, а также возможность эффективной административной и судебной помощи.

Помимо международных обязательств третьей страны или международной организации, Комиссия должна учитывать обязательства, вытекающие из ее участия в третьей стране или международной организации, в рамках многосторонних или региональных системах, в частности, в отношении защиты персональных данных, как применение таких обязательств. должен, особенно, учитывать присоединения третьей страны в Конвенции Совета Европы от 28 января 1981 о защите частных лиц в отношении автоматизированной обработки персональных данных и Дополнительного протокола. Комиссия должна консультироваться с Советом по защите данных консультируются всякий раз при оценке уровня защиты третьих стран или международных организаций.

Комиссия должна следить за работой решений на уровне защиты в третьей стране, почвы или удельная площадь третьей страны или международной организации, а также контролировать работу решений, принятых в соответствии со статьей 25 пункт 6 или статьи 26 пункт 4 Директива 95/46 / EC. Решения квалификации, Комиссия должна предусматривать периодический обзор работы. Этот периодический обзор следует проводить в консультации с третьей страной или международной организации, и следует принимать во внимание все соответствующие изменения в третьей стране или международной организации. Для целей мониторинга и проведение периодических обзоров, Комиссия должна принять во внимание мнения и выводы Европейского Парламента и Совета, и другие соответствующие органы и источники. Комиссия должна оценить, в течение разумного периода времени, работа последних решений и сообщать о любых соответствующих выводах Комитета по смыслу Правил (Евросоюз) нет. 182/2011 Европейский парламент и Совет (1), в порядке, установленном настоящим Положением, Европейский парламент и Совет.

IEpitropimporeinadiapistoseiotimiatritichora,edafosisygkekrimenostomeasmiastritischorasienasdiethnis корпус не обеспечивает адекватный уровень защиты данных. поэтому, Он должен запретить передачу персональных данных в этой третьей стране или международной организации, если не требования настоящих Правил, касающихся трансферты с учетом соответствующих гарантий, включая обязательные корпоративные правила, и исключения для особых ситуаций. В этом случае, Они должны включать в себя проведение консультаций между Комиссией и такими третьими странами или международными организациями. Комиссия должна, своевременно, информировать третью страну или международную организацию на основании и вступать в консультации для урегулирования ситуации.

Решение Адекватность Отсутствие, контроллер или процессор должен принять меры, чтобы компенсировать отсутствие защиты данных в третьей стране через соответствующие гарантии для субъекта данных. Такие соответствующие меры предосторожности могут включать в себя использование обязательных корпоративных правил, Стандартные положения о защите данных, принятые Комиссией, Стандартные положения о защите данных, принятые надзорным органом или договорных положений утверждаются наблюдательным органом. Такие гарантии должны обеспечивать соблюдение требований по защите данных и право субъектов данных, в свете обработки в рамках Союза, В том числе матема- наличие юридически прав Robust субъектов данных и реальные средства правовой защиты, такие, как включающие в себя право на эффективное административное или судебное действие и требования о возмещении, в Союзе или в третьей стране. Они должны быть связаны, в частности, в соответствии с общими принципами, регулирующими обработку персональных данных и принципов защиты данных по конструкции и по умолчанию. Переводы также могут осуществляться государственными органами или учреждениями, с органами государственной власти или органами в третьи страны или международные организации, которые имеют аналогичные задачи или обязанности, в том числе в соответствии с положениями, которые будут включены в административные механизмы, как меморандум, где они эффективны и законно при условии сильного права субъектов данных. Разрешение компетентного органа надзора должно быть получено, если гарантии предусмотрены в юридически обязательном административные настройки.

Способность контроллера или процессора, чтобы использовать стандартные положения о защите данных, утвержденных Комиссией или органом аудита не должно препятствовать контроллеры или процессоры включают стандартные положения о защите данных в более широком договоре, как контракт между процессором и другими выполнения

Официальный журнал Европейского Союза

обработка, ни добавить другие положения или дополнительные гарантии, если они не противоречат, прямо или косвенно, для утверждения Комиссии или надзорный орган или договорные положения нарушают основные права и свободы субъектов данных. Контроллеры и процессоры должны быть предложены предоставить дополнительные гарантии в рамках договорных обязательств, являются дополнением к существующим положениям о защите данных.

110. (110) Группа компаний, а также группа компаний, занимающихся совместной экономической деятельности, Вы должны быть в состоянии использовать утвержденных обязательных корпоративных правил для международных переводов из Союза организаций в рамках одной и той же группы компаний или группы компаний, занимающихся совместной экономической деятельности, если такие корпоративные правила включают в себя все основные принципы и права на получение правовой защиты, обеспечить надлежащие меры безопасности для передачи или категорий персональных данных переводов.
111. (111) Возможность перевода в некоторых случаях могут быть сделаны, когда субъект данных при условии их явного согласия, если передача является случайной и необходимой в связи с договором или судебным иском, либо в судебном разбирательстве или в каком-либо административном или внесудебном процессе, в том числе в производстве до регулирующих органов. Возможность перевода также должна быть, где важные причины общественных интересов устанавливаются законом Союза или государства-членов этого требует или когда передача осуществляется из реестра, установленного законом и предназначенная для получения информации от общественности или лиц, имеющих законный интерес. В последнем случае, эта передача не должна охватывать всю совокупность данных или целых категорий персональных данных, содержащихся в реестре и, когда регистр предназначен для получения информации от лиц, имеющих законный интерес, передача должна осуществляться только по просьбе этих лиц или, будь то те передачи получателей, с полным учетом интересов и основных прав субъекта данных.
112. (112) Эти отступления должны, в частности, относятся к передаче данных с просьбой и необходимых для важных причин, представляющих общественный интерес, например, в случаях международного обмена данных между органами по вопросам конкуренции, налоговые или таможенные органы, среди финансовых руководителей, между учреждениями, отвечающими за социальное обеспечение и здравоохранение, например, в случае контакта трассировки для обнаружения инфекционных заболеваний или для того, чтобы уменьшить и / или устранить легирование (легирование) спортивный. Передача персональных данных также следует считать правомерным, где это необходимо для защиты интересов, который имеет важное значение для жизненно важных интересов субъекта данных или другого лица,, в том числе и для физической целостности или жизни, если субъект данных не в состоянии дать согласие. Решение Адекватность Отсутствие, Союз закон или закон государства-члена может, по серьезным причинам, представляющим общественный интерес, явно предусматривает ограничения на передачу определенных категорий данных в третьей стране или международной организации. Государства-члены должны уведомить эти положения Комиссии. Любая передача международного гуманитарного персонала организации данных характера субъекта, который не имеет естественную или правоспособностью давать согласие, который предназначен для выполнения обязанностей в соответствии с Женевскими конвенциями или соблюдать нормы международного гуманитарного права во время вооруженных конфликтов, Это может рассматриваться как необходимые для хорошего дела общественного интереса или потому, что она намерена жизненно важных интересов субъекта данных.
113. (113) Переводы, которые идентифицируемые разовые и которые касаются ограниченного числа субъектов данных также может быть разрешено за счетом преобладающих законных интересов, преследуемого контроллер, когда интересы или права и свободы субъекта данных не отменяют эти интересы, когда контроллер оценил все обстоятельства передачи данных. Контроллер должен обратить особое внимание на характере личных данных, цель и продолжительность предлагаемых операций или операций по обработке, и ситуация в стране происхождения, третья страна и страна конечного назначения, и предоставлять услуги, соответствующие гарантии для защиты основных прав и свобод физических лиц в отношении защиты персональных данных. Эти переводы должны быть возможны только в тех случаях, когда ни одна из других целей передачи. Для целей научных или исторических исследований или статистических целей, Они должны учитывать законные ожидания общества для повышения знаний. Контроллер должен информировать надзорный орган и субъект данных для передачи.
114. (114) В любом случае, если Комиссия не получила решение о достаточности уровня защиты данных в третьей стране, контроллер или процессор должен будет найти решение, которые могут обеспечить в отношении обработки их данных в Союзе субъектов данных эффективны и юридически закрепленное право после передачи таких данных, продолжать пользоваться основными правами и гарантиями.

L 119/22 (115)

Официальный журнал Европейского Союза 4.5.2016

Некоторые третьи страны принимают законы, нормативные акты и иные правовые акты, которые направлены непосредственно регулируют деятельность по обработке физических и юридических лиц, находящихся под юрисдикцией государств-членов. Это может включать в себя судебные решения или решения административных органов в третьих странах, которые требуют контроллера или процессора для передачи или раскрывать персональные данные, которые не основаны на международном соглашении, например, Конвенция о взаимной правовой помощи в силе между соответствующей страной и Союзом или государствами-членом, запрашивающей. Экстерриториальное применение этих законов, нормативные и иные правовые акты могут нарушать международное право и препятствовать достижению защиты лиц, гарантированных в Союзе настоящего Положения. Перевод должен быть разрешен, только если условия настоящих Правил на переводы в третьи страны. Это может произойти, включая, если раскрытие информации необходимо для важных местах общественного интереса, который признается в законодательстве Союза или государства-члена, в котором контроллер подлежит.

Трансграничное перемещение личных данных за пределами ЕС, возможно, положить больший риск способность людей к вопросам защиты правам осуществления данных, в частности, для защиты tefontai от несанкционированного использования или раскрытия такой информации. одновременно, надзорные органы могут обнаружить, что они не может действовать по жалобам или проводить расследование деятельности за пределами своих границ. Их усилия для совместной работы в рамках трансграничной также может быть затруднено недостаточностью превентивных или корректирующих полномочий, противоречивых правовых режимов и практических препятствий, такие, как отсутствие ресурсов. поэтому, существует необходимость содействовать более тесному сотрудничеству между защитой данных контролирующими органами, чтобы облегчить обмен информацией и проводить исследования со своими зарубежными коллегами. Для разработки механизмов международного сотрудничества в целях содействия и обеспечения международной взаимной помощи в обеспечении соблюдения законодательства о защите данных, Комиссия и надзорные органы должны обмениваться информацией и сотрудничать в деятельности, связанной с осуществлением своих полномочий компетентными органами третьих стран, βάσει της αρχής της αμοιβαιότητας και σύμφωνα με τον παρόντα κανονισμό·

Создание надзорных органов в государствах-членах, уполномоченный выполнять свои обязанности и осуществлять свои полномочия в полной независимости, Она является важным компонентом защиты физических лиц в отношении обработки их персональных данных. Государства-члены должны иметь возможность устанавливать больше контролеров, в зависимости от конституционного, организационно-управленческая структура.

Независимость надзорных органов не должно означать, что надзорные органы не могут быть предметом механизмов проверки или контроля с точки зрения их финансовых расходов или судебного рассмотрения.

В случае, если государство-член вводит больше контролеров, следует создать механизмы по праву, для обеспечения эффективного участия этих надзорных органов в механизме консистенции. Государство-член должно назначить, особенно, контролирующий орган, который является единственной точкой контакта для эффективного участия этих органов в механизме, чтобы обеспечить быстрое и беспрепятственное сотрудничество с другими контролирующими органами, Совет по защите данных и комиссии.

В каждом супервизоре должны быть предоставлены финансовые и людские ресурсы, объектов и инфраструктуры, которые необходимы для эффективного выполнения своих функций, в том числе касающегося взаимной помощи и сотрудничество с другими контролирующими органами по всему Союзу. Каждый руководитель должен иметь отдельный, Публичный годовой бюджет, который может быть частью общего государственного или национального бюджета.

Общие условия для члена или членов наблюдательного органа должны быть установлены законом в каждом государстве-члене и должны обеспечивать, особенно, что эти члены назначаются, прозрачный процесс, либо парламентом, правительство или глава государства государства-члена по предложению правительства, Органы государственной власти, парламент или часть парламента, либо независимым органом, ответственным за этой цели законодательством государств-членов. Для обеспечения независимости контролеров, Члены члена или должны действовать добросовестно, воздерживаться от любых действий, несовместимых с их обязанностями и, В течение срока их полномочий, Они не должны заниматься каким-либо несовместимое занятием, выгодно или нет. Надзорный орган должен иметь свой собственный персонал, выбранный надзорным органом или независимым органом, созданным в соответствии с законодательством государства-члена, и быть под исключительным руководством члена или членов наблюдательного органа.

Каждый руководитель будет нести ответственность, в государство-член, ответственное, осуществлять полномочия и выполняет функции, возложенные в соответствии с настоящими Правилами. Это должно охватывать, в частности, лечение в деятельности установления контроллера или процессора на территории своего государства-члена, обработка персональных данных осуществляется государственными органами или частными организациями, действующими в интересах общества, обработка, которая влияет на исходные данные на территории или переработки осуществляется

Официальный журнал Европейского Союза

Контроллер или процессор не установлен в Союзе, когда целевые субъекты данных, проживающих на ее территории. Это должно включать в себя рассмотрение жалоб, представленных субъектом данных, Исследования по реализации настоящего Положения, и повышение осведомленности общественности об опасностях, правила, гарантии и права, связанные с обработкой персональных данных.

123. (123) Контролирующие органы должны следить за применение положений настоящих Правил и внести свой вклад в последовательное применение по всему Союзу, для защиты физических лиц в отношении обработки их персональных данных и облегчить свободное движение личных данных на внутреннем рынке. Для этой цели, надзорные органы должны сотрудничать друг с другом и с Комиссией, не требуя согласия между государствами-членами для взаимной помощи или для такого сотрудничества.
124. (124) Когда обработка персональных данных происходит в контексте действий установщика редактора или процессора в Союзе, а контроллер или процессор устанавливается в большем количестве государств-членов, или когда обработка выполняется в рамках единственной деятельности. Установка контроллера или процессора в Союзе оказывает значительное влияние или может повлиять на субъекты данных в более чем одном государстве-члене., в качестве главного органа выступает в качестве супервизора для основного создания контроллера или процессора или только установки контроллера или процессора. Она должна сотрудничать с другими заинтересованными органами, так как контроллер или процессор имеет создание на территории государства-члена, потому что субъекты данных, проживающие на их территориях существенного влияния или потому, что жалоба была подана. также, когда субъект данных, которые не проживают в этом государстве-члене подает жалобу, надзорный орган, к которому приложение должно также быть обеспокоены супервизор. В рамках своих обязанностей выдавать директивы по любому вопросу, связанному с выполнением настоящих Правил, Совет по защите данных должен быть в состоянии давать руководящие указания, в частности, критерии, которые следует принимать во внимание при определении, влияет ли такое лечение материально субъектов данных в нескольких государствах-членах и что представляет собой актуальную и мотивированное возражение.
125. (125) Главный орган должен быть уполномочен принимать обязательные решения о мерах по выполнению задач, возложенных на него в соответствии с настоящим Положением. В своем качестве ведущего органа, надзорный орган должен обеспечить активное участие и координацию соответствующих руководителей в процессе принятия решений сторон. Если решения бракованных, полностью или частично, прекращение субъекта данных, это решение должно быть одобрено наблюдательным органом, которому была подана жалоба.
126. (126) Решение должно быть согласовано совместно с главным руководителем и надзорные органы, и должны быть адресованы к основному или единственной установке контроллера или процессора и быть обязательные для контроллера и процессора. Контроллер или процессор должен принять необходимые меры для обеспечения соблюдения этого регулирования и осуществлением решения уведомлены главным руководителем в основной установке контроллера или процессоре в отношении деятельности по обработке Союз.
127. (127) Каждый контролирующий орган не выступает в качестве руководителя ведущего должен быть компетентным, чтобы иметь дело с местными делами, где контроллер или процессор устанавливается в более чем одном государстве-члене, но объект обработки только обработки, которая происходит в одном государстве-члене, и относится к субъектам данных в этом государстве-члене только, например, когда субъект обработки персональных данных работников в частности занятости в государстве-члене. В таких случаях, Надзорный орган должен уведомить об этом главном контролирующем органе без задержки. После обновления, главный надзорный орган должен решить, следует ли рассматривать дело в соответствии с договоренностью о сотрудничестве между главным руководителем и другими контролирующими органами («Механизм One-стоп"), или должен ли он иметь дело с делом на местном уровне надзорный орган информировал. При решении вопроса о рассмотрении дела, главный надзорный орган должен принять во внимание, есть ли объект контроллера или процессор в государстве-члене надзорного органа сообщил,, в целях обеспечения эффективного исполнения решения от контроллера или процессора. когда

Официальный журнал Европейского Союза

Главный надзорный орган принимает решение о рассмотрении дела, надзорный орган сообщил, должен быть в состоянии представить проект решения, который должен возглавить наблюдательный орган принять максимальную счет при подготовке проекта решения в контексте механизма один-стоп.

Правила на главном руководитель и механизме один-стоп не должны применяться, когда обработка осуществляются государственными органами или частными учреждениями в интересах общества. В таких случаях, единственный контролирующий орган правомочен осуществлять полномочия, возложенные в соответствии с настоящим Положением, должен быть надзорным органом государства-члена, где оно установлено, что государственный орган или частная организация.

Для обеспечения постоянного контроля за соблюдением настоящих Правил, в течение всего Союза, Надзорные органы должны иметь в каждом государстве-члене одни и те же обязанности и те же реальные полномочия, в том числе следственных полномочий, корректирующие полномочия и санкции, и лицензирование и консультативные полномочия, особенно в случаях жалоб от физических лиц, и, без ущерба для полномочий судебного преследования в соответствии с законодательством государства-члена, власть ссылаться на нарушения положений настоящих Правил в судебные органы и участвовать в судебных разбирательствах. Эти полномочия должны также включать в себя право налагать временные или окончательные обработки ограничения, в том числе запрета на принятие. Государства-члены могут назначить определенные другие задачи, связанные с защитой персональных данных в соответствии с настоящим Положением. Полномочия контролирующих органов должны осуществляться в соответствии с надлежащими процессуальными гарантиями, установленными в законодательстве ЕС и законодательством государств-членов, беспристрастно, справедливо и в течение разумного периода времени. особенно, каждая мера должна соответствовать, необходимым и соразмерным, в целях обеспечения соблюдения настоящих Правил, с учетом обстоятельств каждого конкретного случая, уважать право быть услышанным каждому человеку, прежде чем какой-либо отдельной меры против него, и, чтобы избежать ненужных затрат и чрезмерное бремя на лиц, заинтересованных. Следственные полномочия в отношении доступа в помещение должны осуществляться в соответствии с конкретными требованиями процессуального права государства-члена, такие как требование предварительного судебного выдачи разрешения. Любые юридически обязательные меры надзорного органа должны быть сделаны в письменной форме, быть четким и недвусмысленным, государственный надзорный орган, выдавший, дата выдачи, быть подписан руководителем или членом контролирующего органа уполномоченных им, изложить причины, по мере и право на эффективное средство правовой защиты. Это не должно исключать возможность дополнительных требований в соответствии с процессуальным законодательством государства-члена. Принятие юридически обязательного решения, которое может включать в себя, возможно, может быть предметом судебного контроля в государстве-члене контролирующего органа, выдавшего решение.

Если контролирующий орган, к которому жалоба не была ведущим супервизор, главный надзорный орган должен тесно сотрудничать с наблюдательным органом, которому была подана жалоба в соответствии с положениями, касающимися обеспечения сотрудничества и согласованности в настоящих Правилах. В таких случаях, главный руководитель должен, принятие мер предназначенные для создания правовых последствий, такие как административные штрафы, обратить особое внимание мнения контролирующего органа, к которому было подана жалоба, и которые должны оставаться ответственными за проведение какого-либо из государств-членов исследования на местах в связи с компетентным надзорным органом.

Когда другой надзорный орган должен выступать в качестве главного руководителя для обработки деятельности контроллера или процессора, но этот вопрос действия или любого нарушение касается только перерабатывающих деятельностей контроллера или процессора в государстве-члене, где была подана жалоба или нашла какое-либо нарушение, и этот вопрос не оказывает существенное влияние или могут оказать существенное влияние на субъектах данных в других государствах-членах, контролирующий орган, который принимает жалобу или находит или информируются в противном случае ситуаций, связанные с нарушениями настоящих Правил, должен проводить дружественное урегулирование с контроллером и, если это окажется неудачным, осуществлять полный спектр полномочий. Это должно включать в себя: την ειδική επεξεργασία η οποία διενεργείται στο έδαφος του κράτους μέλους της εποπτικής αρχής ή όσον αφορά υποκείμενα των δεδομένων στο έδαφος του εν λόγω κράτους μέλους· την επεξεργασία η οποία διενεργείται στο πλαίσιο προσφοράς αγαθών ή υπηρεσιών απευθυνόμενων ειδικά σε υποκείμενα των δεδομένων στην επικράτεια του κράτους μέλους της εποπτικής αρχής ή την επεξεργασία η οποία πρέπει να εκτιμηθεί, принимая во внимание соответствующие правовые обязательства в соответствии с законодательством государства-члена.

Мероприятия по повышению осведомленности по надзорным органам, предназначенных для общественности, должны будет включать конкретные меры для контроллеров и процессоров, В комплекте Enon микро, малые и средние предприятия, и лица, в частности, в сфере образования.

Официальный журнал Европейского Союза

133. (133) Надзорные органы должны поддерживать друг друга в выполнении своих обязанностей и оказывать друг другу взаимную помощь, обеспечить последовательное применение и соблюдение настоящих Правил на внутреннем рынке. Наблюдательный орган просьбы о взаимной помощи может принять обеспечительные меры, если он не получит ответ на просьбу о помощи в течение одного месяца с момента получения запроса от другого руководителя.
134. (134) Каждый руководитель должен, где это уместно, участвовать в совместных операциях с другими органами надзора. Надзорный орган, к которому следует требовать просьба ответить на запрос в течение определенного периода времени.
135. (135) Для обеспечения последовательного применения настоящих Правил, в течение всего Союза, будет когерентности механизм должен быть создан для сотрудничества между надзорными органами. Этот механизм должен применяться, в частности, когда надзорный орган намерен принять меры, чтобы иметь правовые последствия для обработки операций, которые оказывают существенное влияние на значительное число субъектов данных в нескольких государствах-членах. Вы должны также применяться, когда любой контролирующий орган или комиссию с просьбой о рассмотрении дела в рамках механизма консистенция. Этот механизм не должен наносить ущерб каких-либо мер, которые могут быть приняты Комиссией в осуществлении своих полномочий в соответствии с Договором.
136. (136) При применении механизма согласованности, Совет по защите данных должен выдать заключение, в течение определенного периода, решить, если это большинство его членов или по требованию контролирующего органа или Комиссии. Совет по защите данных также должен быть уполномочен издавать юридически обязательные решения, когда существует различие между руководителями. Для этой цели, должен выдать, квартира’ принцип большинством в две трети его членов, юридически обязательные решения в четко определенных случаях, когда существуют противоречивые мнения между надзорными органами, в частности, в рамках механизма сотрудничества между главным руководителем и контролирующими органами по существу дела, в частности, есть ли нарушение настоящих Правил.
137. (137) Там может быть острая необходимость в принятии мер по защите прав и свобод субъектов данных, особенно, когда есть риск быть значительно затрудняло осуществление права субъекта данных. поэтому, надзорный орган должен быть в состоянии должным образом принять временные меры оправданных на своей территории с определенным сроком действия, который не должен превышать три месяцев.
138. (138) Применение этого механизма должно быть условием для законности мер, принятых наблюдательным органом для того, чтобы иметь юридическую силу в тех случаях, когда его применение является обязательным. В других случаях приграничном интереса, Механизм сотрудничества должен применяться между Ведущим органом и соответствующими надзорными органами, не надзорные органы могут прибегнуть к взаимной помощи и совместным предприятиям, двусторонний или многосторонний, без срабатывания механизма непротиворечивости.
139. (139) В целях содействия последовательного осуществления настоящих Правил, Совет по защите данных должен быть создан как независимый орган Союза. Для достижения целей, Совет по защите данных является юридическим лицом. Совет по защите данных должен быть представлен его Председателем. Вы должны заменить защитную группу лиц, в отношении обработки персональных данных, установленных в соответствии с Директивой 95/46 / EC. Он должен состоять из руководителя контролирующего органа от каждого государства-члена и Европейского инспектора по защите данных или их соответствующих представителей. Комиссия должна участвовать в его деятельности Совета по защите данных без права голоса и инспектор по защите данных Европейских должен иметь специальные права голоса. Совет по защите данных должен способствовать последовательному применению настоящих Правил, в течение всего Союза, включая предоставление рекомендаций Комиссии, в частности, на уровне защиты в третьих странах или международных организациях, и содействие сотрудничеству между контролирующими органами по всему Союзу. Совет по защите данных должен действовать независимо друг от друга в исполнении своих обязанностей.
140. (140) Совет по защите данных следует оказывать помощь секретариата, предоставленный Европейский инспектор по защите данных. Персонал Европейской защиты данных супервизора, участвующих в выполнении задач, возложенных на Совет по защите данных на основании настоящих Правил, должны выполнять свои обязанности исключительно по поручению Председателя Совета по защите данных и информировать его о.
141. (141) Каждый субъект данных должен иметь право на подачу жалобы одного контролирующего органа, особенно в государстве-члене обычного места жительства, и право на эффективные средства судебной защиты в соответствии со статьей 47 чартер, если он считает, что нарушены его права, предусмотренные настоящими Правилами, или если контролирующий орган не действует по жалобе, полностью или частично отклонить или объявить жалобу неприемлемой или

Официальный журнал Европейского Союза

Он не действует и должен действовать, чтобы защитить права субъекта данных. Расследование по жалобе должно проводиться, подлежат рассмотрению в судебном порядке, в соответствующей степени к конкретному случаю. Надзорный орган должен информировать субъекта данных о ходе и результатах жалобы в разумные сроки. Если случай требует дальнейшего изучения или координации с другим надзорным органом, необходимо предусмотреть промежуточный обновят данные, подлежащие. Для того, чтобы облегчить подачу жалоб, каждый контролирующий орган должен принимать такие меры, как предоставление Формы жалобы, которая может быть завершена в электронном виде, без учета других средств связи.

Когда субъект данных считает, что нарушены его права в соответствии с настоящим Положением, Вы должны иметь право назначать некоммерческую организацию, орган или организация, зарегистрированная в соответствии с законодательством государства-члена, Она имеет уставные цели, которые в интересах общества и активных корней в области защиты персональных данных, жалуются на его имени руководителя, осуществлять право на судебном процессе от имени субъекта данных или, если это предусмотрено законодательством государства-члена, право на получение компенсации от имени данных субъектов. Государство-член может предусмотреть, что этот орган, учреждение или организация имеет право ссылаться на это государство жалобу, независимо от каких-либо заданий субъекта данных, и право на эффективное средство судебной защиты, когда есть основания полагать, что права субъекта данных нарушаются в результате обработки персональных данных в нарушении настоящих Правил. тело, учреждение или организация не может иметь право требовать компенсации от имени субъекта данных, независимо от каких-либо заданий субъекта данных.

Любое физическое или юридическое лицо имеет право подать в суд об отмене решения Совета по защите данных перед судом в соответствии с условиями, изложенными в статье 263 TFEU. Как получатели этих решений, надзорные органы, которые хотят обижать должны подать апелляцию в течение двух месяцев с момента их уведомления, в соответствии со статьей 263 TFEU. Если решения Совета по защите данных непосредственно и индивидуально касается контроллера, процессор или жалоба, они могут подать иск об отмене этих решений в течение двух месяцев с момента публикации этих решений на веб-сайте SymvouliouProstasias данных, в соответствии со статьей 263 TFEU. С учетом этого права в соответствии со статьей 263 TFEU, любое физическое или юридическое лицо должно иметь право на эффективное средство правовой защиты перед компетентным национальным судом против решения контролирующего органа, который производит юридические последствия в отношении этого лица. Эти решения, касающиеся, в частности, осуществление полномочий следствия и процессуальных и лицензионных полномочий контролирующего органа или в тех случаях, когда жалобы считаются неприемлемыми или отклоненные. однако, эффективное средство правовой защиты не распространяется на меры, которые руководители не являются юридически обязательными, такие мнения или советы, предоставляемые контролирующим органом. Иск против контролирующего органа должны быть переданы в суд государства-члена, где созданы и проводятся в соответствии с процессуальным законодательством этого государства-члена надзорный орган. Эти суды должны осуществлять полную юрисдикцию, который должен включать в себя полномочие рассматривать все фактические и юридические вопросы, касающиеся дела в ожидании перед ними.

Когда жалоба была отклонена или признана неприемлемой супервизором, заявитель может инициировать судебные разбирательства в этом государстве-члене. В судебных действиях, связанных с реализацией настоящего Положения, национальные суды, которые считают, что решение по этому вопросу является необходимым для принятия их решений могут или, в случае, предусмотренном в статье 267 TFEU, вынуждено просить суд о вынесении предварительного постановления о толковании права Европейского Союза, в том числе настоящих Правил. дополнительный, когда решение надзорный орган, реализующий Решение Совета Приватность оспорено в национальном суде и оспаривал законность решения Совета по защите данных, что национальный суд не имеет полномочий, чтобы объявить недействительным решение Совета по защите данных, но он должен передать вопрос о действительности в Суд в соответствии со статьей 267 TFEU ​​в интерпретации Суда, если он считает, что решение недействительным. однако, национальный суд не может передать вопрос о законности решения Совета по защите данных по требованию физического или юридического лица, который был в состоянии подать иск об отмене этого решения, особенно если это решение имеет прямое и индивидуальное беспокойство, но не сделал этого в течение срока, предусмотренного статьей 263 TFEU.

Если суд слушания дела предъявлен органа надзора Решения и есть основания полагать, что дело было возбуждено по той же лечения, как и для тех же целей в отношении обработки одного и того же контроллера данных или процессора данных или по той же причине, перед компетентным судом в другом государстве-члене, Вы должны общаться с национальным судом, чтобы подтвердить существование подобного процесса. Если соответствующие процедуры на рассмотрении суда в другом государстве-члене, каждый

Официальный журнал Европейского Союза

суд, чем первый рассматривающий может остаться разбирательства или может, по просьбе одной из сторон, отказаться от юрисдикции в пользу суда первой рассматривающим, если этот суд обладает юрисдикцией для этой процедуры и ее закон допускает ОБЪЕДИНЕНИЕ этих процедур, связанных. Рассмотренные соответствующие процедуры, связанные друг с другом настолько тесно, что это целесообразно судить и судить вместе, чтобы избежать риска несовместимых решений, как было бы, если отдельное производство.

145. (145) Для процедур внутри контроллера или процессора, заявитель должен быть в состоянии выбрать возбуждать дела в судах государства-члена, где контроллер или процессор имеет учреждение или в государстве-члене проживания субъекта данных, если контроллер не является органом государственной власти государства-члена, действующего в осуществлении государственных полномочий.
146. (146) Любой ущерб, понесенные лицом, в результате обработки в нарушение настоящих Правил, должны быть компенсированы контроллером или процессором. Контроллер или процессор должен быть освобожден от ответственности за ущерб, если они могут доказать, что они не несут никакой ответственности за ущерб,. Понятие ущерба должно быть широко интерпретировано в свете дела таким образом, чтобы в полной мере принимать во внимание цели настоящих Правил. Это не влияет на какие-либо претензии о возмещении ущерба, Практикующие за нарушение других норм права Союза или государств-членов. Обработанные в нарушении настоящих Правил, должен также включать в себя любое обращение в нарушении плоско’ делегированы и реализации актов, принятых в соответствии’ осуществление настоящих Правил и законодательства государств-членов, который определяет правила настоящих Правил. Субъекты данных должны получать полную и эффективную компенсацию за причиненный ущерб. Если контроллеры или процессоры участвуют в этом процессе, каждый контроллер данных или процессор должен нести ответственность за полную потерю. однако, когда отнесено правосудием, в соответствии с законодательством государств-членов, компенсация может быть распределена в зависимости от ответственности каждого контроллера данных или процессора за ущерб, причиненный в результате обработки, при условии, что обеспечить полную и эффективную компенсацию субъекту данные, понесший ущерб. Каждый контроллер или процессор заплатил полную компенсация может затем принять меры против других контроллеров или процессоров, участвующих в этом процессе.
147. (147) В случае, если это Положение содержит определенные правила, касающиеся юрисдикции, в частности, в отношении процедур в институт судебного разбирательства, в том числе для компенсации, контроллером или процессором, Общие правила, касающиеся юрисдикции, изложенные в Постановлении (Евросоюз) нет. 1215/2012 Европейский парламент и Совет (1) не должны влиять на применение этих специальных правил.
148. (148) Для того, чтобы усилить контроль за соблюдением настоящих Правил, санкции, включая административные штрафы, Они должны быть применены за нарушение настоящих Правил, в дополнение или вместо соответствующих мер, необходимых надзорным органом в соответствии с настоящими Правилами. В случае незначительного нарушения, или штраф, который может быть наложен будет представлять собой несоразмерное бремя частных лиц, может быть наложен штраф, а не выговор. Тем не менее, они должны быть надлежащим образом приняты во внимание природу, тяжесть и продолжительность нарушения, намеренный характер нарушения, предпринятые действия по снижению вреда, степень ответственности или каких-либо других соответствующих предыдущих преступлений, путь, в котором надзорный орган информируется о нарушении, соблюдение мер против контроллера или процессора, соблюдение Кодекса поведения и любых других отягчающих или смягчающих обстоятельств. санкции, включая административные штрафы, должно быть предметом надлежащих процессуальных гарантий в соответствии с общими принципами права ЕС и Устав, symperilam CD- эффективной судебной защиты и должного процесса.
149. (149) Государства-члены должны установить правила о наказаниях за нарушение настоящих Правил, в том числе за нарушение национальных правил, принятых в’ применение и в рамках настоящих Правил. Эти уголовные наказания также могут состоять из лишения льгот, полученное для нарушений настоящих Правил. однако, Уголовные штрафы за нарушение таких национальных правил и административных санкции не должны приводить к нарушению принципа пе бис в IDEM, в интерпретации Суда.
150. (150) Для укрепления и гармонизации административных санкций в отношении нарушений настоящих Правил, каждый контролирующий орган должен иметь право налагать административные штрафы. Настоящие Правила должны быть указаны нарушения, и потолок, а также критерии для определения соответствующих административных штрафов, который должен быть определен компетентным органом в каждом отдельном случае, принимая во внимание все соответствующие обстоятельства сложившейся ситуации, с учетом особенно в природе, тяжесть и продолжительность нарушения и его последствий, а также меры, принятые для

(1) регулирование(Евросоюз)arith.1215 / 2012touEfropaikouKoinovoulioukaitouSymvouliou,tis12isDekemvriou2012, giatidiethnidikaiodosia, признание и исполнение судебных решений по гражданским и коммерческим делам (OJ L 351 из 20.12.2012, р. 1).

Официальный журнал Европейского Союза

обеспечение выполнения обязательств, вытекающих из настоящих Правил, а также для предотвращения или смягчения последствий нарушения. Если штрафы наложены на предприятие, бизнес должен означать обязательство в соответствии со статьями 101 и 102 TFEU ​​для этих целей. Если штрафы, налагаемые на лиц, которые не являются предприятия, руководитель должен учитывать общий уровень доходов в государстве-члене, и экономическое положение человека, при рассмотрении соответствующей суммы штрафа. Механизм консистенции также может быть использован для содействия последовательного исполнения административных штрафов. Она должна быть до государств-членов, чтобы решить, может ли и в какой степени штрафы в государственные органы налагается. Наложение административного штрафа или предупреждения не влияют на применение других полномочий контролирующих органов или других санкций в соответствии с настоящими Правилами.

В правовых системах, Дании и Эстонии не предусмотрены штрафы, как это определено в настоящих Правилах. Правила, касающиеся административных штрафов могут применяться таким образом, чтобы Дании штраф, наложенный компетентными национальными судами в качестве уголовного наказания в Эстонии и штрафа, наложенного надзорным органом в производстве по проступкам, при условии, что такое применение правил в тех государствах-членах, имеющих эквивалентное действие штрафах, налагаемых контролирующими органами. поэтому, компетентные национальные суды должны принимать во внимание рекомендацию контролирующего органа, от которого штрафа. в любом случае, штрафы должны быть эффективными, соразмерные и.

При этом Правила не гармонизировать административные санкции или при необходимости в других случаях, например, в случае серьезных нарушений настоящих Правил, Государства-члены должны внедрить систему эффективных, соразмерные и сдерживающие санкции. Характер этих наказаний, уголовный или административный, Это должно быть определено в соответствии с законодательством государств-членов.

Закон государств-членов должны согласовать правила, регулирующие свободу выражения мнений и информации, включая журналистику, университет, художественное или литературное выражение, право на защиту персональных данных в соответствии с настоящим Положением. Обработка персональных данных исключительно для целей журналистики или для академических целей, художественное или литературное выражение должно быть предметом отступлений или освобождение от некоторых положений настоящих Правил, если необходимо согласовать право на защиту персональных данных, имеющим право на свободу выражения мнений и информации, как это предусмотрено в статье 11 чартер. Это должно быть особенно верно в отношении обработки персональных данных в аудиовизуальной сфере и в новостных архивах и пресс-библиотеке. поэтому, Государства-члены должны принять законодательные меры для обеспечения необходимых исключений и отступления для балансировки этих основных прав. Государства-члены должны ввести такие исключения и отступления на общих принципах, права субъекта данных, контроллер и процессор, передача персональных данных третьим странам или международным организациям, независимые надзорные органы, сотрудничество и согласованность и конкретные ситуации обработки данных. Если такие исключения или исключения отличаются от одного государства-члена к другому, следует применять закон государства-члена, в котором контроллер подлежит. Для того, чтобы отразить важность права на свободу слова в любом демократическом обществе, необходимо толковать в широком смысле понятия, относящееся к указанной свободе, таких как журналистика.

Такое регулирование позволяет учитывать принцип публичного доступа к официальным документам в применении настоящих Правил. Доступ общественности к официальным документам, можно рассматривать как общественный интерес. Личные данные в документах, проводимых органами государственной власти или государственным органом должны быть раскрыты публично этим органом или органом, если раскрытие информации предусмотрены законодательством Союза или государства-члена законом, которому государственный орган подлежит или государственный орган. Такие законы должны согласовать доступ общественности к официальным документам и повторное использование информации государственного сектора с правом защиты персональных данных и может, следовательно, обеспечить необходимое согласование с правом на защиту персональных данных в соответствии с настоящим Положением. Ссылка на государственные органы и органы должны в этом случае включают в себя все органы или другие лица, охватываемые законодательством государства-члена в отношении доступа общественности к документам. Директива 2003/98 / EC Европейского парламента и Совета (1) не наносит ущерба или повлиять

Официальный журнал Европейского Союза

в любом случае уровень защиты физических лиц в отношении обработки персональных данных в соответствии с положениями законодательства ЕС и законодательства государств-членов и, в частности, не изменяет права и обязанности, изложенные в настоящих Правилах. конкретно, эта Директива не должна применяться к документам, доступ к которым ограничен или запрещено по схемам доступа для символа защиты персональных данных, а также в разделах документов, которые доступны в соответствии с этими режимами и содержат персональные данные, повторное использование которых предусмотрено законом как несовместимые с законодательством о защите физических лиц от обработки персональных данных..

155. (155) В национальном законодательстве или коллективных договорах, включая «трудовые соглашения, Конкретные правила могут быть приняты для обработки персональных данных работников в контексте занятости, в частности, условия, при которых личные данные в контексте занятости могут быть обработаны на основе согласия работника, для целей набора, выполнение трудового договора, включая выполнение обязательств, предусмотренных законом или коллективным договором, управление, планирование и организация работы, Равенство и разнообразие в рабочем месте и охране здоровья и безопасности на рабочем месте, и для целей тренировки и удовольствия, индивидуально или коллективно, Права и льготы, связанные с трудоустройством в целях прекращения трудовых отношений.
156. (156) Обработка персональных данных для архивных целей в интересах общества, исторические или научные исследования или статистические цели должны быть предметом соответствующих гарантий прав и свободы субъекта данных в соответствии с настоящими Правилами. Эти гарантии должны обеспечивать, чтобы технические и организационные меры, которые гарантируют установленные, частности, принцип минимизации данных. Дальнейшая обработка персональных данных для целей архивирования в общественных интересах, исторические или научные исследования или статистические цели происходят, когда контроллер оценивала, возможно ли достижение этих целей через данные, которые не позволяют или больше не позволяют идентифицировать субъект данных, при условии наличия соответствующих гарантий (такие как, например, псевдонимизация данных). Государства-члены должны предусмотреть соответствующие гарантии на обработку персональных данных для архивных целей в интересах общества, Цели научного или исторического исследования или статистических целей. Это должно позволить государствам-членам обеспечить, при определенных обстоятельствах и с соответствующими гарантиями для субъектов данных, требования и исключение, касающееся требования к информации и право исправления и удаления, право быть забытым, может ограничить обработку,право на переносимость данных и право возражать против обработки персональных данных для архивных целей в интересах общества, Цели научного или исторического исследования или статистических целей. Эти условия и гарантии могут включать специальные процедуры, так что субъекты данных осуществляют эти права, до тех пор, пока это подходит для целей, преследуемых этим конкретным лечением, параллельно с техническими и организационными мерами, направленными на минимизацию обработки персональных данных в соответствии с принципами пропорциональности и необходимости. Обработка персональных данных в научных целях также должна соответствовать другому соответствующему законодательству., например, для клинических испытаний.
157. (157) Объединение информации из регистров, Исследователи могут получить новое понимание общих патологических состояний, таких как сердечно-сосудистые заболевания, рак и депрессия. На основании регистров, результаты исследований могут быть улучшены, поскольку они основаны на более широкой базе населения. В социальных науках, исследования, основанные на использовании регистров дают исследователям возможность приобрести необходимые знания для долгосрочной корреляции определенных социальных ситуаций, такие как безработица и образование с другими условиями жизни. Результаты исследований, полученные через регистры обеспечивают надежные и качественные знания, которые могут служить основой для разработки и осуществления политики, основанной на знаниях, улучшить качество жизни некоторых людей и повышение эффективности социальных услуг. С целью научного исследования, личные данные могут быть обработаны для целей научных исследований, при наличии соответствующих условий и гарантий, изложенные в законе Союза или государства-члена права.
158. (158) Если персональные данные обрабатываются в архивных целях, Это правило должно также применяться к такой обработке, имея в виду, что это правило не должно применяться к умершим. Государственные органы и общественные или частные организации поддерживают файлы общественных интересов должны быть услуги,, в соответствии с законодательством Союза или законодательством государства-члена, провел уставные обязательства по приобретению, для поддержания, оценить, классифицировать, описывать, общаться, содействовать, распространять и предоставлять доступ к файлам с фиксированной стоимостью в общественных интересах. Государства-члены также должны быть предоставлено право предоставлять дальнейшую обработку персональных данных для архивных целей, например, для того, чтобы предоставить конкретную информацию о политическом поведении в бывших авторитарных режимах, геноцид, преступления против человечности, особенно Холокоста, или военные преступления.

Официальный журнал Европейского Союза

Если персональные данные обрабатываются для целей научных исследований, Это правило должно применяться к этому лечению. Для целей настоящих Правил, обработка персональных данных для целей научных исследований, следует толковать широко, т.е. включающий, например, технологического развития и демонстрации, фундаментальные исследования, прикладные исследования и частные средства исследования. дополнительный, следует принимать во внимание цель Союза в соответствии со статьей 179 пункт 1 TFEU ​​для достижения европейского исследовательского пространства. В научных исследованиях должны включать исследования, проводимые в интересах общества в сфере общественного здравоохранения. Для того, чтобы принять во внимание особенности персональных данных для целей научных исследований, особые условия должны применяться, в частности, в отношении публикации или иного разглашения персональных данных в контексте научно-исследовательских целей. Если результат научных исследований, в частности, в секторе здравоохранения оправдывает дальнейшие действия в интересах субъекта данных, общие правила, применимые к настоящим Правилам в отношении мер.

Если персональные данные обрабатываются для исторических исследовательских целей, Это правило должно также применяться к такой обработке. Включите здесь исторические исследования и исследования для генеалогических целей, имея в виду, что это правило не должно применяться к умершим.

Для согласия на участие в научных исследованиях в клинических испытаниях, следует применять соответствующие положения Правил (Евросоюз) нет. 536/2014 Европейский парламент и Совет (1).

Когда личные данные обрабатываются в статистических целях, Это правило должно применяться к этому лечению. Закон ЕС или законодательство стран-членов должны, в рамках настоящих Правил, определить статистическое содержание, управление доступом, спецификации для обработки персональных данных в статистических целях и соответствующие меры, обеспечивающие права и свободы субъекта данных и направленные на обеспечение конфиденциальности статистических данных. Термин «статистические цели» означает любой акт сбора и обработки персональных данных, который необходим для проведения статистических обследований или для получения статистических результатов.. Эти статистические результаты могут быть далее использованы для различных целей, среди прочего, для целей научных исследований. Статистическая цель подразумевает, что результатом обработки для статистических целей являются не личные данные, а совокупные данные и что этот результат или личные данные не используются для поддержки мер или решений, касающихся конкретного физического лица..

Будет ли конфиденциальная информация, собранная ЕС и национальными статистических управления должна быть защищена для подготовки официального ЕС и национальной статистики. Европейская статистика должна быть разработана, они разработаны и распространены в соответствии со статистическими принципами, изложенными в статье 338 пункт 2 TFEU, в то время как национальные статистические данные также должны соответствовать законодательству государств-членов. регулирование (ЕС) нет. 223/2009 Европейский парламент и Совет (2) Он обеспечивает дополнительный diefkri niseis о конфиденциальности статистической информации по европейской статистике.

Что касается полномочий надзорных органов в целях обеспечение контроллера или доступ процессора персональных данных и доступа к его помещению, Государства-члены могут принять закон, в рамках настоящих Правил, особые правила в целях сохранения профессиональных обязанностей секретности или других обязательств эквивалента секретности, в объем, необходимый для компрометации защиты персональных данных права характера с обязательством профессиональной тайны. Это не наносит ущерба существующим обязательствам государства-члены принять правила профессиональной тайны, где в соответствии с законодательством ЕС.

Это Правило уважает и не наносит ущерб статуса согласно действующему конституционному закону церквей и религиозных объединений или общин, в государствах-членах, как это признается в статье 17 TFEU.

Для выполнения целей настоящих Правил, а именно защита основных прав и свобод человека и, особенно, право на защиту личных данных, которые

1. (1) регулирование (Евросоюз) нет. 536/2014 Европейский парламент и Совет, 16 апреля 2014, для клинических испытаний лекарственных средств, предназначенных для людей, и для отмены Директивы 2001/20 / ЕС (OJ L 158 из 27.5.2014, р. 1).
2. (2) регулирование (ЕС) нет. 223/2009 Европейский парламент и Совет, 11 марта 2009, по европейской статистике и отмене регулирования (ЕС, Евратом) нет. 1101/2008 Европейский парламент и Совет по передаче в Статистическом бюро Европейских сообществ субъекта данных в статистическую конфиденциальность, регулирование (ЕС) нет. 322/97 Совет по статистике Сообщества, и решение 89/382 / ЕЕС, Евратом создания комитета Европейской статистической программы (OJ L 87 из 31.3.2009, р. 164).

Официальный журнал Европейского Союза

беспокойство, и обеспечение свободы передвижения в личных данных Союза, будет власть принимать акты должны быть переданы Комиссии в соответствии со статьей 290 TFEU. конкретно, Они должны быть приняты в’ делегированные акты, касающиеся критерии и требования к механизмам сертификации, информация, представленная в стандартных иконок и процедур для предоставления таких иконок. Это особенно важно, чтобы Комиссия проводить соответствующие консультации, в ходе подготовительной работы, в том числе на уровне экспертов. Комиссия, при подготовке и втягивания’ делегированные акты, должны обеспечивать одновременное, своевременная и надлежащая передача соответствующих документов в Европейский парламент и Совет.

167. (167) Для обеспечения единых условий применения настоящего Регламента исполнительные полномочия должны быть возложены на Комиссию, если это предусмотрено настоящим Регламентом.. Эти обязанности должны выполняться в соответствии с правилами (Евросоюз) нет. 182/2011. В этом контексте, Комиссия должна рассмотреть конкретные меры для очень маленьких, малые и средние предприятия.
168. (168) Процедура экспертизы должна применяться для принятия исполнителей актов в отношении стандартных договорных условий между контроллерами и процессорами, καθώς και μεταξύ εκτελούντων την επεξεργασία· κώδικες δεοντολογίας· τεχνικά πρότυπα και μηχανισμούς πιστοποίησης· το κατάλληλο επίπεδο προστασίας που παρέχει μια τρίτη χώρα, ένα έδαφος ή ένας συγκεκριμένος τομέας εντός της εν λόγω τρίτης χώρας ή ένας διεθνής οργανισμός· τυποποιημένες ρήτρες για την προστασία· μορφοτύπους και διαδικασίες για την ηλεκτρονική ανταλλαγή πληροφοριών μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και εποπτικών αρχών για τους δεσμευτικούς εταιρικούς κανόνες· αμοιβαία συνδρομή και ρυθμίσεις ανταλλαγής πληροφοριών με ηλεκτρονικά μέσα μεταξύ εποπτικών αρχών και μεταξύ εποπτικών αρχών και του Συμβουλίου Προστασίας Δεδομένων.
169. (169) Комиссия должна немедленно принять применимые реализующие акты, где имеющиеся данные свидетельствуют о том, что третьи страны, почвы или конкретный сектор в третьей стране или международном органе не обеспечивает адекватный уровень защиты и требуют веской актуальности.
170. (170) Учитывая цель настоящих Правил, а именно для обеспечения эквивалентного уровня защиты лиц, и свободного движения личных данных во всем Союзе, не может быть в достаточной степени достигнута государствами-членами, может, однако,, Причина масштаба или последствия предлагаемого действия, может быть лучше достигнута на уровне Союза, Союз может принять меры, соответствии с принципом субсидиарности, как это предусмотрено в статье 5 Договора о Европейском Союзе (ДФЭ). В соответствии с принципом пропорциональности, при условии, в этой статье, настоящий Регламент не выходит за рамки того, что необходимо для достижения этой цели.
171. (171) Директива 95/46 / ЕС должен быть отменен настоящим Положением. Обработка уже ведется на дату применения настоящих Правил, должны быть приведены в соответствие с настоящими Правилами в течение двух лет с момента вступления в силу настоящих Правил. Когда обработка основана на согласии в соответствии с Директивой 95/46 / EC, нет необходимости нового согласия субъекта данных, если путь, в котором было получено согласие в соответствии с положениями настоящих Правил, заказать контроллер для продолжения обработки после даты применения настоящих Правил. Комиссии решения и супервайзеры разрешение, выданное в соответствии с Директивой 95/46 / ЕС будет оставаться в силе до тех пор поправки, заменить или удалить их.
172. (172) Мы консультировались с ЕС о защите данных супервизора в соответствии со статьей 28 пункт 2 регулирование (ЕС) нет. 45/2001, который он поставил на 7 марш 2012 (1).
173. (173) Настоящие Правила должны применяться ко всем вопросам, касающимся защиты прав и основных свобод в связи с обработкой персональных данных и которые не подпадают под конкретные обязательства с той же целью, как описано в Директиве 2002/58 / EC Европейского парламента и Совета (2), включая обязательство контроллера и права лиц,. Для выяснения отношений между настоящими Правилами и Директива 2002/58 / EC, что Директива должна быть соответствующим образом изменена. После принятия этого правила, Вы должны пересмотреть директивы 2002/58 / EC, в частности, для обеспечения его соответствия настоящих Правил,

ПРИНЯЛИ ЭТО РЕГУЛИРОВАНИЕ:

Официальный журнал Европейского Союза

Глава I

общие положения

статья 1

Цели и задачи

4.5.2016

EL

1. Настоящее Положение устанавливает правила, касающиеся защиты лиц в отношении обработки персональных данных и правил о свободном перемещении личных данных.

2. Настоящее Положение защищает основные права и свободы физических лиц, и в частности их право на защиту персональных данных.

3. Свободное перемещение личных данных в пределах Союза не ограничено или запрещено по причинам, связанным с защитой физических лиц от обработки личных данных..

статья 2

Основная сфера деятельности

1. Настоящие Правила применяются к, полностью или частично, Автоматизированная обработка персональных данных, и ручная обработка таких данных, включенных или которые должны быть включены в систему подачи.

2. α) б)

с) d)

Настоящие Правила не распространяются на обработку персональных данных: при деятельности, которая выходит за рамки закона Союза,

Государства-члены при осуществлении деятельности, которые входят в сферу капитала 2 V ДФЭ Название,

физическое лицо в ходе чисто личной или бытовой деятельности,

компетентными органами в целях предотвращения, исследование, обнаружение или преследование за совершение уголовных преступлений или исполнение уголовных санкций, включая защиту и предотвращение угроз общественной безопасности.

3.
союз, регулирование применяется (ЕС) нет. 45/2001. регулирование (ЕС) нет. 45/2001 и другие правовые акты Союза, применимые к такой обработке персональных данных, должны быть адаптированы к принципам и правилам настоящего Регламента в соответствии со статьей. 98.

4. Настоящие Правила не влияют на применение Директивы 2000/31 / ЕС., в частности, правила, касающиеся ответственности посреднических услуг изложены в статьях 12 до 15 этой Директивы.

статья 3

Территориальная сфера применения

1. Настоящие Правила применяются к обработке персональных данных в контексте деятельности в создании контроллера или процессоре в Союзе, независимо от того, выполняется обработка в рамках Союза.

Для обработки персональных данных учреждений, органы, ведомства и учреждения

4.5.2016 Официальный журнал Европейского Союза L 119/33

EL

2. Настоящие Правила применяются к обработке персональных данных субъектов данных, которые находятся в Союзе контроллера или процессор не установлено в Союзе, если деятельность по переработке, связанной с:

α) поставки товаров или услуг по этим предметам в базе Союза, является ли оплата требуется субъекты данных, или

б) контроль за их поведением, в той степени, что это поведение имеет место в рамках Союза.

3. Настоящие Правила применяются к обработке персональных данных контроллера не установлен в Союзе, но в стране, где право государства-члена применяется в соответствии с публичным международным правом.

статья 4

Определения

1. 1) "Личные данные": любая информация, относящаяся к идентифицированным или идентифицируемым физическим лицом («Данные»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, прямо или косвенно, в частности, со ссылкой на ID элемента аутентификации, такие как имя, идентификационный номер, в данных о местоположении, онлайн идентификатор или одного или нескольких факторов, характерных для физического, нормальный, генетический, психологический, экономической, культурная или социальная идентичность этого индивида,
2. 2) «Обработка»: любое действие или ряд действий, совершаемых или без автоматических средств, персональные данные или наборы персональных данных символов, такие как сбор, регистрация, организация, структура, экономить, адаптации или вариации, восстановление, поиск информации, использование, раскрытие посредством передачи, распространение или иное предоставление, корреляция или комбинация, ограничение, удаления или уничтожения,
3. 3) «Ограничение обработки»: маркировка сохраненных персональных данных с целью ограничения их обработки в будущем,
4. 4) «Профилирование»: любая форма автоматизированной обработки персональных данных, состоящая из использования персональных данных для оценки определенных личных аспектов физического лица, особенно для анализа или прогнозирования аспектов, связанных с показателями работы, экономическая ситуация, здоровье, личные предпочтения, интересы, надежность, поведение, местоположение или движения этого человека,
5. 5) "Pseudonymization": обработка персональных данных, так что данные больше не может быть отнесены к идентифицированному субъекту данных без использования дополнительной информации, где такая дополнительная информация хранится отдельно и с учетом технических и организационных мер для обеспечения того, что они не могут быть отнесены к идентифицированным или идентифицируемым физическим лицом,
6. 6) «Подача системы»: любой структурированный набор личных данных, который доступен по конкретным критериям, либо централизованной, децентрализованной или дисперсной на функциональной или географической основе,
7. 7) «Контроллер»: физическое или юридическое лицо,, публичная власть, учреждение или другое юридическое лицо, самостоятельно или совместно с другими, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, контроллер или конкретные критерии для его назначения может быть предусмотрен законом Союза или законодательством государства-члена,
8. 8) «Процессор»: физическое или юридическое лицо,, публичная власть, агентство или иной орган, который обрабатывает персональные данные от имени контроллера,
9. 9) «Получатель»: физическое или юридическое лицо,, публичная власть, учреждение или другое юридическое лицо, который раскрыл персональные данные, или нет третьего. однако, государственные органы могут принимать

Для целей настоящего Регламента понимаются:

L 119/34

Официальный журнал Европейского Союза 4.5.2016

10)

11)

12)

13)

14)

15)

16)

δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματο­ ποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,

«Третья сторона»: любое физическое или юридическое лицо,, публичная власть, отдел или агентство, за исключением субъекта данных, контроллер, процессор и лиц,, под непосредственным руководством контроллера или процессора, Они имеют право на обработку персональных данных,

«Согласие» субъект данных: каждый признак умысла, бесплатно, специфические, Явный и осознанное, с которым субъект данных показывает, что он согласен, с заявлением или с явной положительной энергией, обрабатывать персональные данные, относящиеся,

«Личные данные нарушения»: нарушение безопасности приводит к случайному или незаконному уничтожению, потеря, изменение, несанкционированное раскрытие или доступ к личным данным, которые были переданы, сохранены или подвергнуты плоским’ в противном случае обрабатывается,

«Генетические данные»: персональные данные, относящиеся к индивидуальным генетическим характеристикам наследственным или приобретенным, как они появляются, особенно, биологического анализа проб личности и которые предоставляют уникальную информацию о физиологии и здоровья этого человека,

«Биометрические данные»: персональные данные, полученные в результате специальной технической обработки, связанной с природными, биологические или поведенческие характеристики физического лица, которые позволяют или подтверждают бесспорную идентификацию этого физического лица, такие, как лица изображений, или данные пальца назначения,

«Данные о здоровье»: личные данные, связанные с физическим или психическим здоровьем физического лица, в том числе предоставление медицинских услуг, и которые раскрывают информацию о его состоянии здоровья,

"Основная установка":

1. α) когда дело доходит до контроллера с сайтами в более чем одном государстве-члене, место центрального управления Союза, если решения, касающиеся целей и средств обработки персональных данных, не приняты на другом объекте контролера в Союзе, и этот объект не имеет полномочий для обеспечения выполнения этих решений., поэтому основным средством является средство, в котором он принял эти решения,
2. б) когда речь идет о процессоре с сайтами в более чем одном государстве-члене, место центрального управления Союза или, если процессор не имеет центрального управления в Союзе, установка процессора в Союзе, в котором основные операции обработки выполняются в контексте действий по установке процессора, постольку, поскольку процессор является предметом особых требований в соответствии с настоящим Положением,

«Представитель»: физическое или юридическое лицо, учрежденное в Союзе, определены в письменном виде контроллера или процессора в соответствии со статьей 27 и представляет собой контроллер или процессор в качестве их соответствующих обязательств в соответствии с настоящим Положением,

«Бизнес»: физическое или юридическое лицо, занимающееся хозяйственной деятельностью, независимо от его правовой формы, в том числе партнерства или ассоциации, регулярно занимающихся хозяйственной деятельностью,

«Группа предприятий»: контрольное предприятие и его контролируемые предприятия, которые,

«Связующие корпоративные правила»: Политики защиты персональных данных, за которыми следует сотрудник по обработке или исполнению, установленный на территории государства-члена для передачи или пакета передачи персональных данных сотруднику по обработке или обработчику в одной или нескольких третьих странах в рамках бизнес-группы, или группа компаний, занимающихся совместной экономической деятельностью,

17)

18)

19) 20)

21)

"контролирующий орган": независимый государственный орган, состоящий из государства-члена в соответствии со статьей 51,

EL

4.5.2016 Официальный журнал Европейского Союза L 119/35

22. 22) "Заинтересованный надзорный орган": Орган надзора в отношении обработки персональных данных, потому что:
    1. α) контроллер или процессор находится на территории соответствующего государства-члена.,
    2. б) субъекты данных, проживающие в государстве-члене этого контролирующего органа являются или могут быть в значительной степени зависит от работы или
    3. с) Он подал жалобу в надзорный орган,
23. 23) «Крест обработка»:
    1. α) обработка персональных данных, которая происходит в контексте деятельности различных установок в более чем одном государстве-члене, ответственном за обработку или выполнение обработки в Союзе, где контроллер или процессор установлен в более чем одном государстве-члене или
    2. б) обработка персональных данных, которая происходит в контексте деятельности одного субъекта, ответственного за обработку или выполнение обработки в Союзе, но которая влияет или может существенно повлиять на субъектов данных в более чем одном государстве-члене,
24. 24) «Актуальное и обоснованное возражение»: Возражение против проекта решения о существовании нарушения настоящих Правил, или за соблюдение настоящих Правил предлагаемое действие по отношению к контроллеру или процессор, которая наглядно демонстрирует важность рисков, связанных с проектом решения в отношении основных прав и свобод субъектов данных и, где это уместно, свободное перемещение личных данных внутри Союза,
25. 25) "Служба информационного общества": сервис по смыслу статьи 1 пункт 1 пункт б) инструкции (Евросоюз) 2015/1535 Европейский парламент и Совет (1),
26. 26) "Международная организация": орган и его структуры регулируются публичным международным правом или любым другим органом, созданным силой или на основе соглашения между двумя или более странами..

    Глава II

    принципы

    статья 5

    Принципы, регулирующие обработку персональных данных

1. Личные данные:

1. α) подлежат законному и справедливому обращению прозрачным образом по отношению к субъекту данных («законность, объективность и прозрачность »),
2. б) собраны по назначению, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 пункт 1 («Ограничение цели»),
3. с) подходят, соответствующие и ограниченные целями, для которых они обрабатываются («Минимизация данных»),
4. d) это дорого и, когда необходимо, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, по отношению к целям обработки («Точность»),

(1) инструкция (Евросоюз) 2015/1535 Европейский парламент и Совет, от 9 сентября 2015, установить информационный процесс в области технических спецификаций и правил, касающихся услуг информационного общества (OJ L 241 из 17.9.2015, р. 1).

EL

L 119/36 е)

е)

Официальный журнал Европейского Союза 4.5.2016

διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, если личные данные будут обрабатываться только в целях архивирования в общественных интересах, для целей научных или исторических исследований или статистических целей, в соответствии со статьей 89 пункт 1 и при условии применения соответствующих технических и организационных мер, требуемых настоящим Регламентом для обеспечения прав и свобод субъекта данных. («Ограничение срока хранения»),

обрабатываются таким образом, что гарантирует надлежащую безопасность личных данных, среди прочего, защита от несанкционированной или незаконной обработки и случайной потери, катастрофа или износ, используя соответствующие технические или организационные меры ("Честность и конфиденциальность").

Контролер несет ответственность и может доказать соответствие с пунктом 1

статья 6

Законность обработки

2. («Ответственность»).

EL

1. Обработка разрешена только в том случае, если применимо хотя бы одно из следующих условий:

1. α) субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей.,
2. б) обработка необходима для исполнения договора, субъект данных которого является стороной договора, или для принятия мер против’ применение данных субъекта до заключения договора,
3. с) обработка необходима для соблюдения юридического обязательства контролера,
4. d) обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица,
5. е) обработка необходима для выполнения обязанности, выполняемой в общественных интересах или для осуществления публичных полномочий, возложенных на контролера.,

е) обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, если интересы или основные права и свободы субъекта данных, подлежащих защите персональных данных, не превалируют над такими интересами., особенно если субъектом данных является ребенок.

Пункт f) части первого подпункта не распространяются на обработку, осуществляемую государственными органами при исполнении ими своих обязанностей..

2. Государства-члены могут сохранить или принять более конкретные положения для применения положений настоящих Правил к обработке данного пункта. 1 данные с) и е), конкретизировать конкретные требования к обработке и другие меры для обеспечения законной и законной обработки., среди прочего для других особых случаев обработки, как это предусмотрено в главе IX.

3. Основание для обработки, указанной в пункте 1 данные с) и е) определяется в соответствии с: α) Союзное право, или
б) закон государства-члена, которому подчиняется контролер.

Цель обработки указана в этой правовой основе или, в отношении обработки, упомянутой в пункте 1 пункт е), является необходимость обработки для выполнения обязанности, выполняемой в общественных интересах или при осуществлении публичных полномочий, возложенных на контролера. Эта правовая основа может включать специальные положения по адаптации применения правил настоящего Регламента., включая: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των

4.5.2016 Официальный журнал Европейского Союза L 119/37

EL

δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, включая меры по обеспечению законного и справедливого обращения, такие как для других особых случаев обработки, как это предусмотрено в главе IX. Право Союза или право государства-члена соответствуют цели общественного интереса и пропорционально намеченной юридической цели..

4. При обработке для целей, отличных от тех, для которых были собраны персональные данные, не основано на согласии субъекта данных или законе Союза или законодательстве государства-члена, которое является необходимой и пропорциональной мерой в демократическом обществе для обеспечения цели, упомянутые в статье 23 пункт 1, контроллер, чтобы определить, совместима ли обработка для другой цели с целью, для которой первоначально собираются личные данные., принять к сведению, включая:

1. α) любые отношения между целями, для которых были собраны личные данные, и целями, для которых они предназначены для дальнейшей обработки.,
2. б) контекст, в котором были собраны личные данные, в частности, что касается отношений между субъектами данных и контроллером,
3. с) природа персональных данных, в частности, для конкретных категорий персональных данных, подлежащих обработке, в соответствии со статьей 9, или обрабатываются ли личные данные, связанные с осуждением и преступлениями, в соответствии со статьей 10,
4. d) возможные последствия предполагаемой дальнейшей обработки для субъектов данных,
5. е) наличие соответствующих гарантий, который может включать шифрование или псевдоним.

   статья 7

   Условия для согласия

1. Когда обработка основана на согласии, контроллер может доказать, что субъект данных дал согласие на обработку персональных данных.

2. Если согласие субъекта данных предоставляется в контексте письменного заявления по другим вопросам, запрос на согласие подается таким образом, чтобы он явно отличался от других вопросов, в понятной и легко доступной форме, используя ясную и простую формулировку. Любая часть этого заявления, которая представляет собой нарушение этого Регламента, не является обязательной.

3. Субъект данных имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва.. До предоставления согласия, субъект данных проинформирован об этом. Отзыв согласия так же прост, как и его предоставление.

4. При оценке того, дается ли согласие свободно, в частности, учитывается ли, включая, исполнять договор, в том числе предоставление услуги, согласие на обработку персональных данных, которые не являются необходимыми для исполнения указанного договора, является предварительным условием..

статья 8

Условия, которые применяются к согласию ребенка в отношении услуг информационного общества

1. Когда статья применяется 6 пункт 1 пункт а), в отношении предоставления услуг информационного общества непосредственно ребенку, Обработка личных данных ребенка является законной, если ребенок по крайней мере 16 лет. Если ребенок не достиг возраста 16 лет, Такая обработка является законной только в том случае, если такое согласие предоставлено или одобрено лицом, осуществляющим опеку над ребенком..

Государства-члены могут, по закону, установить для таких целей более низкий возраст, при условии, что этот младший возраст не ниже 13 лет.

L 119/38 Официальный журнал Европейского Союза 4.5.2016

EL

2. Контролер прилагает разумные усилия, чтобы в этих случаях удостовериться, что согласие предоставлено или одобрено лицом, осуществляющим опеку над ребенком., с учетом доступных технологий.

3. Параграф 1 не влияет на общее виновное право государств-членов, такие как правила о власти, составление или заключение договора в отношении ребенка.

статья 9

Обработка специальных категорий персональных данных

1. Обработка персональных данных, раскрывающих расовое или этническое происхождение, запрещена, Политические взгляды, религиозные или философские убеждения или участие в профсоюзной организации, а также обработка генетических данных, биометрические данные с целью идентификации лица несомненной, данные о здоровье или данные, касающиеся сексуальной жизни физического лица или сексуальной ориентации.

2. Параграф 1 не применяется в следующих случаях:

1. α) субъект данных прямо дал свое согласие на обработку таких персональных данных для одной или нескольких конкретных целей., если закон Союза или государства-члена не предусматривает, что запрет, упомянутый в пункте 1 не может быть удален из субъекта данных,
2. б) обработка необходима для выполнения обязательств и осуществления некоторых прав контролера или субъекта данных в области трудового права и права социального обеспечения и социальной защиты, при условии, что это разрешено законодательством Союза или государства-члена или коллективным соглашением в соответствии с национальным законодательством, путем предоставления соответствующих гарантий основных прав и интересов субъекта данных.,
3. с) обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица, является ли субъект данных физически или юридически неспособным к согласию,
4. d) обработка выполнена, с соответствующими гарантиями, в контексте правовой деятельности учреждения, организация или другая некоммерческая организация с политиком, философский, религиозные или профсоюзные цели и при условии, что обработка касается только членов или бывших членов органа или лиц, которые регулярно контактируют с ним в связи с его целями, и что личные данные не разглашаются за пределами конкретного органа без согласие субъектов данных,
5. е) Обработка касается личных данных, которые были публично раскрыты субъектом данных,

е) обработка необходима для фундамента, осуществлять или поддерживать судебные иски или когда суды действуют в их юрисдикции,

6. г) обработка необходима по причинам существенного общественного интереса, в соответствии с законодательством Союза или государства-члена, которая пропорциональна преследуемой цели, уважает суть права на защиту данных и обеспечивает соответствующие и конкретные меры для обеспечения основных прав и интересов субъекта данных,
7. η) лечение необходимо для профилактической или профессиональной медицины, оценка работоспособности работника, медицинский диагноз, предоставление медицинской или социальной помощи или лечения или управления медицинскими и социальными системами и услугами в соответствии с законодательством ЕС или законодательством государства-члена или по контракту с медицинским работником и с соблюдением условий и гарантий, изложенных в настоящем пункте. 3,
8. я) Обработка необходима по соображениям общественного интереса в области общественного здравоохранения, такие как защита от серьезных трансграничных угроз для здоровья или обеспечение высоких стандартов качества и безопасности медицинской помощи и лекарств или медицинских изделий., в соответствии с законодательством Союза или государства-члена, которая предусматривает соответствующие и конкретные меры для защиты прав и свобод субъекта данных, в частности, профессиональная тайна, или

4.5.2016 J)

Официальный журнал Европейского Союза L 119/39

Обработка необходима для целей архивирования в общественных интересах, для научных или исторических исследований или для статистических целей в соответствии со статьей 89 пункт 1 в соответствии с законодательством Союза или государства-члена, которые соразмерны с преследуемой целью, уважать суть права на защиту данных и принимать надлежащие и конкретные меры для обеспечения основных прав и интересов субъекта данных.

EL

3.
цели, предусмотренные в пункте 2 элемент h), когда такие данные обрабатываются профессиональным субъектом или под его ответственность, на которую распространяется обязанность сохранять профессиональную тайну в соответствии с законодательством Союза или государства-члена или правилами, установленными компетентными национальными органами, или другим лицом, которое также обязано сохранять конфиденциальность. в соответствии с законодательством Союза или государства-члена или в соответствии с правилами, установленными компетентными национальными органами.

4. Государства-члены могут сохранить или установить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрические данные или данные, касающиеся здоровья.

статья 10

Обработка персональных данных, касающихся уголовных приговоров и правонарушений

Обработка персональных данных, касающихся уголовных приговоров и правонарушений или связанных с ними мер безопасности на основании 6 пункт 1 осуществляется только под контролем официального органа или если обработка разрешена законодательством Союза или законодательством государства-члена, которое обеспечивает достаточные гарантии прав и свобод субъектов данных.. Полное досье хранится только под контролем официального органа.

статья 11

Обработка, не требующая аутентификации

1. Если для целей, для которых контроллер обрабатывает персональные данные, не требуется или больше не требуется проверка личности субъекта данных контроллером, контроллер не обязан поддерживать, получать или обрабатывать дополнительную информацию для проверки личности субъекта данных исключительно в целях соблюдения настоящих Правил.

2. когда, в случаях, указанных в пункте 1 этой статьи, контроллер может доказать, что он не может проверить личность субъекта данных, контроллер должен сообщить субъекту данных, если это возможно. В таких случаях, статьи 15 в качестве 20 не применяются, если субъект данных, с целью осуществления прав, вытекающих из этих статей, предоставляет дополнительную информацию, которая позволяет проверить его личность.

Глава III

Права субъекта данных

отдел 1

Прозрачность и настройки

статья 12

Прозрачное обновление, объявление и регламент осуществления прав субъекта данных

1. Контролер должен принять соответствующие меры для предоставления субъекту данных любой информации, указанной в статьях. 13 и 14 и любое объявление по статьям 15 до 22 и статья 34 на лечение в заключение, прозрачный, понятная и легкодоступная форма, используя ясную и простую формулировку, особенно когда речь идет об информации, специально предназначенной для детей. Информация предоставляется в письменной или иной форме., включая, в случае необходимости, в электронном виде. По запросу субъекта данных, информация может быть предоставлена ​​в устной форме, при условии, что личность субъекта данных подтверждается другими средствами.

Личные данные, указанные в пункте 1 могут быть обработаны для них

L 119/40 Официальный журнал Европейского Союза 4.5.2016

EL

2. Контролер облегчает реализацию прав субъектов на данные, представленные в статьях. 15 до 22. В случаях, предусмотренных в статье 11 пункт 2, Контролер не отказывается действовать по запросу субъекта данных для осуществления своих прав в соответствии со статьями 15 до 22, если контроллер не докажет, что он не может проверить личность субъекта данных.

3. Контролер должен предоставить субъекту данных информацию о действиях, предпринятых по запросу в соответствии со статьями. 15 до 22 без задержки и в любом случае в течение одного месяца с момента получения запроса. Этот срок может быть продлен еще на два месяца, если необходимо, с учетом сложности запроса и количества запросов. Контролер должен сообщить субъекту данных о таком продлении в течение одного месяца с момента получения запроса., а также по причинам задержки. Если субъект данных подает запрос в электронном виде, информация предоставлена, если это возможно, электронными средствами, если субъект данных не запрашивает иное.

4. Если контроллер не действует по запросу субъекта данных, контроллер информирует субъект данных, без задержки и не позднее, чем через месяц после получения запроса, по причинам, по которым он не действовал, и по возможности подачи жалобы в надзорный орган и апелляции.

5. Информация предоставлена ​​в соответствии со статьями 13 и 14 и любое объявление, а также все действия, предпринятые в соответствии со статьями 15 до 22 и статьи 34 предоставляется бесплатно. Если запросы субъекта данных являются явно необоснованными или чрезмерными, особенно из-за их повторяющейся природы, контроллер может либо:

α) взимать разумную плату, с учетом административных расходов на предоставление информации или объявления или выполнения запрошенного действия, или

б) отказаться от выполнения запроса.

Контролер несет бремя доказывания того, что претензия является явно необоснованной или чрезмерной..

6. Без ущерба для этой статьи 11, когда у контролера есть обоснованные сомнения относительно личности физического лица, подающего запрос, указанный в статьях 15 до 21, контроллер может запросить предоставление дополнительной информации, необходимой для подтверждения личности субъекта данных..

7. Информация, предоставляемая субъектам данных в соответствии со статьями 13 и 14 могут быть предоставлены в сочетании со стандартными значками для того, чтобы, Понятный обзор предполагаемого лечения понятным и разборчивым способом. Если иконки доступны в электронном виде, механически разборчивы.

8. Комиссия уполномочена выдавать кошку’ авторизация действует в соответствии со статьей 92 определить информацию, которая будет представлена ​​с иконками и процедуры для предоставления стандартных икон.

отдел 2

Обновление и доступ к персональным данным

статья 13

Информация, предоставленная, если личные данные собираются субъектом данных

1. Когда персональные данные, относящиеся к субъекту данных, собираются субъектом данных, контроллер, при получении личных данных, предоставляет субъекту данных всю следующую информацию:

1. α) личность и контактные данные контроллера и, где это уместно, представитель контролера,
2. б) контактные данные сотрудника по защите данных, где это уместно,
3. с) цели обработки, для которых предназначены персональные данные, а также правовая основа для обработки,

4.5.2016 d)

е) е)

Официальный журнал Европейского Союза L 119/41

основана ли обработка на статье 6 пункт 1 пункт f), законные интересы, преследуемые контролером или третьей стороной,

получатели или категории получателей персональных данных, если они существуют,

где это уместно, намерение диспетчера передать личные данные третьей стране или международной организации, а также наличие или отсутствие решения о компетенции Комиссии или, когда дело доходит до переводов, упомянутых в статье 46 или 47 или в статье 49 пункт 1 второй абзац, ссылка на соответствующие или соответствующие гарантии и средства для получения копии или, если это возможно.

EL

2.
личные данные, предоставляет субъекту данных следующую дополнительную информацию, необходимую для обеспечения законной и прозрачной обработки:

В дополнение к информации, указанной в пункте 1, контроллер, принимая их

1. α) период времени, в течение которого будут храниться личные данные или, когда это невозможно, критерии, которые определяют этот период,
2. б) наличие права подать запрос контролеру на доступ и исправление или удаление персональных данных или ограничение обработки в отношении субъекта данных или право возражать против обработки., а также право на переносимость данных,
3. с) когда обработка основана на статье 6 пункт 1 пункт а) или в статье 9 пункт 2 пункт а), наличие права на отзыв своего согласия в любое время, без ущерба для законности обработки, основанной на согласии до его отзыва,
4. d) право подать жалобу в надзорный орган,
5. е) является ли предоставление персональных данных юридическим или договорным обязательством или требованием для заключения договора, а также обязан ли субъект данных предоставлять персональные данные и какие возможные последствия может иметь непредоставление таких данных.,

е) наличие автоматизированного принятия решений, включая профильное обучение, упоминается в статье 22 пункты 1 и 4 и, по крайней мере, в этих случаях, важная информация о логике следовал, а также значимость и предполагаемые последствия такой обработки для субъекта данных.

3. Когда контроллер планирует обрабатывать персональные данные для любых целей, кроме тех, для которых личные данные, собранные, контроллер предоставляет субъект данных, перед указанным дальнейшей обработкой, информация для этой цели и любая другая необходимая информация, как указано в пункте 2.

4. Абзацы 1, 2 и 3 не применяются, когда и если субъект данных уже имеет информацию,

статья 14

Информация, предоставленная, если личные данные не были собраны субъектом данных

1. Когда личные данные не были собраны субъектом данных, Контролер должен предоставить следующую информацию субъекту данных:

1. α) личность и контактные данные контроллера и, где это уместно, представитель контролера,
2. б) контактные данные сотрудника по защите данных, где это уместно,
3. с) цели обработки, для которых предназначены персональные данные, а также правовая основа для обработки,
4. d) соответствующие категории персональных данных,
5. е) получатели или категории получателей персональных данных, возможно,

L 119/42 Официальный журнал Европейского Союза 4.5.2016

EL

е) где это уместно, что контролер намеревается передать личные данные получателю в третьей стране или международной организации, а также о наличии или отсутствии решения компетентной комиссии или, когда дело доходит до переводов, упомянутых в статье 46 или 47 или в статье 49 пункт 1 второй абзац, ссылка на соответствующие или соответствующие гарантии и средства для получения копии или, если это возможно.

2. В дополнение к информации, указанной в пункте 1, Контролер должен предоставить субъекту данных следующую информацию, необходимую для обеспечения справедливого и прозрачного обращения с субъектом данных.:

1. α) период времени, в течение которого будут храниться личные данные или, когда это невозможно, критерии, которые определяют этот период времени,
2. б) основана ли обработка на статье 6 пункт 1 пункт f), законные интересы, преследуемые контролером или третьей стороной,
3. с) наличие права подать запрос контролеру на доступ и исправление или удаление персональных данных или ограничение обработки в отношении субъекта данных и право возражать против обработки., а также право на переносимость данных,
4. d) когда обработка основана на статье 6 пункт 1 пункт а) или в статье 9 пункт 2 пункт а), наличие права на отзыв своего согласия в любое время, без ущерба для законности обработки, основанной на согласии до его отзыва,
5. е) право подать жалобу в надзорный орган,

е) источник, из которого происходят личные данные и, это зависит от ситуации, если данные поступили из источников, к которым у общественности есть доступ,

г) наличие автоматизированного принятия решений, включая профильное обучение, предусмотрено в статье 22 пункты 1 и 4 и, по крайней мере, в этих случаях, важная информация о логике следовал, а также значимость и предполагаемые последствия такой обработки для субъекта данных.

3. Контролер должен предоставить информацию, указанную в пунктах 1 и 2:

1. α) в разумные сроки от сбора персональных данных, но не позднее чем через месяц, принимая во внимание особые обстоятельства, при которых обрабатываются личные данные,
2. б) если личные данные должны использоваться для связи с субъектом данных, самое позднее при первом контакте с рассматриваемым субъектом данных, или
3. с) уведомление другому получателю, самое позднее, когда личные данные впервые раскрываются.

4. Когда контроллер намеревается дополнительно обрабатывать личные данные для целей, отличных от тех, для которых были собраны личные данные, контроллер данных должен предоставить субъекту данных, перед указанным дальнейшей обработкой, информация для этой цели и любая другая необходимая информация, как указано в пункте 2.

5. Абзацы 1 до 4 не применяются, если и когда:

1. α) субъект данных уже имеет информацию,
2. б) предоставление такой информации оказывается невозможным или приведет к непропорциональным усилиям, в частности, в отношении обработки в целях архивирования в общественных интересах, для целей научных или исторических исследований или статистических целей, в соответствии с условиями и гарантиями, указанными в статье 89 пункт 1 или если обязательство, указанное в пункте 1 Эта статья может сделать невозможным или очень вредным для достижения целей этой обработки.. В таких случаях, Контролер должен принять соответствующие меры для защиты прав, свобод и законных интересов субъекта данных., среди прочего, сделать информацию доступной для общественности,
3. с) приобретение или уведомление прямо предусмотрено законодательством Союза или государства-члена, которому подчиняется контролер и которое предусматривает надлежащие меры для защиты законных интересов субъекта данных или
4. d) должны ли личные данные оставаться конфиденциальными в соответствии с обязательством соблюдения профессиональной тайны, регулируемым законодательством Союза или государства-члена, в том числе обязательство по соблюдению конфиденциальности.

4.5.2016 Официальный журнал Европейского Союза L 119/43

EL

статья 15

Право доступа субъекта данных

1. Субъект данных имеет право получить подтверждение от контроллера о том, обрабатываются ли персональные данные, касающиеся его, и, если это произойдет, право на доступ к личным данным и следующей информации:

1. α) цели обработки,
2. б) соответствующие категории персональных данных,
3. с) получатели или категории получателей, которым персональные данные были раскрыты или будут раскрыты, особенно получатели в третьих странах или международных организациях,
4. d) если это возможно, период времени, в течение которого будут храниться личные данные или, когда это невозможно, критерии, которые определяют этот период,
5. е) наличие права подать запрос контролеру на исправление или удаление персональных данных или ограничение обработки персональных данных в отношении субъекта данных или право возражать против такой обработки.,

е) право подать жалобу в надзорный орган,

6. г) когда личные данные не собираются субъектом данных, любая доступная информация об их происхождении,
7. η) наличие автоматизированного принятия решений, включая профильное обучение, предусмотрено в статье 22 пункты 1 и 4 и, по крайней мере, в этих случаях, важная информация о логике следовал, а также значимость и предполагаемые последствия такой обработки для субъекта данных.

2. Когда личные данные передаются третьей стране или международной организации, субъект данных имеет право быть информированным о соответствующих гарантиях в соответствии со статьей 46 на передаче.

3. Контроллер предоставляет копию обрабатываемых персональных данных. Для дополнительных копий, которые могут быть запрошены субъектом данных, Контролер может взимать разумную плату за административные расходы. Если субъект данных отправляет запрос в электронном виде и если субъект данных не запрашивает иное, информация предоставляется в электронном виде, который обычно используется.

4. Право на получение копии, указанной в пункте 3 не оказывает негативного влияния на права и свободы других.

отдел 3

Исправление и удаление

статья 16

Право на исправление

Субъект данных имеет право без промедления потребовать от диспетчера исправления неточных персональных данных, касающихся его.. Учитывая цели обработки, субъект данных имеет право требовать заполнения неполных персональных данных, среди прочего через дополнительное заявление.

статья 17

Право на удаление («Право забыть»)

1. Субъект данных имеет право запросить менеджера обработки удалить относящиеся к нему персональные данные без неоправданной задержки, и контроллер обязан удалить персональные данные без неоправданной задержки., если применяется одна из следующих причин:

α) Личные данные больше не нужны для целей, для которых они были собраны или представлены’ в противном случае обрабатывается,

L 119/44 б)

с)

d) е)

е)

Официальный журнал Европейского Союза 4.5.2016

субъект данных отзывает согласие, на основании которого обработка основана на статье 6 пункт 1 пункт а) или статья 9 пункт 2 пункт а) и нет другой правовой базы для обработки,

субъект данных выступает против обработки согласно статье 21 пункт 1 и нет веских и законных причин для обработки или субъект данных выступает против обработки в соответствии со статьей 21 пункт 2,

личные данные были обработаны незаконно,

личные данные должны быть удалены, в целях соблюдения правовых обязательств в соответствии с законодательством ЕС или законодательством государства-члена., которому подчиняется контроллер,

Персональные данные, собранные в связи с предоставлением услуг информационного общества, указанных в статье 8 пункт 1.

EL

2.
параграф 1 удалить личные данные, контроллер, с учетом доступных технологий и затрат на применение, принимает разумные меры, в том числе технические меры, информировать редакторов, которые обрабатывают личные данные, что субъект данных запросил удаление у тех, кто отвечает за обработку любых ссылок на такие данные или копий или копий таких личных данных..

3. α) б)

с) d)

е)

Абзацы 1 и 2 не применяются в той степени, в которой требуется обработка:

для осуществления права на свободу выражения мнений и права на информацию,

соблюдать юридическое обязательство по обеспечению соблюдения режима в соответствии с законодательством Союза или законодательством государства-члена, перед которым контролер несет ответственность, или выполнять обязанности, выполняемые в общественных интересах или при осуществлении публичных полномочий, возложенных на контролера.,

по причинам общественного интереса в области общественного здравоохранения согласно статье 9 пункт 2 элементы ч) и я), а также статья 9 пункт 3,

для архивных целей в интересах общества, для научных или исторических исследований или для статистических целей в соответствии со статьей 89 пункт 1, при условии, что право, указанное в пункте 1 возможно сделать это невозможным или предотвратить достижение целей этой обработки в значительной степени., или

для основания, подготовки или поддержки юридических претензий.

статья 18

Право на ограничение обработки

Когда контроллер обнародовал свои личные данные и должен сделать это

1.
обработка, когда применяется одно из следующих:

Субъект данных имеет право гарантировать, что контроллер гарантирует, что он ограничен

1. α) точность персональных данных оспаривается субъектом данных, в течение периода времени, который позволяет контролеру проверять точность персональных данных,
2. б) обработка незаконна и субъект данных выступает против удаления личных данных и запросов, муравей’ из этого, ограничение их использования,
3. с) контроллер больше не нуждается в личных данных для целей обработки, но эти данные требуются субъектом данных для основания, осуществление или поддержка юридических требований,
4. d) субъект данных имеет возражения против обработки согласно статье 21 пункт 1, в ожидании проверки того, преобладают ли законные основания контролера над данными субъекта данных.

2. Когда обработка ограничена в соответствии с пунктом 1, такие личные данные, в дополнение к хранению, обрабатываются только с согласия субъекта данных или для учреждения, осуществление или поддержка юридических требований или для защиты прав другого физического или юридического лица или по причинам значительного общественного интереса Союза или Государства-члена..

4.5.2016 Официальный журнал Европейского Союза L 119/45

EL

3. Субъект данных, который обеспечил ограничение обработки в соответствии с пунктом 1 Обновляется контроллером перед снятием ограничения на редактирование.

статья 19

Обязательство уведомлять об исправлении или удалении личных данных или ограничении обработки

Контролер уведомляет вас о любом исправлении или удалении персональных данных или об ограничении обработки данных, выполняемой в соответствии со статьей. 16, статья 17 пункт 1 и статьи 18 каждому получателю, которому были раскрыты личные данные, если это не окажется невозможным или сопряжено с непропорциональными усилиями. Контроллер сообщает субъекту данных об этих получателях, по запросу субъекта данных.

статья 20

Право на переносимость данных

1. Субъект данных имеет право получать персональные данные о нем, и который он предоставил контроллеру, структурированное, широко используемый и машиночитаемый формат, а также право передавать такие данные другому контролеру без возражений со стороны контроллера, которому были предоставлены личные данные., когда:

α) обработка основана на согласии согласно статье 6 пункт 1 пункт а) или статья 9 пункт 2 пункт а) или в договоре по статье 6 пункт 1 пункт б) и

б) обработка осуществляется автоматизированными средствами.

2. При реализации права на переносимость данных в соответствии с пунктом 1, субъект данных имеет право запросить прямую передачу персональных данных от одного контроллера другому, в случае, если это технически возможно.

3. Право, указанное в пункте 1 этой статьи осуществляется без ущерба для статьи 17. Это право не распространяется на обработку, необходимую для исполнения обязанности, выполняемой в общественных интересах или при осуществлении публичных полномочий, возложенных на контролера..

4. Право, указанное в пункте 1 не оказывает негативного влияния на права и свободы других. отдел 4

Право на оппозицию и автоматическое принятие индивидуальных решений

статья 21

Право на возражение

1. Субъект данных имеет право на объект, в любое время и по причинам, связанным с его конкретной ситуацией, в обработке персональных данных, касающихся этого, который основан на статье 6 пункт 1 пункт е) или е), включая подготовку профилей на основе этих положений. Контроллер больше не обрабатывает персональные данные, если контроллер не продемонстрирует убедительные и законные причины для обработки, которые в наилучших интересах, права и свободы субъекта данных или для учреждения, подготовки или поддержки юридических претензий.

2. Если личные данные обрабатываются для прямых коммерческих целей, субъект данных имеет право в любое время возразить против обработки персональных данных, относящихся к этой коммерческой акции., в том числе профильное обучение, если связано с этим прямым коммерческим продвижением.

3. Когда субъекты данных возражают против обработки в коммерческих целях, Личные данные больше не обрабатываются для этих целей.

L 119/46 Официальный журнал Европейского Союза 4.5.2016

EL

4. Самое позднее во время первого общения с субъектом данных, право, указанное в пунктах 1 и 2 явно указывается в теме данных и четко и отдельно описывается от любой другой информации..

5. В контексте использования услуг информационного общества и без ущерба для Директивы 2002/58 / EC, субъект данных может воспользоваться своим правом противостоять автоматизированным носителям, использующим технические спецификации.

6. Когда личные данные обрабатываются для научных или исторических исследований или для статистических целей в соответствии со статьей 89 пункт 1, субъект данных имеет право на объект, по причинам, связанным с его конкретным состоянием, в обработке персональных данных, касающихся этого, кроме случаев, когда обработка необходима для выполнения обязанности, выполняемой в общественных интересах.

статья 22

Автоматизированное принятие индивидуальных решений, в том числе профильное обучение

1. Субъект данных имеет право не подчиняться решению, принимаемому исключительно на основе автоматизированной обработки., включая профильное обучение, который создает правовые последствия, которые влияют на него или существенно влияют на него аналогичным образом.

2. α)

б)

с)

Параграф 1 не применяется при принятии решения:

это необходимо для заключения или исполнения договора между субъектом данных и контроллером данных,

разрешено законодательством Союза или законодательством государства-члена, которому подчиняется контролер и которое также предусматривает надлежащие меры по защите прав., свободы и законные интересы субъекта данных или

основан на явном согласии субъекта данных.

3.
осуществляет соответствующие меры по защите прав, свободы и законные интересы субъекта данных, по крайней мере, право обеспечить вмешательство человека со стороны контроллера, выражать мнение и оспаривать решение.

4. Решения, указанные в пункте 2 они не основаны на конкретных категориях персональных данных, упомянутых в статье 9 пункт 1, если статья не применяется 9 пункт 2 пункт а) или г) и существуют ли соответствующие меры для защиты прав, свободы и законные интересы субъекта данных.

отдел 5

Ограничения

статья 23

Ограничения

1. Закон Союза или государства-члена, которому подчиняется контролер данных или оператор обработки данных, может посредством законодательных мер ограничить объем обязательств и прав, предусмотренных в статьях. 12 до 22 и в статье 34, как и в статье 5, при условии, что его положения соответствуют правам и обязанностям, предусмотренным в статьях 12 до 22, когда такое ограничение уважает сущность основных прав и свобод и является необходимой и пропорциональной мерой в демократическом обществе для обеспечения:

1. α) государственной безопасности,
2. б) национальной обороны,
3. с) общественная безопасность,

В случаях, указанных в пункте 2 данные) и G), контроллер данных

4.5.2016 Официальный журнал Европейского Союза L 119/47

EL

4. d) профилактика, исследование, обнаружение или преследование за совершение уголовных преступлений или исполнение уголовных санкций, включая защиту от угроз общественной безопасности и их предотвращение,
5. е) другие важные цели, представляющие общественный интерес для Союза или государства-члена, в частности, является важными экономическими или финансовыми интересами Союза или государств-члена, в том числе денежные, государственные юридические и налоговые вопросы, общественное здравоохранение и социальное обеспечение,

е) защита независимости судебной власти и судебного разбирательства,

6. г) профилактика, исследование, выявление и судебное преследование нарушений этики в юридически зарегистрированных профессиях,
7. η) мониторинга, инспекционная или регулирующая функция, связанная, даже изредка, осуществляя государственную власть в случаях, указанных в пунктах) палец) и г),
8. я) защита субъекта данных или прав и свобод третьих лиц,
9. J) исполнение гражданских исков.

2. конкретно, любая законодательная мера, указанная в пункте 1 содержит конкретные положения, по крайней мере,, это зависит от ситуации, относительно:

1. α) цели обработки или категории обработки,
2. б) категории персональных данных,
3. с) объем наложенных ограничений,
4. d) гарантии предотвращения злоупотреблений или незаконного доступа или передачи,
5. е) конкретное описание контроллера или категории контроллеров,

е) сроки хранения и применимые гарантии, принимая во внимание природу, объем и цели обработки или категории обработки,

6. г) риски для прав и свобод субъектов данных и
7. η) право субъектов данных быть информированными об ограничении, если это не может быть вредным для целей ограничения.

   Глава IV

   Ответственный за обработку и выполнение обработки

   отдел 1

   Общие обязательства

   статья 24

   Ответственность контроллера

1. Принимая во внимание природу, сфера, контекст и цель обработки, а также риски различной вероятности возникновения и серьезности для прав и свобод физических лиц, Контролер должен применять соответствующие технические и организационные меры, чтобы гарантировать и иметь возможность доказать, что обработка выполняется в соответствии с настоящими Правилами.. Эти меры пересматриваются и обновляются при необходимости.

2. Когда это оправдано в связи с обработкой, меры, указанные в пункте 1 включает реализацию соответствующих политик защиты данных контроллером.

3. Соблюдение утвержденных кодексов поведения, указанных в статье 40 или утвержденный механизм сертификации, как указано в статье 42 может быть использовано в качестве доказательства соблюдения обязательств контролера.

L 119/48 Официальный журнал Европейского Союза 4.5.2016

статья 25

Защита данных уже по замыслу и по определению

1. С учетом последних разработок, стоимость и характер применения, сфера, контекст и цель обработки, а также риски различной вероятности возникновения и серьезности для прав и свобод физических лиц от обработки, контроллер эффективно применяет результаты, как во время определения средства обработки, так и во время обработки, соответствующие технические и организационные меры, такие как псевдонимизация, предназначен для реализации принципов защиты данных, такие как минимизация данных, и включение необходимых гарантий при обработке таким образом, чтобы были соблюдены требования настоящего Регламента и были защищены права субъектов данных..

2. Контролер осуществляет соответствующие технические и организационные меры для обеспечения того, чтобы, по определению, обрабатываются только те персональные данные, которые необходимы для обработки.. Это обязательство распространяется на диапазон собираемых персональных данных., степень их обработки, срок их хранения и доступность. конкретно, эти меры обеспечивают, по определению, Персональные данные не могут быть доступны без вмешательства физического лица в неограниченное количество физических лиц.

3. Утвержден механизм сертификации согласно статье 42 могут быть использованы в качестве доказательства соответствия требованиям, изложенным в пунктах 1 и 2 этой статьи.

статья 26

Вместе с редакторами

1. В случае, если два или более редактора совместно определяют цели и средства обработки, несут совместную ответственность за обработку. Они четко определяют свои соответствующие обязанности по соблюдению обязательств по настоящему Регламенту., в частности, в отношении осуществления прав субъекта данных и их соответствующих обязанностей по предоставлению информации, упомянутой в статьях. 13 и 14, по соглашению между ними, если и в той степени, в которой соответствующие полномочия контролеров определены законодательством Союза или законодательством государства-члена, которому контролеры подчиняются.. Соглашение может указывать точку контакта для субъектов данных.

2. Соглашение, указанное в пункте 1 должным образом отражает соответствующие роли и отношения со-редакторов по отношению к субъектам данных. Содержание соглашения предоставляется субъекту данных..

3. Независимо от условий договора, указанных в пункте 1, субъект данных может осуществлять свои права в соответствии с настоящим Регламентом против любого из контролеров..

статья 27

Представители редакции или исполнители редакции, не установленной в Союзе

1. В случаях, когда статья применяется 3 пункт 2, Контролер или обработчик должны письменно назначить представителя в Союз..

2. α)

Обязательство, изложенное в пункте 1 Эта статья не относится к:

обработка, которая является случайной, это не включает, во многом, обработка отдельных категорий данных по статье 9 пункт 1 или обработка персональных данных, касающихся уголовных приговоров и преступлений, указанных в статье 10 и не может угрожать правам и свободам людей, принимая во внимание природу, контекст, объем и цели обработки, или

б)

государственный орган или орган.

EL

4.5.2016 Официальный журнал Европейского Союза L 119/49

EL

3. Представитель находится в одном из государств-членов, где находятся субъекты данных., чьи личные данные обрабатываются в связи с поставками им товаров или услуг или чье поведение контролируется.

4. Контролер или обработчик должен проинструктировать представителя обратиться к нему с надзорными органами и субъектами данных., в дополнение или вместо контроллера или процессора, по всем вопросам, связанным с обработкой, с целью обеспечения соблюдения настоящих Правил.

5. Назначение представителя контроллером или процессором не влияет на апелляции, которые могут быть поданы против контроллера или самого процессора..

статья 28

Лицо, выполняющее обработку

1. Когда обработка должна выполняться от имени контроллера, контроллер использует только процессоры, которые обеспечивают достаточные гарантии для реализации соответствующих технических и организационных мер., чтобы обработка соответствовала требованиям настоящего Регламента и обеспечивала защиту прав субъекта данных.

2. Процессор не нанимает другого исполнителя без предварительного специального или общего письменного разрешения от контроллера.. В случае общего письменного разрешения, процессор информирует контроллер о любых предполагаемых изменениях, связанных с добавлением или заменой других процессоров., тем самым позволяя редактору противостоять этим изменениям.

3. Обработка исполнителем регулируется договором или иным правовым актом в соответствии с законодательством Союза или государства-члена., который связывает процессор с контроллером и определяет объект и продолжительность обработки, сущность и цель обработки, вид личных данных и категорий субъектов данных и обязательств и прав контроллера. Этот договор или иной правовой акт специально предусматривает, что подрядчик выполняет обработку:

1. α) обрабатывает персональные данные только на основании записанных распоряжений контролера, включая передачу персональных данных в третью страну или международную организацию, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, обработчик должен проинформировать контролера об этом юридическом требовании до обработки., если такой закон не запрещает такую ​​информацию по серьезным причинам общественного интереса,
2. б) обеспечить, чтобы лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство по соблюдению конфиденциальности или подпадали под действие соответствующих нормативных обязательств по соблюдению конфиденциальности,
3. с) принимает все необходимые меры по статье 32,
4. d) соответствует условиям, изложенным в пунктах 2 и 4 нанять другого процессора,
5. е) принимает во внимание характер обработки и помогает контролеру с соответствующими техническими и организационными мерами, так далеко, насколько возможно, для выполнения обязанности контролера отвечать на запросы об осуществлении прав субъекта данных, предусмотренных в главе III,

е) помогает контролеру обеспечить соблюдение обязательств, вытекающих из статей 32 до 36, принимая во внимание характер обработки и информацию, доступную для процессора,

6. г) квартира’ выбор контроллера, удаляет или возвращает все личные данные контроллеру после окончания обработки услуг и удаляет существующие копии, если закон Союза или государства-члена не требует хранения личных данных,
7. η) предоставлять контролеру любую необходимую информацию, чтобы продемонстрировать соблюдение обязательств, изложенных в этой статье, а также разрешить и облегчить контроль, включая проверки, осуществляется контроллером или другим контроллером по заказу контроллера.

L 119/50 Официальный журнал Европейского Союза 4.5.2016

EL

Что касается первого подпункта h), процессор должен немедленно уведомить контроллер, если, на мой взгляд, любой заказ нарушает этот Регламент или другие положения ЕС или национальные положения о защите данных.

4. Когда процессор нанимает другого исполнителя для выполнения определенных действий по обработке от имени контроллера, те же обязательства в отношении защиты данных, предусмотренных в договоре или другом правовом акте между контроллером и обработчиком, как предусмотрено в пункте 3, навязывается другому исполнителю по договору или иному правовому акту в соответствии с законодательством Союза или государства-члена., в частности, для обеспечения адекватных гарантий соответствующих технических и организационных мер, чтобы обработка соответствовала требованиям настоящих Правил. Когда другой выполняет обработку, он не может выполнить свои обязательства по защите данных., первоначальный исполнитель остается полностью подотчетным контролеру за выполнение обязательств другого процессора.

5. Соблюдение разработчиком утвержденного кодекса поведения, указанного в статье 40 или утвержденный механизм сертификации, как указано в статье 42 может быть использован в качестве доказательства для предоставления адекватных гарантий в соответствии с пунктами 1 и 4 этой статьи.

6. Без ущерба для индивидуального договора между контроллером и процессором., договор или иной правовой акт, указанный в пунктах 3 и 4 этой статьи могут быть основаны на, полностью или частично, в стандартных договорных условиях, указанных в пунктах 7 и 8 этой статьи, в том числе, когда они являются частью сертификации, предоставленной контроллеру или процессору в соответствии со статьями. 42 и 43.

7. Комиссия может устанавливать стандартные договорные условия по вопросам, указанным в пунктах. 3 и 4 этой статьи и в соответствии с процедурой экспертизы, указанной в статье 93 пункт 2.

8. Надзорный орган может устанавливать стандартные договорные условия по вопросам, указанным в пунктах. 3 и 4 этой статьи и в соответствии с механизмом согласованности, упомянутым в этой статье 63.

9. Договор или иной правовой акт, указанные в пунктах 3 и 4 существует в письменной форме, среди прочего в электронном виде.

10. Тематические статьи 82, 83 и 84, если исполнитель обработки определяет с нарушением настоящих Правил цели и средства обработки, процессор считается ответственным за конкретную обработку.

статья 29

Обработка под контролем контроллера или процессора

Процессор и любое лицо, действующее под наблюдением контроллера или процессора, который имеет доступ к личным данным, эти данные обрабатываются только кошкой’ мандат контролера, если это не требуется законодательством Союза или государства-члена.

статья 30

Действия по обработке файлов

1. Каждый редактор и, где это уместно, его представитель, ведет учет операций обработки, за которые он отвечает. Этот файл содержит всю следующую информацию:

1. α) имя и контактные данные контроллера и, где это уместно, совместного контроллера, представитель контролера и сотрудник по защите данных,
2. б) цели обработки,
3. с) описание категорий субъектов данных и категорий персональных данных,

4.5.2016 d)

е)

е) г)

Официальный журнал Европейского Союза L 119/51

категории получателей, которым персональные данные должны быть раскрыты или раскрыты, в том числе принятые в третьих странах или международных организациях,

где применимо, передача персональных данных третьей стране или международной организации, включая указание этой третьей страны или международной организации и, в случае перечислений, указанных в статье 49 пункт 1 второй абзац, документация соответствующих гарантий,

где возможно, сроки удаления различных категорий данных,

где возможно, общее описание технических и организационных мер безопасности, указанных в статье 32 пункт 1.

EL

2.
из
Последующий:

α)

б) с)

d)

3.

имя и контактные данные исполнителя или обработчиков и контролеров, от имени которых действует исполнитель, и, где это уместно, представитель контроллера или процессора, а также сотрудник по защите данных,

категории обработки, выполняемые каждым контроллером,

где применимо, передача персональных данных третьей стране или международной организации, включая указание этой третьей страны или международной организации и, в случае перечислений, указанных в статье 49 пункт 1 второй абзац, документация соответствующих гарантий,

где возможно, общее описание технических и организационных мер безопасности, указанных в статье 32 пункт 1.

Файлы, упомянутые в абзацах 1 и 2 существуют в письменном виде, среди прочего в электронном виде.

Каждый процесс выполнения и, где это уместно, Представитель обработчика должен вести учет всех категорий операций обработки, выполняемых контроллером., который включает в себя

4.
или процессор делает файл доступным для контролирующего органа по запросу.

Контроллер или процессор и, где это уместно, представитель контролера

5. Обязательства, указанные в пунктах 1 и 2 не распространяется на бизнес или организацию, в которой работает менее 250 индивидуумы, если обработка не может поставить под угрозу права и свободы субъекта данных, редактирование не является случайным или редактирование включает в себя специальные категории данных в соответствии со статьей 9 пункт 1 или обработка персональных данных, касающихся уголовных приговоров и преступлений, указанных в статье 10.

статья 31

Сотрудничество с надзорным органом

Контроллер и процессор и, где это уместно, их представители сотрудничают, по требованию, с надзорным органом для выполнения своих обязанностей.

отдел 2

Безопасность личных данных

статья 32

Обработка безопасности

1. С учетом последних разработок, стоимость и характер применения, сфера, контекст и цель обработки, а также риски различной вероятности возникновения и серьезности для прав и свобод физических лиц, контроллер и процессор осуществляют соответствующие технические и организационные меры для обеспечения надлежащего уровня защиты от рисков., включая, включая, где это уместно:

α) псевдоним и шифрование персональных данных,

L 119/52 б)

с)

d)

Официальный журнал Европейского Союза 4.5.2016

возможность обеспечения секретности, целостности, доступность и надежность процессинговых систем и сервисов на постоянной основе,

возможность своевременного восстановления доступности и доступа к персональным данным в случае природного или технического события,

процедура регулярного тестирования, оценка и оценка эффективности технических и организационных мер по обеспечению безопасности обработки.

2.
обработка, особенно от случайного или незаконного уничтожения, потеря, изменение, несанкционированное раскрытие или доступ к личным данным, передаваемым, сохранены или подвергнуты плоским’ в противном случае обрабатывается.

3. α)

б)

с) d)

Уведомление, указанное в пункте 1 квартира’ минимальный:

описывает характер нарушения личных данных, включены, где возможно, категории и приблизительное количество пострадавших субъектов данных, а также категории и приблизительное количество затронутых файлов с личными данными,

объявляет имя и контактные данные сотрудника по защите данных или другого контактного лица, из которого можно получить дополнительную информацию,

описывает возможные последствия нарушения личных данных,

описывает меры, предпринятые или предлагаемые к выполнению контроллером для устранения нарушений персональных данных, а также, где уместно, меры по смягчению его потенциальных неблагоприятных последствий.

EL

При оценке соответствующего уровня безопасности, риски, возникающие из

3. Соблюдение утвержденного этического кодекса, как указано в статье 40 или утвержденный механизм сертификации, как указано в статье 42 могут быть использованы в качестве доказательства для соблюдения требований пункта 1 этой статьи.

4. Контролер и обработчик должны принять меры к тому, чтобы любое физическое лицо, действующее под надзором контроллера или обработчика, имеющее доступ к персональным данным, только обрабатывало их.’ мандат контролера, если это не требуется законодательством Союза или государства-члена.

статья 33

Уведомление о взломе персональных данных контролирующему органу

1. В случае нарушения личных данных, контроллер должен немедленно уведомить и, если это возможно, в 72 часов с момента, когда ему стало известно о факте нарушения персональных данных надзорному органу, ответственному по ст. 55, если нарушение личных данных не может поставить под угрозу права и свободы физических лиц. Когда уведомление в надзорный орган не сделано в течение 72 часов, сопровождается обоснованием задержки.

2. Процессор немедленно информирует контроллер, как только обнаружено нарушение персональных данных.

4.
постепенно без неоправданной задержки.

В случае и до тех пор, пока невозможно предоставить информацию одновременно, могут быть предоставлены

5. Контролер должен документировать любое нарушение персональных данных, состоящий из фактов, касающихся нарушения персональных данных, последствия и принятые корректирующие меры. Эта документация позволяет контролирующему органу проверять соответствие этой статье..

статья 34

Объявление о нарушении персональных данных субъекта данных

1. При нарушении персональных данных могут быть поставлены под угрозу права и свободы физических лиц, контроллер сразу же объявляет о нарушении персональных данных субъекта данных.

4.5.2016 Официальный журнал Европейского Союза L 119/53

EL

2. В объявлении к предмету данных указывается в пункте 1 Эта статья четко описывает характер нарушения личных данных и содержит, по крайней мере, информацию и меры, упомянутые в этой статье. 33 пункт 3 данные б), с) и D).

3. Объявление субъекту данных, указанному в пункте 1 не требуется, если выполнено любое из следующих условий:

1. α) контролер применил соответствующие технические и организационные меры защиты, и эти меры были применены к персональным данным, пострадавшим от нарушения, в основном меры, которые делают личные данные непонятными для тех, кто не имеет к ним доступа, такой как шифрование,
2. б) Затем диспетчер предпринял шаги, чтобы гарантировать, что лицо, указанное в параграфе, больше не сможет возникнуть. 1 высокий риск для прав и свобод субъектов данных,
3. с) требует непропорциональных усилий. В этом случае, становится муравьем’ это публичное объявление или существует аналогичная мера, посредством которой субъекты данных информируются одинаково эффективно..

4. Если контроллер еще не объявил о нарушении персональных данных субъекту данных, надзорный орган может, рассмотрев возможность высокого риска нарушения личных данных, попросить его сделать это или может решить, что любое из условий, изложенных в пункте 3.

отдел 3

Антимонопольная оценка защиты данных и предыдущие консультации

статья 35

Контрмеры по защите данных

1. Когда вид редактирования, особенно с использованием новых технологий и с учетом характера, сфера, контекст и цель обработки, может представлять высокий риск для прав и свобод человека, контроллер выполняет, до лечения, оценка влияния запланированных операций обработки на защиту персональных данных. Оценка может рассматривать набор подобных операций обработки, которые связаны с аналогичными высокими рисками..

2. Контролер запрашивает мнение сотрудника по защите данных, если указано, при проведении личной оценки защиты данных.

3. Тот, о котором идет речь в параграфе 1 в частности, в этом случае требуется оценка воздействия на защиту данных:

1. α) систематическая и обширная оценка личностных аспектов физических лиц, основанный на автоматизированной поэтической обработке, в том числе профильное обучение, и какие решения принимаются, которые оказывают правовое воздействие на физическое лицо или аналогичным образом существенно влияют на физическое лицо,
2. б) широкомасштабная обработка специальных категорий данных, указанных в статье 9 пункт 1 или личные данные, касающиеся уголовных обвинений и преступлений, указанных в статье 10 или
3. с) систематический мониторинг общедоступного пространства в больших масштабах.

4. Надзорный орган должен составить и опубликовать список видов операций обработки, на которые распространяется требование о проведении контрольной оценки в отношении защиты данных в соответствии с пунктом. 1. Надзорный орган уведомляет этот список в Совете по защите данных, упомянутом в этой статье. 68.

5. Надзорный орган может также составить и опубликовать список типов операций обработки, которые не требуют встречной оценки защиты данных.. Надзорный орган уведомляет указанный список в Совете по защите данных..

6. До публикации списков, упомянутых в пунктах 4 и 5, Компетентный надзорный орган применяет механизм согласованности, указанный в Статье 63, включают ли эти каталоги действия по обработке, связанные с поставкой товаров или услуг субъектам данных или с их поведением в более чем одном государстве-члене, или которые могут существенно повлиять на свободное перемещение персональных данных в Присоединиться.

L 119/54

Официальный журнал Европейского Союза 4.5.2016

EL

7. α)

б) с)

d)

Оценка содержит как минимум:

систематическое описание запланированных операций обработки и целей обработки, включая, где это уместно, законный интерес преследуется контроллером,

оценка необходимости и пропорциональности обработки операций по отношению к целям,

оценка рисков для прав и свобод субъектов данных, указанных в пункте 1 и

предписанные меры риска, включая гарантии, меры безопасности и механизмы, обеспечить защиту персональных данных и доказать соответствие этим правилам, с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.

8.
Процессоры или процессоры должны быть должным образом учтены при оценке типа операций обработки, выполняемых ответственными лицами или процессорами., особенно в целях защиты данных.

9. Где уместно, контроллер запрашивает мнение субъектов данных или их представителей для планируемой обработки, без ущерба для защиты коммерческих или общественных интересов или безопасности операций обработки.

10. При редактировании под статьей 6 пункт 1 пункт с) или е) имеет правовое основание в законодательстве Союза или в законодательстве государства-члена, которому подчиняется контролер., Этот закон регулирует соответствующий конкретный акт обработки или последовательность действий, и антистандартная оценка защиты данных уже была проведена в рамках общей оценки стандарта в контексте принятия этой правовой основы., параграфы 1 до 7 не применяются, если государства-члены не сочтут необходимым провести такую ​​оценку перед обработкой.

11. Где требуется, Контролер должен провести повторную проверку, чтобы оценить, выполняется ли обработка персональных данных в соответствии с антимонопольной оценкой защиты данных, по крайней мере, когда изменяется риск, связанный с обработкой..

статья 36

Предыдущая консультация

1. Контролер должен узнать мнение надзорного органа до обработки, когда под статьей 35 Антимонопольная оценка защиты данных показывает, что обработка может привести к высокому риску в отсутствие мер по снижению риска со стороны контроллера.

2. В случае, если надзорный орган считает, что предполагаемый процесс, упомянутый в пункте 1 нарушение настоящих Правил, особенно если контроллер недостаточно идентифицировал или снизил риск., Надзорный орган должен предоставить письменный совет контролеру в течение восьми недель после получения запроса на консультацию., и, где требуется, процессор, и может использовать любые полномочия, упомянутые в статье 58. Этот период может быть продлен на шесть недель, из-за сложности, характеризующей проектируемую обработку. Надзорный орган информирует контролера и, где требуется, процессор для такого продления в течение одного месяца с момента получения запроса консультаций, а также по причинам задержки. Эти сроки могут быть приостановлены до тех пор, пока надзорный орган не получит запрошенную им информацию для целей консультации..

3. В консультации с надзорным органом в соответствии с пунктом 1, Контролер должен предоставить надзорный орган:

1. α) где это уместно, соответствующие обязанности контролера, соредакторы и редакторы, вовлеченные в работу, в частности, в отношении обработки внутри группы компаний,
2. б) цели и средства проектируемой обработки,
3. с) меры и гарантии защиты прав и свобод субъектов данных в соответствии с настоящим Положением,

Соответствие утвержденным кодексам поведения, упомянутым в статье 40 соответствующими органами

d) где это уместно, контактные данные сотрудника по защите данных,

4.5.2016 Официальный журнал Европейского Союза L 119/55

EL

е) антимонопольная оценка защиты данных, предусмотренных в статье 35, и

е) любая другая информация, запрашиваемая надзорным органом.

4. Государства-члены должны запрашивать мнение надзорного органа при подготовке предложений относительно законодательных мер, которые должны быть приняты национальными парламентами, или мер регулирования, основанных на таких законодательных мерах., которые относятся к обработке.

5. В порядке отступления от абзаца 1, Законодательство государства-члена может требовать, чтобы контролеры консультировались и получали предварительное разрешение от надзорного органа в отношении обработки контроллером для исполнения обязанности, выполняемой лицом, отвечающим за общественные интересы., в том числе лечение в отношении социальной защиты и общественного здоровья.

отдел 4

Менеджер по защите данных

статья 37

Назначение сотрудника по защите данных

1. Контроллер и процессор определяют сотрудника по защите данных в каждом случае, когда:

1. α) обработка осуществляется государственным органом или органом, в дополнение к судам, действующим в пределах их юрисдикции,
2. б) Основными действиями контроллера или процессора являются операции обработки, которые, из-за природы, их сфера и / или цели, требуют регулярного и систематического мониторинга субъектов данных в больших масштабах, или
3. с) Основными видами деятельности контроллера или процессора являются масштабная обработка отдельных категорий персональных данных согласно статье. 9 и данные, касающиеся уголовных приговоров и преступлений, упомянутых в статье 10.

2. Бизнес-группа может назначить только одного сотрудника по защите данных., при условии, что каждая установка имеет легкий доступ к сотруднику по защите данных.

3. Если контролер или процессор является государственным органом или государственным органом, для многих таких органов или многих таких органов может быть назначен только один сотрудник по защите данных, принимая во внимание их организационную структуру и размер.

4. В случаях, отличных от указанных в пункте 1, контроллер или процессор или ассоциации и другие органы, представляющие категории контроллеров или процессоров, могут назначить сотрудника по защите данных или, где требуется законодательством Союза или государства-члена, назначить сотрудника по защите данных. Сотрудник по защите данных может действовать от имени таких ассоциаций и других организаций, представляющих процессоров или процессоров..

5. Сотрудник по защите данных назначается на основании профессиональной квалификации и, в частности, на основании его или ее опыта в области права и практики защиты данных., а также на основе умения выполнять задачи, указанные в статье 39.

6. Сотрудник по защите данных может быть сотрудником контроллера или процессора или выполнять свои обязанности по договору на обслуживание..

7. Контроллер или обработчик публикует контактные данные сотрудника по защите данных и уведомляет надзорный орган..

статья 38

Должность сотрудника по защите данных

1. Контроллер и процессор обеспечивают участие сотрудника по защите данных., своевременно и своевременно, по всем вопросам, связанным с защитой личных данных.

L 119/56 Официальный журнал Европейского Союза 4.5.2016

EL

2. Контроллер и контролер должны поддерживать сотрудника по защите данных в выполнении задач, указанных в Статье 39 предоставление необходимых ресурсов для выполнения этих обязанностей и доступа к личным данным и операциям обработки, а также ресурсы, необходимые для поддержания своей экспертизы.

3. Контроллер и процессор гарантируют, что сотрудник по защите данных не принимает заказов для выполнения этих задач.. Он не уволен или не наказан контроллером или обработчиком, потому что он выполнял свои обязанности.. Сотрудник по защите данных непосредственно подотчетен высшему уровню управления контроллера или процессора..

4. Субъекты данных могут связаться с сотрудником по защите данных по любому вопросу, касающемуся обработки их личных данных и осуществления их прав в соответствии с настоящим Регламентом..

5. Сотрудник по защите данных обязан соблюдать конфиденциальность или конфиденциальность в отношении выполнения своих обязанностей., в соответствии с законодательством Союза или государства-члена.

6. Сотрудник по защите данных может выполнять другие обязанности и обязанности. Контролер или процессор гарантирует, что эти обязанности и ответственность не противоречат интересам..

1. α)

б)

с)

d) е)

статья 39

Обязанности по защите данных

DPO имеет по крайней мере следующие задачи:

Информирует и консультирует контролера или обработчика и сотрудников, которые выполняют свои обязательства по настоящему Регламенту и другим положениям Союза или Государства-члена, касающимся защиты данных.,

контролирует соблюдение настоящих Правил, другие положения Союза или государства-члена, касающиеся защиты данных, и политики контроллера или процессора в отношении защиты персональных данных., в том числе распределение обязанностей, чуткая поэзия и обучение сотрудников, вовлеченных в процесс обработки, и связанные элементы управления,

дает советы, по запросу, в отношении оценки защиты данных и контролирует ее выполнение в соответствии со статьей 35,

сотрудничает с надзорным органом,

выступает в качестве пункта связи для надзорного органа по вопросам, связанным с обработкой, включая предыдущую консультацию, упомянутую в статье 36, и проводит консультации, это зависит от ситуации, для любого другого вопроса.

2.
связаны с операциями обработки, учитывая природу, сфера, контекст и цель обработки.

При исполнении своих обязанностей, сотрудник по защите данных должен должным образом учитывать риск

отдел 5

Кодексы этики и сертификации

статья 40

Этические коды

1. Государства-члены, надзорные органы, Совет по защите данных и Комиссия поощряют разработку кодексов поведения, направленных на содействие надлежащему осуществлению настоящего Регламента., принимая во внимание специфические особенности различных перерабатывающих отраслей и особые потребности очень маленьких, малые и средние предприятия.

2. Ассоциации и другие органы, представляющие категории редакторов или редакторов, могут разрабатывать кодексы поведения или изменять или расширять существующие кодексы поведения., чтобы определить применение настоящих Правил, так далеко как:

α) законная и прозрачная обработка,

4.5.2016 Официальный журнал Европейского Союза

L 119/57

EL

2. б) законные интересы, преследуемые контролерами в конкретных контекстах,
3. с) сбор личных данных,
4. d) псевдонимизация личных данных,
5. е) информирование общественности и субъектов данных,

е) осуществление прав субъектов данных,

6. г) информирование и защита детей и как получить согласие опекуна ребенка,
7. η) меры и процедуры, указанные в статьях 24 и 25 и меры по обеспечению безопасности обработки, упомянутой в статье 32,
8. я) уведомление о нарушениях персональных данных надзорным органам и объявление о таких нарушениях персональных данных субъектам данных,
9. J) передача персональных данных третьим странам или международным организациям, или

К) Внесудебные разбирательства и другие процедуры разрешения споров для разрешения споров между контролерами данных и субъектами данных в отношении обработки, с учетом прав субъектов данных по статьям 77 и 79.

3. В дополнение к их соответствию лицам, ответственным за обработку или выполнение обработки, подпадающей под действие настоящих Правил, кодексы этики, принятые в соответствии с пунктом 5 этой статьи и, как правило, действительны в соответствии с пунктом 9 Эта статья может также соблюдаться редакторами или редакторами, которые не подпадают под действие настоящего Регламента в соответствии с настоящей статьей. 3, с целью предоставления соответствующих гарантий в контексте передачи персональных данных третьим странам или международным организациям, в соответствии с условиями, указанными в статье 46 пункт 2 пункт е). Эти контролеры или процессоры принимают обязательные и подлежащие исполнению обязательства по контрактам или другим юридически обязательным актам, для применения этих соответствующих гарантий, включая права субъектов данных.

4. Кодекс поведения, упомянутый в пункте 2 этой статьи содержит механизмы, которые позволяют то, что упоминается в статье 41 пункт 1 орган, осуществляющий обязательный контроль за соблюдением его положений контролерами или исполнителями обработки, предпринятой для ее осуществления, с учетом обязанностей и ответственности надзорных органов, которые компетентны в соответствии со статьей 55 или 56.

5. Ассоциации и другие органы, указанные в пункте 2 намереваются составить кодекс поведения или изменить или расширить существующий кодекс, направить проект кодекса в надзорный орган, ответственный в соответствии со статьей 55. Надзорный орган должен высказать свое мнение о соответствии дизайна кода, поправки или дополнения к настоящим Правилам и утверждает эту конструкцию кода, модификация или расширение, если он считает, что он обеспечивает адекватные соответствующие гарантии.

6. Когда дизайн кода, модификация или расширение утверждены в соответствии с пунктом 5 и когда соответствующий кодекс этики не связан с обработкой в ​​более чем одном государстве-члене, надзорный орган регистрирует и публикует код.

7. В случае, если кодекс этики относится к процессам обработки в различных государствах-членах, надзорный орган, ответственный за статью 55 представляет это, перед утверждением дизайна кода, модификация или расширение, в порядке, предусмотренном в статье 63 в Совет по защите данных, который дает мнение о соответствии плана кода, внесение изменений или дополнений в настоящие Правила или, в случае, указанном в пункте 3 этой статьи, что касается предоставления ему адекватных гарантий.

8. В случае заключения, указанного в пункте 7 подтверждает, что код, изменение или продление в соответствии с настоящими Правилами или, в случае, указанном в пункте 3, предоставить достаточные гарантии, Совет по защите данных направляет свое мнение в Комиссию.

9. Комиссия может, через исполнительные акты, принять решение о том, что утвержденные кодексы поведения и поправки или дополнения, представленные в соответствии с пунктом 8 настоящей статьи имеет общую силу в Союзе. Эти исполнительные акты издаются в порядке проведения экспертизы, указанной в статье. 93 пункт 2.

L 119/58 Официальный журнал Европейского Союза 4.5.2016

EL

10. Комиссия обеспечивает надлежащую огласку утвержденных кодов, для которых она решила, что они имеют общую юридическую силу в соответствии с пунктом 9.

11. Совет по защите данных собирает все утвержденные кодексы поведения, изменения и регистрации и делает их доступными для общественности с помощью любых соответствующих средств..

статья 41

Мониторинг утвержденных кодексов поведения

1. С учетом обязанностей и ответственности компетентного надзорного органа в соответствии со статьями 57 и 58, контроль за соблюдением кодекса этики в соответствии со статьей 40 может осуществляться органом, имеющим соответствующий уровень квалификации в отношении объекта кодекса и аккредитованным для этой цели компетентным надзорным органом..

2. с

α) б)

с)

d)

Тело, указанное в пункте 1 может быть аккредитован для контроля за соблюдением кодекса этики, при условии, что рассматриваемое тело:

продемонстрировал свою независимость и опыт в отношении предмета кодекса на усмотрение компетентного надзорного органа.,

установил процедуры, которые позволяют ему оценить приемлемость соответствующих редакторов и процессоров для реализации кода, контроль за их соблюдением его положений и периодическое рассмотрение его работы,

установил процедуры и структуры для рассмотрения жалоб на нарушения кода или способ, которым код был или реализуется контроллером или процессором., а также сделать эти процессы и структуры прозрачными для субъектов данных и широкой общественности., и

доказывает, по усмотрению компетентного надзорного органа, что его обязанности и обязанности не подразумевают конфликта интересов.

3.
этой статьи в Совет по защите данных в соответствии с механизмом согласованности, упомянутым в этой статье 63.

Компетентный надзорный орган должен представить планы критериев сертификации органа, как указано в пункте 1

4. С учетом обязанностей и ответственности компетентного надзорного органа и положений главы VIII, тело, указанное в пункте 1 этой статьи обязуется, без ущерба для соответствующих гарантий, Соответствующее действие в случае нарушения кода контроллером или процессором, включая приостановление исполнения обязанностей или исключение соответствующего контролера или исполнителя обработки кодом. Информирует компетентный надзорный орган об этих действиях и причинах их отмены..

5. Компетентный надзорный орган аннулирует сертификацию учреждения, как указано в пункте 1, если условия сертификации не выполняются или не более не выполняются или действия, предпринятые учреждением, противоречащей это положение.

6. Данная статья не распространяется на обработку государственными органами и государственными органами.

статья 42

сертификация

1. Государства-члены, надзорные органы, Совет по защите данных и Комиссия призываем, особенно на уровне ЕС, создание механизмов сертификации защиты данных и пломб защиты данных, с целью подтверждения соответствия действующим правилам обработки операций контроллерами и процессорами. Особые потребности очень молодых принимаются во внимание, малые и средние предприятия.

4.5.2016 Официальный журнал Европейского Союза L 119/59

EL

2. В дополнение к их применению редакторами или исполнителями редактирования в соответствии с настоящим Положением, механизмы сертификации защиты данных и пломбы и сигналы защиты данных, утвержденные в соответствии с пунктом 5 настоящей статьи, могут быть установлены с целью доказать, что соответствующие гарантии предоставляются контролерами или исполнителями обработки, на которые не распространяются настоящие Правила., в соответствии со статьей 3, в контексте передачи персональных данных третьим странам или международным организациям, в соответствии с условиями, указанными в статье 46 пункт 2 пункт f). Эти контролеры или процессоры принимают обязательные и подлежащие исполнению обязательства по контрактам или другим юридически обязательным актам, для применения этих соответствующих гарантий, включая права субъектов данных.

3. Сертификация является добровольной и доступна через прозрачный процесс.
4. Сертификация по этой статье не ограничивает ответственность контролера или исполнителя

обработка в соответствии с настоящим Положением и не влияет на обязанности и ответственность надзорных органов, которые являются компетентными в соответствии со статьей 55 или 56.

5. Сертификация в соответствии с настоящей статьей предоставляется органами по сертификации, упомянутыми в настоящей статье. 43 или компетентным надзорным органом, на основе критериев, утвержденных этим компетентным надзорным органом в соответствии со статьей 58 пункт 3 или Совет по защите данных в соответствии со статьей 63. Когда критерии утверждены Советом по защите данных, это может привести к общей сертификации, Европейская печать защиты данных.

6 Контролер или исполнитель обработки, который передает свою обработку в механизм сертификации, должен предоставить орган по сертификации, указанный в статье. 43 или, это зависит от ситуации, компетентному надзорному органу любую информацию и доступ к процессам обработки, необходимым для проведения процесса сертификации.

7. Сертификация предоставляется контроллеру или процессору максимум на три года и может быть возобновлена ​​при тех же условиях., при условии, что соответствующие требования все еще выполняются. Сертификация отозвана, это зависит от ситуации, органами по сертификации, предусмотренными в статье 43 или компетентным надзорным органом, когда требования к сертификации больше не выполняются или больше не выполняются.

8. Совет по защите данных собирает все механизмы сертификации и печати и сигналы защиты данных в реестре и делает их доступными для общественности с помощью любых соответствующих средств..

статья 43

Органы по сертификации

1. С учетом обязанностей и ответственности компетентного надзорного органа в соответствии со статьями 57 и 58, Органы по сертификации с соответствующим уровнем знаний в отношении защиты данных, после информирования надзорного органа, чтобы иметь возможность выполнять свои обязанности в соответствии со статьей 58 пункт 2 элемент h) где требуется, выдавать и продлевать сертификаты. Государство-член должно обеспечить, чтобы аккредитация таких органов по сертификации осуществлялась одним или обоими из следующих:

α) б)

α) продемонстрировали свою независимость и опыт в отношении предмета сертификации по усмотрению компетентного надзорного органа.,

(1) регулирование (ЕС) нет. 765/2008 Европейский парламент и Совет, от 9 июля 2008, определить требования по аккредитации и надзору за рынком для маркетинга продукции и отменить регулирование (ЕЭС) нет. 339/93 Совета (OJ L 218 из 13.8.2008, р. 30).

надзорный орган, который компетентен в соответствии со статьями 55 или 56,

национальный орган по аккредитации, указанный в положении (ЕС) нет. 765/2008 Европейский парламент и Совет (1), согласно стандарту EN-ISO / IEC 17065/2012 и в соответствии с дополнительными требованиями, установленными надзорным органом в соответствии со статьей 55 или 56.

Органы по сертификации, указанные в пункте 1 аккредитованы в соответствии с этим пунктом,

2.
только если:

L 119/60 б)

с) d)

е)

Официальный журнал Европейского Союза 4.5.2016

обязуются соблюдать критерии, изложенные в статье 42 пункт 5 и которые были одобрены надзорным органом, компетентным в соответствии со статьей 55 или 56 или Советом по защите данных в соответствии со статьей 63,

установили порядок выдачи, периодический обзор и отзыв сертификатов, пломбы и сигналы защиты данных,

установили процедуры и структуры для рассмотрения жалоб на нарушения сертификации или на способ, которым сертификация была или выполняется контроллером или обработчиком., а также сделать эти процессы и структуры прозрачными для субъектов данных и широкой общественности., и

доказывать, по усмотрению компетентного надзорного органа, что их обязанности и обязанности не подразумевают конфликта интересов.

EL

3.
основывается на критериях, утвержденных надзорным органом в соответствии со статьей 55 или 56, или Советом по защите данных в соответствии со статьей 63. В случае аккредитации по пункту b) абзаца 1 этой статьи, эти требования соответствуют требованиям, изложенным в Положении (ЕС) нет. 765/2008 и технические правила, описывающие методы и процедуры органов по сертификации.

4. Органы по сертификации, указанные в пункте 1 несет ответственность за надлежащую оценку, ведущую к сертификации или отзыву сертификации, με την επιφύλαξη της ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό. Аккредитация предоставляется на срок не более пяти лет и может быть продлен на тех же условиях., при условии, что орган по сертификации соответствует требованиям настоящей статьи.

5. Органы по сертификации, указанные в пункте 1 предоставить компетентным надзорным органам основания для предоставления или отзыва запрошенной сертификации.

6. Требования пункта 3 этой статьи и критерии, изложенные в этой статье 42 пункт 5 публикуются надзорным органом в легкодоступной форме. Надзорные органы также направляют эти требования и критерии в Совет по защите данных.. Совет по защите данных собирает все механизмы сертификации и пломбы защиты данных в реестре и делает их доступными для общественности с помощью любых соответствующих средств..

7. С учетом главы VIII, компетентный надзорный орган или национальный орган по аккредитации аннулирует аккредитацию в органе по сертификации в соответствии с пунктом 1 этой статьи, если требования по сертификации больше не выполняются или не выполняются, или если действия органа по сертификации нарушают настоящие Правила.

8. Комиссия уполномочена выдавать кошку’ авторизация действует в соответствии со статьей 92, с целью определения требований, которые должны быть приняты во внимание для механизмов сертификации защиты данных, упомянутых в статье 42 пункт 1.

9. Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις σχετικά με τη θέσπιση τεχνικών προτύπων για μηχανισμούς πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων, а также механизмы для продвижения и признания таких механизмов сертификации, печати и марки. Эти исполнительные акты издаются в порядке проведения экспертизы, указанной в статье. 93 пункт 2.

Глава V

Передача персональных данных в третьи страны или международные организации

статья 44

Общие принципы для переводов

Любая передача персональных данных, которые обрабатываются или предназначены для обработки после их передачи в третью страну или международную организацию, должна осуществляться только в том случае, если, с учетом других положений настоящих Правил, условия, изложенные в этой главе, должны выполняться контроллером и процессором., среди прочего для дальнейшей передачи личных данных из третьей страны или международной организации в другую третью страну или другую международную организацию. Все положения настоящей главы должны применяться для обеспечения того, чтобы уровень защиты физических лиц, гарантируемый настоящим Регламентом, не был нарушен..

Аккредитация органов по сертификации, как указано в пунктах 1 и 2 этой статьи

4.5.2016 Официальный журнал Европейского Союза L 119/61

EL

статья 45

Переводы, основанные на решении адекватности

1. Передача персональных данных в третью страну или международную организацию может иметь место, если Комиссия решила, что третий уровень страны обеспечивает адекватный уровень защиты., с земли или из одного или нескольких конкретных секторов в этой третьей стране или из этой международной организации. Специального разрешения для такого перевода не требуется.

2. α)

б)

с)

При оценке адекватности уровня защиты, Комиссия должна принять это во внимание, особенно, Следующая информация:

правило закона, уважение прав человека и основных свобод, соответствующее законодательство, как общий, так и отраслевой, в том числе общественная безопасность, защита, национальная безопасность и уголовное право и доступ органов государственной власти к персональным данным, а также применение этого законодательства, правила защиты данных, профессиональные правила и меры безопасности, включая правила дальнейшей передачи персональных данных в другую страну или международную организацию, находящуюся в этой конкретной третьей стране или международной организации, прецедентное право, а также материальные и подлежащие исполнению права субъектов данных и эффективные административные и судебные средства обжалования для субъектов данных, чьи личные данные передаются,

существование и эффективное функционирование одного или нескольких независимых надзорных органов, расположенных в этой третьей стране или подчиняющихся международной организации., отвечает за обеспечение и обеспечение соблюдения правил защиты данных, в том числе адекватное правоприменение, оказывать помощь и консультировать субъектов данных в осуществлении их прав и сотрудничать с надзорными органами государств-членов, и

международные обязательства, принятые этой третьей страной или международной организацией, или другие обязательства, вытекающие из юридически обязывающих контрактов или сделок и их участия в многосторонних или региональных системах., в частности, в отношении защиты персональных данных.

3.
адекватный уровень защиты обеспечивается по смыслу пункта 2 этой статьи из третьей страны или территории или одного или нескольких конкретных секторов в третьей стране или из международной организации. Принудительный акт предусматривает механизм периодического пересмотра, по крайней мере, каждые четыре года, в котором все соответствующие события в третьей стране или международной организации принимаются во внимание. Исполнительный акт определяет его территориальное и отраслевое применение, а также, где применимо, надзорный орган или органы, указанные в пункте b) абзаца 2 этой статьи. Исполнительный акт издается в порядке, установленном в статье. 93 пункт 2.

4. Комиссия постоянно следит за событиями в третьих странах и международных организациях, которые могут повлиять на функционирование решений, принятых в соответствии с пунктом. 3 этой статьи и решений, принятых в соответствии с этой статьей 25 пункт 6 Директива 95/46 / EC.

5. Комиссия, когда существующая информация раскрывает, в основном после обзора, упомянутого в пункте 3 этой статьи, что третья страна, земля или конкретный сектор в третьей стране или международной организации больше не обеспечивает адекватный уровень защиты по смыслу пункта 2 этой статьи, упраздняет, изменяет или приостанавливает, по мере необходимости, решение абзаца 3 этой статьи через исполнительные акты без обратной силы. Эти исполнительные акты издаются в порядке проведения экспертизы, указанной в статье. 93 пункт 2.

По должным образом обоснованным срочным причинам, Комиссия издает немедленные исполнительные акты в соответствии с процедурой, указанной в статье 93 пункт 3.

6. Комиссия начинает консультации с третьей страной или международным органом с целью исправления ситуации, возникшей в результате решения, принятого в соответствии с пунктом. 5.

7. Решение в соответствии с пунктом 5 Эта статья не влияет на передачу персональных данных в третью страну, на территории или в одном или нескольких конкретных районах в этой третьей стране или в международной организации в соответствии со статьями 46 до 49.

8. Комиссия публикует в Официальном журнале Европейского Союза и на своем веб-сайте список третьих стран., территории и конкретные сектора в третьей стране, а также международные организации, для которых было решено, что достаточный уровень защиты гарантирован или больше не гарантируется.

Комиссия, после оценки адекватности уровня защиты, может решить, через исполнительный акт, который

L 119/62 Официальный журнал Европейского Союза 4.5.2016

EL

9. Решения, выданные Комиссией в соответствии со статьей 25 пункт 6 Директива 95/46 / ЕС остается в силе до внесения изменений, заменяется или отменяется решением Комиссии, изданным в соответствии с пунктом 3 или 5 этой статьи.

статья 46

Переводы при условии соответствующих гарантий

1. При отсутствии решения по статье 45 пункт 3, Контролер или процессор может передавать персональные данные в третью страну или международную организацию только в том случае, если контроллер или процессор предоставили соответствующие гарантии и при условии, что для их субъектов существуют осуществимые права и эффективные средства правовой защиты. данные.

2. Соответствующие гарантии, указанные в пункте 1 можно предсказать, без необходимости специального разрешения надзорного органа, через:

1. α) юридически обязательный и подлежащий исполнению инструмент между государственными органами или органами,
2. б) обязательные корпоративные правила по статье 47,
3. с) стандартные положения о защите данных, выданные Комиссией в соответствии с процедурой проверки, предусмотренной в статье 93 пункт 2,
4. d) стандартные положения о защите данных, выданные надзорным органом и утвержденные Комиссией в соответствии с процедурой проверки, указанной в статье 93 пункт 2,
5. е) утвержденный кодекс этики, в соответствии со статьей 40, совместно с обязательными и подлежащими исполнению обязательствами контролера или процессора в третьей стране применять соответствующие гарантии, включая права субъектов данных, или

е) утвержденный механизм сертификации, в соответствии со статьей 42, совместно с обязательными и подлежащими исполнению обязательствами контролера или процессора в третьей стране применять соответствующие гарантии, включая права субъектов данных.

3. Без ущерба для разрешения компетентного надзорного органа, соответствующие гарантии пункта 1 может также предоставляться, в частности, через:

α)

б)

договорные условия между контроллером или процессором и контроллером, исполнитель обработки или получатель персональных данных в третьей стране или международная организация или

положения для включения в административные договоренности между государственными органами или органами, которые включают в себя осуществимые и материальные права субъектов данных.

4.
упоминается в пункте 3 этой статьи.

Надзорный орган применяет механизм согласованности, упомянутый в статье 63 в случаях, когда

5. Разрешения от государства-члена или надзорного органа в соответствии со статьей 26 пункт 2 Директива 95/46 / ЕС остается в силе до внесения изменений, заменен или отменен, если необходимо, этим надзорным органом. Решения, выданные Комиссией в соответствии со статьей 26 пункт 4 Директива 95/46 / ЕС остается в силе до внесения изменений, заменен или отменен, если необходимо, по решению комиссии, выданной в соответствии с пунктом 2 этой статьи.

статья 47

Приверженность корпоративным правилам

1. Компетентный надзорный орган утверждает обязательные корпоративные правила в соответствии с механизмом согласованности, предусмотренным в статье. 63, при условии, что:

α) имеют обязательную юридическую силу и применяются к каждому соответствующему члену и налагаются каждым соответствующим членом бизнес-группы, или группа компаний, занимающихся совместной экономической деятельностью, включая их сотрудников,

4.5.2016 Официальный журнал Европейского Союза L 119/63

EL

2. б) предоставить явно применимые права субъектам данных в отношении обработки персональных данных, касающихся их, и
3. с) соответствовать требованиям, изложенным в пункте 2.

2. Обязательные корпоративные правила, указанные в пункте 1 хотя бы уточнить:

1. α) структура и контактные данные бизнес-группы, или группа компаний, занимающихся совместной экономической деятельностью, и каждый ее член,
2. б) передача данных или все передачи данных, включая категории персональных данных, тип обработки и ее цели, тип затронутых субъектов данных и определение этой третьей страны или третьих стран,
3. с) их юридически обязательный характер, как внутри, так и снаружи,
4. d) применение общих принципов защиты данных, в частности ограничение цели, минимизация данных, ограниченные сроки хранения, Качество данных, την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, τη νομική βάση για την επεξεργασία, την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, меры безопасности данных, а также выполнение требований для дальнейшей передачи органам, не связанным обязательными корпоративными правилами,
5. е) права субъектов данных на обработку и способы осуществления этих прав, включая право не подчиняться решениям, принимаемым исключительно на основе автоматизированной обработки, в том числе профилирование по статье 22, право подать жалобу в компетентный надзорный орган и в компетентные суды государств-членов в соответствии со статьей 79, а также обеспечение ремонта и, где требуется, компенсация за нарушение обязательных корпоративных правил,

е) την αποδοχή ευθύνης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία που είναι εγκατεστημένος στο έδαφος κράτους μέλους για τυχόν παραβάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε οικείο μέλος που δεν είναι εγκατεστημένο στην Ένωση· ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξαιρείται από την ευθύνη αυτή, полностью или частично, только доказывая, что данный участник не несет ответственности за причиненные неудобства,

6. г) как предоставить информацию о привязке корпоративных правил к субъектам данных, в частности, положения, касающиеся пунктов d), е) и св) этого пункта, в дополнение к статьям 13 и 14,
7. η) обязанности каждого сотрудника по защите данных, указанные в статье 37 или любое физическое или юридическое лицо, отвечающее за мониторинг соблюдения обязательных корпоративных правил в бизнес-группе, или группа компаний, занимающихся совместной экономической деятельностью, а также в соответствии с обучением и рассмотрением жалоб,
8. я) процедуры подачи жалоб,
9. J) механизмы внутри бизнес-группы, или группа компаний, занимающихся совместной экономической деятельностью, для контроля за соблюдением обязательных корпоративных правил. Эти механизмы включают средства контроля защиты данных и методы обеспечения корректирующих действий для защиты прав субъекта данных.. Результаты этого аудита должны быть сообщены физическому или юридическому лицу, указанному в пункте h.) и совет директоров контролирующей компании группы компаний или группы компаний, осуществляющих совместную хозяйственную деятельность, в то время как они также должны быть предоставлены по запросу в компетентный надзорный орган,

226. К) τους μηχανισμούς αναφοράς και καταχώρισης αλλαγών στους κανόνες και αναφοράς των εν λόγω αλλαγών στην εποπτική αρχή,
227. ιβ) τον μηχανισμό συνεργασίας με την εποπτική αρχή, обеспечить соответствие каждого члена бизнес-группы, или группа компаний, занимающихся совместной экономической деятельностью, в частности, путем предоставления контролирующему органу результатов контроля мер, упомянутых в пункте i.),
228. м) механизмы ссылки на компетентный надзорный орган любого юридического требования, в котором член бизнес-группы, или группа компаний, осуществляющих совместную экономическую деятельность, подчиняется третьей стране и может оказать существенное негативное влияние на гарантии, предусмотренные обязательными корпоративными правилами и
229. N) соответствующее обучение по защите данных персонала, которые имеют постоянный или регулярный доступ к персональным данным.

L 119/64 Официальный журнал Европейского Союза 4.5.2016

EL

3. Комиссия может определить формат и порядок обмена информацией между редакторами., выполнение обрабатывающих и контролирующих органов для обязательных корпоративных правил в значении этой статьи. Эти исполнительные акты издаются в порядке проведения экспертизы, указанной в статье. 93 пункт 2.

статья 48

Передача или уведомления не разрешены законодательством Союза

Каждый суд и каждое решение административного органа третьей страны требуется контроллер данных или процессор для передачи или передает личные данные могут быть признаны или подлежат исполнению в’ любым способом, только если он основан на международном соглашении, такой как договор взаимного суда, применимо между третьей страной-заявителем и Союзом или государством-членом, без ущерба для других оснований передачи в соответствии с настоящей главой.

статья 49

Отклонения для особых ситуаций

1. При отсутствии решения об адекватности по статье 45 пункт 3 или соответствующие гарантии в соответствии со статьей 46, в том числе корпоративные обязательные правила, передача или передача всех персональных данных в третью страну или в международную организацию осуществляется только при соблюдении одного из следующих условий::

1. α) у субъекта данных было явное согласие на предлагаемую передачу, после информирования о потенциальных рисках, таких трансфертов для субъекта данных в решении об адекватности и отсутствия соответствующих гарантиях,
2. б) передача необходима для выполнения договора между субъектом данных и контролером или для осуществления преддоговорных мер, которые принимаются по запросу субъекта данных,
3. с) передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между контроллером и другим физическим или юридическим лицом,
4. d) передача необходима по важным причинам общественного интереса,
5. е) передача имеет важное значение для фундамента, осуществление или поддержка юридических требований,

е) η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, если субъект данных не имеет физической или юридической возможности предоставить свое согласие,

г) Передача осуществляется через реестр, который, согласно законодательству Союза или государства-члена, предназначен для предоставления информации общественности и открыт для поиска информации как широкой общественности, так и любому лицу, которое может ссылаться на законный интерес., но только в том случае, если в каждом случае выполняются условия, предусмотренные законодательством Союза или законодательством государства-члена для поиска информации..

Когда передача не может быть основана на положении статьи 45 или 46, включая положения об обязательных корпоративных правилах, и ни одно из исключений из особых условий, указанных в первом подпункте настоящего пункта, не применяется., передача в третью страну или в международную организацию возможна только в том случае, если передача не повторяется, касается только ограниченного числа субъектов данных, необходим для неотложных законных интересов, преследуемых контролером, чьи интересы или права и свободы не имеют преимущественной силы над субъектом данных, и контролер оценил все обстоятельства, связанные с передачей данных, и предоставил, на основании этой оценки, соответствующие гарантии защиты персональных данных. Контролер должен информировать надзорный орган о передаче. Контроллер, в дополнение к информации, представленной в статьях 13 и 14, информирует субъект данных о передаче и преследуемых императивных законных интересах.

2. Перевод, который осуществляется по абзацу 1 первый подпункт элемента g) не включает в себя все личные данные или целые категории личных данных, содержащихся в реестре. Когда реестр предназначен для получения информации от лиц, которые имеют законный интерес, перевод осуществляется только по просьбе этих лиц или только в том случае, если получатели должны быть.

4.5.2016 Официальный журнал Европейского Союза L 119/65

EL

3. Параграф 1 элементы первого абзаца), б) и G) и абзац 1 Второй подпункт не распространяется на деятельность, осуществляемую органами государственной власти при осуществлении ими своих публичных полномочий..

4. Общественный интерес, указанный в пункте 1 первый абзац d) признается в законодательстве Союза или национальном законодательстве государства-члена, которому подчиняется контролер..

5. Решение Адекватность Отсутствие, Закон Союза или государства-члена может, по серьезным причинам, представляющим общественный интерес, четко предусмотреть ограничения на передачу определенных категорий персональных данных в третью страну или международную организацию. Государства-члены должны сообщить соответствующие положения Комиссии.

6. Контроллер или процессор регистрирует оценку, а также соответствующие гарантии, указанные во втором подпункте настоящего пункта 1 этой статьи, в файлах, упомянутых в статье 30.

статья 50

Международное сотрудничество по защите персональных данных

По отношению к третьим странам и международным организациям, Комиссия и надзорные органы принимают соответствующие меры:

1. α) разработка механизмов международного сотрудничества для содействия эффективному исполнению законодательства о защите персональных данных,
2. б) оказание международной взаимопомощи в обеспечении соблюдения законодательства о защите личных данных, среди прочего через уведомление, передача жалоб, подписка на исследования и обмен информацией, при условии соблюдения соответствующих гарантий защиты личных данных и других основных прав и свобод,
3. с) участие соответствующих заинтересованных сторон в дискуссиях и мероприятиях, направленных на развитие международного сотрудничества в обеспечении соблюдения законодательства о защите персональных данных,
4. d) содействие обмену и документированию законодательства и практики защиты персональных данных, среди прочего, в конфликте юрисдикции с третьими странами.

   Глава VI

   Независимые контролирующие органы

   отдел 1

   Независимый статус

   статья 51

   Контролирующий орган

1. Каждое государство-член должно обеспечить, чтобы один или несколько независимых государственных органов отвечали за соблюдение положений настоящего Регламента., с целью защиты основных прав и свобод физических лиц от обращения с ними и содействия свободному перемещению персональных данных в Союзе. ("контролирующий орган").

2. Каждый надзорный орган способствует последовательному применению этого Регламента на всей территории Союза.. Для этого, надзорные органы сотрудничают друг с другом и с Комиссией в соответствии с главой VII.

3. Если в государстве-члене создано более одного надзорного органа, это государство-член определяет надзорный орган, представляющий эти органы в Совете по защите данных, и определяет механизм, который обеспечивает соблюдение другими органами правил, касающихся механизма согласованности, упомянутого в настоящей статье. 63.

4. Каждое государство-член уведомляет Комиссию о положениях, изложенных в ее законе в соответствии с настоящей главой., до тех пор 25 май 2018 и, без задержки, любая последующая модификация.

L 119/66 Официальный журнал Европейского Союза 4.5.2016

EL

статья 52

независимость

1. Каждый надзорный орган выполняет свои обязанности и осуществляет свои полномочия в соответствии с настоящим Положением с полной независимостью..

2. Член или члены каждого контролирующего органа должны выполнять свои обязанности и осуществлять свои полномочия в соответствии с настоящим Положением без внешнего влияния., прямой или косвенный, и они не просят и не получают инструкций от кого-либо.

3. Член или члены любого надзорного органа должны воздерживаться от любых действий, несовместимых с их обязанностями и, В течение срока их полномочий, они не практикуют несовместимую профессию, выгодно или нет.

4. Каждое государство-член должно обеспечить, чтобы каждый надзорный орган имел необходимые человеческие ресурсы, технические и финансовые ресурсы и необходимые средства и инфраструктуру для эффективного выполнения своих обязанностей и осуществления своих полномочий, в том числе осуществляемые в контексте взаимопомощи, сотрудничество и участие в Совете по защите данных.

5. Каждое государство-член должно обеспечить, чтобы каждый надзорный орган отбирал и имел свой собственный персонал, который управляется исключительно членом или членами соответствующего надзорного органа..

6. Каждое государство-член должно обеспечить, чтобы любой надзорный орган подвергался финансовому контролю, который не влияет на его независимость и является отдельным., государственные годовые бюджеты, которая может быть частью общего государственного или национального бюджета.

статья 53

Общие условия для членов надзорного органа

1. Государства-члены предусматривают, что каждый член их надзорных органов должен назначаться прозрачным: - их парламент,
- их правительство,
- их глава государства или

- независимый орган, которому он был назначен, в соответствии с законодательством государства-члена, назначение.

2. Каждый участник имеет, особенно в области защиты персональных данных, квалификации, опыт и навыки, необходимые для выполнения своих обязанностей и выполнения своих обязанностей.

3. Обязанности члена прекращаются в случае окончания срока его полномочий, отставка или обязательный выход на пенсию, в соответствии с законодательством соответствующего государства-члена.

4. Член может быть уволен только в случае серьезного проступка или если он перестает отвечать условиям, необходимым для выполнения своих обязанностей..

статья 54

Правила создания надзорного органа

1. Каждое государство-член по закону должно предусматривать все следующее:: α) учреждение каждого контролирующего органа,

4.5.2016

Официальный журнал Европейского Союза L 119/67

EL

б) с) d)

е) е)

требования к квалификации и приемлемости, необходимые для назначения члена каждого контролирующего органа,

правила и процедуры назначения члена или членов каждого контролирующего органа,

срок полномочий члена или членов каждого контролирующего органа, который составляет не менее четырех лет, за исключением первого приема после 24 май 2016, часть из которых может касаться более короткого периода, если это необходимо для защиты независимости надзорного органа посредством процесса неполного рабочего дня,

есть ли и на какой срок член или члены каждого контролирующего органа имеют право на повторное назначение,

условия, регулирующие обязанности члена или членов и работников каждого контролирующего органа, запрет действий, профессиональная деятельность и льготы, несовместимые с этими обязательствами, как во время, так и после истечения срока полномочий, και τους κανόνες που διέπουν την παύση της απασχόλησης.

2.
κράτους μέλους, από το επαγγελματικό απόρρητο τόσο κατά τη διάρκεια της θητείας όσο και μετά το πέρας αυτής, в отношении конфиденциальной информации, которая была им известна во время выполнения ими своих обязанностей или выполнения своих обязанностей. В течение срока их полномочий, Это обязательство соблюдать профессиональную тайну распространяется, в частности, на упоминание физическими лицами нарушений настоящего Регламента..

отдел 2

компетентность, обязанности и полномочия

статья 55

компетентность

1. Каждый надзорный орган несет ответственность за выполнение своих обязанностей и осуществление полномочий, предоставленных ему в соответствии с настоящим Регламентом, на территории своего государства-члена..

2. Когда обработка производится государственными органами или частными органами, действующими на основании статьи 6 пункт 1 пункт с) или е), Надзорный орган соответствующего государства-члена должен быть компетентным. В этих случаях статья не применяется 56.

3. Надзорные органы не уполномочены контролировать действия, совершаемые судами в контексте их юрисдикции..

статья 56

Ответственность надзорного органа

1. Без ущерба для этой статьи 55, надзорный орган основной или единственной установки контроллера или процессора отвечает за выполнение функций надзорного органа за трансграничными операциями обработки этого контроллера или процессора в соответствии с процедурой, изложенной в статье. 60.

2. В порядке отступления от абзаца 1, Каждый надзорный орган несет ответственность за рассмотрение жалобы или любое возможное нарушение настоящего Регламента., если объект касается только установки в соответствующем государстве-члене или эффективно влияет на объекты данных только в соответствующем государстве-члене.

3. В случаях абзаца 2 этой статьи, Надзорный орган незамедлительно информирует надзорный орган. В течение трех недель после получения уведомления, надзорный орган решает, будет ли дело рассматриваться в ходе статьи 60, принимая во внимание, есть ли в государстве-члене надзорного органа, сообщившего об этом, установка контроллера или процессора.

Член или члены и сотрудники каждого надзорного органа обязаны, в соответствии с Союзом или его законодательством

L 119/68 Официальный журнал Европейского Союза 4.5.2016

EL

4. В случае, если надзорный орган решает рассмотреть дело, применяется порядок, предусмотренный в статье 60. Надзорный орган, который проинформировал надзорный надзор, может представить проект решения надзорному органу.. Надзорный орган принимает этот план во внимание при подготовке проекта решения, указанного в статье. 60 пункт 3.

5. В случае если надзорный орган решит не рассматривать дело, надзорный орган, который проинформировал надзорный орган, должен рассмотреть дело в соответствии со статьями 61 и 62.

6. Надзорный орган является единственным собеседником контроллера или процессора для транзакционной обработки указанного контроллера или процессора..

статья 57

обязанности

1. Без ущерба для других задач, определенных в настоящих Правилах, каждый контролирующий орган на своей территории:

1. α) контролирует и обеспечивает применение настоящих Правил,
2. б) способствует повышению осведомленности и понимания рисков, правила, гарантии и права, связанные с обработкой. Особое внимание уделяется деятельности, специально ориентированных на детей,
3. с) советует, в соответствии с законодательством государства-члена, национальный парламент, государственные и другие учреждения и органы о законодательных и административных мерах, связанных с защитой прав и свобод физических лиц в отношении обработки,
4. d) повышает осведомленность контролеров и исполнителей обработки об их обязательствах по настоящему Регламенту,
5. е) по требованию, предоставляет субъектам данных информацию об осуществлении их прав в соответствии с настоящим Регламентом и, возможно, сотрудничает с надзорными органами в других государствах-членах с этой целью,

е) обрабатывает жалобы, поданные субъектом данных или субъектом или организацией или ассоциацией в соответствии со статьей 80 и расследует, насколько это возможно, предмет жалобы и информирует заявителя о ходе и результатах расследования в разумный срок., особенно если требуется дальнейшее расследование или координация с другим надзорным органом,

6. г) взаимодействует, среди прочего через обмен информацией, с другими надзорными органами и оказывает взаимную помощь другим надзорным органам, в целях обеспечения последовательности применения и применения настоящего Регламента,
7. η) проводит исследования по применению настоящих Правил, среди другой информации, основанной на информации, полученной от другого контролирующего органа или другого государственного органа,
8. я) отслеживает соответствующие события, в той степени, в которой они влияют на защиту персональных данных, в частности, развитие информационных и коммуникационных технологий и практики торговли,
9. J) устанавливает стандартные договорные положения статьи 28 пункт 8 и статья 46 пункт 2 пункт d),

226. К) составляет и ведет список в связи с требованием провести контр-оценку защиты данных в соответствии со статьей 35 пункт 4,
227. ιβ) дает советы по оформлению статьи 36 пункт 2,
228. м) поощряет кодификацию кодексов поведения в соответствии со статьей 40 пункт 1 и выражает мнение и утверждает такие кодексы поведения, которые обеспечивают достаточные гарантии, в соответствии со статьей 40 пункт 5,
229. N) поощряет создание механизмов защиты данных и пломб защиты данных в соответствии со статьей 42 пункт 1 и утверждает критерии сертификации в соответствии со статьей 42 пункт 5,
230. святой) где это уместно, периодически проверяет сертификаты, выданные в соответствии со статьей 42 пункт 7,

4.5.2016 Официальный журнал Европейского Союза L 119/69

EL

п) разрабатывает и публикует критерии аккредитации организаций для мониторинга кодексов этики в соответствии со статьей 41 и орган по сертификации в соответствии со статьей 43,

231. ιζ) осуществляет аккредитацию органа по контролю за соблюдением кодексов поведения в соответствии со статьей 41 и орган по сертификации в соответствии со статьей 43,
232. ιη) допускает общепринятые положения и положения статьи 46 пункт 3,
233. ιθ) утвердить обязательные корпоративные правила в соответствии со статьей 47,

Мистер) вносит свой вклад в деятельность Совета по защите данных,

251. Мисс) держать внутренние записи нарушений настоящих Правил и меры, принятые в соответствии со статьей 58 пункт 2, и
252. v) выполняет любые другие задачи, связанные с защитой личных данных.

2. Каждый надзорный орган облегчает подачу жалоб, указанных в пункте 1 пункт f) с такими мерами, как форма жалобы, которая также может быть заполнена в электронном виде, без учета других средств связи.

3. Каждый надзорный орган выполняет свои обязанности бесплатно перед субъектом данных и, где это уместно, для сотрудника по защите данных.

4. Если запросы являются явно необоснованными или чрезмерными, особенно из-за их повторяющейся природы, надзорный орган может взимать разумную плату за административные расходы или отказываться отвечать на запрос.. Надзорный орган несет бремя доказывания явно необоснованного или чрезмерного характера запроса..

статья 58

полномочия

1. Каждый контрольный орган имеет все следующие полномочия по расследованию:

1. α) проинструктировать контроллер и процессор и, где применимо, представителю контроллера или процессора предоставить любую информацию, необходимую для выполнения его обязанностей.,
2. б) проводить исследования в виде средств защиты данных,
3. с) рассмотреть сертификаты, выданные в соответствии со статьей 42 пункт 7,
4. d) уведомить контроллер или обработчик о предполагаемом нарушении настоящих Правил.,
5. е) приобрести, контроллером и процессором, доступ ко всем личным данным и всей информации, необходимой для выполнения своих обязанностей,

е) иметь доступ к средствам контроллера и процессора, включая любое оборудование и оборудование для обработки данных, в соответствии с процессуальным законодательством Союза или государства-члена.

2. Каждый контрольный орган имеет все следующие корректирующие полномочия:

1. α) направлять предупреждения контроллеру или обработчику о том, что предполагаемые операции обработки могут нарушать положения настоящих Правил.,
2. б) направлять выговоры контроллеру или обработчику, если акты обработки были нарушены положениями настоящих Правил,
3. с) поручить контроллеру или обработчику выполнить запрос субъекта данных для осуществления его прав в соответствии с настоящим Регламентом.,

L 119/70 d)

е)

е) г)

η)

я)

J) 3. α)

б)

с)

d) е) е) г)

η) я) J)

Официальный журнал Европейского Союза 4.5.2016

поручить контроллеру или процессору выполнять операции обработки в соответствии с положениями настоящих Правил., если нужно, определенным образом и в течение определенного срока,

поручить контролеру сообщить о нарушении персональных данных субъекту данных,

наложить временное или постоянное ограничение, включая запрет на обработку,

заказать исправление или удаление персональных данных или ограничение обработки по статьям 16, 17 и 18 и инструкция по уведомлению об этих действиях получателям, которым личные данные были раскрыты в соответствии со статьей 17 пункт 2 и статья 19,

отозвать сертификат или поручить органу по сертификации отозвать сертификат, выданный в соответствии со статьями 42 и 43 или приказать органу по сертификации не выдавать сертификацию, если сертификационные требования не выполнены или более не выполняются,

наложить административный штраф по статье 83, в дополнение или вместо мер, упомянутых в этом пункте, в зависимости от обстоятельств каждого отдельного случая,

заказать приостановку трафика данных получателю в третьей стране или международной организации. Каждый контрольный орган имеет все следующие полномочия по лицензированию и консультированию.:

предоставлять консультации контролеру в соответствии с предыдущей процедурой консультаций, указанной в статье 36,

выдавать, по собственной инициативе или по его просьбе, мнения в национальный парламент, правительство государства-члена или, в соответствии с законодательством государства-члена, другим органам и организациям, а также для общественности, по любым вопросам, связанным с защитой личных данных,

разрешить обработку, указанную в статье 36 пункт 5, требует ли законодательство государства-члена этого предварительного одобрения,

выносить заключения о кодексах поведения и утверждать такие планы в соответствии со статьей 40 пункт 5,

предоставить аккредитацию органам по сертификации в соответствии со статьей 43,

выдавать сертификаты и утверждать критерии сертификации в соответствии со статьей 42 пункт 5,

утвердить типовые положения статьи о защите данных 28 пункт 8 и статья 46 пункт 2 пункт d),

разрешить обычные пункты статьи 46 пункт 3 пункт а),
разрешить административные меры, указанные в статье 46 пункт 3 пункт б), утвердить обязательные корпоративные правила по статье 47.

EL

4.
включая осуществление фактического судебного иска и соблюдение соответствующей процедуры, в соответствии с законодательством Союза и законодательством государств-членов в соответствии с Уставом.

Осуществление надзорным органом своих полномочий в соответствии с настоящей статьей регулируется соответствующими гарантиями.,

5. Каждое государство-член должно предусмотреть в законе, что соответствующий надзорный орган имеет право уведомлять судебные органы о нарушениях настоящего Регламента и, где это уместно, двигаться или участвовать кошка’ в противном случае в судопроизводстве, для обеспечения соблюдения положений настоящего Регламента.

6. Каждое государство-член согласно закону предусматривает, что его надзорный орган обладает дополнительными полномочиями, помимо тех, которые упомянуты в пунктах. 1, 2 и 3. Осуществление этих полномочий не влияет на эффективное функционирование главы VII.

статья 59

Отчеты о деятельности

Каждый надзорный орган составляет ежегодный отчет о своей деятельности., который может включать список типов заявленных нарушений и тип мер, принятых в соответствии со статьей 58 пункт 2. Эти отчеты должны быть представлены в Национальное Собрание, правительство и другие органы власти, как определено законодательством государства-члена. Это становится доступным для общественности, в Комиссию и Совет по защите данных.

4.5.2016

Официальный журнал Европейского Союза

L 119/71

EL

Глава VII

Сотрудничество и согласованность

отдел 1

сотрудничество

статья 60

Сотрудничество между главой надзорного органа и другими заинтересованными надзорными органами

1.
для достижения консенсуса. Надзорный орган и соответствующие надзорные органы обмениваются всей соответствующей информацией друг с другом..

2. Надзорный орган может в любое время обратиться к другим заинтересованным надзорным органам с просьбой оказать взаимную помощь в соответствии со статьей. 61 и может создавать совместные предприятия в соответствии со статьей 62, в частности, для проведения расследований или для контроля за осуществлением меры в отношении контролера или исполнителя обработки, установленной в другом государстве-члене..

3. Надзорный орган незамедлительно уведомляет соответствующие органы о соответствующей информации.. Безотлагательно представляет проект решения другим заинтересованным надзорным органам для вынесения заключения и должным образом учитывает их мнение..

4. Если какой-либо из других надзорных органов, в течение четырех недель с момента обращения за мнением, в соответствии с пунктом 3 этой статьи, выступает с обоснованным возражением против проекта решения, надзорный орган, если оно не следует за соответствующим и обоснованным возражением или считает, что возражение не является уместным или обоснованным, передает вопрос механизму согласованности, указанному в статье 63.

5. Если надзорный орган намерен следовать соответствующим и обоснованным возражениям, представить другим заинтересованным надзорным органам пересмотренный проект решения, чтобы высказать свое мнение. На этот пересмотренный проект решения распространяется процедура, изложенная в пункте 4, в течение двух недель.

6. Если ни один из других заинтересованных надзорных органов не подал возражения против проекта решения, представленного надзорным органом, в сроки, указанные в пунктах 4 и 5, Предполагается, что надзорный орган и соответствующие надзорные органы согласны с этим решением и связаны им..

7. Надзорный орган издает и уведомляет о решении, принимая во внимание, единоличное учреждение контролера или процессора и должно информировать другие заинтересованные надзорные органы и Совет по защите данных об этом решении., предоставление, среди прочего, резюме фактов и юридических обвинений. Надзорный орган, в который была подана жалоба, информирует заявителя о решении.

8. В порядке отступления от абзаца 7, если жалоба была признана неприемлемой или отклонена, надзорный орган, в который была подана жалоба, выносит решение, уведомляет истца и сообщает контролеру.

9. Если надзорный орган и соответствующие надзорные органы соглашаются признать неприемлемыми или отклонить части жалобы и действовать по другим частям той же жалобы, отдельное решение выдается для каждого из этих отделов. Надзорный орган выносит решение о действиях контролера., уведомляет основного или единственного установщика контроллера или процессора на территории соответствующего государства-члена и информирует заявителя., в то время как надзорный орган истца направляет в департамент решение о неприемлемости или отклонении указанной жалобы, уведомляет об этом заявителя и сообщает об этом контролеру или лицу, выполняющему обработку..

10. После уведомления о решении надзорного органа в соответствии с пунктами 7 и 9, Контролер или обработчик должны принять необходимые меры для обеспечения соблюдения решения, касающегося деятельности по обработке на всех своих объектах в Союзе.. Контролер или обработчик должны уведомить надзорный орган о мерах, принятых для выполнения решения., который информирует другие заинтересованные надзорные органы.

Надзорный орган сотрудничает с другими надзорными органами в соответствии с настоящей статьей.

L 119/72 Официальный журнал Европейского Союза 4.5.2016

EL

11. ли, в исключительных обстоятельствах, У заинтересованного надзорного органа есть основания полагать, что существует срочная необходимость принять меры для защиты интересов субъектов данных., применяется срочная процедура, указанная в статье 66.

12. Надзорный орган и другие заинтересованные надзорные органы предоставляют информацию, требуемую в соответствии с настоящей статьей, любому другому органу в электронной форме., используя стандартное форматирование.

статья 61

Взаимопомощь

1. Надзорные органы предоставляют друг другу соответствующую информацию и взаимную помощь, осуществлять и осуществлять настоящий Регламент согласованным образом, и установить меры для их эффективного сотрудничества. Покрытия взаимопомощи, особенно, запросы на информацию и меры контроля, например запросы на предыдущие консультации и согласования, проверки и обзоры.

2. Каждый надзорный орган должен принять все соответствующие меры, необходимые для ответа на запрос другого надзорного органа немедленно и не позднее, чем через месяц после получения запроса.. Такие меры могут включать в себя, особенно, передача соответствующей информации о расследовании.

3. Просьбы об оказании помощи содержат всю необходимую информацию, среди них цель и причины подачи запроса. Обмениваемая информация используется только для той цели, для которой она была запрошена.

4. Орган страхового надзора, которому был подан запрос, не должен отказывать в его выполнении., если:

α) не несет ответственности за предмет запроса или за меры, которые должны быть приняты или

б) соблюдение запроса нарушит настоящий Регламент или законодательство Союза или законодательство государства-члена, которому подлежит надзорный орган, получающий запрос..

5. Надзорный орган, которому был направлен запрос, должен проинформировать надзорный орган, представивший запрос о результатах, или, это зависит от ситуации, для прогресса мер, принятых для удовлетворения спроса. Орган страхового надзора, которому был направлен запрос, объясняет причины любого отказа выполнить запрос в соответствии с пунктом 4.

6. Надзорные органы подали запрос, в общем, информация, запрошенная другими надзорными органами в электронном виде, используя стандартное форматирование.

7. Органы надзора, которые обратились, не несут ответственности за любые действия, предпринятые после запроса о взаимной помощи.. Надзорные органы могут согласиться с правилами компенсации конкретных расходов, связанных с оказанием взаимопомощи в исключительных обстоятельствах..

8. Если надзорный орган не предоставляет информацию, указанную в пункте 5 информация по этой статье в течение одного месяца с момента получения запроса другого надзорного органа, надзорный орган, представивший запрос, может наложить временную меру на территорию государства-члена, на которое он подпадает под действие статьи 55 пункт 1. В этом случае, есть срочная необходимость принять меры на основе статьи 66 пункт 1 и требуется срочное решение о приверженности Совета по защите данных, в соответствии со статьей 66 пункт 2.

9. Комиссия может, через исполнительные акты, определить формат и процедуры для взаимной помощи, упомянутой в этой статье, и правила обмена информацией с помощью электронных средств между органами аудита и между органами аудита и Советом по защите данных., в частности стандартный формат, указанный в пункте 6 этой статьи. Эти исполнительные акты издаются в порядке рассмотрения статьи. 93 пункт 2.

статья 62

Объединенные органы аудита

1. Надзорные органы проводят, при необходимости, совместные предприятия, включая совместные расследования и совместные меры принуждения, в котором участвуют члены или должностные лица из надзорных органов других государств-членов.

4.5.2016 Официальный журнал Европейского Союза L 119/73

EL

2. Когда контроллер или процессор установлен во многих государствах-членах или в тех случаях, когда значительное количество субъектов данных в более чем одном государстве-члене могут значительно пострадать от операций обработки, надзорный орган каждого из этих государств-членов имеет право участвовать в совместных предприятиях. Надзорный орган, ответственный за статью 56 пункт 1 или 4, призывает контролирующие органы каждого из этих государств-членов участвовать в совместных предприятиях и незамедлительно реагирует на запрос контролирующего органа об участии..

3. Надзорный орган может, в соответствии с законодательством государства-члена и с одобрения надзорного органа, наделять полномочиями, в том числе исследовательские полномочия, членам или сотрудникам надзорного органа, участвующим в совместных предприятиях, или, если это разрешено законодательством государства-члена принимающей власти, разрешить членам или должностным лицам органа по надзору за командировкой осуществлять свои полномочия по расследованию в соответствии с законодательством государства-члена органа по надзору за командировкой. Эти полномочия по расследованию могут осуществляться только под руководством и в присутствии членов или должностных лиц надзорного органа.. Члены или должностные лица надзорного органа подчиняются законам государства-члена надзорного органа..

4. когда, в соответствии с пунктом 1, персонал командирующего надзорного органа действует в другом государстве-члене, Государство-член принимающей власти несет ответственность за свои действия, в том числе за любой ущерб, который он наносит во время своей деятельности там, в соответствии с законодательством государства-члена, на территории которого оно действует.

5. Государство-член, на территории которого причинен ущерб, восстанавливает его на условиях, применимых к ущербу, причиненному его персоналом.. Государство-член надзорного органа, персонал которого нанес ущерб любому лицу на территории другого государства-члена, возвращает этому государству-участнику все суммы, выплаченные бенефициарам..

6. При условии осуществления его прав в отношении третьих лиц и кошек’ освобождение от абзаца 5, каждое государство-член подает в отставку, в случае абзаца 1, от возможности требовать компенсацию от другого государства-члена за ущерб, указанный в пункте 4.

7. Если будет создано совместное предприятие, и орган надзора не выполнит в течение одного месяца обязательства, предусмотренные во втором периоде параграфа. 2 этой статьи, остальные надзорные органы могут наложить временную меру на территорию государства-члена, на которое они подпадают под действие статьи 55. В этом случае, есть срочная необходимость принять меры на основе статьи 66 пункт 1 и мнение или срочное обязательное решение Совета по защите данных требуется в соответствии со статьей 66 пункт 2.

отдел 2

непрерывность

статья 63

Механизм согласованности

Чтобы способствовать последовательному применению этого Регламента ко всему Союзу, надзорные органы сотрудничают друг с другом и, если необходимо, с комиссией, через механизм согласованности, как предусмотрено в этом разделе.

статья 64

Мнение совета

1. Совет должен принимать решение всякий раз, когда компетентный надзорный орган намеревается принять любую из следующих мер.. Для этой цели, компетентный надзорный орган оглашает проект решения Совету, когда:

1. α) Цель состоит в том, чтобы утвердить перечень операций обработки, на которые распространяется требование о проведении встречной оценки защиты данных согласно статье 35 пункт 4,
2. б) касается вопроса по статье 40 пункт 7 Соответствует ли этический кодекс или поправка или расширение этического кодекса настоящему Положению,

L 119/74 с)

d)

е) е)

Официальный журнал Европейского Союза 4.5.2016

направлена ​​на утверждение критериев аккредитации юридического лица в соответствии со статьей 41 пункт 3 или орган по сертификации в соответствии со статьей 43 пункт 3,

стремится определить стандартные положения о защите данных, упомянутые в статье 46 пункт 2 пункт d) и в статье 28 пункт 8,

стремится утвердить общепринятые положения статьи 46 пункт 3 пункт а) или имеет целью утвердить обязательные корпоративные правила по смыслу статьи 47.

EL

2.
любое общее приложение или проблема, которая приводит к результатам в более чем одном государстве-члене Советом по защите данных, с целью выдачи заключения, особенно когда компетентный надзорный орган не выполняет обязательства взаимной помощи в соответствии со статьей 61 или совместные предприятия в соответствии со статьей 62.

3. В случаях, указанных в пунктах 1 и 2, Совет по защите данных издает заключение по данному вопросу., до тех пор, пока он еще не высказал свое мнение по этому вопросу. Это мнение должно быть принято в течение восьми недель простым большинством членов Совета по защите данных.. Этот срок может быть продлен еще на шесть недель, с учетом сложности вопроса. Что касается проекта решения, упомянутого в пункте 1 и доведены до сведения Совета директоров в соответствии с пунктом 5, участник, который не возражал в течение разумного срока, установленного Президентом, считается согласным с проектом решения..

4. Надзорные органы и Комиссия, без неоправданной задержки, объявить в электронном виде, используя стандартное форматирование, Совету по защите данных любую соответствующую информацию, включены, это зависит от ситуации, обобщая факты, проекта решения, причины необходимости применения этой меры и мнения других заинтересованных надзорных органов.

5. α)

б)

Председатель Совета по защите данных немедленно сообщает в электронном виде:

членов Совета по защите данных и Комиссии за любую соответствующую информацию, которая была ему сообщена, используя стандартное форматирование. Секретариат Совета по защите данных обеспечивает перевод соответствующей информации., если необходимо, и

упомянутый надзорный орган, это зависит от ситуации, в параграфах 1 и 2, а также комиссия по мнению, и делает это публичным.

Каждый надзорный орган, Председатель Совета по защите данных или Комиссии может запросить экспертизу

6.
упоминается в пункте 3.

Η αρμόδια εποπτική αρχή δεν εγκρίνει το σχέδιο απόφασης που αναφέρεται στην παράγραφο 1 εντός της προθεσμίας που

7. Η εποπτική αρχή που αναφέρεται στην παράγραφο 1 принимает во внимание мнение Совета по защите данных и, в течение двух недель после получения мнения, уведомляет председателя Совета по защите данных с помощью электронных средств, будет ли он сохранять или изменять проект решения, и, если это применимо, измененный проект решения, используя стандартное форматирование.

8. Когда соответствующий надзорный орган информирует председателя Совета по защите данных, в срок, указанный в пункте 7 этой статьи, что он не намерен следовать мнению Совета по защите данных, в целом или частично, предоставление соответствующих рассуждений, статья применяется 65 пункт 1.

статья 65

Разрешение споров Советом по защите данных

1. В целях обеспечения правильного и последовательного применения настоящих Правил в отдельных случаях, Совет по защите данных принимает обязательное решение в следующих случаях:

α) когда, в случае, указанном в статье 60 пункт 4, соответствующий надзорный орган сделал соответствующее и обоснованное возражение относительно решения главы органа, или надзорный орган отклонил это возражение как несущественное или обоснованное.. Обязательное решение касается всех вопросов, которые составляют предмет соответствующего и обоснованного возражения, особенно когда есть нарушение этого Регламента,

4.5.2016 б)

с)

Официальный журнал Европейского Союза L 119/75

когда существуют противоречивые мнения о том, какой из надзорных органов отвечает за основной монтаж,

если компетентный надзорный орган не запрашивает мнение Совета по защите данных в случаях, указанных в статье 64 пункт 1 или не придерживается мнения Совета по защите данных, выпущенного в соответствии со статьей 64. В этом случае, Любой заинтересованный надзорный орган или комиссия может уведомить Совет по защите данных..

EL

2.
две трети членов Совета по защите данных. Этот срок может быть продлен еще на месяц, из-за сложности объекта. Тот, о котором идет речь в параграфе 1 Решение является обоснованным и адресовано руководителю надзорного органа и всех заинтересованных надзорных органов и является для них обязательным..

3. Когда Совет по защите данных не может принять решение в срок, указанный в пункте 2, выдает свое решение в течение двух недель после истечения второго месяца, указанного в пункте 2 простым большинством членов Совета по защите данных. Когда члены Совета по защите данных не согласны, это решение принимается голосованием его Президента.

4. Заинтересованные надзорные органы не должны выносить решения по вопросу, представленному в Совет по защите данных в соответствии с 1 в течение периодов, указанных в пунктах 2 и 3.

5. Председатель Совета по защите данных уведомляет, без неоправданной задержки, решение, указанное в пункте 1 заинтересованным надзорным органам. Информирует комиссию. Решение незамедлительно публикуется на сайте Совета по защите данных., после того, как надзорный орган уведомит об окончательном решении, указанном в пункте 6.

6. Надзорный орган или, это зависит от ситуации, надзорный орган, в который была подана жалоба, принимает свое окончательное решение на основании решения, указанного в пункте 1 этой статьи, без неоправданной задержки и не позднее, чем через месяц после того, как Совет по защите данных объявит о своем решении. Надзорный орган или, это зависит от ситуации, надзорный орган, которому была подана жалоба, должен проинформировать Совет по защите данных о дате, когда его окончательное решение должно быть сообщено контролеру или обработчику и субъекту данных соответственно.. Окончательное решение соответствующих надзорных органов принимается в соответствии с положениями настоящей статьи. 60 пункты 7, 8 и 9. Окончательное решение относится к решению, указанному в пункте 1 настоящей статьи, и поясняет, что решение, упомянутое в этом пункте, будет опубликовано на веб-сайте Совета по защите данных в соответствии с пунктом 5 этой статьи. К окончательному решению прилагается решение, указанное в пункте 1 этой статьи.

статья 66

Срочная процедура

1. В исключительных случаях, когда заинтересованный надзорный орган считает, что существует срочная необходимость принять меры для защиты прав и свобод субъектов данных, Можно, путем отступления от механизма согласованности статей 63, 64 и 65 или порядок статьи 60, немедленно установить временные меры, направленные на создание юридического эффекта на своей территории, с определенным сроком действия, не превышающим три месяца. Надзорный орган незамедлительно объявляет о таких мерах, а также обоснование их создания, другим заинтересованным надзорным органам, Совету по защите данных и Комиссии.

2. Если надзорный орган принял меры в соответствии с пунктом 1 и считает, что срочно необходимы окончательные меры, может потребовать вынесения Советом по защите данных срочного заключения или срочного обязательного решения, обоснование соответствующего запроса мнения или решения.

3. Любой надзорный орган может потребовать выдачи срочного заключения или обязательного решения, это зависит от ситуации, Советом по защите данных, когда соответствующие меры не были приняты компетентным надзорным органом, если требуются срочные меры для защиты прав и свобод субъектов данных., обоснование соответствующего запроса мнения или решения, в том числе срочную необходимость принять меры.

4. В порядке отступления от статьи 64 пункт 3 и статьи 65 пункт 2, срочное заключение или срочное обязательное решение в соответствии с пунктами 2 и 3 Эта статья публикуется в течение двух недель простым большинством членов Совета по защите данных..

Решение, указанное в пункте 1 выдается в течение одного месяца с момента передачи вопроса большинством

L 119/76 Официальный журнал Европейского Союза 4.5.2016

EL

статья 67

Обмен информацией

Комиссия может издавать исполнительные акты общего характера с целью определения правил обмена информацией с помощью электронных средств между надзорными органами и между надзорными органами и Советом по защите данных., в частности стандартный формат, упомянутый в статье 64.

Эти исполнительные акты издаются в порядке рассмотрения статьи. 93 пункт 2. отдел 3

Европейский совет по защите данных

статья 68

Европейский совет по защите данных

1. Европейский совет по защите данных («Совет по защите данных») учрежден как орган Союза и обладает правосубъектностью.

2. Совет по защите данных представлен его председателем.
3. Совет по защите данных состоит из главы надзорного органа каждого государства-члена и

Европейским инспектором по защите данных или их соответствующими представителями.

4. Если в государстве-члене существует больше надзорных органов, отвечающих за мониторинг применения положений настоящего Регламента, совместный представитель назначается в соответствии с законодательством соответствующего государства-члена.

5. Комиссия имеет право участвовать без права голоса в деятельности и заседаниях Совета по защите данных.. Комиссия назначает своего представителя. Председатель Совета по защите данных объявляет Комиссии о деятельности Совета по защите данных..

6. В случаях, указанных в статье 65, Европейский супервайзер по защите данных имеет право голосовать только за решения, касающиеся принципов и правил, применимых к институтам Союза., к телам, к услугам и организациям, соответствующим кошке’ по существу, таковые из этих Правил.

статья 69

независимость

1. Совет по защите данных действует самостоятельно при выполнении своих обязанностей или при осуществлении своих полномочий в соответствии со статьями. 70 и 71.

2. С учетом запросов Комиссии в соответствии со статьей 70 пункт 1 пункт б) и статьи 70 пункт 2, Совет по защите данных не запрашивает и не получает указаний от кого-либо в отношении выполнения своих обязанностей или осуществления своих полномочий..

статья 70

Обязанности Европейского совета по защите данных

1. Совет по защите данных должен обеспечить соответствие настоящих Правил. Для этой цели, Совет по защите данных, по своей собственной инициативе или, где это уместно, Запрос Комиссии, особенно:

α) контролирует и обеспечивает надлежащее применение настоящих Правил в случаях, предусмотренных статьями 64 и 65, без ущерба для обязанностей национальных надзорных органов,

4.5.2016 Официальный журнал Европейского Союза L 119/77

EL

2. б) консультирует Комиссию по любым вопросам, связанным с защитой личных данных в Союзе, включая любую предложенную поправку к настоящим Правилам,
3. с) консультирует Комиссию по формату и процедурам обмена информацией между редакторами, процессоры и контролирующие органы для обвязки корпоративных правил,
4. d) выдает рекомендации, συστάσεις και βέλτιστες πρακτικές σχετικά με τις διαδικασίες για τη διαγραφή συνδέσμων, копии или воспроизведение личных данных из служб связи, доступных для общественности, как указано в статье 17 пункт 2,
5. е) осматривает, по собственной инициативе, по требованию одного из его членов или по требованию комиссии, любой вопрос, связанный с применением настоящего Регламента и руководящие принципы, рекомендации и лучшие практики, в целях поощрения последовательного применения настоящих Правил,

е) выдает рекомендации, рекомендации и лучшие практики в соответствии с пунктом е) της παρούσας παραγράφου για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων για τη λήψη αποφάσεων που βασίζονται σε κατάρτιση προφίλ δυνάμει του άρθρου 22 пункт 2,

6. г) выдает рекомендации, рекомендации и лучшие практики в соответствии с пунктом е) настоящего пункта в отношении установления нарушений персональных данных и определения неправомерных действий, указанных в статье 33 пункты 1 и 2 и о конкретных условиях, при которых контроллер или процессор обязан уведомлять о нарушении персональных данных,
7. η) выдает рекомендации, рекомендации и лучшие практики в соответствии с пунктом е) настоящего пункта в отношении обстоятельств, при которых нарушение личных данных может привести к высокому риску для прав и свобод физических лиц, указанных в статье 34 пункт 1,
8. я) выдает рекомендации, рекомендации и лучшие практики в соответствии с пунктом е) настоящего пункта, для дальнейшего определения критериев и требований к передаче персональных данных на основе обязательных корпоративных правил, соблюдаемых контролерами, и обязательных корпоративных правил, соблюдаемых контролерами, и дальнейших необходимых требований., обеспечить защиту персональных данных соответствующих субъектов от данных, указанных в статье 47,

226. К) выдает рекомендации, рекомендации и лучшие практики в соответствии с пунктом е) настоящего пункта в целях дальнейшего определения критериев и требований к передаче персональных данных в соответствии со статьей 49 пункт 1,
227. ιβ) готовит руководящие указания для надзорных органов относительно реализации мер, указанных в статье 58 пункты 1, 2 и 3 и наложение административных штрафов по статье 83,
228. м) исследует практическое применение руководящих принципов, рекомендации и лучшие практики, указанные в пунктах е) и св),
229. N) выдает рекомендации, рекомендации и лучшие практики в соответствии с пунктом е) настоящего пункта для подготовки совместного производства для сообщения физическими лицами о нарушениях настоящего Регламента в соответствии со статьей 54 пункт 2,
230. святой) поощряет разработку кодексов поведения и создание механизмов защиты данных и печатей и сигналов защиты данных в соответствии со статьями 40 и 42,

п) осуществляет аккредитацию органов по сертификации и ее периодическую проверку в соответствии со статьей 43 и ведет публичный реестр аккредитованных органов в соответствии со статьей 43 пункт 6 и аккредитованные редакторы или исполнители редактирования, которые установлены в третьих странах в соответствии со статьей 42 пункт 7,

231. ιζ) определяет требования, изложенные в статье 43 пункт 3 с целью аккредитации органов по сертификации в соответствии со статьей 42,
232. ιη) дает заключение Комиссии о требованиях сертификации, упомянутых в статье 43 пункт 8,
233. ιθ) дает заключение комиссии по иконам, упомянутым в статье 12 пункт 7,

Мистер) предоставляет Комиссии заключение об оценке адекватности уровня защиты в третьей стране или международной организации, в том числе его оценка того, является ли третья страна, территория или один или несколько конкретных секторов в этой третьей стране или международной организации более не обеспечивают адекватный уровень защиты. Для этой цели, Комиссия должна предоставить Совету по защите данных всю необходимую документацию, включая переписку с правительством третьей страны, в отношении этой третьей страны, территория или конкретный сектор или международная организация,

L 119/78 Мисс)

v)

κγ)

κδ)

κε)

Г-н.)

Официальный журнал Европейского Союза 4.5.2016

выносит заключения по проектам решений надзорных органов в рамках механизма согласованности, указанного в статье 64 пункт 1 и вопросы, поднятые в рамках статьи 64 пункт 2 και εκδίδει δεσμευτικές αποφάσεις δυνάμει του άρθρου 65, μεταξύ άλλων στις περιπτώσεις που αναφέρονται στο άρθρο 66,

способствует сотрудничеству и эффективному двустороннему и многостороннему обмену информацией и передовым опытом между надзорными органами,

продвигает совместные программы обучения и облегчает обмен сотрудниками между надзорными органами и, где это уместно, с надзорными органами третьих стран или с международными организациями,

способствует обмену знаниями и документацией по законодательству и практике защиты данных с органами контроля данных по всему миру,

дает заключение по кодексам этики, разработанным на уровне Союза в соответствии со статьей 40 пункт 9 и

ведет общедоступный электронный реестр решений, принятых контролирующими органами и судами по вопросам, рассматриваемым в рамках механизма согласованности.

EL

2.
с учетом срочного характера вопроса.

Когда Комиссия обращается за советом Совета по защите данных, может указывать срок годности,

3. Совет по защите данных передает мнения, руководящие принципы, рекомендации и передовой опыт, выпущенные для Комиссии и комитета статьи 93 и публикует их.

4. Где уместно, Совет по защите данных запрашивает мнения заинтересованных сторон и дает им возможность представить свои комментарии в разумные сроки.. Совет по защите данных, без ущерба для статьи 76, уведомляет о результатах консультации.

статья 71

Отчеты

1. Το Συμβούλιο Προστασίας Δεδομένων εκπονεί ετήσια έκθεση όσον αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας στην Ένωση και, где это уместно, σε τρίτες χώρες και διεθνείς οργανισμούς. Η έκθεση δημοσιοποιείται και διαβιβάζεται στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο και στην Επιτροπή.

2. Годовой отчет включает анализ практического применения руководящих принципов., рекомендации и передовой опыт, упомянутые в статье 70 пункт 1 пункт l), καθώς και των δεσμευτικών αποφάσεων που αναφέρονται στο άρθρο 65.

статья 72

Διαδικασία

1. Το Συμβούλιο Προστασίας Δεδομένων αποφασίζει με απλή πλειοψηφία των μελών του, если в настоящих Правилах не предусмотрено иное.

2. Το Συμβούλιο Προστασίας Δεδομένων εγκρίνει τον εσωτερικό κανονισμό του με την πλειοψηφία των δύο τρίτων των μελών του και οργανώνει τους οικείους κανόνες λειτουργίας.

статья 73

Πρόεδρος

1. Совет по защите данных выбирает президента и двух вице-президентов из числа своих членов простым большинством голосов..

2. Срок полномочий президента и вице-президентов составляет пять лет и может быть возобновлен один раз..

4.5.2016

Официальный журнал Европейского Союза L 119/79

EL

1. α) б)

с)

статья 74

Обязанности президента

Обязанности президента заключаются в следующем.:
созывает заседания Совета по защите данных и составляет его повестку дня,

уведомляет о решениях, принятых Советом по защите данных в соответствии со статьей 65 главному надзорному органу и соответствующим надзорным органам,

обеспечивает своевременное выполнение обязанностей Совета по защите данных, особенно в отношении механизма согласованности статьи 63.

2.
Президент и вице-президенты.

Совет по защите данных определяет в своих внутренних положениях распределение обязанностей между ним.

статья 75

секретариат

1. Совету по защите данных помогает секретариат, η οποία παρέχεται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

2. Η γραμματεία ασκεί τα καθήκοντά της αποκλειστικά βάσει των εντολών του Προέδρου του Συμβουλίου Προστασίας Δεδομένων.

3. Персонал Европейского супервизора по защите данных, который участвует в выполнении обязанностей, возложенных на Совет по защите данных в соответствии с настоящим Регламентом, подчиняется иерархическим уровням от персонала, задействованного в выполнении обязанностей, возложенных на европейского супервизорного супервизора..

4. Время от времени, Совет по защите данных и Европейский супервизор по защите данных должны разработать и опубликовать меморандум о сотрудничестве для реализации этой статьи., με το οποίο καθορίζονται οι όροι συνεργασίας τους και το οποίο εφαρμόζεται στο προσωπικό του Ευρωπαίου Επόπτη Προστασίας Δεδομένων που συμμετέχει στην άσκηση

из

5.

6. α) б) с) d) е) е) г)

обязанности, возложенные на Совет по защите данных в соответствии с настоящим Положением.

Секретариат предоставляет аналитические, административная и материально-техническая поддержка Совета по защите данных.

Секретариат несет особую ответственность за следующее:

повседневная деятельность Совета по защите данных,

связь между Советом по защите персональных данных, и Председатель Комиссии,

связи с другими учреждениями и общественностью,

использование электронных средств для внутренней и внешней коммуникации,

перевод актуальной информации,

подготовка и последующая деятельность на заседаниях Совета по защите данных,

подготовка, написание и публикация мнений, решения по разрешению споров между контролирующими органами и другие тексты, изданные Советом по защите данных.

статья 76

конфиденциальность

1.
Учитывая это, он считает это необходимым, όπως προβλέπεται στον εσωτερικό κανονισμό του.

Οι εργασίες του Συμβουλίου Προστασίας Δεδομένων οφείλουν να είναι εμπιστευτικές εφόσον το Συμβούλιο Προστασίας

L 119/80 Официальный журнал Европейского Союза 4.5.2016

EL

2. Доступ к документам, представленным членам Совета по защите данных, сторонние эксперты и представители руководствуются Правилами процедуры (ЕС) нет. 1049/2001 Европейский парламент и Совет (1).

Глава VIII

Беженцы, ευθύνη και κυρώσεις

статья 77

Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή

1. Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, если субъект данных считает, что обработка относящихся к нему персональных данных нарушает настоящие Правила.

2. Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα για την πρόοδο και για την έκβαση της καταγγελίας, а также возможность подачи иска в суд в соответствии со ст. 78.

статья 78

Право на справедливое судебное разбирательство с самого начала

1. Με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής, Каждое физическое или юридическое лицо имеет право на эффективное средство судебной защиты от юридически обязательного решения надзорного органа..

2. Με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής, любой субъект данных имеет право на фактический иск, при условии, что надзорный орган компетентен в соответствии со статьями 55 и 56 не рассматривает жалобу или не сообщает субъекту данных в течение трех месяцев о ходе или результате жалобы, поданной в соответствии со статьей 77.

3. Οι διαδικασίες κατά εποπτικής αρχής κινούνται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκατε­ στημένη η εποπτική αρχή.

4. Когда возбуждено дело против надзорного решения, предшествует мнение или решение Совета по защите данных в контексте механизма согласованности, надзорный орган направляет конкретное мнение или решение в суд.

статья 79

Право на судебный иск против лица, ответственного за обработку или выполнение обработки

1. С учетом любых доступных административных или несудебных действий, в том числе право подать жалобу в надзорный орган в соответствии со статьей 77, έκαστο υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του που το αφορούν κατά παράβαση του παρόντος κανονισμού.

2. Судебные разбирательства в отношении лица, ответственного за обработку или исполнение судебного разбирательства, должны быть переданы в суды государства-члена, в котором установлены контролер или исполнители обращения.. альтернативно, эта процедура может быть инициирована в судах государства-члена, где субъект данных имеет свое обычное место жительства, если контролер или контролер не является органом государственной власти государства-члена, действующим при осуществлении своих публичных полномочий.

(1) регулирование (ЕС) нет. 1049/2001 Европейский парламент и Совет, от 30 мая 2001, для публичного доступа к документам Европейского парламента, Совета и Комиссии (OJ L 145 из 31.5.2001, р. 43).

4.5.2016 Официальный журнал Европейского Союза L 119/81

EL

статья 80

Представление субъектов данных

1. Субъект данных имеет право назначать в некоммерческую организацию, организация или ассоциация, должным образом созданная в соответствии с законодательством государства-члена, имеет уставные цели, представляющие общий интерес, и активно работает в области защиты прав и свобод субъектов данных в связи с защитой их личных данных, чтобы подать жалобу от своего имени и реализовать права, указанные в статьях. 77, 78 и 79 για λογαριασμό του και να ασκήσει το δικαίωμα αποζημίωσης που αναφέρεται στο άρθρο 82 εξ ονόματός του, εφόσον προβλέπεται από το δίκαιο του κράτους μέλους.

2. Государства-члены могут предусмотреть любой орган, организация или ассоциация, упомянутая в пункте 1 на эту статью имеет право, независимо от каких-либо заданий субъекта данных, подать жалобу в это государство-член в орган надзора, ответственный за статью 77 и осуществлять права, указанные в статьях 78 и 79, при условии, что он считает, что права субъекта данных в соответствии с настоящим Регламентом были нарушены в результате обработки..

статья 81

Приостановка процедур

1. Когда суд компетентного государства-члена располагает информацией о том, что разбирательство, касающееся одного и того же объекта, касающегося обработки одним и тем же контролером или агентом по обработке, находится на рассмотрении в суде другого государства-члена, связывается с компетентным судом этого другого государства-члена, чтобы подтвердить существование такого разбирательства..

2. Όταν διαδικασίες σχετικά με το ίδιο αντικείμενο που αφορά επεξεργασία από τον ίδιο υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία εκκρεμούν σε δικαστήριο άλλου κράτους μέλους, οποιοδήποτε αρμόδιο δικαστήριο διαφορετικό από το πρώτο επιληφθέν δικαστήριο δύναται να αναστείλει τις οικείες διαδικασίες.

3. Όταν οι εν λόγω διαδικασίες εκκρεμούν σε πρώτο βαθμό δικαιοδοσίας, κάθε δικαστήριο εκτός του πρώτου επιληφθέντος δύναται επίσης, με αίτηση ενός των διαδίκων, να κηρύξει εαυτό αναρμόδιο, αν το πρώτο επιληφθέν δικαστήριο είναι αρμόδιο για τις εν λόγω προσφυγές και το δίκαιό του επιτρέπει τη συνεκδίκασή τους.

статья 82

Δικαίωμα αποζημίωσης και ευθύνη

1. Любое лицо, понесшее материальный или моральный ущерб в результате нарушения настоящих Правил, имеет право на возмещение ущерба, нанесенного контролеру или обработчику..

2. Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. Ο εκτελών την επεξεργασία ευθύνεται για τη ζημία που προκάλεσε η επεξεργασία μόνο εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του παρόντος κανονισμού που αφορούν ειδικότερα τους εκτελούντες την επεξεργασία ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας.

3. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.

4. Εάν περισσότεροι του ενός υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία ή αμφότεροι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εμπλέκονται στην ίδια επεξεργασία και, εάν δυνάμει των παραγράφων 2 и 3 είναι υπεύθυνοι για τυχόν ζημία που προκάλεσε η επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ευθύνεται για τη συνολική ζημία, προκειμένου να διασφαλιστεί αποτελεσματική αποζημίωση του υποκειμένου των δεδομένων.

5. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει καταβάλει, в соответствии с пунктом 4, πλήρη αποζημίωση για τη ζημία που προκάλεσε, ο εν λόγω υπεύθυνος ή εκτελών την επεξεργασία δικαιούται να ζητήσει από τους άλλους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία που εμπλέκονται στην ίδια επεξεργασία την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στο μέρος της ευθύνης τους λόγω της ζημίας που προκλήθηκε σύμφωνα με τις προϋποθέσεις της παραγράφου 2.

L 119/82 Официальный журнал Европейского Союза 4.5.2016

EL

6. Οι δικαστικές διαδικασίες για την άσκηση του δικαιώματος αποζημίωσης υποβάλλονται ενώπιον των αρμόδιων δικαστηρίων δυνάμει του δικαίου του κράτους μέλους που αναφέρεται στο άρθρο 79 пункт 2.

статья 83

Γενικοί όροι επιβολής διοικητικών προστίμων

1. Каждый надзорный орган должен обеспечить наложение административных штрафов в соответствии с настоящей статьей за нарушения настоящего Регламента, указанные в параграфах. 4, 5 и 6 быть для каждого конкретного случая эффективного, соразмерные и.

2. Административные штрафы, в зависимости от обстоятельств каждого отдельного случая, введены в дополнение или вместо мер, упомянутых в статье 58 пункт 2 данные) в) и в статье 58 пункт 2 элемент j). При принятии решения о наложении административного штрафа, а также размер административного штрафа в каждом отдельном случае, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

1. α) η φύση, η βαρύτητα και η διάρκεια της παράβασης, принимая во внимание природу, την έκταση ή το σκοπό της σχετικής επεξεργασίας, и число субъектов данных, поднятым преступления и степень ущерба, нанесенного,
2. б) вина или небрежность причиной нарушения,
3. с) οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,
4. d) ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 25 и 32,
5. е) τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,

е) ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,

6. г) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,
7. η) путь, в котором надзорный орган информируется о нарушении, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,
8. я) σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται στο άρθρο 58 пункт 2 κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,
9. J) соблюдение кодексов поведения утверждено в соответствии со статьей 40 или утверждены механизмы сертификации в соответствии со статьей 42 и

К) κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, прямо или косвенно, από την παράβαση.

3. Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.

4. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, в соответствии с пунктом 2, διοικητικά πρόστιμα έως 10 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

α) οι υποχρεώσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με τα άρθρα 8, 11, 25 до 39 и 42 и 43,

б) οι υποχρεώσεις του φορέα πιστοποίησης σύμφωνα με τα άρθρα 42 и 43,
с) οι υποχρεώσεις του φορέα παρακολούθησης σύμφωνα με το άρθρο 41 пункт 4.

4.5.2016 Официальный журнал Европейского Союза L 119/83

EL

5. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, в соответствии с пунктом 2, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

1. α) οι βασικές αρχές για την επεξεργασία, περιλαμβανομένων των όρων που ισχύουν για την έγκριση, σύμφωνα με τα άρθρα 5, 6, 7 и 9,
2. б) τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 12 до 22,
3. с) η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό σύμφωνα με τα άρθρα 44 до 49,
4. d) οποιεσδήποτε υποχρεώσεις σύμφωνα με το δίκαιο του κράτους μέλους οι οποίες θεσπίζονται δυνάμει του κεφαλαίου IX,
5. е) μη συμμόρφωση προς εντολή ή προς προσωρινό ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων που επιβάλλει η εποπτική αρχή δυνάμει του άρθρου 58 пункт 2 ή μη παροχή πρόσβασης κατά παράβαση του άρθρου 58 пункт 1.

6. Η μη συμμόρφωση προς εντολή της εποπτικής αρχής όπως αναφέρεται στο άρθρο 58 пункт 2 επισύρει, в соответствии с пунктом 2 этой статьи, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

7. Με την επιφύλαξη των διορθωτικών εξουσιών των εποπτικών αρχών σύμφωνα με το άρθρο 58 пункт 2, κάθε κράτος μέλος δύναται να καθορίζει τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές και φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος.

8. Осуществление надзорным органом своих полномочий в соответствии с настоящей статьей подлежит соответствующим процессуальным гарантиям в соответствии с законодательством Союза и законодательством государства-члена., συμπεριλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας.

9. Όταν το νομικό σύστημα του κράτους μέλους δεν προβλέπει επιβολή διοικητικών προστίμων, το παρόν άρθρο μπορεί να εφαρμόζεται κατά τρόπο ώστε η διαδικασία επιβολής να κινείται από την αρμόδια εποπτική αρχή και να επιβάλλεται από τα αρμόδια εθνικά δικαστήρια, με την ταυτόχρονη διασφάλιση ότι τα εν λόγω ένδικα μέσα είναι αποτελεσματικά και έχουν ισοδύναμο αποτέλεσμα με τα διοικητικά πρόστιμα που επιβάλλονται από τις εποπτικές αρχές. в любом случае, τα πρόστιμα που επιβάλλονται είναι αποτελεσματικά, соразмерные и. Τα εν λόγω κράτη μέλη κοινοποιούν στην Επιτροπή τις διατάξεις των νόμων τους που θεσπίζουν σύμφωνα με την παρούσα παράγραφο, до тех пор 25 май 2018 и, без задержки, любые последующие поправки в закон или поправки к нему.

статья 84

Санкции

1. Τα κράτη μέλη θεσπίζουν τους κανόνες σχετικά με τις άλλες κυρώσεις που επιβάλλονται για παραβάσεις του παρόντος κανονισμού, в частности, за нарушения, не подлежащие административному штрафу по статье 83, и принять все необходимые меры для их выполнения. Эти санкции эффективны, соразмерный и убедительный.

2. Каждое государство-член должно уведомить Комиссию о положениях, которые оно принимает в соответствии с настоящим параграфом. 1, до тех пор 25 май 2018 и, без задержки, κάθε επακολουθούσα τροποποίησή τους.

ΚΕΦΑΛΑΙΟ IX

Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας

статья 85

Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης

1. Τα κράτη μέλη διά νόμου συμβιβάζουν το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης.

L 119/84 Официальный журнал Европейского Союза 4.5.2016

EL

2. Για την επεξεργασία που διενεργείται για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, τα κράτη μέλη προβλέπουν εξαιρέσεις ή παρεκκλίσεις από το κεφάλαιο ΙΙ (αρχές), το κεφάλαιο ΙΙΙ (права субъекта данных), Глава IV (ответственность за обработку и выполнение обработки), Глава V (διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς), το κεφάλαιο VI (ανεξάρτητες εποπτικές αρχές), το κεφάλαιο VII (συνεργασία και συνεκτικότητα) και το κεφάλαιο ΙΧ (специальные случаи обработки данных), при условии, что они необходимы для согласования права на защиту персональных данных со свободой слова и информации..

3. Каждое государство-член должно уведомить Комиссию о положениях, которые оно принимает в соответствии с настоящим параграфом. 2 и, без задержки, κάθε επακόλουθο τροποποιητικό νόμο ή τροποποίησή τους.

статья 86

Επεξεργασία και πρόσβαση του κοινού σε επίσημα έγγραφα

Персональные данные в официальных документах, находящихся в распоряжении государственного органа или государственного или частного органа для исполнения обязанности, выполняемой в общественных интересах, могут быть уведомлены этим органом или органом в соответствии с законодательством Союза или государства-члена, которому они подчиняются. государственный орган или орган, в целях согласования доступа общественности к официальным документам с правом на защиту персональных данных в соответствии с настоящим Регламентом.

статья 87

Изменить национальный идентификационный номер

Государства-члены могут дополнительно указать специальные условия для обработки национального идентификационного номера или другой общей идентификационной карты.. В этом случае, ο εθνικός αριθμός ταυτότητας ή οποιοδήποτε άλλο αναγνωριστικό στοιχείο ταυτότητας γενικής εφαρμογής χρησιμοποιείται μόνο με τις δέουσες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων δυνάμει του παρόντος κανονισμού.

статья 88

Επεξεργασία στο πλαίσιο της απασχόλησης

1. Государства-члены, μέσω της νομοθεσίας ή μέσω των συλλογικών συμβάσεων, μπορούν να θεσπίζουν ειδικούς κανόνες προκειμένου να διασφαλίζουν την προστασία των δικαιωμάτων και των ελευθεριών έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της απασχόλησης, особенно для вербовки, выполнение трудового договора, включая выполнение обязательств, предусмотренных законом или коллективным договором, управление, планирование и организация работы, равенство и разнообразие на рабочем месте, здоровье и безопасность на работе, προστασίας της περιουσίας εργοδοτών και πελατών και για σκοπούς άσκησης και απόλαυσης, индивидуально или коллективно, Права и льготы, связанные с трудоустройством в целях прекращения трудовых отношений.

2. Οι εν λόγω κανόνες περιλαμβάνουν κατάλληλα και ειδικά μέτρα για τη διαφύλαξη της ανθρώπινης αξιοπρέπειας, των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, με ιδιαίτερη έμφαση στη διαφάνεια της επεξεργασίας, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και τα συστήματα παρακολούθησης στο χώρο εργασίας.

3. Каждое государство-член должно уведомить Комиссию о положениях, которые оно принимает в соответствии с настоящим параграфом. 1, до тех пор 25 май 2018 и, без задержки, κάθε επακολουθούσα τροποποίησή τους.

статья 89

Διασφαλίσεις και παρεκκλίσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς

1. Η επεξεργασία για σκοπούς αρχειοθέτησης για το δημόσιο συμφέρον ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς υπόκειταισε κατάλληλες εγγυήσεις, σύμφωνα με τον παρόντα κανονισμό, ως προς τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, σύμφωνα με τον παρόντα κανονισμό. Οι εν λόγω εγγυήσεις διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα, ιδίως για να διασφαλίζουν την τήρηση της αρχής της ελαχιστοποίησης των

4.5.2016 Официальный журнал Европейского Союза L 119/85

EL

δεδομένων. Τα εν λόγω μέτρα μπορούν να περιλαμβάνουν τη χρήση ψευδωνύμων, εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν κατ’ αυτόν τον τρόπο. Εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν από περαιτέρω επεξεργασία η οποία δεν επιτρέπει ή δεν επιτρέπει πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, οι εν λόγω σκοποί εκπληρώνονται κατ’ αυτόν τον τρόπο.

2. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 15, 16, 18 и 21, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 1 этой статьи, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.

3. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 15, 16, 18, 19, 20 и 21, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 1 этой статьи, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.

4. Όταν η επεξεργασία που αναφέρεται στις παραγράφους 2 и 3 εξυπηρετεί την ίδια στιγμή και άλλο σκοπό, οι παρεκκλίσεις εφαρμόζονται μόνο στην επεξεργασία για τους σκοπούς που προβλέπουν οι εν λόγω παράγραφοι.

статья 90

Υποχρεώσεις τήρησης απορρήτου

1. Τα κράτη μέλη μπορούν να θεσπίζουν ειδικούς κανόνες για τον καθορισμό των εξουσιών των ελεγκτικών αρχών, οι οποίες προβλέπονται στο άρθρο 58 пункт 1 στοιχεία ε) и св), σε σχέση με υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι υπέχουν, βάσει του δικαίου της Ένωσης ή κράτους μέλους ή των κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς, υποχρέωση τήρησης του επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις τήρησης του απορρήτου, εάν αυτό είναι αναγκαίο και αναλογικό, προκειμένου να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με την υποχρέωση τήρησης του απορρήτου. Οι εν λόγω κανόνες εφαρμόζονται μόνο σε σχέση με δεδομένα προσωπικού χαρακτήρα τα οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έλαβαν ή εξασφάλισαν στο πλαίσιο δραστηριότητας που καλύπτεται από την εν λόγω υποχρέωση απορρήτου.

2. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τους κανόνες που θεσπίζει δυνάμει της παραγράφου 1, до тех пор 25 май 2018 и, без задержки, κάθε επακολουθούσα τροποποίησή τους.

статья 91

Υφιστάμενοι κανόνες προστασίας των δεδομένων εκκλησιών και θρησκευτικών ενώσεων

1. Εάν σε κράτος μέλος εκκλησίες και θρησκευτικές ενώσεις ή κοινότητες εφαρμόζουν, κατά την έναρξη ισχύος του παρόντος κανονισμού, ολοκληρωμένους κανόνες οι οποίοι αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας, οι εν λόγω κανόνες μπορούν να συνεχίσουν να εφαρμόζονται, εφόσον εναρμονιστούν με τις διατάξεις του παρόντος κανονισμού.

2. Οι εκκλησίες και θρησκευτικές ενώσεις που εφαρμόζουν ολοκληρωμένους κανόνες σύμφωνα με την παράγραφο 1 данной статьи подлежат надзору со стороны независимого надзорного органа, кто может быть специализированным, при условии, что он соответствует требованиям главы VI настоящих Правил.

Глава X

Кошка’ акты авторизации и исполнительные акты

статья 92

Осуществление авторизации

1. Выдача силового кота’ εξουσιοδότηση πράξεων ανατίθεται στην Επιτροπή υπό τις προϋποθέσεις που ορίζονται στο παρόν άρθρο.

L 119/86 Официальный журнал Европейского Союза 4.5.2016

EL

2. Η εξουσιοδότηση που αναφέρεται στο άρθρο 12 пункт 8 и в статье 43 пункт 8 ανατίθεται στην Επιτροπή επ’ αόριστο από τις 24 май 2016.

3. Η εξουσιοδότηση που αναφέρεται στο άρθρο 12 пункт 8 и в статье 43 пункт 8 может быть отозван в любое время Европейским парламентом или Советом. Решение об аннулировании отменяет полномочия, указанные в этом решении. Αρχίζει να ισχύει την επόμενη ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ή σε μεταγενέστερη ημερομηνία που ορίζεται σε αυτήν. Δεν θίγει την εγκυρότητα των ήδη ισχυουσών κατ’ делегированные акты.

4. Μόλις εκδώσει κατ’ εξουσιοδότηση πράξη, η Επιτροπή την κοινοποιεί ταυτόχρονα στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

5. Кошка’ εξουσιοδότηση πράξη που εκδίδεται δυνάμει του άρθρου 12 пункт 8 и статья 43 пункт 8 τίθεται σε ισχύ μόνο εφόσον δεν έχει διατυπωθεί αντίρρηση ούτε από το Ευρωπαϊκό Κοινοβούλιο ούτε από το Συμβούλιο εντός τριών μηνών από την ημέρα που η πράξη κοινοποιείται στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο ή αν, προτού λήξει αυτή η προθεσμία, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενημερώσουν αμφότερα την Επιτροπή ότι δεν θα προβάλουν αντιρρήσεις. Η προθεσμία αυτή παρατείνεται κατά τρεις μήνες κατόπιν πρωτοβουλίας του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου.

статья 93

Διαδικασία επιτροπής

1. Η Επιτροπή επικουρείται από επιτροπή. Этот комитет является комитетом по смыслу регламента (Евросоюз) нет. 182/2011.

2. Всякий раз, когда делается ссылка на этот параграф, статья применяется 5 регулирование (Евросоюз) нет. 182/2011.
3. Всякий раз, когда делается ссылка на этот параграф, статья применяется 8 регулирование (Евросоюз) нет. 182/2011, в

сочетание со статьей 5.

Глава XI

Заключительные положения

статья 94

Κατάργηση της οδηγίας 95/46/ΕΚ

1. Η οδηγία 95/46/ΕΚ καταργείται από τις 25 май 2018.
2. Οι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές στον παρόντα κανονισμό. Οι παραπομπές στην ομάδα

προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε με το άρθρο 29 Директива 95/46 / EC, θεωρούνται παραπομπές στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που συστήνεται με τον παρόντα κανονισμό.

статья 95

Σχέση με την οδηγία 2002/58/ΕΚ

Ο παρών κανονισμός δεν επιβάλλει πρόσθετες υποχρεώσεις σε φυσικά ή νομικά πρόσωπα σε σχέση με την επεξεργασία όσον αφορά την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών διαθέσιμων στο κοινό σε δημόσια δίκτυα επικοινωνίας στην Ένωση σε σχέση με θέματα τα οποία υπόκεινται στις ειδικές υποχρεώσεις με τον ίδιο στόχο που ορίζεται στην οδηγία 2002/58/ΕΚ.

4.5.2016 Официальный журнал Европейского Союза L 119/87

EL

статья 96

Σχέση με συμφωνίες που έχουν συναφθεί παλαιότερα

Διεθνείς συμφωνίες που περιλαμβάνουν τη μεταφορά δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς οι οποίες συνήφθησαν από τα κράτη μέλη πριν από τις 24 май 2016, και οι οποίες είναι συμβατές προς το εφαρμόσιμο πριν από την εν λόγω ημερομηνία ενωσιακό δίκαιο, εξακολουθούν να ισχύουν μέχρις ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν.

статья 97

Εκθέσεις της Επιτροπής

1. Έως τις 25 май 2020 και στη συνέχεια κάθε τέσσερα έτη, η Επιτροπή υποβάλλει εκθέσεις σχετικά με την αξιολόγηση και την αναθεώρηση του παρόντος κανονισμού στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο. Οι εκθέσεις δημοσιοποιούνται.

2. Στο πλαίσιο των αξιολογήσεων και των αναθεωρήσεων που αναφέρονται στην παράγραφο 1, η Επιτροπή εξετάζει, частности, την εφαρμογή και λειτουργία:

α) Глава V о персональных данных третьим странам или международным организациям, с должным учетом решений, принятых в соответствии со статьей 45 пункт 3 настоящих Правил, и решения, принятые в соответствии со статьей 25 пункт 6 Директива 95/46 / EC,

б) Глава VII о сотрудничестве и согласованности.

3. Для целей пункта 1, Комиссия может запросить информацию от государств-членов и надзорных органов.
4. При проведении оценки и пересмотра, о котором говорится в пунктах 1 и 2, Комиссия

λαμβάνει υπόψη τις θέσεις και τα συμπεράσματα του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και άλλων αρμόδιων φορέων ή πηγών.

5. Η Επιτροπή υποβάλλει, если необходимо, κατάλληλες προτάσεις με σκοπό την τροποποίηση του παρόντος κανονισμού, ιδίως λαμβάνοντας υπόψη τις εξελίξεις στην τεχνολογία των πληροφοριών και υπό το πρίσμα της προόδου στην κοινωνία της πληροφορίας.

статья 98

Пересмотр других правовых актов Союза по защите данных

Комиссия, если он считает это целесообразным, υποβάλλει νομοθετικές προτάσεις για την τροποποίηση άλλων νομικών πράξεων της Ένωσης σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλιστεί η ομοιόμορφη και συνεπής προστασία των φυσικών προσώπων έναντι της επεξεργασίας. Αυτό αφορά ιδίως τους κανόνες που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας από τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των εν λόγω δεδομένων.

статья 99

Έναρξη ισχύος και εφαρμογή

1. Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

2. Τίθεται σε εφαρμογή από τις 25 май 2018.

L 119/88

Официальный журнал Европейского Союза

4.5.2016

EL

Настоящий Регламент является обязательным в полном объеме и непосредственно применим во всех государствах-членах.

Брюссель, 27 апреля 2016.

Для Европейского парламента Президент
M. SCHULZ

Для Совета
Председатель
J.A. Hennis-Plasschaert