Регламент №2016/679 Європейського парламенту та Ради Європейського Союзу «Про захист фізичних осіб при обробці персональних даних та про вільний обіг таких даних, а також про відміну Директиви 95/46/ЄС (Загальний Регламент про захист персональних даних)» (Ухвалено в м. Брюссель 27.04.2016) Документ представлений Мервінським О.І. і викладений в термінах українського законодавства м. Київ, 2018 рік
РЕГЛАМЕНТ (ЄС) №2016/679 ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ ТА РАДИ ЄС ПРО ЗАХИСТ ФІЗИЧНИХ ОСІБ ПРИ ОБРОБЦІ ПЕРСОНАЛЬНИЇ ДАНИХ ТА ПРО ВІЛЬНИЙ ОБІГ ТАКИХ ДАНИХ, А ТАКОЖ ПРО ВІДМІНУ ДИРЕКТИВИ 95/46/ЄС (ЗАГАЛЬНИЙ РЕГЛАМЕНТ ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ)1 (Брюссель, 27 квітня 2018 року) (Дія регламенту розповсюджується на Європейський економічний простір) (неофіційний переклад2 ) Європейський Парламент та Рада Європейського Союзу, керуючись Договором про функціонування Європейського Союзу3 , та, зокрема, Статтею 16 Договору, на основі пропозицій Європейської Комісії, після передачі проекту законодавчого акту національним парламентам, на основі висновку Європейського комітету з економічних та соціальних питань 4 на підставі висновку Комітету регіонів5 діючи відповідно до звичайної законодавчої процедури6 беручи до уваги такі обставини:
1
(1)
Захист фізичних осіб при обробці персональних даних є основним правом. Стаття 8(1) 7 Хартії Європейського Союзу про основні права («Хартія») та Статті 16(1) 8 Договору про функціонування Європейського Союзу (TFEU) передбачають, що кожна людина має право на захист персональних даних, що відносяться до неї.
(2)
Принципи та правила захисту фізичних осіб при обробці їх персональних даних незважаючи на громадянство або місце проживання повинні відповідати основним правам та свободам, зокрема, праву на захист персональних даних. Метою цього Регламенту є сприяння формуванню простору свободи, безпеки і правосуддя та економічного союзу, сприяння економічному та соціальному прогресу, зміцнення та наближення економік в межах внутрішнього ринку, а також сприяння добробуту фізичних осіб.
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance) Опублікований в Офіційному Журналі (далі - ОЖ) N L 119, 04.05.2016, стор. 1-88в 2 Переклад Мервінського О.І. 3 Договір про функціонування Європейського союзу 4 Європейського комітету з економічних та соціальних питань, ОЖ № С 229, 31.07.2012, стор. 90 5 Висновок Комітету регіонів, ОЖ № С 391, 18.12.2012, стор. 127 6 Позиція Європейського Парламенту від 12 березня 2014 року і позиція Ради ЄС при першому читанні від 8 квітня 2016 року. Позиція Європейського Парламенту від 14 квітня 2016 року. 7 Хартія Європейського Союзу про основні права. 8 Договір про функціонування Європейського Союзу (TFEU)
9
(3)
Метою Директиви 95/46/ЄС Європейського Парламенту та Ради ЄС 9 є гармонізація положень про захист основних прав та свобод фізичних осіб при обробці персональних даних, а також гарантія вільного руху персональних даних між державами-членами ЄС.
(4)
Метою обробки персональних даних є служіння людству. Право на захист персональних даних не є абсолютним правом; його необхідно розглядати відносно його функцій у суспільстві, воно повинно співвідноситися з іншими основними правами відповідно до принципу пропорційності. Цей Регламент враховує всі основні права, свободи та принципи, що проголошені в Хартії і закріплені в Договорах,зокрема, повагу до приватного та сімейного життя, житла та листування, захист персональних даних, свободу думки, совісті та віросповідання, свободу висловлення думки та розповсюдження інформації, право ведення господарчої діяльності, право на ефективний засіб правового захисту та на справедливий судовий розгляд, культурне, релігійне та мовне різноманіття.
(5)
Економічна та соціальна інтеграція в наслідок функціонування внутрішнього ринку, призвели до суттєвого збільшення транскордонних потоків персональних даних. Обмін персональними даними між державними та недержавними суб’єктами, в тому числі фізичними особами, об’єднаннями та підприємствами на території Союзу, збільшилися. Національні органи в державах-членах ЄС покликані у відповідності до законодавства Союзу співробітничати та обмінюватися персональними даними для виконання своїх обов’язків або виконання завдань від імені органу влади іншої держави-члена ЄС.
(6)
У зв’язку зі швидким розвитком технологій і глобалізацією з’явилися нові проблеми, пов’язані із захистом персональних даних. Масштаби збирання та обміну персональними даними суттєво збільшилися. Технології дозволяють приватним компаніям та органам державної влади в рамках здійснення своєї діяльності використовувати персональні дані в безпрецедентних масштабах. Останнім часом фізичні особи все частіше роблять доступнішою особисту інформацію. Технології змінили економічне і соціальне життя, вони повинні й надалі полегшувати вільний рух персональних даних в Союзі, а також їхню передачу третім країнам та міжнародним організаціям, і при цьому необхідно забезпечувати високий рівень захисту персональних даних.
(7)
Вказані досягнення вимагають наявності надійної, більш узгодженої правової бази у сфері захисту персональних даних в Союзі, що базується на суворому виконанні, зважаючи на те, що це має важливе значення для створення атмосфери довіри, яка дозволить цифровій економіці розвиватися в межах внутрішнього ринку. Фізичні особи повинні мати право розпоряджатися своїми персональними даними. Необхідно підвищити рівень правового визначення та практичної достовірності для фізичних осіб, суб’єктів економічної діяльності та органів державної влади.
(8)
Якщо в цьому Регламенті передбачені специфікації або обмеження його положень національним законодавством держави-члена ЄС, то держави-члени ЄС можуть за необхідності інкорпорувати (імплементувати) елементи цього Регламенту в своє національне законодавство для забезпечення його узгодженості, а також для того, щоб зробити національні положення більш доступними для осіб, відносно яких вони застосовуються.
(9)
Цілі та принципи Директиви 95/46/ЄС продовжують мати юридичну силу, але вона не перешкоджає фрагментації при імплементації захисту даних в Союзі, правовій невизначеності або розповсюдженій громадській думці стосовно того, що існують суттєві ризики для захисту фізичних осіб, зокрема щодо мережевої активності. Різниця в рівні захисту прав та свобод фізичних осіб, особливо права на захист персональних даних при обробці персональних даних в державах-членах ЄС, можуть перешкоджати вільному руху персональних даних в державах-членах ЄС. У зв’язку з цим вказані розбіжності є
Директиви 95/46/ЄС Європейського Парламенту та Ради ЄС від 24 жовтня 1995 року про захист фізичних осіб при обробці персональних даних та про вільний обіг таких даних (ОЖ № L 281, 23.11.1995, стор. 31..
перепонами для здійснення економічної діяльності на рівні Союзу, порушують свободу конкуренції та ускладнюють органам влади виконання їхніх обов’язків відповідно до законодавства Союзу. Зазначені розбіжності в рівнях захисту є результатом існування розбіжностей в імплементації та застосуванні Директиви 95/46/ЄС. (10)
Для забезпечення узгодженого та високого рівня захисту фізичних осіб і для усунення перепон руху персональних даних в Союзі рівень захисту прав і свобод фізичних осіб при обробці зазначених даних повинен бути еквівалентним у всіх державах-членах ЄС. На всій території Союзу необхідно гарантувати узгоджене та одноманітне застосування положень про захист основних прав та свобод фізичних осіб при обробці персональних даних. В тому, що стосується обробки персональних даних для дотримання правових зобов’язань для виконання завдань щодо захисту суспільних інтересів або для здійснення повноважень, закріплених за володільцем персональних даних, державам-членам ЄС необхідно дозволити зберігати чи вводити національні положення для подальшого застосування положень цього Регламенту. В сукупності із об’ємом і горизонтальним законодавством стосовно захисту даних, що імплементує Директиву 95/46/ЄС, держави-члени ЄС мають специфічні норми в сферах, що потребують більш специфічних положень. Регламент також пропонує державам-членам ЄС свободу дій з метою визначення приписів, в тому числі для обробки особливих категорій персональних даних («конфіденційні відомості»). У зв’язку з цим цей Регламент не виключає законодавство держав-членів ЄС, яке встановлює обставини для особливих ситуацій обробки, і в тому числі більш точне визначення умов, за яких обробка персональних даних буде базуватися на принципі законності.
(11)
Ефективний захист персональних даних на території Союзу вимагає посилення та точного встановлення прав суб’єктів персональних даних та обов’язків тих, хто обробляє та визначає обробку персональних даних, а також еквівалентні повноваження щодо контролю та забезпечення дотримання положень для захисту персональних даних та адекватних санкцій за порушення в державах-членах ЄС.
(12)
Стаття 16(2) TFEU наказує Європейському Парламенту та Раді ЄС встановлювати правила стосовно захисту фізичних осіб при обробці персональних даних і правил щодо вільного обігу персональних даних.
(13)
Для того, щоб гарантувати відповідний рівень захисту фізичних осіб на території Союзу та попереджувати виникнення відхилень, що перешкоджають вільному обігу персональних даних в межах внутрішнього ринку, Регламент є необхідним для забезпечення правової визначеності та прозорості для суб’єктів економічної діяльності, включаючи мікропідприємства, малі та середні підприємства, а також для забезпечення фізичних осіб у всіх державах-членах ЄС таким же рівнем юридично дійсних прав, обов’язків та відповідальності для володільців персональних даних та осіб, що здійснюють обробку даних, для того, щоб гарантувати відповідний моніторинг процесу обробки персональних даних, а також рівнозначність санкцій у всіх державах-членах ЄС, а також плідне співробітництво між органами нагляду різних держав-членів ЄС. Належне функціонування внутрішнього ринку вимагає того, щоб вільний обіг персональних даних в Союзі не був обмеженим або забороненим через причини, пов’язані із захистом фізичних осіб при обробці персональних даних. Для того, щоб врахувати специфічну ситуацію мікропідприємств, малих та середніх підприємств, Регламент передбачає часткові відступи щодо ведення обліку підприємств, в яких працює менше ніж 250 працівників. В доповнення до цього інституції та органи Союзу, держави-члени ЄС та їх наглядові органи можуть враховувати специфічні потреби мікропідприємств, малих та середніх підприємств при застосуванні цього Регламенту. Термін «мікропідприємства, малі та середні підприємства» сформульовано в Статті 2 Додатку до Рекомендацій 2003/361/ЄС Європейської Комісії10 .
10
Рекомендації Європейської Комісії від 8 травня 2003 року відносно визначення мікропідприємств, малих і середніх підприємств (С(2003) 1422) (ОЖ N L 124, 20.05.2003, стор. 36)
(14)
Захист, передбачений цим Регламентом, повинен застосовуватися у відношенні до фізичних осіб незалежно від їх громадянства або місця проживання при обробці їх персональних даних. Цей Регламент не охоплює обробку персональних даних юридичних осіб і, зокрема, підприємств заснованих як юридичні особи, включаючи найменування і форму юридичної особи, а також контактну інформацію юридичної особи.
(15)
Для попередження серйозного ризику обходу положень захист фізичних осіб повинен бути технічно нейтральнім і не повинен залежати від технічних засобів, що використовуються. Захист фізичних осіб повинен застосовуватися у відношенні до обробки персональних даних з використанням автоматизованих засобів, а також щодо ручної (неавтоматизованої) обробки, якщо персональні дані містяться або повинні міститися в файловій системі. Файли і групи файлів, а також їх титульні сторінки, які не є структурованими відповідно до спеціальних критеріїв, не повинні підпадати під сферу застосування цього Регламенту.
(16)
Цей Регламент не поширюється на питання, пов’язані із захистом фундаментальних прав і свобод або з вільним обігом персональних даних щодо діяльності, що не підпадає під дію законодавства Союзу, наприклад діяльність, пов’язана з національною безпекою. Регламент не розповсюджується на обробку персональних даних державами-членами ЄС при здійсненні діяльності, що стосується загальної зовнішньої політики і політики безпеки Союзу.
(17)
Регламент (ЄС) 45/2001 Європейського Парламенту і Ради ЄС 11 застосовується до обробки персональних даних інституціями, органами, закладами та агентствами Союзу. Регламент (ЄС) 45/2001 та інші законодавчі акти Союзу в сфері обробки персональних даних повинні бути змінені відповідно до принципів та норм, встановлених цим Регламентом, і повинні застосовуватися в контексті цього Регламенту. З метою забезпечення чіткої та узгодженої бази щодо захисту даних в Союзі після прийняття цього Регламенту необхідно внести необхідні зміни до Регламенту (ЄС) 45/2001 для того, щоб забезпечити можливість його застосування одночасно з набуттям чинності цього Регламенту.
(18)
Регламент не застосовується при обробці персональних даних фізичними особами винятково для здійснення особистої чи побутової діяльності, що не є пов’язаною з професійною або комерційною діяльністю. Особиста або побутова діяльність може включати в себе листування та збереження адрес або взаємодію через соціальні мережі та мережеву активність, що здійснюється в контексті такої діяльності. Проте, Регламент застосовується до діяльності володільців персональних даних або осіб, які здійснюють обробку даних, що забезпечується засобами для обробки персональних для такої особистої чи побутової діяльності.
(19)
Захист фізичних осіб при обробці персональних даних в цілях упередження, розслідування, виявлення кримінальних покарань або притягнення до відповідальності, або виконання кримінальних покарань, в тому числі й захист та попередження загроз громадській безпеці, а також вільний обіг таких даних є предметом окремого законодавчого акту Союзу. Внаслідок цього Регламент не застосовується стосовно обробки даних для таких цілей. Проте, персональні дані, що обробляються органами державної влади в межах цього Регламенту для зазначених цілей, повинні регулюватися більш конкретним законодавчим актом Союзу, а саме Директивою (ЄС) 2016/680 Європейського Парламенту та Ради ЄС 12 . Держави-члени ЄС можуть доручити компетентним органам в термінах Директиви (ЄС) 2016/680 виконання завдань, що необов’язково здійснюються в цілях попередження,
11
Регламент (ЄС) 45/2001 Європейського Парламенту та Ради ЄС від 18 грудня 2000 року про захист фізичних осіб при обробці персональних даних, що здійснюється інституціями та органами Співтовариства та про вільний обіг таких даних (ОЖ N L 8, 12.01.2001, стор. 1). 12 Директива (ЄС) 2016/680 Європейського Па рламенту та Ради ЄС від 27 квітня 2016 року про захист фізичних осіб при обробці персональних даних компетентними органами для попередження, розслідування, виявлення кримінальних злочинів або притягнення до кримінальної відповідальності, або виконання кримінальних покарань, та про вільний рух таких даних і про відміну Рамкового Рішення 2008/977 Ради ЄС.
розслідування, виявлення кримінальних злочинів або притягнення до відповідальності або виконання кримінальних покарань, в тому числі й захист і попередження загроз громадській безпеці, для того, щоб обробка персональних даних для зазначених цілей, оскільки така обробка знаходиться в межах законодавства Союзу, підпадала під сферу дії цього Регламенту. При обробці персональних даних компетентними органами в цілях, що підпадають під дію цього Регламенту, держави-члени ЄС повинні мати можливість зберігати або впроваджувати більш конкретні положення для адаптації до застосування норм цього Регламенту. Такі положення можуть визначати більш конкретні вимоги щодо обробки персональних даних зазначеними компетентними органами для зазначених цілей, з урахуванням конституційної, організаційної та адміністративної структури конкретної держави-члена ЄС. У разі якщо обробка приватними організаціями підпадає під дію цього Регламенту, Регламент повинен забезпечувати можливість держав-членів ЄС при наявності певних підстав законодавчо обмежувати певні обов’язки та права, у випадку коли таке обмеження є необхідним і пропорційним заходом в демократичному суспільстві для захисту специфічних важливих інтересів, в тому числі й громадську безпеку та упередження, розслідування, виявлення кримінальних злочинів або притягнення до відповідальності чи приведення до виконання кримінальних покарань, в тому числі й захист та попередження загроз громадській безпеці. Наприклад, це має важливе значення в сфері протидії відмиванню прибутків, які були отримані незлочинним шляхом, або в межах діяльності лабораторій судової експертизи. (20)
Оскільки цей Регламент застосовується в режимі «Inter alia» стосовно діяльності судів та інших судових органів, законодавство Союзу або держави-члена ЄС могло б визначити процес та процедури обробки даних щодо обробки персональних даних судами та іншими судовими органами. Для того, щоб забезпечити незалежність судової системи при вирішення судових завдань, в тому числі процес прийняття рішення, компетенція органів нагляду не повинна охоплювати обробку персональних даних, у разі коли суди діють в межах своїх судових повноважень. Необхідно забезпечити можливість передачі контролю над процесом обробки персональних даних особливим органам в рамках судової системи держави-члена ЄС, які повинні, зокрема гарантувати виконання норм цього Регламенту, підвищити усвідомленість серед представників судово-прокурорської системи стосовно їх обов’язків відповідно до положень цього Регламенту та розглядати скарги щодо зазначеного процесу обробки даних.
(21)
Дія Регламенту не перешкоджає застосуванню Директиви 2000/31/ЄС Європейського Парламенту та Ради ЄС13 , зокрема щодо застосування норм Статей 12-15 зазначеної Директиви про відповідальність постачальника посередницьких послуг. Ця Директива орієнтована на сприяння нормальному функціонуванню внутрішнього ринку та забезпечує вільний обіг послуг інформаційної спільноти серед держав-членів ЄС.
(22)
Будь-яка обробка персональних даних в контексті діяльності про заклад володільця даних або особи, що обробляє дані, в Союзі повинна здійснюватися відповідно до цього Регламенту, не залежно від того, чи здійснюється така обробка персональних даних на території Союзу. Заклад передбачає ефективне та реальне здійснення діяльності через сформовані домовленості. При цьому юридична форма таких домовленостей, незалежно від того чи йдеться мова про відділення (відокремлення) чи дочірнє підприємство з правосуб’єктністю, не є визначальним фактором.
(23)
З метою гарантування того, що фізичні особи не позбавлені наданим цим Регламентом захистом, обробка персональних даних суб’єктів персональних даних, що знаходяться в Союзі, не заснованим в Союзі володільцем даних або особою, яка обробляє персональні дані, повинна підпадати під дію цього Регламенту, якщо обробка даних має відношення до
13
Директива 2000/31/ЄС Європейського Парламенту та Раді ЄС від 8 червня 2000 року про деякі правові аспекти інформаційних послуг на внутрішньому ринку, зокрема про електронну комерцію (Директива про електронну комерцію) (ОЖ N L 178, 17.07.2000, стор. 1)
пропозиції товарів чи послуг таким суб’єктам персональних даних, незалежно від внесення ними плати. Для того, щоб визначити, чи пропонує такий володілець або особа, що обробляє дані, товари чи послуги суб’єктам персональних даних, що знаходяться на території Союзу, необхідно встановити очевидність того, що володілець даних чи особа, що обробляє дані, має наміри пропонувати послуги суб’єктам даних в одній чи декількох країнах-членах ЄС в Союзі. В свою чергу «явна» доступність Інтернет-сайту володільця персональних даних, що обробляє персональні дані або посередника в Союзі, адреса електронної пошти або інших контактних даних, чи використання мови третьої країни, в якій заснований володілець даних, є недостатніми для встановлення такого наміру, проте такі фактори як використання мови чи валюти, розповсюдженої в одній чи декількох державах-членах ЄС, в сукупності з можливістю замовлення товарів чи послуг на цій мові, або згадування покупців чи користувачів, що знаходяться в Союзі, вказують на те, що володілець даних має пропонувати товари чи послуги суб’єктам даних в Союзі. (24)
Обробка персональних даних суб’єктів даних, що знаходяться в Союзі, яка здійснюється володільцем даних чи особою, що обробляє дані, також підпадає під дію цього Регламенту, якщо вона пов’язана з моніторингом поведінкової активності вказаних суб’єктів даних, оскільки їхня поведінкова активність має місце в Союзі. Для того, щоб визначити, чи може обробка персональних даних розглядатися для цілей моніторингу поведінкової активності суб’єктів даних, необхідно встановити, чи відслідковується діяльність фізичних осіб в мережі Інтернет, включаючи можливе подальше використання засобів обробки персональних даних, з використанням яких складається «профіль» фізичної особи, особливо для прийняття рішень, які його стосуються, або для аналізу чи прогнозування його/її особистих вподобань, форм поведінки та життєвої позиції.
(25)
Якщо законодавство країни-члена ЄС застосовується в силу дії міжнародного публічного права, наприклад дипломатичному представництві чи консульській установі державичлена ЄС, цей Регламент повинен також застосовуватися у відношенні до володільця персональних даних, який не є заснованим в Союзі.
(26)
Принципи захисту даних повинні застосовуватися у відношенні до будь-якої інформації, що стосується ідентифікованої фізичної особи чи особи, яка ідентифікується. Персональні дані, що підпадають під псевдонімізацію, і які можуть бути співвіднесені з конкретною фізичною особою через використання додаткової інформації, повинні розглядатися як інформація про ідентифіковану фізичну особу. Для того щоб встановити чи є фізична особа ідентифікованою, необхідно врахувати всі засоби, які можуть бути використані володільцем персональних даних чи іншою особою з високою ступеню ймовірності для того щоб прямо чи опосередковано ідентифікувати фізичну особу, наприклад, виявлення. При визначенні того, чи використовуються засоби з достатньою ступеню ймовірності для ідентифікації фізичної особи, необхідно звернути увагу на всі об’єктивні фактори, такі як витрати на ідентифікацію та кількість часу, які необхідні для ідентифікації, з урахуванням наявних на момент обробки персональних даних технологій та технологічних розробок. Через це принципи захисту даних не застосовуються до анонімної інформації, а саме до інформації, яка не відноситься до ідентифікованої особи чи особи, що ідентифікується, або відносно персональних даних, які представляються анонімно таким чином, що суб’єкт даних не ідентифікується. Регламент не стосується обробки зазначеної анонімної інформації, в тому числі в статистичних чи дослідницьких цілях.
(27)
Регламент не застосовується до персональних даних померлих осіб. Держави-члени ЄС можуть передбачати положення щодо обробки персональних даних померлих осіб.
(28)
Застосування псевдонимізації для персональних даних може знизити ризики для суб’єктів персональних даних і допомогти володільцям персональних даних та особам, які обробляють персональні дані, при виконанні ними своїх обов’язків щодо захисту даних. Використання терміну «псевдонимізації» в Регламенті не виключає використання будьяких інших заходів захисту даних.
(29)
З метою створення стимулів для застосування псевдонимізації при обробці персональних даних заходи псевдонимізації, що надають можливість проведення загального аналізу, повинні бути у того ж володільця персональних даних, якщо вказаний володілець вжив технічні та організаційні заходи, необхідні в цілях забезпечення, для відповідної обробки, імплементації цього Регламенту та гарантування того, що додаткова інформація для співвідношення персональних даних з певним суб’єктом даних зберігається окремо. Володілець, що здійснює обробку персональних даних, повинен вказати уповноважених осіб у того ж самого володільця.
(30)
Фізичні особи можуть бути пов’язані з мережевими ідентифікаторами, що передбачені їх пристроями, додатками, програмними засобами та протоколами, зокрема ІР -адреси, ідентифікатори типу cookies-файли або інші ідентифікатори, наприклад мітки радіочастотної ідентифікації. Це може залишати сліди, які, особливо в поєднанні з унікальними ідентифікаторами та іншої інформації, що отримується серверами, можуть використані для створення профілів фізичних осіб і для їхньої ідентифікації.
(31)
Органи державної влади, яким розкриваються персональні дані відповідно до їхніх юридичних зобов’язань щодо здійснення офіційного представництва, наприклад податкові органи та органи митного контролю, підрозділи фінансових розслідувань, незалежні адміністративні органи або служби нагляду за фінансовим ринком, відповідальні за регулювання та нагляд за фондовими ринками, не повинні вважатися отримувачами, якщо вони отримують персональні дані, які відповідно до законодавства Союзу або державичлена ЄС необхідні для здійснення конкретного дослідження в інтересах суспільства. Запит на розкриття даних, направлений органами державної влади, завжди повинен оформлятися в письмовій формі, бути обґрунтованим і носити випадковий характер, але він не повинен стосуватися цілісності файлової системи або призводити до об’єднання файлових систем. Обробка персональних даних зазначеними органами державної влади повинна відповідати нормам щодо захисту даних, що застосовується, відповідно до цілей обробки.
(32)
Згода повинна бути надана через чітку стверджувальну дію, через яку суб’єкт персональних даних демонструє добровільну, визначену та однозначно надану згоду на обробку його персональних даних, наприклад через письмову заяву, в тому числі подану електронним засобом, або усною заявою. Сюди може відноситися відмітка галочкою/хрестиком при відвідуванні Інтернет-сайту, вибір технічних налаштувань для послуг інформаційної спільноти або інша заява чи спосіб поведінки, який чітко вказує на те, що суб’єкт персональних даних у вказаному контексті згоден на заплановану обробку його персональних даних. Мовчання, проставлена галочка/хрестик або бездіяльність фізичної особи не є згодою. Згода повинна охоплювати всі процедури обробки, які здійснюються для тієї ж самої мети або декількох сформульованих цілей. Якщо обробка здійснюється для декількох цілей, згода повинна надаватися для кожної з них. Якщо згода суб’єкта персональних даних повинна бути надана у електронний спосіб, запит повинен бути зроблений в чіткій та лаконічній формі, без непотрібного припинення послуги для якої надається згода.
(33)
Не завжди є можливість повністю ідентифікувати мету обробки персональних даних для цілей наукового дослідження при збиранні персональних даних. Внаслідок цього суб’єктам персональних даних необхідно дозволити надавати свою згоду стосовно визначених сфер наукового дослідження відповідно до визнаних етичних стандартів наукових досліджень. Суб’єкти персональних даних повинні мати можливість давати свою згоду тільки у відношенні визначених сфер досліджень або частин дослідницьких проектів в тих межах, в яких це є припустимим в межах запланованої мети.
(34)
Генетичні дані повинні визначатися як персональні дані у відношенні успадкованих або набутих характеристик фізичної особи, які були отримані в результаті аналізу біологічного зразка відповідної особи, зокрема в результаті хромосомного аналізу, аналізу ДНК чи РНК, або аналізу їх елементів, що надають можливість отримати еквіваленту інформацію.
(35)
Пов’язані зі здоров’ям персональні дані включають всі дані, які стосуються стану здоров’я суб’єкта персональних даних та розкривають інформацію про минулий, поточний та майбутній фізіологічний або психічний стан здоров’я суб’єкта персональних даних. До таких даних відноситься інформація про фізичну особу, зібрана в ході реєстрації або надання медичних послуг відповідно до Директиви 2011/24/ЄС Європейського Парламенту та Ради ЄС14 зазначеній фізичній особі: номер, символ або знак, що присвоюється фізичній особі для однозначної ідентифікації цієї особи в цілях здоров’я; інформація, отримана в результаті досліджень або обстеження частини тіла або тілесного матеріалу, включаючи генетичні дані та біологічні зразки; а також будь-яка інформація, наприклад, про захворювання, інвалідність, ризики захворювань, медичному анамнезі, клінічному лікуванні або про фізіологічний чи медично-біологічний стан суб’єкта персональних даних, незалежно від джерела даних, наприклад, вони можуть бути отримані від лікаря або іншого медичного працівника, лікувального закладу, медичного обладнання або в результаті діагностики в лабораторних умовах.
(36)
Основний заклад володільця персональних даних в Євросоюзі повинний бути місцем його центральної адміністрації в Союзі за винятком випадків, коли рішення про цілі та засоби обробки персональних даних приймаються в іншому закладі володільця персональних даних в Союзі. В такому випадку зазначений інший заклад повинен вважатися основним закладом. Для визначення основного закладу володільця персональних даних в Союзі необхідно використовувати об’єктивні критерії, при цьому передбачається ефективне та реальне здійснення управлінської діяльності я межах якої приймаються основні рішення щодо цілей та засобів обробки через чіткі домовленості. Зазначений критерій не повинен залежати від того, чи здійснюється обробка персональних даних у вказаному місці. Наявність та використання технічних засобів та методів обробки персональних даних або діяльності, пов’язаної з обробкою, само по собі не утворює основний заклад і внаслідок цього не є визначальним критерієм для основного закладу. Основний заклад, що обробляє персональні дані, повинен бути місцем його центральної адміністрації в Союзі або, якщо в Союзі у нього не має центральної адміністрації, то місцем, де в Союзі здійснюється пов’язана з обробкою персональних даних основна діяльність. Якщо обробку персональних даних здійснює і володілець даних і особа, що обробляє дані, компетентним головним наглядовим органом повинен залишатися наглядовий орган держави-члена ЄС, де знаходиться основний заклад володільця, а наглядовий орган особи, що обробляє персональні дані, повинен вважатися відповідним наглядовим органом, і зазначений орган особи, що обробляє персональні дані, повинен приймати участь в передбаченій цим Регламентом процедурі співробітництва. В будь-якому випадку, наглядові органи державичлена ЄС чи держав-членів ЄС, в яких особи які обробляють персональні дані, мають один чи декілька закладів, не повинні вважатися відповідними наглядовими органами, якщо проект рішення стосується тільки володільця персональних даних. Якщо обробка здійснюється групою підприємств, основний заклад контролюючого підприємства повинен вважатися основним закладом групи підприємств, за винятком коли цілі та засоби обробки персональних даних визначаються іншим підприємством.
(37)
Група підприємств повинна включати в себе контролююче підприємство і підконтрольні йому підприємства; при цьому контролююче підприємство повинно бути підприємством, яке може мати вирішальний вплив на інші підприємства через, наприклад майнові відносини, фінансової участі або приписів, які його регулюють, або повноваження на імплементацію норм про захист персональних даних. Підприємство, яке контролює обробку персональних даних на підприємствах, що входять до його складу, спільно з цими підприємствами повинно розглядатися як група підприємств.
(38)
Діти потребують особливого захисту своїх персональних даних, тому що вони в меншій ступені усвідомлюють ризики, наслідки, відповідні гарантії та права при обробці персональних даних. Такий особливий захист повинен, зокрема застосовуватися стосовно
14
Директива 2011/24/ЄС Європейського Парламенту та Ради ЄС від 9 березня 2011 року про права пацієнтів в транскордонному медичному обслуговуванні (ОЖ N L 88, 04.04.2011, стор. 45).
використання персональних даних дітей в цілях маркетингу або створення профілю особистості та збирання персональних даних дітей при використанні послуг, що надаються безпосередньо дітям. Згода осіб, що мають батьківську відповідальність, не є необхідною в контексті профілактичних заходів та консультативних послуг, що пропонуються безпосередньо дитині. (39)
Будь-яка обробка персональних даних повинна бути законною та справедливою. Для фізичних осіб прозорість обробки полягає в тому, що персональні дані збираються, використовуються, переглядаються або в інший спосіб обробляються, а також в тому, в якій мірі персональні дані обробляються або будуть оброблятися. Принцип прозорості вимагає, щоб будь-яка інформація або повідомлення щодо обробки зазначених персональних даних були легкодоступними і зрозумілими та складеними на ясній і простій мові. Зазначений принцип стосується, зокрема інформації щодо особи володільця персональних даних та цілей обробки, а також іншої інформації, що гарантує справедливу та прозору обробку персональних даних фізичних осіб та їх права на отримання підтвердження та повідомлення про обробку їхніх персональних даних. Зокрема, цілі обробки персональних даних повинні бути ясними та законними, вони повинні визначатися в ході збору персональних даних. Персональні дані повинні бути відповідними, доречними та обмежуватися тим, що необхідно для цілей стосовно яких вони обробляються. Зокрема, це вимагає гарантії того, що строк, протягом якого зберігаються персональні дані, був обмежений суворим мінімумом. Персональні дані повинні оброблятися тільки якщо мета обробки не могла бути досягнута в інший спосіб. Для того, щоб гарантувати, що персональні дані не зберігаються в термін більший ніж передбачений законом, володілець повинен встановити строки їх знищення або для їхнього періодичного перегляду. Необхідно прийняти обґрунтовані заходи щоб гарантувати, що неточні персональні дані були виправлені або вилучені. Персональні дані повинні оброблятися таким чином, щоб гарантувати їх відповідний захист та конфіденційність, включаючи попередження несанкціонованого доступу або використання персональних даних та обладнання, яке використовується для обробки.
(40)
Для того щоб обробка була законною, персональні дані повинні оброблятися на підставі згоди відповідного суб’єкта персональних даних або відповідно до іншої правової підстави, що визначена або в цьому Регламенті або в іншому законодавстві Союзу або держави-члена ЄС, вказаному в цьому Регламенті, включаючи необхідність виконання законних зобов’язань, під дію яких підпадає володілець даних, або необхідність виконання угод, однією зі сторін якої є суб’єкт персональних даних, або для вжиття заходів за запитом суб’єкта даних для укладання договору.
(41)
У випадку, якщо в цьому Регламенті робиться посилання на законодавчо визначену підставу або законодавчу норму, це не обов’язково вимагає ухвалення парламентом законодавчого акту, без збитків діючим вимогам відповідно до конституційного ладу відповідної держави-члену ЄС. Проте, вказана законодавча підстава або законодавча норма повинні бути ясними та чіткими, їх застосування повинно бути завчасно передбачуване для осіб, яких вони стосуються, у відповідності до судової практики Суду Європейського Союзу («Суд») та Європейського суду з прав людини.
(42)
У випадку коли обробка здійснюється відповідно до згоди, наданої суб’єктом персональних даних, володілець повинен бути в змозі підтвердити, що суб’єкт персональних даних дав згоду на обробку даних. Зокрема, в рамках письмово наданої заяви з цього питання гарантії повинні забезпечувати те, що суб’єкт даних усвідомлює факт того, що він надав згоду і в яких обсягах зазначена згода надається. Відповідно до Директиви 93/13 Ради ЄС15 заява про згоду, що попередньо формулюється володільцем, повинна надаватися в зрозумілій та легкодоступній формі, з використанням зрозумілої та простої мови, вона не повинна містити несправедливих умов. Для того, щоб проінформувати про
15
Директиви 93/13 Ради ЄС від 5 квітня 1993 року про несправедливі умови в угодах з споживачами (ОЖ L 95, 21.04.1993, стор. 29).
згоду, суб’єкт даних повинен знати як мінімум ідентифікаційні дані володільця та мету обробки персональних даних. Згода не вважається добровільно наданою якщо у суб’єкта даних немає справжнього та вільного вибору або він не в змозі без перешкод відмовитися чи анулювати свою згоду. (43)
Для того щоб гарантувати, що згода надається добровільно, вона не повинна створювати юридичні підставі для обробки персональних даних в особливих випадках, коли між суб’єктами персональних даних і володільцем існує явний дисбаланс, зокрема, якщо володілець є органом державної влади і, в наслідок чого, з урахуванням усіх обставин зазначеної особливої ситуації малоймовірно, що згода була надана добровільно. Передбачається, що згода не надається добровільно, якщо окрема згода не може бути надана відносно різних видів обробки персональних даних, незважаючи на те, що в окремих випадках це є виправданим, або якщо виконується угода, включаючи надання послуг, залежить від згоди, незважаючи на те, що така згода не є необхідною для виконання договору.
(44)
Обробка персональних даних повинна базуватися на принципах законності, у разі якщо така обробка необхідна для виконання договору або для запланованого укладання договору.
(45)
У разі, якщо обробка персональних даних здійснюється для виконання передбачених законом функцій, під дію яких підпадає володілець даних, або якщо така обробка є необхідною для виконання завдань в інтересах спільноти або при здійсненні посадових повноважень, якщо вона базується на законодавстві Союзу або держави-члена ЄС. Цей Регламент не вимагає спеціального законодавства стосовно кожного окремого виду обробки. Законодавства як підстава для декількох видів обробки може бути достатнім, якщо обробка персональних даних основується на законодавчих обов’язках, під дію яких підпадає володілець даних, або якщо обробка даних є необхідною виконання завдань в інтересах суспільства або для здійснення посадових повноважень. В законодавстві Союзу або держави-члена ЄС також повинна бути визначена мета обробки персональних даних. Крім того, таке законодавство може уточнювати загальні умови цього Регламенту, які регулюють законність обробки персональних даних, може встановлювати специфікації для визначення володільця персональних даних, типів об’єктів на яких здійснюється обробка персональних даних, відповідних суб’єктів відносин, пов’язаних з персональними даними, організацій, яким персональні дані можуть розкриватися, цільові обмеження, строк зберігання та інші заходи для гарантування законної та справедливої обробки. Також в законодавстві Союзу або держави-члена ЄС необхідно визначити, чи повинен володілець даних, що виконує завдання в інтересах суспільства або при виконанні посадових повноважень, є органом державної влади або іншою юридичною або фізичною особою, підпадає під дію публічного права або за умови, що це виправдано з точки зору інтересів суспільства, в тому числі в цілях здоров’я, наприклад, громадського здоров’я, соціального захисту та управління медичними послугами, під дію приватного права, наприклад в якості професійного об’єднання.
(46)
Обробка персональних даних також вважається законною, якщо вона є необхідною для захисту життєво важливих інтересів суб’єкта персональних даних або іншої фізичної особи. Обробка персональних даних, що основується на життєвому інтересі іншої фізичної особи, повинна в принципі здійснюватися якщо вона не може бути проведена на іншій законній підставі. Деякі типи обробки даних можуть слугувати як важливою підставою громадського інтересу, так і життєво важливих інтересів суб’єкта персональних даних, наприклад якщо обробка необхідна в гуманітарних цілях, в тому числі й для контролю епідемій та їх розповсюдження або в надзвичайних ситуаціях гуманітарного характеру, зокрема під час техногенних або природних катастроф.
(47)
Законні інтереси володільця персональних даних, в тому числі володільця якому можуть бути розкриті персональні дані, або третій стороні можуть створити законні підстави для обробки, за умови, що вони не переважають над інтересами або основними правами та
свободами суб’єкта персональних даних, з урахуванням розумних очікувань суб’єкта персональних даних, що базуються на взаємовідносинах з володільцем даних. Зазначений законний інтерес може мати місце, наприклад якщо між суб’єктом персональних даних та володільцем даних існують відповідні відносини в ситуаціях, коли суб’єкт персональних даних є клієнтом або знаходиться на службі у володільця даних. В будь-якому випадку, наявність законного інтересу потребує ретельної оцінки, в тому числі стосовно того, чи може суб’єкт персональних даних при збиранні персональних даних розумно очікувати, що обробка буде здійснюватися для вказаних цілей. Інтереси та основні права суб’єкта персональних даних можуть переважати над інтересами володільця даних, якщо персональні дані обробляються в умовах, коли суб’єкти персональних даних обґрунтовано не очікують проведення подальшої обробки. Так, як законодавець зобов’язаний на рівні законодавчого акту передбачити законні підстави для обробки персональних даних органами державної влади, така правова підстава не повинна застосовуватися стосовно обробки персональних даних органами державної влади при виконанні ними своїх завдань. Обробка персональних даних, яка є необхідною для попередження шахрайства, також є законним інтересом відповідного володільця даних. Обробка персональних даних в цілях адресного маркетингу може розглядатися як обробка, що забезпечує законний інтерес. (48)
Володільці даних, які є частиною групи підприємств або інституцій, що відносяться до центрального органу, можуть мати законний інтерес, пов'язаний з передачею персональних даних в межах групи підприємств для внутрішніх адміністративних завдань, включаючи обробку персональних даних клієнтів та працівників. Загальні принципи передачі даних в межах групи підприємству, що розташовуються в третіх країнах, залишаються в силі.
(49)
Обробка персональних даних органами державної влади, групою реагування на надзвичайні події (CERTs), групою реагування на інциденти, що пов’язані з комп’ютерною безпекою (CSIRTs), постачальниками мереж електронних комунікацій та послуг, а також постачальниками технологій та послуг щодо забезпечення безпеки є законним інтересом відповідного володільця персональних даних в тій частині, в якій вона необхідна та пропорційна цілям забезпечення мережевої та інформаційної безпеки, тобто спроможності мережі або інформаційної системи протистояти, на визначеному рівні достовірності, випадковим подіям, незаконним або навмисним діям, які компрометують доступність, вірогідність та конфіденційність, збережених або переданих персональних даних, а також безпеку відповідних послуг, переданих через зазначені мережі або системи. Вказаний законний інтерес може включати в себе, наприклад попередження несанкціонованого доступу до мереж електронних комунікацій та розповсюдження шкідливого коду, а також припинення мережевих атак та загроз для комп’ютерних та електронних систем зв’язку.
(50)
Обробка персональних даних в цілях, які відрізняються від тих для яких персональні дані спочатку збиралися, повинна бути дозволена тільки якщо вона відповідає цілям, для яких персональні дані були отримані. У цьому випадку не вимагається інша правова підстава, крім тієї, на підставі якої було дозволено збирання персональних даних. Якщо обробка персональних даних необхідна для виконання завдань в інтересах суспільства або при виконанні посадових повноважень, які надані володільцю даних, законодавством Союзу або держави-члена ЄС можна визначити та встановити завдання та цілі для яких подальша обробка даних вважається відповідною та законною. Подальша обробка для цілей архівування в інтересах суспільства, в цілях наукового або історичного дослідження або в статистичних цілях розглядається як законна обробка даних. Законною підставою, яка передбачена законодавством Союзу або держави-члена ЄС для обробки персональних даних, може також передбачати правові підстави для подальшої обробки. Для того щоб переконатися в тому чи відповідає визначена мета подальшої обробки даних тій меті для якої ці дані збиралися спочатку, володілець даних, після виконання всіх вимог щодо законності початкової обробки, повинен прийняти до уваги, intel alia, наступне: будь-який зв'язок між вказаними цілями та цілями запланованої подальшої обробки; контекст, в якому були отримані персональні дані, зокрема розумні очікування суб’єкта персональних даних; наслідки запланованої подальшої обробки для суб’єктів персональних даних, і наявність відповідних гарантій початкової та запланованої подальшої обробки.
У випадку якщо суб’єкт персональних даних надав свою згоду або якщо обробка даних основується на законодавстві Союзу або держави-члена ЄС, яке в демократичному суспільстві є необхідною та пропорційною мірою для захисту, зокрема для важливих цілей загального інтересу суспільства, необхідно дозволити володільцю даних незалежно від співставлення цілей. У будь-якому випадку необхідно гарантувати застосування принципів, що визначені цим Регламентом і, зокрема, інформування суб’єкта персональних даних про вказані інші цілі і про його права, в тому числі й право на заперечування. Посилання володільця даних на можливі кримінально карані дії або загрози громадській безпеці і передача відповідних персональних даних в окремих випадках або в декількох випадках, що пов’язані з однією і тієї ж самою кримінально караною дією або загрозами громадській безпеці, компетентним органом повинні розглядатися як законний інтерес володільця даних. Проте, така передача в межах законного інтересу володільця даних або подальша обробка персональних даних повинні бути заборонені, якщо обробка не відповідає законному, професійному чи іншому обов’язку щодо дотримання конфіденційності. (51)
Персональні дані, які за своєю природою мають конфіденційний характер стосовно основних прав та свобод, потребують особливого захисту, тому, що контекст їх обробки може призводити до суттєвих ризиків для основних прав та свобод. Зазначені персональні дані повинні включати в себе персональні дані, що розкривають расове та етнічне походження, при цьому використання терміну «расове походження» в цьому Регламенті не означає, що Союз ухвалює теорії, які мають на меті визначити існування окремих людських рас. Обробка фотографій не повинна систематично вважатися обробкою особливих категорій персональних даних, тому що вони не охоплені терміном «біометричні дані» тільки коли вони обробляються з використанням особливих технічних засобів, що дозволяють здійснити унікальну ідентифікацію або автентифікацію фізичної особи. Зазначені персональні дані не повинні оброблятися за винятком випадків коли така обробка дозволена в особливих визначених цим Регламентом випадках, з урахуванням того, що законодавство держав-членів ЄС може встановлювати особливі положення про захист даних для того, щоб адаптувати застосування положень цього Регламенту в цілях дотримання законних зобов’язань або в цілях виконання завдань в інтересах суспільства або при здійсненні посадових повноважень володільця даних. В доповнення до особливих вимог для такої обробки повинні застосовуватися загальні принципи та інші положення цього Регламенту, зокрема стосовно умов законної обробки. Необхідно прямо передбачити часткові відступи від загальної заборони на обробку вказаних особливих категорій персональних даних, inter alіa, якщо суб’єкт персональних даних дає пряму згоду або якщо є особливі потреби, зокрема якщо обробка даних здійснюється в рамках законної діяльності певних об’єднань або фондів, метою яких є дозвіл на реалізацію основних свобод.
(52)
Також часткові відступи від заборони на обробку особливих категорій персональних даних необхідно дозволити, якщо вони передбачені законодавством Союзу або держави-члена ЄС та є відповідні гарантії для захисту персональних даних та інших основних прав, якщо це виправдано з точки зору суспільного інтересу, зокрема щодо обробки персональних даних в сфері трудового законодавства, законодавства про соціальний захист,в тому числі пенсійне, і з метою забезпечення безпеки, моніторингу здоров’я та запобігання захворюванням, попередження або контролю інфекційних захворювань та інших серйозних загроз здоров’ю. Зазначені часткові відступи можуть бути зроблені в цілях здоров’я, включаючи здоров’я населення і управління медичними послугами, особливо для гарантій якості та економічної ефективності методів,які використовуються для урегулювання претензій в системі медичного страхування, або в цілях архівування в інтересах суспільства, в цілях наукового або історичного дослідження або в статистичних цілях. Часткові відступи також може бути зроблений для обробки персональних даних, необхідних для обґрунтування, виконання або оскарження позивних вимог, в рамках судової процедури або в рамках адміністративної чи позасудової процедури.
(53)
Особливі категорії персональних даних, які потребують більш високого ступеню захисту,
повинні оброблятися в цілях, що пов’язані зі здоров’ям, тільки якщо це необхідно для досягнення цілей в інтересах фізичних осіб або суспільства в цілому, зокрема в контексті управління медичними або соціальними послугами і системами, включаючи обробку таких даних центральними національними органами охорони здоров’я в цілях контролю якості, інформації управління та загального національного та місцевого нагляду за системою медичного та соціального обслуговування та в цілях забезпечення безперервності медичного обслуговування або соціального забезпечення та транскордонного медичного обслуговування або в цілях забезпечення безпеки, моніторингу здоров’я та запобігання захворюванням, або в цілях архівування в інтересах суспільства, в цілях наукового або історичного дослідження, або в статистичних цілях, на основі законодавства Союзу або держави-члена ЄС, яке повинно відповідати меті суспільного інтересу, а також у відношенні досліджень, що проводяться в сфері громадського здоров’я в інтересах суспільства. В наслідок цього, цей Регламент повинен передбачати гармонізовані послуги для обробки особливих категорій персональних даних, які пов’язані зі здоров’ям, стосовно особливих потреб, зокрема якщо обробка даних здійснюється у визначених, пов’язаних зі здоров’ям, цілях особами, які несуть законні зобов’язання щодо дотримання професійної таємниці. Законодавство Союзу або держави-члена ЄС повинно передбачати особливі та прийнятні заходи для захисту основних прав і персональних даних фізичних осіб. Держави-члени ЄС можуть зберігати або вносити додаткові умови, в тому числі обмеження, стосовно обробки генетичних даних, біометричних даних або даних, що стосуються здоров’я. Проте це не повинно перешкоджати вільному обігу персональних даних в Союзі, якщо зазначені умови застосовуються стосовно транскордонної обробки зазначених даних. (54)
З причин суспільного інтересу в сферах громадкою охорони здоров’я може бути необхідно проведення обробки особливих категорій персональних даних без згоди суб’єкта персональних даних. Така обробка повинна здійснюватися відповідно до прийнятних та особливих заходів для захисту прав та свобод фізичних осіб. У такому контексті термін «громадська охорона здоров’я» повинно розумітися в значенні Регламенту (ЄС) 1338/2008 Європейського Парламенту та Ради ЄС 16 і включає в себе всі елементи, пов’язані зі здоров’ям, а саме стан здоров’я, в тому числі захворюваність та непрацездатності, фактори, що впливають на стан здоров’я, потреби в медичному обслуговуванні, ресурси, що відносяться до медичного обслуговування, надання і універсального доступу до медичного обслуговування, а також відповідні витрати та фінансування і причини смертності. Зазначена обробка даних, що стосується здоров’я, через суспільний інтерес не повинна призводити до того, що персональні дані будуть оброблятися в інших цілях третьою стороною, наприклад роботодавцями або страховими і банківськими компаніями.
(55)
Крім того, обробка персональних даних офіційними органами для досягнення визначеної конституційним правом або міжнародним публічним правом мети офіційно визнаних релігійних організацій здійснюється з причин суспільного інтересу.
(56)
У випадку якщо в ході передвиборчої діяльності функціонування демократичної системи в державі-члені ЄС вимагає того, щоб політичні партії збирали персональні дані про політичні погляди фізичних осіб, обробка цих даних може бути дозволена з причин суспільного інтересу, за умови наявності відповідних гарантій.
(57)
Якщо персональні дані, які обробляються володільцем даних, не дозволяють йому ідентифікувати фізичну особу, володілець даних не зобов’язаний отримувати додаткову інформацію для ідентифікації суб’єкта даних тільки в цілях дотримання положень цього Регламенту. Проте володілець даних не повинен відмовляти приймати додаткову інформацію, яка надається суб’єктом персональних даних в цілях сприяння реалізації своїх прав. Ідентифікація повинна включати в себе цифрову ідентифікацію суб’єкта даних,
16
Регламент (ЄС) 1338/2008 Європейського Парламенту та Ради ЄС від 16 грудня 2008 року про статистику Співтовариства у відношенні громадської охорони здоров’я та безпеки на робочих місцях (ОЖ N L 354, 31.12.2008, стор 70)
наприклад через механізми аутентифікації, наприклад тих самих документів, що засвідчують особу, що використовуються суб’єктом даних для того, щоб увійти під своїм логіном в онлайнову службу, яка надається володільцем даних. (58)
Принцип прозорості вимагає, щоб будь-яка інформація, що надається громадськості або суб’єкту персональних даних, була лаконічною, легкодоступною та зрозумілою, і щоб використовувався зрозуміла та проста мова, і додатково, за необхідності, використовувалися візуальні елементи. Така інформація може бути представлена в електронній формі, наприклад, якщо вона адресується громадськості, на Інтернет-сайті. Це має суттєве значення в ситуаціях, коли внаслідок великої кількості учасників та складності необхідної техніки, суб’єкти персональних даних не можуть знати та розуміти, ким і для яких цілей їхні персональні дані збираються, наприклад для реклами в Інтернеті. Виходячи з того, що діти вимагають особливого захисту, будь-яка інформація та повідомлення, якщо обробка стосується дитини, повинні бути складені на простій та зрозумілій дитині мові.
(59)
Необхідно передбачити умови для сприяння реалізації прав суб’єкта персональних даних відповідно до цього Регламенту, включаючи механізми для запиту та, за необхідності, безкоштовного отримання, зокрема доступу до персональних даних, їх виправлення або видалення та реалізації права на заперечування. Володілець даних повинен також передбачити засоби для подання електронного запиту, особливо якщо персональні дані обробляються електронним способом. Володілець даних зобов’язаний негайно і як мінімум протягом одного місяця відповісти на запити суб’єкта персональних даних та, у разі якщо він не має наміру задовольняти запит, зазначити причину.
(60)
Принцип справедливої та прозорої обробки даних вимагають, щоб суб’єкт персональних даних був проінформований про наявність процесу обробки персональних даних та мету обробки даних. Володілець даних повинен надати суб’єкту персональних даних всю додаткову інформацію, що необхідна для забезпечення справедливої та прозорої обробки, з урахуванням особливих обставин та умов, за яких обробляються персональні дані. Крім того, суб’єкт персональних даних повинен бути проінформований про наявність профілю та його наслідки. Якщо персональні дані були отримані від суб’єкта персональних даних, він також повинен бути проінформований про те, чи зобов’язаний він був надавати дані, а також про наслідки надання цих даних. Зазначена інформація може представлятися разом з стандартизованими графічними позначеннями для того, щоб в наочній, зрозумілій та чіткій формі надавати загальну уяву про заплановану обробку персональних даних. Якщо графічні позначення надані в електронній формі, вони повинні бути машинозчитувані.
(61)
Інформація стосовно обробки персональних даних, що стосується суб’єкта персональних даних, повинна бути надана суб’єкту даних в момент збирання у нього даних або, якщо персональні дані були отримані з других джерел, в розумний строк, в залежності від обставин справи. Якщо персональні дані можуть бути на законних підставах розкриті іншому отримувачу даних, суб’єкт персональних даних повинен бути проінформований, у випадку коли персональні дані вперше розкриваються отримувачу. Якщо володілець даних має намір обробляти персональні дані в цілях, що відрізняються від цілей, для яких вони збиралися, він до початку обробки даних повинен надати суб’єкту даних інформацію стосовно вказаної іншої цілі та іншу необхідну інформацію. Якщо інформація про джерела отримання персональних даних не може бути надана суб’єкту даних внаслідок використання різноманітних ресурсів, то повинна бути надана загальна інформація.
(62)
Проте, зобов’язання щодо надання інформації може не накладатися, якщо суб’єкт персональних даних вже володіє інформацією, якщо реєстрація або розкриття персональних даних визначено на законодавчому рівні або якщо надання інформації суб’єкту персональних даних є неможливим або призводить до непорівнянних зусиль. Зокрема, в тому, що стосується останньої обставини, яка здійснюється в цілях архівування в інтересах суспільства, в цілях наукового або історичного дослідження або в статистичних цілях. У зв’язку з цим необхідно враховувати кількість суб’єктів персональних даних, вік даних та будь-які відповідні гарантії.
(63)
Суб’єкт персональних даних має право доступу до даних, що стосуються його і які були зібрані; зазначене право повинно реалізовуватися безперешкодно та з визначеною періодичністю для отримання інформації щодо обробки даних та перевірки законності обробки. Сюди відноситься право суб’єкта персональних даних на доступ до даних, що стосуються їхнього здоров’я, наприклад дані в їхніх медичних документах, які містять таку інформацію: діагнози, результати обстежень, обстеження лікарів та відомості про будь-яке лікування або втручання. Внаслідок цього кожний суб’єкт персональних даних повинен мати право знати та отримувати відомості стосовно цілей, для яких дані обробляються, за можливості, про терміни, протягом яких обробляються персональні дані, отримувачів персональних даних, логічної схеми будь-якої автоматизованої обробки персональних даних та наслідків такої обробки, якщо вона, як мінімум, базується на формуванні профілю. За наявності відповідної можливості володілець даних повинен забезпечити віддалений доступ до захищеної системи, яка надасть суб’єкту персональних даних прямий доступ до його персональних даних. Зазначене право не повинно негативно впливати на права та свободи інших осіб, включаючи комерційну таємницю або результати інтелектуальної діяльності і, зокрема, авторське право на програмне забезпечення. Проте зазначене обмеження не повинно призводити до відмови у наданні всієї інформації суб’єкту персональних даних. Якщо володілець даних обробляє велику кількість інформації, що стосується суб’єкта персональних даних, він повинен мати можливість до передачі інформації запросити суб’єкта персональних даних уточнити інформацію або вид обробки, до якої відноситься запит.
(64)
Володілець даних повинен використовувати всі прийнятні засоби для того, щоб перевірити та підтвердити особу суб’єкта персональних даних, який подає запит на доступ, зокрема, в межах онлайнових служб та у випадку онлайнових ідентифікаторів. Володілець даних не повинен зберігати персональні дані тільки в цілях реагування на потенційний запит.
(65)
Суб’єкт персональних даних має право на виправлення персональних даних що відносяться до нього, а також «право на забуття», якщо зберігання зазначених даних порушує положення цього Регламенту або законодавства Союзу або держави-члена ЄС, під дію якого підпадає володілець даних. Зокрема, суб’єкт персональних даних повинен мати право на видалення своїх персональних даних і на те, щоб його дані більше не оброблялися, якщо в персональних даних відносно цілей, для яких вони збиралися або іншим чином оброблялися, більше не має потреби, якщо суб’єкт персональних даних анулював свою згоду або заперечує проти обробки персональних даних, що відносяться до нього, або якщо обробка персональних даних не відповідає цьому Регламенту. Зазначене право має суттєве значення у випадку, коли суб’єкт персональних даних надавав свою згоду, коли був дитиною, і повністю не міг усвідомлювати ризики, пов’язані з їхньою обробкою, а пізніше він хоче видалити персональні дані, особливо в мережі Інтернет. Суб’єкт персональних даних повинен мати можливість реалізовувати таке право, незважаючи на той факт, що він більше не дитина. Проте подальше зберігання персональних даних є законним, якщо воно є необхідним для реалізації права на свободу висловлення думки та інформації, для дотримання законних обов’язків, для виконання завдань в інтересах суспільства або при здійсненні посадових повноважень володільця персональних даних, з причин суспільного інтересу у сфері громадської охорони здоров’я, в цілях архівування в інтересах суспільства, в цілях наукового або історичного дослідження або в статистичних цілях, або для обґрунтування, виконання або оспорювання позивних вимог.
(66)
Для того, щоб посилити «право на забуття» в мережі, право на видалення необхідно розширити таким чином, щоб володілець даних, який опублікував персональні дані, був зобов’язаний проінформувати володільців, які обробляють такі персональні дані, і видалити всі посилання, копії або реплікації зазначених персональних даних. При цьому зазначений володілець даних повинен вжити відповідні заходи з урахуванням наявних технологічних можливостей та доступних засобів, включаючи технічні засоби, щоб проінформувати про запит суб’єкта персональних даних володільців, які обробляють
персональних даних. (67)
Методи для обмеження обробки персональних даних можуть включати в себе, inter alia, тимчасову передачу оброблених даних іншій системі обробки, ненадання користувачам відібраних персональних даних або тимчасове видалення опублікованих даних з інтернетсайту. В автоматизованих файлових системах обмеження обробки повинна гарантуватися технічними засобами таким чином, щоб персональні дані не були придатні для подальшої обробки та не могли бути змінені. Факт того, що обробка персональних даних є обмеженою, повинен бути чітко вказаний в системі.
(68)
Для посилення контролю над власними даними у випадку, коли обробка персональних даних здійснюється з використанням автоматизованих засобів, суб’єкт персональних даних може отримати свої персональні дані, які він надавав володільцю даних, в структурованому вигляді, що широко використовується, машино зчитуваному та функціонально сумісному форматі, та передати їх іншому володільцю. Володільці персональних даних повинні удосконалювати функціональносумісні формати, щоб сприяти переносимості даних. Зазначене право повинно застосовуватися, якщо суб’єкт персональних даних надав свої дані на підставі своєї згоди або якщо обробка даних необхідна для виконання угоди. Воно не застосовується, якщо обробка персональних даних здійснюється на правових підставах, що не пов’язані з наданням згоди або угодою. За своїм характером таке право не повинно реалізовуватися стосовно володільців персональних даних, що обробляють дані при виконанні своїх суспільних обов’язків. Внаслідок цього, таке право не повинно застосовуватися якщо обробка персональних даних необхідна для дотримання законного зобов’язання, під дію якого підпадає володілець даних, або для виконання завдань в інтересах суспільства або при здійсненні посадових обов’язків володільця персональних даних. Право суб’єкта персональних даних на передачу або отримання даних стосовно нього не повинно призводити до виникнення зобов’язань для володільців персональних даних отримувати або зберігати технічно сумісні системи обробки. Якщо персональні дані в межах визначеного переліку стосуються більше одного суб’єкта персональних даних, право на отримання персональних даних повинно реалізовуватися без перешкод для прав та свобод інших суб’єктів персональних даних відповідно до цього Регламенту. При цьому зазначене право не повинно створювати перешкоди реалізації права суб’єкта персональних даних на видалення даних та обмеження такого права згідно з цим Регламентом і, зокрема не повинно передбачати видалення персональних даних, що стосуються суб’єкта даних, які ним були надані для виконання угоди, в тій ступені у до тих пір, поки такі дані необхідні для виконання умов зазначеного договору. Якщо це технічно неможливо, суб’єкт персональних даних повинен мати право на пряму передачу персональних даних від одного володільця даних до іншого.
(69)
У випадку, коли персональні дані можуть оброблятися на законних підставах внаслідок того, що обробка є необхідною для виконання завдань в інтересах суспільства або при здійсненні обов’язків володільця даних, або на підставі законних інтересів володільця або третьої сторони, тим не менш, суб’єкт персональних даних повинен мати право на заперечування проти обробки таких даних, що відносяться до певної ситуації. Володілець даних повинен доказати, що його законний інтерес переважає над інтересами або основними правами та свободами суб’єкта даних.
(70)
У випадку якщо персональні дані обробляються в цілях адресного маркетингу, суб’єкт даних в будь-який час і на безоплатній основі повинен мати право на заперечування проти зазначеної, початкової або подальшої обробки, включаючи формування профілю, у тій ступені, в якій обробка пов’язані із зазначеним адресним маркетингом. Необхідно звернути увагу суб’єкта персональних даних на вказане право: про нього необхідно повідомляти в чіткій формі, окремо від будь-якої іншої інформації.
(71)
Суб’єкт персональних даних повинен мати право на те, щоб не підпадати під дію рішення, яке може включати в себе заходи для оцінювання персональних аспектів, що до нього відносяться, яке базується виключно на автоматизованій обробці і яке призводить до
юридичних наслідків у відношенні до суб’єкта даних або аналогічним чином суттєво впливає на нього, наприклад автоматична відмова в заявці на отримання кредиту онлайн або онлайновий процес відбору кадрів без втручання оператора. Зазначена обробка включає себе «формування профілю», що складається з будь-якої форми автоматизованої обробки персональних даних при оцінюванні персональних аспектів, що стосуються фізичної особи, зокрема для аналізу або прогнозування аспектів, що стосуються виробничих показників зазначеної особи, економічної ситуації, здоров’я, індивідуальних переваг, інтересів, надійності, поведінки, місця знаходження або пересування, якщо це може призводити до юридичних наслідків стосовно суб’єкта даних або аналогічним чином впливає на нього. Проте, процес ухвалення рішення, що основується на зазначеній обробці, включаючи формування профілю, необхідно дозволити, якщо це передбачено законодавством Союзу або держави-члена ЄС, під дію якого підпадає діяльність володільця персональних даних, в тому числі в цілях моніторингу та попередження шахрайства та незаконного приховування доходів у відповідності до регламентів, стандартів та рекомендації інституцій Союзу або національних органів нагляду, а також для гарантування безпеки та надійності послуг, що надаються володільцем даних або якщо суб’єкт персональних даних надав свою пряму згоду. У будь-якому випадку зазначена обробка персональних даних повинна здійснюватися відповідно до гарантій, що включають також особливе інформування суб’єкта персональних даних та право на втручання володільця, на висловлювання своєї точки зору, отримання пояснень щодо рішення, яке було прийняте після оцінювання, а також на оскарження такого рішення. Зазначена міра не повинна стосуватися дитини. Для того, щоб гарантувати справедливу та прозору обробку у відношенні до суб’єкта персональних даних, з урахуванням особливих обставин та контексту, в якому обробляються персональні дані, володілець даних повинен використовувати відповідні математичні та статистичні заходи для формування профілю, імплементувати технічні та організаційні заходи з метою гарантування того, що фактори, які призводять до неточності персональних даних, були виправлені, а ризики виникнення помилок мінімізовані, захистити персональні дані таким чином, щоб врахувати потенційні ризики для інтересів та прав суб’єкта даних та не допустити дискримінаційного впливу на фізичних осіб на основі расового або етнічного походження, політичних переконань, релігії та поглядів, членства в професійних спілках, генетичних схильностей, стану здоров’я або сексуальної орієнтації, або не припустити прийняття заходів, що можуть мати зазначений вплив. Автоматизований процес прийняття рішення та формування профілю на основі особливих категорій персональних даних повинні здійснюватися тільки за певних умов. (72)
Формування профілю здійснюється у відповідності до положень цього Регламенту, який врегульовує обробку персональних даних, наприклад законні підстави для обробки або принципи захист уданих. В цьому контексті Європейська Рада з питань захисту даних (Рада) повинна мати можливість видавати відповідні вказівки.
(73)
В законодавстві Союзу або держави-члена ЄС можуть бути передбачені обмеження стосовно особливих принципів та прав на отримання інформації, доступ до даних та виправлення або знищення персональних даних, стосовно права на переносимість даних, права на заперечування, стосовно рішень, що основуються на формуванні профілю, а також стосовно повідомлень суб’єкта персональних даних про виток даних, та стосовно певних відповідних зобов’язань володільця даних, за умови, що це необхідно та пропорційно в демократичному суспільстві для забезпечення громадської безпеки, в тому числі для захисту життя людей, особливо в наслідок природних та техногенних катастроф, для забезпечення попередження та розслідування злочинів та кримінального переслідування або виконання покарання, включаючи попередження загроз громадській безпеці або порушення етики професій, діяльність яких врегульовується, для забезпечення інших важливих цілей суспільного інтересу Союзу або держави-члена ЄС, зокрема важливої економічного або фінансового інтересу Союзу або держави-члена ЄС; а також стосовно ведення суспільних реєстрів за причинами суспільного інтересу, подальшої обробки архівованих персональних даних для представлення особливої інформації, яка пов’язана з політичною поведінкою у колишніх тоталітарних режимах, або захисту
суб’єкта персональних даних або прав та свобод інших осіб, включаючи соціальний захист, суспільну охорону здоров’я та гуманітарні цілі. Такі обмеження повинні відповідати вимогам, що встановлені в Хартії та в Європейській Конвенції про захист прав людини та основних свобод. (74)
Необхідно встановити відповідальність та зобов’язання володільця даних стосовно будьякої обробки персональних даних, яка здійснюється володільцем даних або від його імені. Зокрема володілець даних зобов’язаний імплементувати відповідні та ефективні заходи та мати можливість демонструвати відповідність своєї обробки цьому Регламенту, включаючи ефективність заходів. Зазначені заходи повинні враховувати характер, сферу застосування, контекст або цілі обробки та ризики для прав та свобод фізичних осіб.
(75)
Ризики для прав та свобод фізичних осіб, різної ступені ймовірності та серйозності, можуть виникати в результаті обробки персональних даних, що може призвести до фізичних, матеріальних або нематеріальних збитків, зокрема якщо обробка може призвести до дискримінації, крадіжок персональних даних або шахрайству з персональними даними, фінансових збитків, репутаційних збитків, порушенню конфіденційності персональних даних, що знаходяться під захистом професійної таємниці, несанкціонованій відміні псевдонимізації, або до іншого несприятливого економічного або соціального положення; якщо суб’єкти персональних даних можуть бути позбавлені своїх прав та свобод або можливості здійснювати контроль над своїми персональними даними; якщо обробляються персональні дані, що розкривають расове чи етнічне походження, політичні переконання, релігійні та філософські переконання, членство в професійних союзах, а також генетичні дані, дані, що стосуються здоров’я або дані про статеве життя або кримінальні судимості та злочини або відповідні заходи безпеки; якщо оцінюються персональні аспекти, зокрема для аналізу або прогнозування аспектів, що стосуються виробничих показників, економічної ситуації, здоров’я, індивідуальних уподобань, інтересів, надійності, поведінки, місця розташування або пересування, з метою створення або використання персональних профілів; якщо обробляються персональні дані соціально незахищених фізичних осіб, зокрема дітей; або якщо обробка даних охоплює велику кількість персональних даних і впливає на велику кількість суб’єктів персональних даних.
(76)
Ймовірність та серйозність ризику для прав і свобод суб’єкта персональних даних повинні визначатися виходячи з характеру, сфери застосування, контексту та цілей обробки. Ризик повинен оцінюватися на основі об’єктивної оцінки, що визначає чи призводить обробка персональних даних до ризику або ризику високого ступеню.
(77)
Керівництва з імплементації відповідних заходів і з підтвердження дотримання вимог володільцем даних або особи, що обробляє дані, особливо щодо ідентифікації ризику, пов’язаного з обробкою, оцінки стосовно походження, характеру, ймовірності та серйозності, а також ідентифікації найкращих практик щодо зниження ризику, можуть надаватися, зокрема, в формі затверджених норм поведінки, затверджених сертифікаційних процедур, керівних вказівок Ради або вказівок інспектора з питань захисту персональних даних. Рада також може видавати керівні вказівки щодо обробки даних, яка розглядається в якості обробки, що не може призводити до ризику високого ступеню для прав і свобод фізичної особи, і вказати які заходи будуть достатні у зазначених випадках для усунення цього ризику.
(78)
Захист прав та свобод фізичних осіб при обробці персональних даних вимагає прийняття відповідних технічних та організаційних заходів для гарантування того, що виконуються вимоги цього Регламенту. Для того щоб підтвердити виконання цього Регламенту, володілець повинен прийняти внутрішні правили та імплементувати заходи, які, зокрема будуть відповідати принципам захисту даних за замовчуванням і базуватися на основі продуманих дій. Зазначені заходи можуть включати, inter alia, мінімізацію обробки персональних даних, псевдонимізацію персональних даних в максимально стислі строки, прозорість щодо функцій та обробки персональних даних, які дозволяють суб’єкту персональних даних контролювати процес обробки персональних даних, а володільцю
даних створювати та покращувати засоби захисту. При розробці, проектуванні, виборі та використанні додатків, послуг та товарів, які базуються на обробці персональних даних або обробляють персональні дані для виконання своїх завдань, виробники товарів, послуг та додатків можуть прийняти до уваги право на захист даних при розробці та проектуванні зазначених товарів, послуг та додатків, та, з урахуванням сучасного стану техніки, переконатися в тому, що володільці та особи, що обробляють персональні дані, можуть виконувати свої обов’язки, пов’язані із захистом даних. Принципи захисту даних за замовчуванням і на основі продуманих дій повинні враховуватися в контексті публічних торгів. (79)
Захист прав та свобод суб’єктів даних, а також відповідальність та обов’язки володільців та осіб, що обробляють персональні дані, і у питаннях моніторингу з боку наглядових органів та їхніх заходів, вимагають чіткого розподілу обов’язків відповідно до цього Регламенту, в тому числі, якщо володілець даних визначає цілі та засоби обробки спільно з іншими володільцями або якщо обробка здійснюється від імені володільця даних.
(80)
Якщо володілець або особа, яка обробляє персональні дані, що не засновані в Союзі, обробляють персональні дані суб’єктів даних, що знаходяться в Союзі і якщо їхня діяльність щодо обробки персональних даних пов’язана з пропозиціями товарів та послуг цим суб’єктам даних в Союзі, незалежно від того чи вимагається оплата від суб’єкта даних, або пов’язана з моніторингом їхньої лінії поведінки тому, що воно відбувається в Союзі, володілець чи особа, що обробляє персональні дані, повинні призначати представника, за винятком випадків, коли обробка має випадковий характер, не включає в себе масштабну обробку спеціальних категорій персональних даних або обробка персональних даних, пов’язана з кримінальними вироками та злочинами, ймовірно, не призведе о виникнення ризику для прав та свобод фізичних осіб, з урахуванням характеру, обставин, сфери застосування та цілей обробки, або якщо володілець є органом чи закладом державної влади. Представник повинен діяти від імені володільця або особи, що обробляє персональні дані, і є для будь-якого наглядового органу контактним центром. Представник повинен бути призначений письмовим приписом володільця або особи, що обробляє персональні дані, на виконання діяльності від їхнього імені щодо обов’язків, визначених цим Регламентом. Призначення такого представника не впливає на відповідальність або обов’язки володільця або особи, що обробляє персональні дані, включаючи співробітництво з компетентними наглядовими органами стосовно будь-яких заходів, що вживаються в цілях гарантій дотримання цього Регламенту. Призначений представник підлягає виконавчому впровадженню у випадку невідповідності володільця або особи, що обробляє персональні дані.
(81)
Для того, щоб гарантувати дотримання вимог цього Регламенту щодо обробки, яка здійснюється особою, що обробляє персональні дані від імені володільця, при покладанні на цю особу обов’язків щодо обробки даних, володілець повинен використовувати осіб, що обробляють персональні дані, які забезпечують відповідні гарантії, зокрема щодо експертних знань, надійності та ресурсів для того, щоб імплементувати технічні та організаційні заходи, які будуть відповідати вимогам цього Регламенту, в тому числі щодо безпеки процедур обробки. Дотримання особою, яка обробляє персональні дані затверджених норм поведінки або затвердженого сертифікаційного механізму може використовуватися як елемент для підтвердження дотримання обов’язків володільця даних. Здійснення обробки даних особою, що обробляє персональні дані, повинно врегульовуватися угодою або іншим законодавчим актом відповідно до законодавства Союзу або держави-члена ЄС, яке встановлює правові відносини між цією особою та володільцем персональних даних, встановлює предмет та тривалість обробки, характер та цілі обробки, типи персональних даних та категорії суб’єктів даних з урахуванням визначених завдань та обов’язків особи, що обробляє персональні дані в контексті обробки та ризику для прав та свобод суб’єкта персональних даних. Володілець та особа, яка обробляє персональні дані, можуть за вибором використовувати індивідуальну угоду або стандартні договірні умови, ухвалені Європейською Комісією або наглядовим органом у відповідності до механізмів співставлення, а потім затверджені Європейською Комісією.
Після затвердження обробки від імені володільця особа, що обробляє персональні дані, повинна по вибору володільця персональних даних повернути або видалити персональні дані, за винятком випадків, коли є вимога щодо зберігання персональних даних відповідно до законодавства Союзу або держави-члена ЄС, під дію якого підпадає особа, що обробляє персональні дані. (82)
Для того, щоб підтвердити дотримання цього Регламенту, володілець або особа, що обробляє персональні дані, повинна вести облік обробки, що здійснюється під їхню відповідальність. Кожний володілець або особа, що обробляє персональні дані, повинен співробітничати з наглядовим органом і за запитом надавати в його розпорядження зазначені облікові відомості для моніторингу процесу обробки.
(83)
Для того, щоб забезпечити безпеку та упереджувати обробку з порушеннями цього Регламенту, володілець або особа, що обробляє персональні дані, повинна оцінити ризики, що притаманні обробці, та імплементувати заходи для зниження зазначених ризиків, наприклад, криптографічний захист. Зазначені заходи повинні гарантувати відповідний рівень захисту, в тому числі конфіденційність, з урахуванням рівня розвитку техніки та витрат на імплементацію щодо ризиків та характеру даних, які повинні захищатися. При оцінюванні ризику для захисту даних необхідно приділити увагу ризикам, які мають місце при обробці персональних даних, наприклад випадковому або незаконному знищенню, втраті, змінам, несанкціонованому розкриттю або несанкціонованому доступу до даних, які були передані, збережені або оброблялися у будь-який інший спосіб і які можуть привести до фізичних, матеріальних або нематеріальних збитків.
(84)
Для того, щоб покращити виконання вимог цього Регламенту, якщо обробка персональних даних може призвести до ризику високої ступені для прав і свобод фізичних осіб, володілець даних повинен відповідати за виконання оцінки впливу на захист даних для того, щоб визначити, зокрема, характер, специфіку та серйозність такого ризику. Необхідно прийняти до уваги результат оцінки при визначенні відповідних заходів, які повинні бути вжиті для підтвердження того, що обробка персональних даних відповідає цьому Регламенту. Якщо оцінка впливу на захист персональних даних вказує на те, що обробка призводить до ризику високого ступеню, який володілець даних не може зменшити через відповідні можливості наявних технологій та витрат на впровадження, до початку обробки необхідно проконсультуватися з наглядовим органом.
(85)
Виток персональних даних, якщо він не був своєчасно та відповідним чином усунений, може призвести до фізичних, матеріальних або нематеріальних збитків для фізичних осіб, наприклад контролю над персональними даними або обмеженню прав, дискримінації, крадіжок персональних даних або шахрайству з персональними даними, фінансовим втратам, несанкціонованій відмові від псевдонимізації, репутаційним збиткам, порушенню конфіденційності персональних даних, які захищені зобов’язаннями щодо дотримання професійної таємниці, або будь-якому іншому несприятливому економічному або соціальному положенню для відповідної особи. Внаслідок цього, як тільки володільцю даних стане відомо про виток персональних даних, він повинен повідомити про це наглядовий орган негайно, а, за певних обставин, не пізніше ніж 72 годин після того, як йому стало відомо про виток, за винятком випадків, коли володілець даних спроможній доказати у відповідності до принципу надання звітності, що виток персональних даних не призведе до ризику для прав та свобод фізичних осіб. Якщо таке повідомлення не може бути здійснено протягом 72 годин, причини від термінування необхідно вказати в повідомленні, інформація може також надаватися поетапно без подальших зволікань.
(86)
Володілець даних негайно повинен повідомляти суб’єкту персональних даних про виток даних, якщо такий виток може призвести до виникнення ризику високого ступеня для прав та свобод фізичної особи, для того, щоб вжити необхідних заходів обережності. В повідомленні необхідно описати характер порушення, а також надати фізичній особі рекомендації щодо зниження ймовірного негативного впливу. Такі повідомлення суб’єктам даних повинні бути зроблені як можна найшвидше і в тісній взаємодії з наглядовим
органом відповідно до керівних вказівок цього органу або іншого відповідного органу, наприклад правоохоронного. Наприклад, щоб знизити безпосередній ризик збитку, необхідно миттєво повідомити суб’єктів даних, при цьому, якщо необхідно імплементувати відповідні заходи проти продовження витоку персональних даних, що може вимагати більше часу для спілкування. (87)
Необхідно переконатися, чи всі відповідні технічні та організаційні заходи були імплементовані для того, щоб негайно встановити факт витоку персональних даних та проінформувати про це наглядовий орган та суб’єкта даних. Той факт, що повідомлення необхідно зробити негайно, повинен бути встановлений з урахуванням, зокрема, характеру та серйозності витоку персональних даних, його наслідків та негативного впливу на суб’єкта даних. Зазначене повідомлення може призвести до втручання наглядового органу відповідно до його завдань та повноважень, які визначені цим Регламентом.
(88)
При встановленні детальних правил щодо формату та процедур, які застосовуються до повідомлення про виток персональних даних, необхідно належну увагу приділяти обставинам виникнення такого витоку, в тому числі тому, чи було забезпечено захист персональних даних відповідними технічними заходами, які ефективним чином знижують ймовірність шахрайства з персональними даними або інших форм протиправного використання даних. Крім того, зазначені правила та процедури повинні враховувати законні інтереси правоохоронних органів, якщо раніше розкриття даних може перешкоджати розслідуванню обставин витоку персональних даних.
(89)
Директива 95/46/ЄС передбачає загальний обов’язок щодо повідомлення наглядових органів про обробку персональних даних. Оскільки такий обов’язок пов'язаний з адміністративним та фінансовим навантаженням, він не завжди сприяв покращенню захисту персональних даних внаслідок цього безсистемні загальні обов’язки щодо повідомлення повинні бути відмінені та замінені ефективними процедурами та механізмами, які фокусуються на таких типах обробки даних, що можуть призвести до виникнення ризику високого ступеню для прав та свобод фізичних осіб відповідно до їхнього характеру, сфери застосування, контексту та цілей. До зазначених типів обробки даних можуть відноситися, зокрема, ті типи, які включають в себе використання нових технологій, або які є новими, але якщо володілець даних не проводив оцінку впливу на захист даних або якщо вони необхідні з урахуванням часу, що минув з моменту початку обробки персональних даних.
(90)
У зазначених випадках оцінка впливу не захист даних повинна здійснюватися володільцем даних до початку обробки даних для того, щоб оцінити особливу ймовірність та серйозність ризику високого ступеню з урахуванням характеру, сфери застосування, контексту та цілей обробки, а також джерел ризику. Така оцінка впливу повинна включати в себе, зокрема, заходи, гарантії та механізми, що передбачені для усунення такого ризику, гарантії захисту персональних даних та підтвердження дотримання цього Регламенту.
(91)
Зокрема, це повинно застосовуватися при масштабній обробці, яка спрямована на обробку значної кількості персональних даних на регіональному, національному та наднаціональному рівні, і може вплинути на велику кількість суб’єктів персональних даних, і може призвести до ризику високого ступеню, наприклад, на основі їхньої вразливості, якщо відповідно до досягнутого рівня технологічних знань в великій кількості використовуються новітні технології, а також щодо інших видів обробки, які можуть призвести до ризику високого ступеню для прав та свобод суб’єктів персональних даних, зокрема, якщо така обробка ускладнює реалізацію прав суб’єктами даних. Оцінка впливу на захист даних повинна проводитися, якщо персональні дані обробляються в цілях прийняття рішення щодо певних фізичних осіб відповідно до системної та всебічної оцінки персональних аспектів фізичних осіб, що основуються на формуванні профілю таких даних, або у відповідності до обробки особливих категорій персональних даних, біометричних даних або даних про кримінальні вироки та злочини або про відповідні заходи безпеки. Оцінка впливу на захист даних необхідна в цілях моніторингу відкритих
для загального доступу сфер, особливо, якщо використовуються оптоелектронні пристрої, або для інших дій, якщо компетентний наглядовий орган вважає, що обробка може призвести до ризику високого ступеню для прав та свобод суб’єктів даних, зокрема внаслідок того, що вони перешкоджають суб’єктам персональних даних реалізовувати право або використовувати послугу або угоду, або внаслідок того, що вони здійснюються систематично та у великій кількості. Обробка персональних даних не може вважатися масштабною, якщо вона стосується персональних даних пацієнтів або клієнтів та здійснюється лікарем, іншим медичним працівником або юристом. У зазначених випадках оцінка впливу на захист даних не вважається обов’язковою. (92)
За певних обставин може бути прийнятним та доцільним з економічної точки зору не відносити оцінку впливу на захист даних до певного проекту, наприклад, якщо орган державної влади та заклад має намір встановити загальне застосування або платформу для обробки інформації або якщо декілька володільців даних планують впровадити загальне застосування або умови обробки для промислового сектору, або сегменту, або для горизонтальної діяльності, що широко застосовується.
(93)
В контексті застосування законодавства держави-члена ЄС, на основі якого орган державної влади або приватна організація виконують свої завдання і які регулюють загальний вид обробки, держави-члени ЄС можуть вважати необхідною проведення такої оцінки до здійснення обробки.
(94)
Якщо оцінка впливу на захист даних вказує на те, що обробка, за відсутності гарантій, заходів безпеки та механізмів для зниження ризику, може призвести до високого ступеню ризику для прав та свобод фізичних осіб, і володілець даних вважає, що ризик не може бути знижений наявними технологічними засобами та витратами на імплементацію, до початку обробки необхідно проконсультуватися з наглядовим органом. Зазначена висока ступінь ризику може виникати в результатів певних типів обробки, об’ємів та періодичності обробки, і може також призвести до збитків або зазіхань на права та свободи фізичної особи. Наглядовий орган у встановлені терміни повинен відповісти на запит щодо проведення консультації. Проте відсутність відповіді наглядового органу у вказаний строк не перешкоджає будь-якому втручанню наглядового органу у відповідності до його завдань та повноважень, що встановлені цим Регламентом, включаючи повноваження щодо заборони процесу обробки даних. В рамках процесу консультування результат оцінювання впливу на захист даних, який був проведений щодо обробки, яка розглядається, може бути представлений наглядовому органу, зокрема, заходи щодо зниження ризику для прав та свобод фізичних осіб.
(95)
Особа, що обробляє персональні дані повинна сприяти володільцю даних, у відповідному випадку і за запитами, для забезпечення виконання зобов’язань,що виникають з проведеного оцінювання впливу на захист даних та з попереднього консультування з наглядовим органом.
(96)
Консультація наглядового органу також повинна проводитися в ході підготовки законодавчих та регуляторних заходів, що передбачають обробку даних для забезпечення відповідності запланованої обробки цьому Регламенту і, зокрема, зменшенню ризику для суб’єктів даних.
(97)
У випадку, якщо обробка персональних даних здійснюється органом державної влади, за винятком судів або незалежних судових органів, що діють в межах своїх суддівських повноважень, якщо в приватному секторі здійснюється володільцем, цільова діяльність якого полягає в обробці, що вимагає регулярного та систематичного моніторингу суб’єктів даних, або якщо цільова діяльність володільця або особи, що обробляє дані, полягає в масштабній обробці спеціальних категорій персональних даних та даних, що пов’язаних з кримінальними судимостями та злочинами, особа, що має експертні знання в сфері законодавства та практик щодо захисту персональних даних, повинна сприяти володільцю чи особі, що обробляє дані, при моніторингу внутрішнього дотримання цього Регламенту.
В приватному секторі цільова діяльність володільця відноситься до його основної діяльності і не відноситься до обробки персональних даних як допоміжний вид діяльності. Необхідний рівень експертних знань повинен визначатися, зокрема, відповідно до здійсненої обробки даних та захисту персональних даних, що вимагається, від володільця чи особи, що обробляє персональні дані. Інспектори з питань захисту персональних даних, незалежно від того чи є вони працівниками володільця даних, повинні бути спроможними незалежно виконувати свої обов’язки та реалізовувати свої завдання. (98)
Об’єднання або інші органи, що представляють певні категорії володільців даних або осіб, які обробляють персональні дані, можуть в межах цього Регламенту розробляти норми поведінки для того, щоб сприяти ефективному застосуванню цього Регламенту, при цьому необхідно враховувати характеристики обробки, що здійснюється в певних секторах, та специфічні потреби мікропідприємств, малих та середніх підприємств. Зокрема, зазначені норми поведінки можуть точно визначати зобов’язання володільців та осіб, що обробляють персональні дані, з урахуванням ризику для прав та свобод фізичних осіб в результаті обробки.
(99)
При розробці норм поведінки, при вимірюванні або розширенні норм об’єднання та інші органи, що представляють певні категорії володільців чи осіб, що обробляють персональні дані, повинні проконсультуватися з відповідними учасниками, і за можливості з суб’єктами персональних даних, і врахувати отримані при цьому висновки та думки.
(100)
Для того, щоб підвищити прозорість та покращити дотримання цього Регламенту, необхідно сприяти встановленню сертифікаційних механізмів, а також печаток та маркувальних знаків про захист даних, які позволяють суб’єктам персональних даних швидко оцінити рівень захисту даних при отриманні відповідних товарів та послуг.
(101)
Потоки даних до третіх країн та міжнародних організацій, а також з третіх країн і міжнародних організацій, необхідні для розширення зовнішньої торгівлі та міжнародного співробітництва. Зазначення об’ємів таких потоків призвело до нових викликів та вимог, пов’язаних із захистом персональних даних. Проте, якщо персональні дані передаються з Союзу володільцям чи особам, що обробляють персональні дані або іншим отримувачем до третіх країн або міжнародних організацій, рівень захисту фізичних осіб, що гарантується в Союзі цим Регламентом, не повинен бути ослаблений, в тому числі у випадку передачі персональних даних з третьої країни або міжнародної організації володільцям чи особам, що обробляють персональні дані в тій же самій або іншій третій країні або міжнародній організації. В будь-якому випадку передача даних третім країнам та міжнародним організаціям може здійснюватися тільки за повного дотримання положень цього Регламенту. Передача може здійснюватися тільки якщо у відповідності до інших положень цього Регламенту, володілець чи особа, що обробляє персональні дані, виконує умови, встановлені в положеннях цього Регламенту щодо передачі персональних даних до третіх країн або міжнародних організацій.
(102)
Цей Регламент не перешкоджає міжнародним відношенням між Союзом та третіми країнами щодо передачі персональних даних, включаючи відповідні гарантії для суб’єктів персональних даних. Держави-члени ЄС можуть укладати міжнародні угоди, що стосуються передачі персональних даних до третіх країн та міжнародних організацій, оскільки такі угоди не впливають на цей Регламент або на інші положення законодавства Союзу та включають в себе відповідний рівень захисту основних прав суб’єктів персональних даних.
(103)
Європейська Комісія може ухвалити діюче для всього Союзу рішення стосовно того, що третя країна, територія або певний сектор в третій країні або міжнародна організація гарантує відповідний рівень захисту даних, таким чином забезпечується юридична визначеність та одноманітність на території Союзу у відношенні третіх країн або міжнародної організації, що гарантує зазначений рівень захисту. У зазначених випадках передача персональних даних третій країні або міжнародній організації може
здійснюватися без отримання дозволу. Європейська Комісія може також відміняти таке рішення і повідомляти про це третю країну або міжнародну організацію із зазначенням причин. (104)
У відповідності до основоположних цінностей Союзу, до яких зокрема відноситься захист прав людини, Європейська Комісія при оцінці третьої країни або території або певного сектору в третій країні повинна враховувати те, яким чином третя країна дотримується принципів правової держави, забезпечує доступність правосуддя, а також виконує норми та стандарти міжнародного права в сфері прав людини, основного і секторального законодавства, включаючи законодавство щодо громадської безпеки, оборони та внутрішньої безпеки, а також громадський порядок та кримінальне законодавство. При ухваленні рішення про відповідність територій або певного сектору в третій країні необхідно враховувати чіткі та об’єктивні критерії, наприклад певний вид обробки та сферу застосування правових стандартів, а також діючого в третій країні законодавства. Третя країна повинна надати гарантії щодо забезпечення відповідного рівня захисту, який еквівалентний рівню, що гарантується в Союзі, особливо якщо персональні дані обробляються в одному або декількох особливих секторах. Зокрема, третя країна повинна гарантувати ефективний та незалежний моніторинг захисту даних та повинна передбачати механізми співробітництва з органами держав-членів ЄС з питань захисту персональних даних, а суб’єктам персональних даних повинні бути надані ефективні права та ефективні адміністративні та судові засоби захисту, що забезпечені на законодавчому рівні.
(105)
Одночасно з міжнародним зобов’язаннями, які прийняла на себе третя каїна або міжнародна організація, Європейська Комісія повинна враховувати обставини, що виникають внаслідок участі третьої країни або міжнародної організації в багатосторонніх або регіональних системах, зокрема, щодо захисту персональних даних, також імплементацію зазначених обставин. Зокрема, необхідно враховувати приєднання третьої країни до Конвенції Ради Європи від 28 січня 1981 року про захист фізичних осіб при автоматизованій обробці персональних даних та її додатковому протоколу. Європейська Комісія повинна проконсультуватися з Радою при оцінці рівня захисту в третіх країнах або міжнародних організаціях.
(106)
Європейська Комісія повинна контролювати дотримання рішень про рівень захисту в третій країні, території або певному секторі в третій країні або в міжнародній організації, а також контролювати дотримання рішень, ухвалених на основі Статті 25(6) або Статті 26(4) Директиви 95/46/ЄС. В своїх рішеннях щодо відповідності Європейська Комісія повинна передбачити механізм періодичної перевірки їх дотримання. періодична перевірка повинна провадитися за узгодженням з третьою країною або міжнародною організацією та враховувати всі відповідні зміни в третій країні або міжнародній організації в цілях контролю та здійснення періодичних перевірок. Європейська Комісія повинна враховувати думки та зауваження Європейського Парламенту та Ради ЄС, а також всіх інших відповідних органів та джерел. Європейська Комісія в прийнятний строк повинна оцінити дотримання зазначених рішень та направити звіт з усіма відповідними висновками Комітету відповідно до Регламенту (ЄС) 182/2011 Європейського Парламенту та Ради ЄС17 у встановленому відповідно до цього Регламенту порядку, а також Європейському Парламенту та Раді ЄС.
(107)
Європейська Комісія може визнати, що третя країна, територія або певний сектор в третій країні або міжнародна організація більше не гарантують відповідний рівень захист уданих. Тому передача даних зазначеній третій країні або міжнародній організації повинна бути заборонена крім випадків, коли дотримуються вимоги цього Регламенту щодо передачі даних у відповідності до необхідних гарантій, включаючи юридично зобов’язуючі корпоративні правила, і часткові відступи від певних ситуацій. У вказаному випадку
17
Регламент (ЄС) 182Ї2011 Європейського Парламенту та Ради ЄС від 16 лютого 2011 року, що встановлює правила та загальні принципи механізмів контролю з боку держав-членів ЄС за здійсненням Європейською Комісією імплементацій них повноважень (ОЖ N L 55, 28.02.2011, сторю13)
необхідно передбачити консультації між Європейською Комісією та зазначеними третіми країнами або міжнародними організаціями. Європейська Комісія своєчасно повинна проінформувати третю країну або міжнародну організацію про причини та розпочати консультації для усунення ускладнень, що виникли. (108)
За відсутності рішення про відповідність володілець чи особа, що обробляє персональні дані, повинні вжити заходів для усунення недоліку в захисті даних в третій країні через відповідні гарантії для суб’єкта персональних даних. Зазначені відповідні гарантії можуть включати в себе використання корпоративних правил, які є юридично зобов’язуючими, встановлені Європейською Комісією стандартні умови захисту даних, встановлені наглядовим органом стандартних умов для захисту даних або договірні умови, що дозволені наглядовим органом. Зазначені гарантії повинні включати дотримання вимог із захисту даних і прав суб’єкта персональних даних, пов’язані з обробкою персональних даних в Союзі, включаючи забезпечення прав суб’єкта даних та доступність ефективних засобів правового захисту, в тому числі права на отримання ефективної адміністративної та судової допомоги та отримання компенсації в Союзі або в третій країні. Вони повинні відноситися, зокрема до дотримання загальних принципів щодо обробки персональних даних, принципів запланованого захисту даних або захисту даних за замовчуванням. Передача даних може також здійснюватися органами державної влади або закладами спільно з органами державної влади чи закладами в третіх країнах або з міжнародними організаціями, що мають відповідні зобов’язанні або завдання, в тому числі на основі повноважень, що повинні бути внесені до адміністративних угод, наприклад протокол про взаємну допомогу, з урахуванням забезпечених законодавством та ефективних прав для суб’єктів даних. Дозвіл компетентного органу нагляду повинен бути отриманий, якщо такі гарантії передбачені в адміністративних угодах, що не мають обов’язкової юридичної сили.
(109)
Можливості володільця чи особи, що обробляє дані, щодо використання стандартних умов для захисту даних, які затверджені Європейською Комісією або наглядовим органом, не повинна володільцям або особам, що обробляють персональні дані, включати стандартні умови для захисту даних до розширеної угоди, наприклад, угода між особою, що обробляє персональні дані та іншою особою, що обробляє персональні дані, а також додавати інші умови або додаткові гарантії, за умови, що вони безпосередньо або опосередковано не суперечать стандартним умовам договору, що затверджені Європейською Комісією або наглядовим органом, або не спричиняє перешкод основним правам та свободам суб’єкта персональних даних. Володільці або особи, що обробляють персональні дані, можуть передбачати додаткові гарантії через відповідні договірні зобов’язання, які доповнюють стандартні умови захисту.
(110)
Група підприємств або група компаній, що приймають участь в спільній економічній діяльності, повинна мати можливість використовувати затверджені обов’язкові корпоративні правила для міжнародної передачі своїх даних з Союзу організаціям в межах тієї ж групи підприємств або групи компаній, що приймають участь у спільній економічній діяльності, за умови, що зазначені корпоративні правила включають в себе всі суттєві принципи та захищені законодавством права для забезпечення відповідних гарантій передачі або категорій передачі персональних даних.
(111)
За певних умов необхідно передбачити можливість передачі даних, якщо суб’єкт персональних даних надав свою пряму згоду, якщо передача носить періодичний характер та необхідна в межах угоди або судового позову, незалежно від того, чи відбувається це в межах судової процедури, адміністративної або позасудової процедури, включаючи процедуру розгляду регуляторними органами також необхідно передбачити можливість передачі даних, якщо це необхідно по важливим причинам суспільного інтересу відповідно до законодавства Союзу або держави-члена ЄС або якщо передача здійснюється з визначеного законодавством реєстру та призначена для ознайомлення громадськості або осіб, що мають законний інтерес. В останньому зазначеному випадку така передача не повинна стосуватися всіх персональних даних або категорій даних, що містяться в реєстрі, а, якщо реєстр призначений для ознайомлення осіб, що мають законний інтерес, передача
повинна здійснюватися тільки за запитами зазначених осіб або, якщо вони є отримувачами даних, необхідно повністю враховувати інтереси та основні права суб’єкта персональних даних. (112)
Зазначені часткові відступи, зокрема, повинні застосовуватися стосовно передачі даних, які необхідні по важливим причинам суспільного інтересу, наприклад, у випадку міжнародного обміну даними між антимонопольними, податковими та митними органами, між органами фінансового нагляду, між службами, що відповідають за соціальне забезпечення або громадську охорону здоров’я, наприклад, у випадку відслідковування контакту при інфекційних захворюваннях або в цілях скорочення та/або виключення допінгу в спорті. Передача персональних даних також вважається законною, якщо вона необхідна для захисту інтересу, який має суттєве значення для життєво важливих інтересів суб’єкта персональних даних або іншої особи, включаючи фізичну недоторканість або життя, якщо суб’єкт даних не в змозі надати свою згоду. За відсутності рішення щодо відповідності законодавство Союзу або держави-члена ЄС може по важливим причинам суспільного інтересу прямо обмежити передачу особливих категорій даних третій країні або міжнародній організації. Держави-члени ЄС повинні повідомляти про такі положення Європейську Комісію. Будь-яка передача міжнародній гуманітарній організації персональних даних суб’єкта даних, який фізично або юридично не в змозі дати свою згоду, для виконання завдань Женевської Конвенції, або в цілях дотримання міжнародного гуманітарного права, що застосовується в період збройних конфліктів, може розглядатися як необхідна, зважаючи на важливі причини суспільного інтересу або в наслідок того, що вона відноситься до життєво важливих інтересів суб’єкта персональних даних.
(113)
Передача даних, яка може бути кваліфікована як така, що не повторюється і яка стосується тільки обмеженої кількості суб’єктів даних, також може бути можлива в цілях дотримання законних інтересів володільця персональних даних, якщо ці інтереси не переважають над інтересами або правами та свободами суб’єкта даних та якщо володілець даних перевірив всі зобов’язання, які пов’язані з передачею даних. Володілець даних повинен приділяти особливу увагу характеру персональних даних, меті та тривалості запланованої обробки даних, а також ситуації в країні, де здійснюється обробка даних, третій країні або країні кінцевого адресата, а також повинен передбачати прийнятні гарантії для захисту основних прав та свобод фізичних осіб при обробці персональних даних. Зазначена передача даних можлива в інших випадках тільки коли не застосовуються інші підстави для передачі даних. В цілях наукового або історичного дослідження або в статистичних цілях слід враховувати правомірні очікування суспільства щодо розширення знань. Володілець даних повинен проінформувати наглядовий орган та суб’єкта персональних даних про передачу даних.
(114)
В будь-якому випадку, якщо Європейська Комісія не ухвалила рішення щодо відповідного рівня захисту даних в третій країні, володілець чи особа, що обробляє персональні дані, повинні використовувати рішення, що надає суб’єктам персональних даних надавати реалізуємі та ефективні права щодо обробки їх персональних даних в Союзі після передачі таких даних для того, щоб вони мали змогу і надалі використовувати основні права та гарантії.
(115)
Деякі треті країни ухвалюють законодавчі, регламентуючі та інші правові акти, які призначені для безпосереднього регулювання діяльності, пов’язаної з обробкою персональних даних фізичних та юридичних осіб, що підпадають під юрисдикцію державчленів ЄС. Це може включати в себе вироки суду або трибуналів або рішення адміністративних органів в третіх країнах, що вимагають від володільця або особи, що обробляє персональні дані передачі або розкриття персональних даних і які основуються на діючих міжнародних угодах, наприклад, угоди про взаємну правову допомогу між третьою країною, що потребує передачі даних та Союзом або державою-членом ЄС. Екстериторіальне застосування зазначених законодавчих, регламентуючих та інших правових актів може порушувати міжнародне право і може перешкоджати захисту фізичних осіб, що є гарантованим в Союзі цим Регламентом. Передача даних повинна
дозволятися тільки, якщо виконуються умови цього Регламенту щодо передачі даних третім країнам. Це, inter alia, може бути випадком, коли розголошення є необхідним по причині важливого суспільного інтересу, що визнаний законодавством Союзу або державичлена ЄС, під дію якого підпадає володілець даних. (116)
Якщо персональні дані переміщуються за межі Союзу, це може призвести до підвищеного ризику спроможність фізичних осіб реалізовувати права на захист даних, зокрема, захистити себе від незаконного використання або розголошення інформації. В той же час наглядові органи можуть бути не в змозі розглянути скаргу або провести розслідування стосовно діяльності, яка здійснюється за межами кордонів їх держав-членів ЄС. Їхні спроби співробітничати в транскордонному контексті також можуть бути ускладнені недостатніми превентивними або коригувальними повноваженнями, що суперечать правовим режимам і практичним перепонам, наприклад, обмеженням на ресурси. Внаслідок цього існує необхідність сприяти тісній взаємодії між наглядовими органами з питань захисту персональних даних для того, щоб вони мали можливість обмінюватися інформацією та проводити розслідування з наглядовими органами інших держав. Для розробки механізмів міжнародного співробітництва з метою сприяння та забезпечення міжнародної взаємної допомоги при виконанні законодавства в сфері захисту персональних даних Європейська Комісія та наглядові органи повинні обмінюватися інформацією та співробітничати в межах діяльності, що пов’язана з реалізацією повноважень, з компетентними органами в третіх країнах на основі взаємності і відповідно до цього Регламенту.
(117)
Заклади наглядових органів в державах-членах ЄС, які уповноважені на цілковито незалежне виконання своїх завдань та реалізацію своїх повноважень, Регламенту (ЄС) 182/2011 Європейського Парламенту та Ради ЄС, є важливим компонентом захисту фізичних осіб при обробці їх персональних даних. Держави-члени ЄС повинні мати можливість засновувати більше ніж один наглядовий орган, якщо відповідає їх конституційній, організаційній та адміністративній структурі.
(118)
Незалежність наглядових органів не означає, що вони не можуть підпадати під контроль або моніторинг щодо своїх фінансових витрат або судового нагляду.
(119)
У випадку якщо держава-член ЄС засновує більше ніж один наглядовий орган, він повинен на законодавчому рівні встановити механізми для забезпечення ефективної участі таких наглядових органів в межах механізму співставлення. Така держава-член ЄС повинна, зокрема, призначати наглядовий орган, який буде функціонувати як єдиний контактний центр для ефективної участі зазначених органів в механізмі і для забезпечення швидкого та безперебійного співробітництва з іншими наглядовими органами, Радою та Європейською Комісією.
(120)
На законодавчому рівні в кожній державі-члені ЄС необхідно встановити загальні умови для члена або членів наглядового органу, вони повинні, зокрема передбачати, що зазначені члени призначаються через прозорі процедури або парламентом, урядом або главою держави-члена ЄС на основі пропозицій уряду, члена уряду, парламенту або палати парламенту або незалежним наглядовим органом, який уповноважений відповідно до законодавства держави-члена ЄС. Для того, щоб гарантувати незалежність наглядового органу член або члени повинні діяти сумлінно, утримуватися від будь-яких дій, несумісних з їхніми завданнями, і не повинні протягом дії повноважень приймати участь в будь-якій оплатній чи безоплатній діяльності. Наглядовий орган повинен мати власний персонал, який обирається наглядовим органом або незалежним органом, що заснований відповідно до законодавства держави-члена ЄС, і який знаходиться у підпорядкуванні члена або членів наглядового органу.
(122)
Кожний наглядовий орган повинен бути компетентним на території своєї власної державичлена ЄС та здійснювати повноваження і виконувати завдання, що покладені на нього у відповідності до цього Регламенту. Зокрема, це стосується обробки в межах діяльності
закладу володільця чи особи, що обробляє персональні дані, на території його державичлена ЄС, обробки персональних даних органами державної влади або приватними організаціями, що діють в суспільних інтересах, обробки, яка стосується суб’єктів персональних даних на його території, або обробки даних володільцем чи особою, що обробляє дані, які не засновані в Союзу, якщо метою такої обробки є суб’єкти персональних даних, що проживають на його території. Це також включає в себе обробку скарг, що подаються суб’єктом персональних даних, проведенні розслідувань щодо застосування цього Регламенту, а також сприяння інформованості суспільства про ризики, норми, гарантії та права щодо обробки персональних даних. (123)
Наглядові органи повинні гарантувати застосування положень цього Регламенту та сприяти їх узгодженому застосуванню на території Союзу для захисту фізичних осіб при обробці їх персональних даних і для сприяння вільному обігу персональних даних на внутрішньому ринку. Для зазначеної цілі наглядові органи повинні співробітничати один з одним та з Європейською Комісією, при цьому угоди між державами-членами ЄС про надання взаємної допомоги або про таке співробітництво можуть не укладатися.
(124)
У випадку якщо обробка персональних даних здійснюється в рамках діяльності закладів володільця або особи, що обробляє персональні дані, в Союзі, і володілець чи особа, що обробляє персональні дані, засновані в декількох державах-членах ЄС, або якщо обробка, що здійснюється в межах діяльності єдиного закладу володільця чи особи, що обробляє персональні дані, в Союзі, суттєво впливає або може суттєво впливати на суб’єктів персональних даних в декількох державах-членах ЄС, наглядовий орган у відношенні основного закладу володільця чи особи, що обробляє персональні дані або у відношенні до єдиного закладу володільця чи особи, що обробляє персональні дані, повинен виступати в ролі головного органу. Він повинен співробітничати з іншими відповідними органами в наслідок того, що заклад володільця чи особи, що обробляє персональні дані, знаходиться на території їх держави-члена ЄС, що на суб’єктів персональних даних, які проживають на їх території, суттєво впливає, або що ним була подана скарга. Також, якщо суб’єкт даних, який не проживає у зазначеній державі-члені ЄС, подав скаргу, наглядовий орган, до якого була подана скарга, повинен також бути відповідним наглядовим органом. В межах своїх завдань щодо видання керівних вказівок з будь-якого питання, що стосується застосування цього Регламенту, Рада повинна мати можливість видавати вказівки, зокрема щодо критеріїв, які повинні враховуватися для того, щоб переконатися чи впливає його обробка на суб’єктів персональних даних в декількох державах-членах ЄС, а також стосовно того, що представляє собою суттєве та мотивоване заперечування.
(125)
Головний орган повинен бути в змозі приймати юридично обов’язкові рішення щодо заходів, через які реалізовуються повноваження, що надані йому у відповідності до цього Регламенту. В статусі головного органу наглядовий орган повинен сприяти залученню наглядових органів до участі в процесі прийняття рішень, а також їх координації. Якщо ухвалюється рішення щодо цілковитого чи часткового відхилення скарги суб’єкта персональних даних, таке рішення повинно бути ухвалене наглядовим органом, до якого була подана скарга.
(126)
Рішення повинно бути узгоджено головним наглядовим органом та відповідними наглядовими органами і також повинно адресуватися основному або єдиному закладу володільця чи особи, що обробляє персональні дані, і мати обов’язкову для виконання силу для володільців чи осіб, що обробляють персональні дані. Володілець чи особа, що обробляє персональні дані, повинні застосовувати необхідні заходи для забезпечення дотримання цього Регламенту і для імплементації рішень, про які головний наглядовий орган повідомив основний заклад володільця чи особи, що обробляє персональні дані, щодо обробки таких даних в Союзі.
(127)
Кожний наглядовий орган, що не є головним наглядовим органом, повинен мати право на розгляд часткових випадків, якщо володілець чи особа, що обробляє персональні дані, засновані в декількох державах-членах ЄС, але предмет особливої обробки стосується
тільки обробки, що здійснюється в одній державі-члені ЄС, і обробляються персональні дані тільки суб’єктів даних у цій державі-члені ЄС, наприклад, якщо предмет розгляду стосується обробки персональних даних працівників при виконанні ними особливих обов’язків держави-члена ЄС. У зазначених випадках наглядовий орган негайно повинен проінформувати головний наглядовий орган про такі обставини. Після отримання відповідної інформації головний наглядовий орган повинен вирішити, чи буде він розглядати справу у відповідності до положення про співробітництво між головним наглядовим та іншими відповідними органами («механізм співробітництва та співставлення») або наглядовий орган, який його проінформував, повинен розглянути справу на місцевому рівні. При вирішенні питання щодо розгляду справи головний наглядовий орган повинен врахувати, чи знаходиться заклад володільця чи особи, що обробляє персональні дані, з метою гарантування ефективного виконання рішення стосовно володільця чи особи, що обробляє персональні дані. Якщо головний наглядовий орган вирішує розглядати справу, наглядовий орган, який його проінформував, повинен мати можливість надати проект рішення, який головний наглядовий орган повинен прийняти до уваги при підготовці свого проекту рішення в рамках механізму співробітництва та співставлення. (128)
Положення про головний наглядовий орган та про механізм співробітництва та порівняння не повинні застосовуватися, якщо обробка персональних даних здійснюється органами державної влади або приватними організаціями в сфері суспільного інтересу. У зазначених випадках єдиним наглядовим органом, компетентним здійснювати повноваження, які йому надані у відповідності до цього Регламенту, повинен бути наглядовий орган держави-члена ЄС, в якій заснований орган державної влади або приватна організація.
(129)
Для того, щоб забезпечити узгоджений моніторинг та виконання цього Регламенту в Союзі, наглядовий орган в кожній державі-члені ЄС повинен мати однакові завдання та здійснювати ефективні повноваження, в тому числі слідчі та коригувальні повноваження, санкційні повноваження, дозвільні та консультативні повноваження, зокрема, у випадку скарг фізичних осіб, і без перешкод повноваженням органам кримінального переслідування згідно законодавства держави-члена ЄС довести до відома судових органів факт порушення цього Регламенту та приймати участь в судовому процесі. Зазначені повноваження повинні включати в себе повноваження щодо встановлення тимчасового або остаточного обмеження на обробку, в тому числі заборону. Держави-члени ЄС можуть визначати інші завдання, пов’язані з захистом персональних даних, відповідно до цього Регламенту. Повноваження наглядових органів повинні визначатися неупереджено, справедливо та в розумний термін відповідно до процесуальних гарантій, які встановлені в законодавстві Союзу або держави-члена ЄС. Зокрема, кожна міра повинна бути відповідною, необхідною та пропорційною з урахуванням гарантій дотримання цього Регламенту, враховуючи обставини кожної окремої справи, повинна дотримуватися прав кожної особи бути вислуханим до вжиття відповідних заходів, що може негативно вплинути на нього, і не повинна призводити до зайвих витрат та надмірних перешкод для відповідної особи. Слідчі повноваження щодо доступу до приміщень повинні реалізовуватися відповідно до спеціальних вимог в процесуальному законодавстві держави-члена ЄС, наприклад вимога на отримання попереднього судового дозволу. Кожний юридично зобов’язуючий захід наглядового органу повинний бути оформлений в письмовій формі, повинен бути чітким та недвозначний, зазначати наглядовий орган, який вжив заходів, дату вжиття заходу, підпис керівника або уповноваженого ним члена наглядового органу, причини вжиття заходів та посилання на право щодо ефективного засобу правового захисту. Це не повинно виключати додаткові вимоги відповідно до процесуального законодавства держави-члена ЄС. Ухвалене юридично зобов’язуюче рішення передбачає, що якщо воно може бути підставою для судового перегляду в державі-члені ЄС наглядового органу, який ухвалив рішення.
(130)
У випадку, якщо наглядовий орган, до якого була подана скарга, не є головним наглядовим органом, головний наглядовий орган повинен тісно співробітничати з наглядовим органом, до якого була подана скарга, відповідно до положення про співробітництво і співставлення,
які встановлені в цьому Регламенту. У зазначених випадках головний наглядовий орган при вжитті заходів, які повинні мати юридичні наслідки, включаючи накладання адміністративних штрафів, повинен врахувати думку наглядового органу, до якого була подана скарга і який повинен залишатися компетентним при проведенні розслідування на території його власної держави-члена ЄС спільно з компетентним наглядовим органом. (131)
У випадку якщо інший наглядовий орган повинен виступати як головний наглядовий орган стосовно обробки володільця або особи, що обробляє персональні дані, але конкретний предмет скарги або ймовірне порушення стосується тільки обробки володільця чи особи, що обробляє персональні дані в державі-члені ЄС, в якій скарга була подана або було виявлено ймовірне порушення, і обставини справи суттєво не впливають або не повинні впливати на суб’єктів даних в інших державах-членах ЄС, наглядовий орган, до якого подається скарга або який встановив або іншим чином був проінформований про обставини, що призводять до ймовірних порушень цього Регламенту, повинен докладати зусиль для мирного врегулювання спору з володільцем та, якщо це буде безрезультатним, повинен використовувати всіх свої повноваження. Це повинно включати в себе наступне: особливу обробку на території держави-члена ЄС наглядового органу або щодо суб’єктів персональних даних на території зазначеної держави-члена ЄС; обробку в межах пропозиції товарів або послуг, що призначені для суб’єктів персональних даних на території держав-членів ЄС наглядового органу; або обробку, яка повинна бути оцінена з урахуванням відповідних правових зобов’язань відповідно до законодавства державичлена ЄС.
(132)
Заходи наглядового органу, спрямовані на підвищення обізнаності населення повинні включати в себе спеціальні заходи щодо діяльності володільців чи осіб, що обробляють персональні дані, включаючи мікропідприємства, малі та середні підприємства, а також фізичних осіб, зокрема в сфері освіти.
(133)
Наглядові органи повинні підтримувати один одного при виконанні своїх завдань і надавати взаємну допомогу, щоб забезпечити узгоджене застосування та виконання цього Регламенту на внутрішньому ринку. Наглядовий орган, який запросив надання взаємної допомоги, може ухвалити тимчасове рішення, якщо він не отримає відповідь на свій запит про взаємну допомогу протягом одного місяця після отримання зазначеного запиту іншим наглядовим органом.
(134)
Кожний наглядовий орган повинен, за необхідності, приймати участь в спільній діяльності з іншими наглядовими органами. Запитуваний наглядовий орган зобов’язаний відповісти на запит протягом визначеного терміну.
(135)
Для забезпечення узгодженого застосування цього Регламенту на території Союзу необхідно встановити механізм співставлення для співробітництва між наглядовими органами. Зазначений механізм, зокрема, повинен застосовуватися, якщо наглядовий орган має намір вжити заходів для виникнення юридичних наслідків стосовно процесу обробки, який суттєво впливає на визначену кількість суб’єктів персональних даних в декількох державах-членах ЄС. Він також повинен застосовуватися, якщо відповідний наглядовий орган або Європейська Комісія запитують розгляд цього питання в рамках механізму співставлення. Зазначений механізм повинен діяти без перешкод будь-яким заходам, які Європейська Комісія може ухвалити при здійсненні своїх повноважень відповідно до Договору.
(136)
При застосуванні механізму співставлення Рада протягом певного проміжку часу повинна надати висновок, якщо так вирішує більшість його членів або якщо такий запит зробив будь-який відповідний наглядовий орган або Європейська Комісія. Рада повинна також мати повноваження на прийняття юридично обов’язкових рішень, якщо існують суперечності між наглядовими органами. Для цього в чітко визначених випадках він більшістю в дві третини голосів своїх членів повинен ухвалити юридично обов’язкові рішення, якщо між головним наглядовим органом та відповідним наглядовим органом
існують протиріччя по суті справи, зокрема, з питань порушення цього Регламенту. (137)
Може існувати гостра необхідність для захисту прав та свобод суб’єктів персональних даних, зокрема, якщо є ризик того, що реалізація права суб’єкта даних може бути ускладнена. Внаслідок цього наглядовий орган повинен мати можливість прийняти належним чином обґрунтований тимчасовий захід на своїй території з певним терміном дії, що не повинен бути більше ніж три місяці.
(138)
Застосування зазначеного механізму у випадках, коли він є обов’язковим,повинно бути умовою законності заходів наглядового органу, що призводить до юридичних наслідків. В інших випадках транскордонної обґрунтованості повинен застосовуватися механізм співробітництва між головним наглядовим органом та відповідними наглядовими органами; відповідні наглядові органи можуть на двосторонній або багатосторонній основі надавати взаємну допомогу та здійснювати спільні дії без використання механізму співставлення.
(139)
В цілях сприяння узгодженому застосуванню цього Регламенту Рада повинна бути заснована як незалежний орган Союзу. Для досягнення своєї цілі Рада повинна мати правосуб’єктність. Рада повинна представлятися Президією. Вона замінює Робочу групу по захисту фізичних осіб при обробці персональних даних, яка була заснована Директивою 95/46/ЄС. Вона повинна включати в себе керівника наглядового органу кожної державичлена ЄС та Європейського інспектора з питань захисту персональних даних або їхніх представників. Європейська Комісія повинна приймати участь в діяльності Р ади без права голосу. Європейський інспектор з питань захисту персональних даних повинен мати спеціальне право голосу. Рада повинна сприяти узгодженому застосуванню цього Регламенту в Союзі, в тому числі через консультування Європейською Комісією, зокрема, щодо рівня захисту в третіх країнах або міжнародних організаціях, а також через сприяння співробітництву наглядових органів в Союзі. Рада повинна діяти незалежно при виконанні своїх завдань.
(140)
Раді сприяє Секретаріат, який забезпечується Європейським інспектором з питань захисту персональних даних. Персонал Європейського інспектора з питань захисту персональних даних, який приймає участь в реалізації завдань, що покладені на Раду відповідно до цього Регламенту, повинен виконувати свої завдання тільки відповідно до вказівок Президії Ради, він також повинен надавати йому звіти.
(141)
Кожний суб’єкт персональних даних має право на подання скарги в один наглядовий орган, зокрема, в державі-члені ЄС місця свого проживання, і правом на ефективний засіб судового захисту, відповідно до Статті 47 Хартії, якщо суб’єкт даних вважає, що його права згідно цього Регламенту порушені, або якщо наглядовий орган не вживає заходів щодо скарги повністю або частково відхиляє скаргу або відмовляє у її задоволенні або не діє, якщо такий захід необхідний для захисту прав суб’єкта даних. На основі скарги необхідно провести розслідування відповідно до судового перегляду в тій мірі, в якій це є необхідним в особливих випадках. Наглядовий орган у прийнятний термін повинен проінформувати суб’єкта даних про хід та результати розгляду скарги. Якщо справа вимагає подальшого розслідування або співробітництва з іншим наглядовим органом, суб’єкту даних повинна бути надана проміжна інформація. Для сприяння розгляду скарги кожний наглядовий орган повинен застосовувати таких заходів, як представлення форми скарги, яка може бути заповнена електронним способом, не виключаючи інших засобів зв’язку.
(142)
У випадку якщо суб’єкт даних вважає,що його права відповідно до цього Регламенту порушені, він має право передати некомерційному органу, організації чи об’єднанню, які були засновані відповідно до законодавства держави-члена ЄС, мають уставні завдання в сфері суспільного інтересу, а також здійснюють діяльність в сфері захисту персональних даних, право подавати до наглядового органу скаргу від його імені, реалізовувати право на судовий захист від імені субота даних або у випадках, передбачених законодавством
держави-члена ЄС, реалізовувати право на отримання компенсації від його імені суб’єктами персональних даних. Держава-член ЄС може передбачати, що будь-який такий орган, організація чи об’єднання, незалежно від доручення суб’єкта персональних даних, має право подавати у зазначеній державі-члені ЄС скаргу та мати право на ефективний засіб судового захисту, якщо він вважає, що права суб’єктів персональних даних були порушені в результаті обробки даних, яка порушує цей Регламент. Зазначеному органу, організації або об’єднанню можна заборонити вимагати компенсацію від імені суб’єкта даних, незалежно від доручення суб’єкта даних. (143)
Будь-яка фізична чи юридична особа має право на порушення судового процесу про анулювання рішень Ради відповідно до умов, передбачених в Статті 263 TFEU. В якості адресатів таких рішень відповідні наглядові органи, які бажають їх оскаржувати, повинні пред’являти позов на протязі двох місяців з моменту отримання повідомлення щодо зазначених рішень у відповідності до Статті 262 TFEU. Якщо рішення Ради стосується безпосередньо і персонально володільця персональних даних, що обробляє дані, або заявника, зазначені особи можуть порушувати судовий процес про анулювання таких рішень на протязі двох місяців після їх опублікування на інтернет-сайті Ради відповідно до Статті 263 TFEU. Без перешкоджання зазначеному праву відповідно до Статті 263 TFEU кожна фізична або юридична особа має право на ефективний засіб захисту в компетентному національному суді щодо рішень наглядового органу, яке призводить до юридичних наслідків стосовно зазначеної особи. Зазначене рішення стосується, зокрема, слідчих, коригувальних та дозвільних повноважень, що здійснюються наглядовими органами або відхилення скарги або відмови у її задоволенні. Проте, право на ефективний засіб судового захисту не включає в себе прийняті наглядовим органом заходи, які не є юридично обов’язковими, наприклад, його висновок або рекомендації. Судове провадження стосовно наглядового органу повинно порушуватися в судах держав-членів ЄС, в яких заснований наглядовий орган, і повинно здійснюватися відповідно до процесуального законодавства такої держави-члена ЄС. Зазначені суди повинні здійснювати юрисдикцію, що повинна включати в себе повноваження на вивченні всіх питань факту і права, що відносяться до спору, який ними розглядається. Якщо наглядовий орган відхиляє скаргу або відмовляє в задоволенні, заявник може порушити провадження в судах тієї ж самої держави-члена ЄС. В контексті судового захисту прав щодо застосування цього Регламенту національні суди, які вважають, що для винесення судового рішення їм необхідно рішення з цього питання, можуть або, у випадку, що передбачений Статтею 267 TFEU, повинні запросити Європейський суд про винесення попередньої постанови про тлумачення законодавства Союзу, в тому числі цього Регламенту. Також, якщо рішення наглядового органу, що імплементує рішення Ради, заперечується в національному суді і дійсність рішення Ради є суперечливим, зазначений національний суд не має повноваженнями визначати рішення Ради недійсним, але повинен передати питання про дійсність Європейському суду відповідно до Статті 267 TFEU в тлумачення Європейського суду, якщо він вважає рішення недійсним. Проте, національний суд може не передавати питання про дійсність рішень Ради за запитом фізичної або юридичної особи, яка мала можливість порушити провадження щодо анулювання зазначеного рішення, зокрема, якщо зазначене рішення безпосередньо і персонально стосується його, але не було зроблено в строк, визначений Статтею 263 TFEU.
(144)
У випадку якщо суд, який почав провадження проти рішення наглядового органу, має підстави вважати, що провадження, що стосується тієї ж самої обробки, наприклад, того ж самого предмету розгляду щодо обробки одним і тим же володільцем або особою, що обробляє персональні дані, або ті ж самі підстави для позову, порушено в компетентному суді в іншій державі-члені ЄС, він повинен зв’язатися із зазначеним судом для того, щоб підтвердити існування зазначеного відповідного провадження. Якщо відповідне провадження розглядається в суді іншої держави-члена ЄС, будь-який суд, що розглядає справу пізніше, може призупинити провадження по справі або по заяві однієї із сторін відмовити від юрисдикції на користь суду, який почав розгляд справи, якщо зазначений суд уповноважений розглядати зазначені справи і його законодавство дозволяє об’єднання відповідних проваджень. Провадження вважаються суміжними, якщо вони настільки тісно
пов’язані, що доцільно розглядати їх разом для того, щоб уникнути ризику прийняття вироків, які суперечать один одному в результаті окремих проваджень. (145)
У випадку провадження у відношенні володільця чи особи, що обробляє персональні дані, позивач може порушити справу в судах держав-членів ЄС, в яких знаходиться заклад володільця або особи, що обробляє персональні дані, або в яких проживає суб’єкт персональних даних, за винятком випадків, коли володілець є органом державної влади держави-члена ЄС, що діє при здійсненні своїх офіційних повноважень.
(146)
Володілець чи особа, що обробляє персональні дані, повинно компенсувати будь-які збитки, які фізична особа може понести в результаті обробки, що порушує цей Регламент. Володілець чи особа, що обробляє персональні дані, звільняється від відповідальності, якщо він докаже, що він жодним чином не несе відповідальності за збитки. Поняття збитку повинно широко тлумачитися в світлі безпрецедентної практики суду таким чином, щоб повністю відповідати цілям цього Регламенту. Це положення діє без збитків будь-яким позовам про відшкодування збитків в результаті порушення інших норм законодавства Союзу або держав-членів ЄС. Обробка персональних даних, що порушує цей Регламент, також включає в себе обробку, що порушує делеговані акти та імплементаційні акти, що були прийняті у відповідності до цього Регламенту та з законодавством держави-члена ЄС для уточнення положень цього Регламенту. Суб’єкти даних повинні отримати повну та ефективну компенсацію за нанесені ним збитки. У випадку якщо володілець чи особа, що обробляє персональні дані, приймають участь в одній і тій же самій обробці персональних даних, кожний володілець чи особа, що обробляє дані, повинні нести відповідальність за збитки в цілому. Однак якщо вони у відповідності до законодавства держави-члена ЄС притягуються до одного й того ж самого судового процесу, компенсація може бути співмірно розподілена відповідно до відповідальності кожного володільця чи особи, що обробляє персональні дані, за збитки, спричинені обробкою, за умов гарантування повної та ефективної компенсації для суб’єкта даним, що поніс збитків. Будь-який володілець або особа, що обробляє персональні дані, що виплатив повну компенсацію, може потім звернутися до суду з регресивною вимогою щодо інших володільців чи осіб, що обробляють персональні дані, і які приймали участь в одній і тій же обробці.
(147)
У випадку коли в цьому Регламенті містяться особливі норми про юрисдикцію, зокрема, стосовно процедури про судовий захист прав, в тому числі про отримання компенсації від володільця чи особи, що обробляє персональні дані, загальні норми про юрисдикцію, наприклад положення Регламенту (ЄС) 1215/2012 Європейського Парламенту та Ради ЄС18 повинні діяти без перешкод застосуванню зазначених особливих норм.
(148)
В інтересах послідовного здійснення положень цього Регламенту, санкцій, в тому числі адміністративні штрафи, повинні накладатися за будь-яке порушення цього Регламенту, доповнення або замість відповідних заходів, що накладаються наглядовим органом згідно цього Регламенту. У випадку якщо порушення незначне або якщо ймовірне накладання штрафу може призвести до непорівнянного навантаження для фізичної особи, замість штрафу може бути оголошено догану. Однак слід враховувати характер, важкість та тривалість порушення, навмисний характер порушення, заходи, які були вжиті для пом’якшення спричинених збитків, ступінь відповідальності або будь-які порушення, що відбувалися раніше, спосіб через який наглядовому органу стало відомо про порушення, дотримання заходів, які були застосовані до володільця чи особи, що обробляє персональні дані. Дотримання норм поведінки, а також будь-які отягчаючи або пом’якшуючі вину обставини. Для призначення покарання, в тому числі для накладання адміністративних штрафів, необхідно наявність процесуальних гарантій у відповідності до загальних принципів законодавства Союзу та Хартії, включаючи ефективний судовий захист і належну правову процедуру.
18
Регламент (ЄС) 1215/2012 Європейського Парламенту та Ради ЄС від 12 грудня 2012 року про юрисдикцію, визнання та виконання судових рішень по цивільним та комерційним справам (ОЖ L 351, 20.12.2012, стор. 1)
(149)
Держави-члени ЄС можуть встановлювати норми про кримінальне покарання за порушення цього Регламенту, включаючи порушення національних положень, прийнятих відповідно та в рамках цього Регламенту. Зазначені кримінальні покарання можуть також передбачати позбавлення переваг, які були отримані внаслідок порушення цього Регламенту. Проте накладання кримінальних покарань за порушення зазначених національних положень та накладання адміністративних штрафів не повинні призводити до порушення принципу ne bis in idem в тлумаченні Суду.
(150)
Для того, щоб гармонізувати та посилити вплив адміністративних покарань за порушення цього Регламенту, кожний наглядовий орган повинен мати повноваженнями накладати адміністративні штрафи. В цьому Регламенті повинні бути вказані порушення, а також обмеження та критерії для встановлення відповідних адміністративних штрафів, які повинні визначатися компетентним наглядовим органом в кожному окремому випадку, враховуючи всі відповідні обставини специфічної ситуації, з урахуванням, зокрема, характеру, важкості та тривалості порушення та його наслідків, а також заходи, вжиті для забезпечення дотримання обов’язків відповідно до цього Регламенту і для попередження або пом’якшення наслідків порушень. У випадку якщо адміністративні штрафи накладаються на підприємство, для зазначених цілей воно повинно бути підприємством в розумінні Статей 101 та 102 TFEU. Якщо адміністративні штрафи накладаються на фізичних осіб, у відношенні яких мова не йде про підприємство, наглядовий орган при визначенні відповідного розміру штрафу повинен враховувати загальний рівень доходу в державі-члені ЄС, а також економічну ситуацію фізичної особи. Для сприяння узгодженому застосуванню адміністративних штрафів також може використовуватися механізм співставлення. Держави-члени ЄС можуть визначати, чи підпадають наглядові органи адміністративним штрафам і якщо так, то в якій ступені. Накладання адміністративного штрафу або видача попередження не впливає на застосування інших повноважень наглядових органів або інших санкцій в межах цього Регламенту.
(151)
Правова система Данії та Естонії не припускає адміністративних штрафів, які передбачені цим Регламентом. Норми про адміністративні штрафи можуть застосовуватися таким чином, що в Данії штраф накладається компетентними національними судами як кримінальне покарання, в Естонії штраф накладається наглядовим органом як процедура адміністративного правопорушення, за умови, що застосування норм у зазначених державах-членах ЄС має вплив, еквівалентний впливу адміністративних штрафів, що накладаються наглядовими органами. Внаслідок цього компетентні національні суди повинні враховувати рекомендації наглядового органу, який ініціював накладання штрафів. В будь-якому випадку штрафи повинні бути ефективними, пропорційними та мати стримуючий вплив.
(152)
У випадку якщо цей Регламент не гармонізує адміністративні покарання або якщо це необхідно в інших випадках, наприклад, у випадку серйозних порушень цього Регламенту, держави-члени ЄС повинні імплементувати систему, що передбачає ефективні, пропорційні та маючі стримуючий вплив санкцій. Характер таких санкцій, кримінальний або адміністративний, повинен визначатися відповідно до законодавства держави-члена ЄС.
(153)
В законодавстві держав-членів ЄС повинні бути узгоджені норми, що регулюють свободу висловлення думки і свободу інформації, включаючи свободу журналістського, наукового, художнього та/або літературного самовираження, з правом на захист персональних даних відповідно до цього Регламенту. Обробка персональних даних тільки в журналістських цілях або в цілях наукового, художнього або літературного самовираження має часткові відступи або виключення з відповідних положень цього Регламенту, якщо це необхідно для того, щоб узгодити право на захист персональних даних зі свободою висловлення думки та інформації відповідно до Статті 11 Хартії. Це положення повинно застосовуватися, зокрема, щодо обробки персональних даних в аудіовізуальній сфері, а також в новинних та друкованих архівах. Внаслідок цього, держави-члени ЄС повинні прийняти законодавчі заходи, що врегульовують виключення та відступи, що необхідні для цілей гармонічного
поєднання зазначених основних прав. Держави-члени ЄС повинні прийняти такі відступи та виключення стосовно загальних принципів прав суб’єктів персональних даних, володільця чи особи, що обробляє персональні дані, передачі персональних даних третім країнам або міжнародним організаціям, незалежним наглядовим органів, співробітництва та співставлення, і особливих ситуацій обробки даних. Якщо зазначені відступи або виключення відрізняються від іншої держави-члена ЄС, повинно застосовуватися законодавство держави-члена ЄС, під дію якого підпадає володілець даних. Для того, щоб враховувати важливість права на свободу висловлення думки в кожному демократичному суспільстві, необхідно роз’яснити термін, що відноситься до зазначеної свободи, наприклад, термін «журналістика». (154)
Цей Регламент враховує принцип доступу громадськості до офіційних документів при застосуванні цього Регламенту. Доступ громадськості до офіційних документів може розглядатися як суспільний інтерес. Персональні дані в документах, які знаходяться в розпорядженні органів державної влади або урядових закладів, повинні бути опубліковані зазначеними органами та закладами, якщо розкриття інформації передбачено законодавством Союзу або держави-члена ЄС, під дію якого підпадає орган державної влади або урядовий заклад. Зазначене законодавство повинно узгоджувати доступ громадськості до офіційних документів та вторинне використання інформації публічного сектору з правом на захист персональних даних і в наслідок цього може передбачати необхідне узгодження з правом на захист персональних даних відповідно до цього Регламенту. Посилання на органи державної влади та заклади повинна включати в себе у цьому контексті всі органи або інші заклади, що підпадають під дію законодавства держави-члена ЄС про доступ громадськості до документів Директива 2003/98/ЄС Європейського Парламенту та Ради ЄС 19 не стосується і жодним чином не впливає на рівень захисту фізичних осіб щодо обробки персональних даних в рамках положень законодавства Союзу або держави-члена ЄС, а також, зокрема не змінює обов’язки та права, що встановлені в цьому Регламенту. Зокрема, зазначена Директива не застосовується щодо документів, доступ до яких виключений або обмежений в силу дії режимів доступу з причин захисту персональних даних, або стосовно частини документів, які доступні в силу зазначених режимів, якщо вони містять персональні дані, вторинне використання яких передбачено законодавством, несумісним з законодавством в сфері захисту персональних даних при обробці персональних даних. В законодавстві держави-члена ЄС або колективних договорах, в тому числі в «угодах про виробництво робіт», можуть бути передбачені спеціальні положення про обробку персональних даних працівників при виконанні посадових обов’язків, зокрема, умови відповідно до яких персональні дані можуть оброблятися на основі згоди працівника, в цілях прийому на роботу, виконання трудового договору, включаючи виконання зобов’язань, що визначаються відповідно до законодавства або колективних договорів, в цілях управління, планування та організації роботи, рівноправності і різноманіття на робочому місці, охорони праці та виробничої безпеки, а також з метою здійснення пов’язаних із зайнятістю індивідуальних або колективних прав та гарантій та з метою припинення трудових відносин.
(156)
Обробка персональних даних в цілях архівування в інтересах суспільства, в цілях наукового або історичного дослідження, а також в статистичних цілях повинна супроводжуватися відповідними гарантіями для прав та свобод суб’єкта персональних даних відповідно до цього Регламенту. Зазначені гарантії повинні бути забезпечені наявністю технічних та організаційних заходів, для того щоб гарантувати, зокрема, гарантувати принцип мінімізації даних. Подальша обробка персональних даних в цілях архівування в інтересах суспільства, в цілях наукового або історичного дослідження або в статистичних цілях повинна здійснюватися, якщо володілець оцінив технічні можливості для досягнення зазначених цілей через обробку даних, за якої неможливо провести ідентифікацію суб’єктів персональних даних, за умови, що існують відповідні гарантії
19
Директива 2003/98/ЄС Європейського Парламенту та Ради ЄС від 17 листопада 2003 року про вторинне використання інформації публічного сектору (ОЖ N L 345, 31.12.2003, стор. 90)
(наприклад, псевдонимізація даних). Держави-члени ЄС повинні передбачати відповідні гарантії для обробки персональних даних в цілях архівування в інтересах суспільства, в цілях наукового або історичного дослідження або в статистичних цілях. Держави-члени ЄС мають право на спеціальні умови і відповідно відповідні гарантії для суб’єктів персональних даних передбачати специфікації та часткові відступи щодо вимог до інформації, а також щодо прав на виправлення, знищення, на забуття, обмеження обробки, на переносимість даних, на заперечування, якщо персональні дані обробляються в цілях архівування в інтересах суспільства, в цілях наукового або історичного дослідження або в статистичних цілях. В рамках відповідних умов та гарантій можуть бути передбачені спеціальні процедури для реалізації зазначених прав суб’єктами персональних даних, якщо це відповідає цілям особливої обробки, в поєднанні з технічними та організаційними заходами, спрямованими на мінімізацію обробки персональних даних відповідно до принципу пропорційності та необхідності. Обробка персональних даних в наукових цілях повинна також відповідати іншим законодавчим актам, наприклад, про клінічні випробування. (157)
Шляхом об’єднання інформації з реєстрів дослідники можуть отримувати нові відомості більшої цінності щодо поширених медичних станів таких як серцево-судинні захворювання, рак і депресивний синдром. Через використання реєстрів можуть бути отримані покращені результати досліджень, тому, що вони базуються на більшій частині населення. В рамках суспільних наук дослідження на основі реєстрів дає можливість дослідникам отримувати суттєві знання про довготривале співвідношення низки соціальних умов, наприклад, безробіття та освіти, з іншими умовами життя. Результати досліджень, які були отримані через реєстри, забезпечують тверді та достовірні знання, які можуть бути основою для розробки та імплементації політичних заходів, основаних на знаннях, а також можуть покращувати якість життя низки осіб та підвищити ефективність громадських послуг. Для полегшення наукових досліджень персональні дані можуть оброблятися в цілях наукового дослідження відповідно до умов та гарантій, що передбачені законодавством Союзу або держави-члена ЄС.
(158)
Цей Регламент також може застосовуватися до обробки персональних даних в цілях архівування; необхідно враховувати, що цей Регламент не застосовується до померлих осіб. Органи державної влади, урядові заклади або приватні організації, які ведуть облік суспільного інтересу, відповідно до законодавства Союзу або держави-члена ЄС повинні бути юридично зобов’язані отримувати, зберігати, оцінювати, класифікувати, описувати, повідомляти, сприяти, розповсюджувати облікові відомості неминущої цінності в інтересах суспільства, а також надавати до них доступ. Держави-члени ЄС також можуть передбачати подальшу обробку персональних даних в цілях архівування, наприклад, щодо надання спеціальної інформації, що стосуються до політичної поведінки в тоталітарних режимах, геноциду, злочинам проти людства, зокрема Голокосту, або військовим злочинам.
(159)
Цей Регламент також застосовується до обробки персональних даних в цілях наукового дослідження. В цілях цього Регламенту обробка персональних даних для цілей наукового дослідження повинна тлумачитися більш ширше, включаючи, наприклад, розвиток технологій та презентацію, фундаментальні дослідження, прикладні дослідження та дослідження, що фінансуються за рахунок приватних коштів. В доповнення до цього також необхідно враховувати мету Союзу відповідно до Статті 179(1) TFEU про створення Європейського дослідницького простору. Цілі наукового дослідження також повинні включати дослідження, які проводяться в інтересах суспільства в сфері громадської охорони здоров’я. Для того, щоб відповідати особливостям обробки персональних даних в цілях наукових досліджень, необхідно застосовувати спеціальні умови, зокрема, щодо публікації або іншого розкриття персональних даних в контексті цілей наукового дослідження. Якщо результат наукового дослідження, зокрема в сфері охорони здоров’я обґрунтовує прийняття подальших заходів в інтересах суб’єкта персональних даних, загальні положення цього Регламенту повинні застосовуватися щодо зазначених заходів.
(160)
Цей Регламент також застосовується щодо обробки персональних даних в цілях історичного дослідження. Сюди відносяться історичні дослідження та дослідження в сфері генеалогії, з урахуванням того, що цей Регламент не стосується померлих осіб.
(161)
В цілях згоди на участь в науково-дослідницькій діяльності в рамках клінічних випробувань повинні застосовуватися відповідні положення Регламенту (ЄС) 536/2014 Європейського Парламенту та Ради ЄС20 .
(162)
Цей Регламент застосовується до обробки персональних даних в статистичних цілях. Законодавство Союзу або держави-члена ЄС в межах цього Регламенту повинно визначати статистичний зміст, контроль доступу, специфікації для обробки персональних даних в статистичних цілях та відповідні заходи для гарантування прав та свобод суб’єкта персональних даних і для забезпечення статистичної конфіденційності. Під терміном «статистичні цілі» розуміється будь-яка діяльність по збиранню та обробці персональних даних, необхідних для статистичного вивчення або для підготовки статистичних результатів. Зазначені статистичні результати можуть в подальшому можуть бути використані в інших цілях, в тому числі в цілях наукового дослідження. Статистична ціль має на увазі, що результатом обробки в статистичних цілях є не персональні дані, а зведені дані, і що зазначений результат або персональні дані не використовуються для забезпечення виконання заходів та рішень, що відносяться до певної фізичної особи.
(163)
Конфіденційна інформація, яку національні статистичні органи та статистичні органи Союзу збирають для підготовки офіційної європейської та офіційної національної статистики, повинна знаходитися під захистом. Європейські статистичні дані повинні розроблятися, готуватися та розповсюджуватися у відповідності до статистичних принципів, що встановлені в Статті 338(2) TFEU; при цьому національні статистичні дані також повинні відповідати законодавству держави-члена ЄС. Регламент (ЄС) 223/2009 Європейського Парламенту та Ради ЄС21 передбачає додаткові специфікації відносно статистичної конфіденційності європейської статистики.
(164)
В тому, що стосується повноважень наглядових органів щодо отримання від володільців чи осіб, що обробляють персональні дані, доступу до персональних даних та доступу до їх приміщень, держави-члени ЄС можуть на законодавчому рівні, в межах цього Регламенту ухвалювати особливі норми для забезпечення обов’язків щодо дотримання професійної або іншої еквівалентної таємниці, в тій ступені, якій це необхідно для узгодження права на захист персональних даних з обов’язком дотримуватися професійної таємниці. Це положення діє без перешкод існуючим обов’язкам держав-членів ЄС щодо прийняття норм стосовно дотримання професійної таємниці, якщо це вимагає законодавство Союзу.
(165)
У відповідності до Статті 17 TFEU цей Регламент дотримується а не погіршує статус церков та релігійних організацій або общин в державах-членах ЄС, відповідно до діючого конституційного права.
(166)
Для досягнення цілей цього Регламенту, а саме для захисту основних прав та свобод фізичних осіб і, зокрема, їх права на захист персональних даних та забезпечення вільного обігу персональних даних в Союзі, повноваження щодо прийняття актів відповідно до
20
Регламент (ЄС) 536/2014 Європейського Парламенту та Ради ЄС від 16 квітня 2014 року про клінічні випробування лікарських засобів, призначених для використання людини, та про відміну Директиви 2001/20/ЄС (ОЖ N L, 158, 27.05.2014, стор.1) 21 Регламент (ЄС) 223/2009 Європейського Парламенту та Ради ЄС від 11 березня 2009 року про Європейську статистику і про відміну Регламенту (ЄС) 1101/2008 Європейського Парламенту та Ради ЄС про передачу даних за умови дотримання їх конфіденційності Статистичному бюро Європейських Співтовариств, Регламенту (ЄС) 322/97 Ради ЄС про статистику Спільноти, а також Рішення 89/382/ЄЕС Ради ЄС, Євратома про заснування комітету по статистичним програмам Європейського Співтовариства (ОЖ N L 87, 31.03.2009, стор. 164)
Статті 290 TFEU повинно бути делеговано Європейською Комісією. Зокрема, акти делегування повинні прийматися стосовно критеріїв та вимог для сертифікаційних механізмів, інформації, наданої через стандартизовані графічні зображення, та процедур для представлення таких позначень. Особливе значення має те, що Європейська Комісія здійснює відповідні консультації в ході підготовчих робіт, в тому числі на експертному рівні. При підготовці і складанні актів делегування Європейська Комісія повинна гарантувати одночасну, своєчасну та відповідну передачу релевантних документів Європейському Парламенту та Раді ЄС. (167)
Для того щоб гарантувати однакові умови імплементації цього Регламенту, імплементаційні повноваження повинні бути надані Європейській Комісії, якщо це передбачено цим Регламентом. Зазначені повноваження повинні здійснюватися відповідно до Регламенту (ЄС) 182/2011. В рамках зазначених повноважень Європейська Комісія повинна розглядати особливі заходи щодо діяльності мікропідприємств, малих та середніх підприємств.
(168)
Процедура перевірки повинна використовуватися для ухвалення імплементацій них актів щодо стандартних договірних умов між володільцями та особами, що обробляють персональні дані, а також між особами, що обробляють персональні дані; норм поведінки; технічних стандартів та механізмів для сертифікації відповідного рівня захисту, що передбачений третьою країною, територією або певним сектором у зазначеній третій країні або міжнародною організацією; стандартних умов захисту; формату та процедур для обміну електронною інформацією між володільцями, особами, що обробляють персональні дані, та наглядовими органами щодо юридично зобов’язуючих корпоративних правил; взаємної допомоги; та угод про обмін електронною інформацією між наглядовими органами, а також між наглядовими органами та Радою.
(169)
Європейська Комісія повинна негайно ухвалити імпелементаційні акти у випадку, якщо є докази стосовно того, що третя країна, територія або певний сектор у зазначеній третій країні або міжнародній організації не гарантує відповідний рівень захисту, і якщо це необхідно з причин невідкладної терміновості.
(170)
Так як мета цього Регламенту, а саме забезпечення еквівалентного рівня захисту фізичних осіб та вільного обігу персональних даних на території Союзу, не може бути в достатній ступені досягнута державами-членами ЄС, але не може бути досягнута ефективно на рівні Союзу, в силу свого масштабу та впливу, Союз може вжити заходів відповідно до принципу субсидіарності, зазначеної в Статті 5 Договору про Європейський Союз (TEU). У відповідності до принципу пропорційності, зазначеної в цій Статті, цей Регламент не виходить за межі того, що є необхідним для досягнення зазначеної мети.
(171)
Директива 95/46/ЄС заміняється цим Регламентом. Обробка персональних даних, яка вже здійснювалася на момент застосування цього Регламенту, повинна бути приведена у відповідність до цього Регламенту на прояв двох років після його вступу в силу. Якщо обробка основана на згоді відповідно до Директиви 95/46/ЄС, суб’єкту даних необов’язково давати свою згоду знову, якщо спосіб, яким ця згода була отримана, відповідає умовам цього Регламенту, щоб володілець міг продовжувати таку обробку після дати застосування цього Регламенту. Рішення Європейської Комісії та дозволи наглядових органів, які були прийняті на основі Директиви 95/46/ЄС, зберігає свою силу до тих пір, поки вони не будуть змінені, замінені або відмінені.
(172)
У відповідності до Статті 28(2) Регламенту (ЄС) 45/2001була проведена консультація з Європейським інспектором з питань захисту персональних даних, і 7 березня 2012 року він надав свій висновок22 .
(173)
Цей Регламент повинен застосовуватися у відношенні до всіх питань, пов’язаних із
22
ОЖ N C 192, 30.06.2012, стор.7
захистом основних прав та свобод при обробці персональних даних, які підпадають під обов’язки, визначені в Директиві 2002/58/ЄС Європейського Парламенту та Ради ЄС 23 і мають на меті одну і ту ж саму ціль, включаючи обов’язки володільця та права фізичних осіб. Для того, щоб уточнити співвідношення між цим Регламентом та Директивою 2002/58/ЄС, до зазначеної Директиви необхідно внести відповідні зміни. Як тільки цей регламент буде ухвалено, Директива 2002/58/ЄС повинна бути переглянута для забезпечення відповідності до цього Регламенту, Прийняли цей Регламент:
ГЛАВА І. ЗАГАЛЬНІ ПОЛОЖЕННЯ Стаття 1 Предмет і цілі 1. Цей Регламент встановлює правила щодо захисту фізичних осіб при обробці персональних даних та правила щодо вільного обігу персональних даних. 2. Цей Регламент захищає основні права та свободи фізичних осіб і, зокрема, право на захист персональних даних. 3. Вільний обіг персональних даних в Союзі не повинно ні обмежуватися, ні заборонятися з причин, пов’язаних із захистом фізичних осіб при обробці персональних даних. Стаття 2 Фактична сфера застосування 1. Цей Регламент застосовується щодо обробки персональних даних повністю або частково з використанням автоматизованих засобів, а також у щодо обробки персональних даних іншими способами, які є частиною файлової системи або мають намір стати чистиною файлової системи. 2. Цей Регламент не застосовується щодо обробки персональних даних: (а) в процесі діяльності, яка не підпадає під дію законодавства Союзу; (b) державами-членами ЄС при здійсненні діяльності, яка підпадає під дію Глави 2 Розділу V TEU; (c) фізичною особою в процесі здійснення виключно особистої та побутової діяльності; (d) компетентними органами для попередження, розслідування, виявлення кримінальних злочинів, або притягнення до відповідальності, або виконання кримінальних покарань, включаючи захист та попередження загроз громадській безпеці. 3. В тому, що стосується обробки персональних даних інституціями, органами, закладами та агентствами Союзу, застосовується Регламент (ЄС) 45/2001. Регламент (ЄС) 45/2001 та інші законодавчі акти Союзу в сфері обробки персональних даних повинно бути змінені у відповідності до принципів та правил цього Регламенту згідно Статті 98. 4. Цей Регламент діє без перешкод застосуванню Директиви 2000/31/ЄС, зокрема, норми відповідальності постачальників посередницьких послуг в Статтях 12-15 зазначеної Директиви. Стаття 3 Територіальна дія 1. Цей Регламент застосовується щодо обробки персональних даних в контексті діяльності закладів володільця або особи, що обробляє персональні дані в Союзі, незалежно від того, чи здійснюється обробка даних в Союзі чи ні. 2. Цей Регламент застосовується щодо обробки персональних даних суб’єктів даних, що знаходяться в Союзі, володільцем чи особою, що обробляє персональні дані, володільцем чи особою, що обробляє персональні дані, які не засновані в Союзі, якщо обробка даних стосується: 23
Директива 2002/58/ЄС Європейського Парламенту та Ради ЄС від 12 липня 2002 року щодо обробки персональних даних та захисту конфіденційності в секторі електронних засобів зв’язку (Директива про конфіденційність та електронні засоби зв’язку) (ОЖ N L 201, 31.07.2002, стор. 37)
(a) представлення товарів та послуг суб’єктам даних в Союзі незалежно від того, чи вимагається оплата від зазначеного суб’єкта персональних даних, або (b) моніторингу їх діяльності за умови, що діяльність здійснюється на території Союзу. 3. Цей Регламент застосовується щодо обробки персональних даних володільцем, який не заснований в Союзі, але є заснованим в місці, де законодавство держави-члена ЄС застосовується відповідно до міжнародного публічного права. Стаття 4 Визначення Для цілей цього Регламенту: (1) під терміном «персональні дані» розуміється будь-яка інформація, що відноситься до ідентифікованої особи або особи, що може бути ідентифікованою («суб’єкт даних»); ідентифікована особа – це особа, яка може бути ідентифікована, прямо чи опосередковано, зокрема, з використанням таких ідентифікаторів як ім’я, ідентифікаційний номер, відомості про місце знаходження, ідентифікатор в режимі онлайн або через один або декілька ознак, що є характерними для фізичної, психологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності зазначеної фізичної особи; (2) під терміном «обробка» розуміється будь-яка операція або набор операцій, що здійснюються з персональними даними, з використанням автоматизованих засобів або баз них, наприклад, збирання, запис, організація, структурування, зберігання, модифікацію та зміни, вилучення, консультування, використання, розкриття через передачу, розповсюдження або надання іншим способом, упорядкування або комбінування, обмеження, стирання або руйнування; (3) під терміном «обмеження обробки» розуміється маркування збережених персональних даних в цілях обмеження їх обробки у майбутньому; (4) під терміном «формування профілю» розуміється будь-яка форма автоматизованої обробки персональних даних, що складається з використання персональних даних в цілях оцінювання певних індивідуальних аспектів, що стосуються фізичної особи, зокрема, для аналізу або визначення аспектів, що відносяться до виробничих показників зазначеної особи, економічної ситуації, здоров’ю, індивідуальним уподобанням, інтересам, надійності, поведінки, місця розташування або пересування; (5) під терміном «псевдонимізація» розуміється обробка персональних даних таким чином, що персональні дані не можуть бути віднесені до певного суб’єкта даних без використання додаткової інформації, за умови, що додаткова інформація зберігається окремо та до яких використовуються технічні та організаційні заходи, що гарантують те, що персональні дані не віднесені до ідентифікованої особи чи особи, що може бути ідентифікованою. (6) під терміном «файлова система» розуміється будь-який структурований набір персональних даних, які доступні у відповідності до певних критеріїв, незалежно від того чи використовується при цьому централізований, децентралізований, функціональний або географічний принцип; (7) від терміном «володілець» розуміється фізична чи юридична особа, органи державної влади, агентство чи інший орган, який самостійно або спільно з іншими визначає цілі та способи обробки персональних даних; якщо цілі та способи зазначеної обробки визначені законодавством Союзу або законодавством-членом ЄС, володілець або визначені критерії для його визначення можуть бути передбачені законодавством Союзу або держави-члена ЄС; (8) під терміном «особа, що обробляє персональні дані» розуміється фізична чи юридична особа, орган державної влади, агентство або інший орган, який обробляє персональні дані від імені володільця; (9) під терміном «отримувач» розуміється фізична чи юридична особа, органи державної влади, агентство чи інший орган, якому розкриваються персональні дані, незалежно від того чи є вона третьою особою чи ні. Проте, органи державної влади, які можуть отримувати персональні дані в межах приватного запиту відповідно до законодавства Союзу або держави-члена ЄС, не повинні розглядатися як отримувачі; обробка даних зазначеними органами державної влади повинна відповідати нормам захисту даних, що застосовуються, відповідно до цілей обробки; (10) під терміном «третя сторона» розуміється фізична чи юридична особа, орган державної влади, агентство чи орган, що не є суб’єктом даних, володільцем, особою, що обробляє дані, або особами, які уповноважені проводити обробку персональних даних під безпосереднім керівництвом володільця або особи, що обробляє персональні дані;
(11) під терміном «згода суб’єкта даних» розуміється будь-яке вільно надане, конкретне, змістовне та чітке волевиявлення, через яке суб’єкт персональних даних повідомляє про свою згоду на обробку своїх персональних даних; (12) під терміном «виток персональних даних» розуміється порушення безпеки, що призвело до випадкового або незаконного руйнування, втраті, зміні, несанкціонованому розкриттю або доступу до переданих, збережених або іншим чином оброблених персональних даних; (13) під терміном «генетичні дані» розуміються персональні дані, що стосуються успадкованих або набутих генетичних характеристик фізичної особи, які представляють унікальну інформацію про фізіологію або здоров’я зазначеної фізичної особи і які є результатом, зокрема, аналізу біологічного зразку відповідної фізичної особи; (14) під терміном «біометричні дані» розуміються персональні дані, що виникають в результаті особливої технічної обробки, що стосується фізичних, фізіологічних або характеристик фізичної особи, які передбачають або підтверджують унікальну ідентифікацію фізичної особи, наприклад, зображення обличчя людини або дактилоскопічні дані; (15) під терміном «дані про здоров’я» розуміються персональні дані, що стосуються фізичного чи психологічного здоров’я фізичної особи, в тому числі надання медичних послуг, які розкривають інформацію про стан його/її здоров’я; (16) під терміном «основний заклад» розуміється: (a) у відношенні володільця із закладами в декількох державах-членах ЄС, місце розташування його центральної адміністрації в Союзі, крім випадків, коли рішення про цілі та способи обробки персональних даних приймаються в іншому закладі володільця в Союзі, і останній заклад має право на імплементацію зазначених рішень, у цьому випадку заклад, що приймає такі рішення, повинен розглядатися як основний заклад; (b) у відношенні особи, що обробляє дані, з закладами в декількох державах-членах ЄС, місце розташування його центральної адміністрації в Союзі, або, якщо особа, що обробляє персональні дані, не має центральної адміністрації в Союзі, заклад зазначеної особи в Союзі, де відбувається основна обробка в контексті діяльності закладу особи, що обробляє персональні дані, в тій ступені, якій зазначена особа обмежена відповідними зобов’язаннями у відповіднос ті до цього Регламенту; (17) під терміном «представник» розуміється фізична або юридична особа, заснована в Союзі, яка в письмовій формі призначається володільцем чи особою, що обробляє персональні дані, у відповідності до Статті 27 і представляє володільця чи особу, що обробляє персональні дані, з урахуванням їх відповідних зобов’язань відповідно до цього Регламенту; (18) під терміном «компанія» розуміється фізична чи юридична особа, що приймає участь в економічній діяльності, незалежно від організаційно-правової форми, в тому числі товариства або об’єднання, які регулярно приймають участь в економічній діяльності; (19) під терміном «група підприємств» розуміється контролююче підприємство та підконтрольні йому підприємства; (20) під терміном «юридично зобов’язуючі правила» розуміються заходи по забезпеченню захисту персональних даних, які зобов’язані виконувати володілець чи особа, що обробляє персональні правили, які засновані на території держав-членів ЄС, щодо передачі або сукупної передачі персональних даних володільцю чи особі, яка обробляє персональні дані в одній або декількох третіх країнах в рамках групи компаній, що приймають участь в спільній економічній діяльності; (21) під терміном «наглядовий орган» розуміється незалежний орган державної влади, який заснований державою-членом ЄС відповідно до Статті 51.; (22) під терміном «відповідний наглядовий орган» розуміється наглядовий орган, який займається обробкою персональних даних, так як: (a) володілець чи особа, що обробляє персональні дані заснована на території державичлена ЄС зазначеного наглядового органу; (b) обробка даних в значній ступені впливає або може впливати на суб’єкта даних, що знаходиться в державі-члені ЄС зазначеного наглядового органу; або (c) до зазначеного наглядового органу подана скарга; (23) під терміном «транскордонна обробка» розуміється:
(а) обробка персональних даних, яка здійснюється в контексті діяльності закладів в декількох державах-членах ЄС володільця чи особи, що обробляє персональні дані, в Союзі, якщо володілець чи особа, що обробляє персональні дані, засновані в декількох державах-членах ЄС; (b) обробка персональних даних, яка здійснюється в контексті діяльності одного закладу володільця чи особи, що здійснює обробку, в Союзі, але яка суттєво впливає або може сутт єво вплинути на суб’єктів даних в декількох державах-членах ЄС. (24) під терміном «існування та мотивоване заперечування» розуміється заперечування проти проекту рішення стосовно того, чи є порушення цього Регламенту або чи відповідає запланована діяльність володільця чи особи, що обробляє персональні дані, цьому Регламенту, що чітко демонструє важливість ризиків, які виникають в результаті проекту рішення щодо основних прав і свобод суб’єктів даних, і за необхідності вільного обігу персональних даних на території Союзу; (25) під терміном «послуга інформаційної спільноти» розуміється послуга, в значенні визначення, наданого в пункті (b) Статті 1(1) Директиви (ЄС) 2015/1535 Європейського Парламенту та Ради ЄС24 ; (26) під терміном «міжнародна організація» розуміється організація та її підвідомчі органи, що регулюються міжнародним публічним правом, або будь-який інший орган, що встановлюється угодою між двома або більше країнами або що є встановленим на основі такої угоди. ГЛАВА ІІ. ПРИНЦИПИ Стаття 5 1. Персональні дані повинні: (а) оброблятися законно, неупереджено та прозоро у відношенні до суб’єкта даних («законність, неупередженість та прозорість»); (b) збиратися для визначених, явних та законних цілей і в подальшому не повинні оброблятися несумісним з цими цілями способом; подальша обробка для досягнення цілей суспільного інтересу, а також цілей наукового або історичного дослідження або статистичних цілей не повинна відповідно до Статті 89(1) розглядатися як несумісна з початковими цілями («цільове обмеження»); (c) бути адекватними, відповідними і повинні обмежуватися тим, що необхідно для досягнення цілей, для яких вони збираються («мінімізація даних»; (d) бути точними і, за необхідності, актуальними; необхідно вживати обґрунтованих заходів для того, щоб гарантувати своєчасність видалення або виправлення неточних даних з урахуванням цілей, для яких вони обробляються («точність»); (e) зберігатися в формі, яка дозволяє ідентифікувати суб’єкта даних, на протязі терміну, необхідного для цілей, щодо яких обробляються персональні дані; персональні дані можуть зберігатися протягом більш тривалого терміну, якщо вони будуть оброблятися виключно в цілях громадського інтересу, а також в цілях наукового або історичного дослідження або в статистичних цілях відповідно до Статті 89(1), з урахуванням імплементації відповідних технічних та організаційних заходів, що вимагаються цим Регламентом для захисту прав та свобод суб’єкта даних («обмеження по зберіганню»); (f) оброблятися в спосіб, що гарантує відповідну безпеку персональних даних, включаючи захист від несанкціонованої або незаконної обробки та від випадкової втрати, руйнування або знищення даних, з використанням відповідних технічних та організаційних заходів («цілісність та конфіденційність»); 2. Володілець несе відповідальність за виконання вимог параграфа 1, він повинен бути спроможнім продемонструвати це («відповідальність»). Стаття 6 Законність обробки
24
Директива (ЄС) 2015/1535 Європейського Парламенту та Ради ЄС від 9 вересня 2015 року про процедуру надання інформації в сфері технічних регламентів, а також правил надання послуг в інформаційному суспільстві (ОЖ N L 241, 17.09.2015, стор.1)
1. Обробка даних повинна бути законною, тільки якщо та оскільки застосовується одна із таких умов: (а) суб’єкт даних дав згоду на обробку своїх персональних даних для однієї або декількох конкретних цілей; (b) обробка даних необхідна для виконання договору, в якому суб’єкт даних є однією зі сторін, або для вжиття заходів за вимогою суб’єкта даних для укладання договору; (c) обробка даних необхідна для виконання юридичного обов’язку, об’єктом якого є володілець даних; (d) обробка даних необхідна для захисту життєвих інтересів суб’єкта даних або іншої фізичної особи; (e) захист даних необхідний для виконання завдання, яке здійснюється в інтересах держави або при реалізації державної влади, що закріплена за володільцем; (f) обробка даних необхідна для цілей забезпечення законних інтересів володільця або третьої сторони, за винятком випадків, коли такі інтереси перекриваються інтересами або основними правами та свободами суб’єкта даних, що потребують захисту персональних даних, зокрема, якщо суб’єктом даних є дитина. Пункт (f) першого параграфу не застосовується до даних, що здійснюється органами державної влади при виконанні ними своїх завдань. 2. Держави-члени ЄС можуть зберігати або передбачати більш конкретні положення для застосування норм цього Регламенту щодо обробки даних для виконання пунктів (с) і (е) параграфа 1 через визначення більш точних спеціальних вимог для обробки і інших заходів для того, щоб гарантувати законну та справедливу обробку, в тому числі для інших особливих ситуацій обробки, передбачених в Розділі ІХ. 3. Підставою для обробки, що зазначена в пункті (с) і (е) параграфа 1, повинно визначатися: (a) законодавством Союзу; або (b) законодавством держави-члена ЄС, під дію якого підпадає володілець Мета обробки повинна визначатися в межах юридичної підстави або, в тому, що стосується обробки, що зазначена в пункті (е) параграфа 1, повинна бути необхідною для виконання завдань, що здійснюються в інтересах держави або для реалізації державної влади, що закріплена за володільцем даних. Зазначена юридична підстава може містити конкретні положення для застосування норм цього Регламенту, inter alia: загальні умови, що регулюють законність обробки володільцем даних; типи даних, що підпадають під обробку; відповідні суб’єкти даних; суб’єкти, яким можуть бути розкриті дані, і цілі, для яких персональні дані розкриваються; цільові обмеження; строки зберігання; процедури і процес обробки даних, в тому числі заходи, що гарантують законну та справедливу обробку, наприклад для інших особливих ситуацій обробки, що передбачені в Розділі ІХ. Законодавство Союзу або держави-члена ЄС повинно відповідати цілям державних інтересів та бути пропорційним щодо законної цілі. 4. Якщо обробка даних здійснюється з метою, яка відрізняється від мети, для якої персональні дані були отримані, і яка на основується на згоді суб’єкта даних або на законодавстві Союзу чи держав-членів ЄС, що є необхідною і пропорційною мірою в демократичному суспільстві для захисту цілей, зазначених в Статті 23(1), володілець даних для перевірки того, чи відповідає обробка даних, що здійснюється для інших цілей, для яких першочергово збиралися персональні дані, повинен враховувати, inter alia: (a) будь-який зв'язок між цілями, для яких були отримані персональні дані, і цілями подальшої обробку, що передбачаються; (b) обстановку, в якій збиралися персональні дані, зокрема, відношення між суб’єктом даних та володільцем даних; (c) характер персональних даних, зокрема, чи здійснюється обробка особливих категорій даних, відповідно до Статті 9, або чи здійснюється обробка персональних даних, що пов’язана з судимостями та злочинами, відповідно до Статті 10; (d) ймовірні наслідки запланованої подальшої обробки для суб’єктів даних; (e) існування засобів для забезпечення безпеки, які можуть включати в себе криптографічні засоби або пседонімізацію; Стаття 7 Умови для згоди
1. Якщо обробка даних здійснюється відповідно до згоди, наданої суб’єктом даних, володілець даних повинен мати можливість довести, що суб’єкт даних погодився на обробку своїх даних. 2. Якщо згода суб’єкта даних надається у вигляді письмової заяви, яка також стосується інших обставин, запит щодо надання згоди повинен бути наданий в зрозумілій та легкодоступній формі на ясній та доступній мові в тому вигляді, який чітко відрізняв би його від інших обставин. Будь-яка частина такої заяви, яка оформлена з порушеннями цього Регламенту, не є обов’язковою для виконання. 3. Суб’єкт даних повинен мати право у будь-який час відкликати свою згоду. Відкликання згоди не повинно вливати на законність обробки, що основується на згоді до її відкликання. Перед тим як надавати згоду, суб’єкт даних повинен бути проінформований про це. Процедура відкликання згоди повинна бути такою ж само простою, як і процедура надання згоди. 4. При проведенні оцінювання того, чи була надана згода по добрій волі, основну увагу необхідно приділяти тому, inter alia, чи залежить виконання договору, включаючи надання послуг, від згоди на обробку персональних даних, які не є необхідними для виконання зазначеного договору. Стаття 8 Умови що застосовуються до згоди дитини стосовно послуг інформаційної спільноти 1. Якщо застосовується пункт (а) Статті 6(1) при наданні послуг інформаційної спільноти безпосередньо дитині, обробка персональних даних дитини є законною тільки у випадку, якщо дитині виповнилося як мінімум 16 року. Якщо дитина не досягла віку 16 років, така обробка є законною, тільки якщо і оскільки згода була надана особою, яка має батьківську відповідальність стосовно дитини, або була надана за його ухвалення. Держави-члени ЄС можуть законодавчо передбачати менший вік дитини для зазначених цілей за умови, що такий вік не буде менше ніж 13 років. 2. Володілець даних з урахуванням наявних технологічних можливостей повинен вжити розумних заходів для того, щоб у зазначених випадках підтвердити те, що згода надана особою, що має батьківську відповідальність стосовно дитини, або було надано з його ухвалення. 3. Параграф 1 не повинен впливати на загальне договірне право держав-членів ЄС, наприклад щодо норм про чинність, набуття чинності або правові наслідки договору стосовно дитини. Стаття 9 Обробка особливих категорій персональних даних 1. Обробка персональних даних про расове або етнічне походження, політичні погляди, релігійні переконання або філософські погляди, членство в професійних союзі, а також обробка генетичних даних, біометричних даних для однозначної ідентифікації фізичної особи, даних, що стосуються здоров’я, статевого життя або сексуальної орієнтації фізичної особи, повинна бути заборонена. 2. Параграф 1 не застосовується у випадку, якщо: (а) суб’єкт даних надав пряму згоду на обробку зазначених персональних даних для однієї або декількох встановлених цілей, крім випадків, коли законодавство Союзу або державичлена ЄС передбачає, що заборона,передбачена в параграфі 1, не може відмінена суб’єктом даних; (b) обробка даних є необхідною для виконання зобов’язань та особливих прав володільця даних або суб’єкта даних в сфері трудового законодавства, права соціального забезпечення та соціального захисту оскільки це допускається законодавством Союзу або держави-члена ЄС або колективним договором відповідно до законодавства держави-члена ЄС, що передбачає відповідні засоби захисту основних прав та інтересів суб’єкта даних; (c) обробка необхідна для захисту життєвих інтересів суб’єкта даних або іншої фізичної особи, якщо суб’єкт даних фізично або юридично неспроможний дати свою згоду; (d) обробка здійснюється фондом, об’єднанням або некомерційною організацією у відповідності до гарантій в політичних, філософських, релігійних або профспілкових цілях і за умови, що обробка відноситься виключно до членів, колишніх членів організації або осіб, які здійснюють постійний контакт з нею ув’язку з її цілями, і якщо персональні дані не розкриваються третім особам без згоди на це суб’єкта персональних даних;
(e) обробка відноситься до персональних даних, які суб’єкт даних явно зробив загальнодоступними; (f) обробка необхідна для пред’явлення, виконання або захисту судових позивів або у випадках, коли суди діють в межах своєї судової компетентності; (g) обробка необхідна з причин особливого суспільного інтересу на основі законодавства Союзу або держави-члена ЄС, яка повинна бути пропорційною встановленій меті, повинно відповідати сутності права на захист даних та передбачати прийнятні та конкретні заходи для захисту основних прав та інтересів суб’єкта даних; (h) обробка необхідна в цілях превентивної або професійної медицини, для оцінювання працездатності працівника, для діагностики медичного стану, надання медичної або соціальної допомоги або лікування або для управління системами та послугами в системі охорони здоров’я та соціального забезпечення на основі законодавства Союзу або держави-члена ЄС або на основі договору з працівником охорони здоров’я та у відповідності до умов та гарантій, зазначених в параграфі 3; (i) обробка необхідна з причин суспільного інтересу у сфері громадської охорони здоров’я, наприклад, захисту від серйозних транскордонних загроз здоров’ю або для забезпечення високих стандартів якості та надійності медичного обслуговування та лікарських засобів або медичної техніки, на основі законодавства Союзу або держави-члена ЄС, що передбачає прийнятні та конкретні заходи для захисту прав та свобод суб’єкта даних, зокрема, професійної таємниці; (j) обробка необхідна для цілей архівування інформації в інтересах держави, для наукових, історичних або статистичних цілей у відповідності до Статті 89(1), основана на законодавстві Союзу або держави-члена ЄС, яка повинна бути пропорційною визначеній меті, повинно відповідати сутності права на захист даних та передбачати прийнятні та конкретні заходи для захисту основних прав та інтересів суб’єктів даних; 3. Персональні дані, зазначені в параграфі 1, можуть оброблятися для цілей, вказаних в пункті (h) параграфа 2, якщо такі дані обробляються спеціалістом або під його відповідальність і такий спеціаліст зобов’язаний дотримуватися професійної таємниці згідно з законодавством Союзу або держави-члена ЄС або нормам, встановленим національними компетентними органами, або якщо обробка здійснюється іншою особою, яка зобов’язана виконувати вимоги щодо конфіденційності відповідно до законодавства Союзу або держави-члена ЄС або відповідно до правил, що встановлені національними компетентними органами. 4. Держави-члени ЄС можуть зберігати або вводити додаткові умови, в тому числі обмеження щодо обробки генетичних даних, біометричних даних або даних про здоров’я. Стаття 10 Обробка персональних даних, що стосуються кримінальних вироків та злочинів Обробка персональних даних, що стосуються кримінальних вироків та злочинів або відповідних заходів щодо забезпечення безпеки відповідно до Статті 6(1), повинна здійснюватися тільки під контролем офіційного органу або, якщо обробка дозволена законодавством Союзу або держави-члена ЄС, що передбачає відповідні гарантії правам та свободам суб’єктів даних. Повний реєстр кримінальних вироків повинен вестися тільки під контролем офіційного органу. Стаття 11 Обробка, що вимагає ідентифікації відповідної особи 1. Якщо цілі, для яких володілець обробляє персональні дані, не вимагають ідентифікації суб’єкта даних володільцем, володілець не зобов’язаний зберігати, отримувати або обробляти додаткову інформацію для встановлення особи суб’єкта даних тільки для цілей виконання цього Регламенту. 2. Якщо у випадках, зазначених в параграфі 1 цієї Статті, володілець може підтвердити, що він не спроможний встановити особу суб’єкта даних, він повинен проінформувати про це суб’єкта даних, за наявності існуючих можливостей. У зазначених випадках Статті 15-20 не застосовуються, крім випадків, коли суб’єкт даних для реалізації своїх прав відповідно до зазначених Статей, надає додаткову інформацію, яка забезпечує його/її ідентифікацію. ГЛАВА ІІІ. ПРАВА СУБ’ЄКТА ДАНИХ
Розділ 1 ПРОЗОРІСТЬ ТА УМОВИ Стаття 12 Прозора інформація, зв'язок та умови для реалізації прав суб’єкта даних 1. Володілець даних повинен вжити відповідних заходів для надання суб’єкту даних будь-якої інформації, зазначеної в Статтях 13 і 14, і будь-які відомості відповідно до Статей 15-22 та Статті 34, які стосуються обробки, в стислій, прозорій, зрозумілій та легкодоступній формі на зрозумілій та простій мові, зокрема щодо будь-якої інформації, яка адресується дитині. Інформація повинна представлятися в письмовій формі або з використанням інших засобів, в тому числі, за необхідності, з використанням електронних засобів зв’язку. На прохання суб’єкта даних інформація може бути надана в усній формі, за умови, що особа суб’єкта даних встановлена в інший спосіб. 2. Володілець даних повинен сприяти реалізації прав суб’єкта даних відповідно до Статей 15-22. У випадках, зазначених в Статті11(2), володілець може відмовлятися діяти за запитами суб’єкта даних для реалізації його/її прав відповідно до Статей 15-22 тільки тоді, коли він підтверджує те, що він не має можливості встановити особу суб’єкта даних. 3. Володілець даних повинен негайно представляти суб’єкту даних інформацію про заходи, які були вжиті відповідно до вимог Статей 15-22, і в будь-якому випадку протягом одного місяця після отримання запиту. Зазначений термін може бути продовжений ще на два місяці, за необхідності, з урахуванням складності та кількості запитів. Володілець повинен проінформувати суб’єкта даних про будь-яка таке продовження протягом одного місяця після отримання запиту, із зазначенням причини продовження терміну. Якщо суб’єкт даних подає запит в електронній формі, інформація повинна надаватися за можливості в електронній формі, якщо суб’єкт даних не запитує іншого способу передачі інформації. 4. Якщо володілець не вживає заходів за запитом суб’єкта даних, він повинен негайно або не пізніше одного місяця після отримання запиту проінформувати суб’єкта даних про причини невжиття заходів, а також про можливість передачі скарги наглядовому органу і про можливості судового захисту прав. 5. Інформація відповідно до Статей 13 і 14, а також будь-які відомості та вжиті заходи відповідно до Статей 15-22 і Статті 34 повинні надаватися безкоштовно. Якщо запити суб’єкта даних є явно необґрунтованими або носять надмірний характер, зокрема в наслідок численних повторів, володілець може: (а) стягувати прийнятну плату з урахуванням адміністративних витрат на надання інформації або відомостей або вжиття заходів, що запитуються, або (b) відмовлятися діяти відповідно до запиту. Володілець повинен нести тягар доказування явної необґрунтованості запиту або його надмірного характеру. 6. Без перешкод дії Статті 11, якщо володілець даних має достатньо підстав для сумніву відносно ідентифікації особи фізичної особи, яка подала запит відповідно до Статей 15-21, він може вимагати надання додаткової інформації, яка необхідна для підтвердження особи суб’єкта даних. 7. Інформація, яка повинна бути надана суб’єктам даних відповідно до Статей 13 та 14, може представлятися у поєднанні зі стандартизованими графічними позначеннями для того, щоб в чіткій, зрозумілій та розбірливій формі надати загальну уяву про заплановану обробку даних. Якщо графічні зображання представлені в електронній формі, вони повинні бути придатними для машинного зчитування. 8. Європейська Комісія повинна мати можливість ухвалювати делегованої акти відповідно до Статті 92 з метою визначення інформації, яка може бути представлена у вигляді графічних позначень, та визначення процедур для представлення стандартизованих графічних позначень Розділ 2 ІНФОРМАЦІЯ І ДОСТУП ДО ПЕРСОНАЛЬНИХ ДАНИХ
Стаття 13 Інформація, яка повинна представлятися у випадку отримання персональних даних від суб’єкта даних 1. Якщо персональні дані представляються суб’єктом даних, володілець в момент отримання персональних даних повинен надавати суб’єкту даних таку інформацію: (а) ідентифікаційну інформацію та контекстні дані володільця і, за необхідності, його представника; (b) контактні дані інспектора з питань захисту персональних даних, у відповідних випадках; (c) мету обробки, для якої призначаються персональні дані, а також правові підстави для обробки; (d) у випадку якщо обробка базується на пункті (f) Статті 6(1), законні інтереси, що мають володілець або третя сторона; (e) отримувачів або категорії отримувачів персональних даних, за їх наявності; (f) у відповідних випадках, наміри володільця передати персональні дані третій країні або міжнародній організації, а також наявність або відсутність рішення Європейської Комісії про спів розмірність, або у випадку передачі відповідно до Статті 46 або 47 або відповідно до другого параграфу Статті 49(1) – посилання на відповідні та належні гарантії та способи, з використанням яких може бути отримана їх копія, або де вони можуть бути представлені. 2. В доповнення до інформації, що зазначена в параграфі 1, володілець в момент отримання персональних даних повинен представити суб’єкту даних додатково інформацію, яка є необхідною для забезпечення справедливої та прозорої обробки: (а) термін, протягом якого будуть зберігатися персональні дані, або якщо це неможливо, то критерії для визначення зазначеного терміну; (b) існування права вимагати від володільця доступу до відповідних персональних даних та їх виправлення або видалення або обмеження обробки або заперечування проти обробки, а також права на переносимість даних; (c) у випадку, якщо обробка здійснюється на підставі пункту (а) Статті 6(1) або на пункті (а) Статті 9(2), існування права на відкликання своєї згоди, без впливу на законність обробки, що основується на згоді до її відкликання; (d) право подання скарги до наглядового органу; (e) чи є надання персональних даних вимогою, що передбачена законодавством або договором, або вимогою, яка необхідна для укладання договору, а також чи зобов’язаний суб’єкт даних надавати персональні дані і можливі наслідки ненадання зазначених даних; (f) наявність автоматизованого процесу ухвалення рішення, в тому числі формування профілів відповідно до Статей 22(1) та (4) та, як мінімум у зазначених випадках, достовірну інформацію про відповідну логічну схему, а також про значимість і ймовірні наслідки обробки для суб’єкта даних. 3. Якщо володілець має намір у подальшому обробляти персональні дані в цілях, які відрізняються від цілей, для яких персональні дані були отримані, до початку зазначеної обробки він повинен надати суб’єкту даних інформацію стосовно іншої мети, а також будь-яку додаткову інформацію, вказану в параграфі 2. 4. Параграфи 1, 2 і 3 не повинні застосовуватися, оскільки і якщо суб’єкти даних вже мають відповідну інформацію. Стаття 14 Інформація, яка повинна надаватися при отриманні персональних даних не від суб’єкта даних 1. У випадку якщо персональні дані отримані не від суб’єкта даних, володілець повинен надавати суб’єкту даних таку інформацію: (а) інформацію, що ідентифікує володільця даних та його контактні дані, і, за необхідності, його представника; (b) контактні дані інспектора із захисту персональних даних, у відповідних випадках; (c) цілі обробки, для яких призначаються персональні дані, а також правові підстави для обробки; (d) категорії відповідних персональних даних; (e) отримувачів або категорії отримувачів персональних даних, за наявності;
(f) у відповідних випадках, наміри володільця передати персональні дані отримувачу в третій країні або міжнародній організації, а також наявність або відсутність рішення Європейської Комісії щодо співмірність, або у випадку передачі відповідно до Статті 46 або 47 або згідно другого підпараграфу Статті 49(1) – посилання на відповідні та належні гарантії та способи отримання їх копії або того, де вони можуть бути представлені. 2. В доповнення до інформації, яка зазначена в параграфі 1, володілець повинен представити суб’єкту даних таку інформацію, яка необхідна для забезпечення справедливої та прозорої обробки щодо суб’єкта даних: (а) термін, протягом якого будуть зберігатися персональні дані, або якщо це неможливо, критерії, для визначення такого терміну; (b) у випадку, якщо обробка основується на пункті (f) Статті 6(1), законні інтереси, які переслідуються володільцем або третьої стороною; (c) існування права вимагати від володільця даних доступу до існуючих персональних даних та їх виправлення або видалення або обмеження обробки або заперечування проти обробки, а також права на переносимість даних; (d) у випадку якщо обробка основується на пункті (а) Статті 6(1) або на пункті (а) Статті 9(2), існування права на відкликання своєї згоди,без впливу на законність обробки, що базується на згоді до її відкликання; (e) право подачі скарги до наглядового органу; (f) з яких джерел отримуються персональні дані і, за необхідності, чи взяті вони з загальнодоступних джерел; (g) наявність автоматизованого процесу прийняття рішення, в тому числі формування профілю відповідно до Статті 22(1) та (4) і, як мінімум у вказаних випадках, достовірну інформацію щодо відповідної логічної схеми, а також щодо значимості і ймовірних наслідків зазначеної обробки для суб’єкта даних; 3. Володілець повинен представити інформацію, зазначену в параграфах 1 і 2: (а) в розумний строк після отримання персональних даних, але як мінімум протягом одного місяця, з урахуванням особливих умов обробки персональних даних; (b) якщо персональні дані повинні використовуватися для спілкування з суб’єктом даних, як мінімум під час першого звернення до цього суб’єкта даних; або (c) якщо передбачено розкриття інформації іншому отримувачу, як мінімум в момент першочергового розкриття персональних даних. 4. Якщо володілець даних має намір у подальшому обробляти персональні дані в цілях, що відрізняються від цілей, для яких вони були отримані, перед подальшою обробкою він повинен надати суб’єкту даних інформацію про зазначені інші цілі, а також будь-яку суттєву додаткову інформацію, зазначену в параграфі 2. 5. Параграфи 1-4 не повинні застосовуватися у тому випадку, якщо: (а) суб’єкт даних вже має інформацію; (b) надання зазначеної інформації є неможливим або вимагає непропорційного зусилля, зокрема, для обробки в цілях архівування в інтересах суспільства, в цілях наукових або історичних досліджень або в статистичних цілях, з урахуванням умов та гарантій, зазначених в Статті 89(1), або, оскільки обов’язок, вказаний в параграфі 1 цієї статті, може зробити неможливим або негативно відобразиться на досягненні цілей зазначеної обробки. У вказаних випадках володілець даних повинен вжити відповідних заходів захисту прав, свобод та законних інтересів суб’єкта даних, включаючи доведення інформації до загального відома; (c) отримання або розкриття інформації прямо визначено законодавством Союзу або держави-члена ЄС, під дію якого підпадає володілець і яке забезпечує відповідні заходи для захисту законних інтересів суб’єкта даних; або (d) якщо персональні дані не повинні розголошуватися у відповідності до зобов’язань щодо дотримання професійної таємниці відповідно до законодавства Союзу або держави-члена ЄС, включаючи встановлені законодавством зобов’язання щодо збереження професійної таємниці. Стаття 15 Право суб’єкта даних на доступ до даних 1. Суб’єкт даних має право запитувати у володільця підтвердження того, чи обробляються персональні дані, які до нього відносяться, а якщо так, то він має доступ до персональних даних та такої інформації:
(a) цілі обробки; (b) категорії персональних даних, що обробляються; (c) отримувачі або категорії отримувачів, яким були або будуть розкриті персональні дані, зокрема, отримувачі в третіх країнах або міжнародні організації; (d) за можливості, передбачуваний строк, протягом якого будуть зберігатися персональні дані, або, у разі відсутності такої можливості, критерії, які використовуються для визначення такого періоду; (e) існування права вимагати від володільця виправлення або видалення відповідних персональних даних або обмеження їх обробки або заперечування проти зазначеної обробки; (f) право подачі скарг до наглядових органів; (g) у випадку якщо персональні дані отримані не від суб’єкта даних, будь-яку доступну інформацію про джерела; (h) наявність автоматизованого процесу прийняття рішення, в тому числі формування профілю відповідно до Статті 22(1) та (4) і, як мінімум у зазначених випадках, достовірна інформація про відповідну логічну схему, а також про значимість та ймовірні наслідки зазначеної обробки для суб’єкта даних. 2. У випадку якщо персональні дані передаються третій країні або міжнародній організації, суб’єкт даних має право отримати інформацію про відповідні гарантії відповідно до Статті 46 щодо передачі даних. 3. Володілець повинен забезпечити наявність копії персональних даних, що обробляються. За будь-які інші копії, що запитуються суб’єктом даних, володілець може отримувати прийнятну плату у відповідності до адміністративних витрат. Якщо суб’єкт даних подає запит електронним способом, інформація повинна представлятися в прийнятному електронному вигляді, якщо суб’єкт даних не запитує інше. 4. Право на копії, зазначене в параграфі 3, не повинно негативно впливати на права та свободи інших осіб. Розділ 3 ВНЕСЕННЯ ВИПРАВЛЕНЬ ТА ВИДАЛЕННЯ ІНФОРМАЦІЇ Стаття 16 Право не внесення виправлень Суб’єкт даних має право вимагати від володільця негайної зміни неточних персональних даних, що до нього відносяться. Враховуючи цілі обробки, суб’єкт даних має право на внесення доповнень до персональних даних, в тому числі надання додаткової заяви Стаття 17 Право на видалення («право на забуття») Суб’єкт даних має право вимагати від володільця негайного видалення даних, що його стосуються, а володілець повинен негайно видалити персональні дані, якщо застосовується одно із таких одно із таких підстав: (a) персональні дані більше не потрібні для цілей, для яких вони були отримані або оброблялися в інших випадках; (b) суб’єкт даних відкликав свою згоду, на підставі якої згідно пункту (а) Статті 6(1) або пункту (а) Статті 9(2) здійснювалася обробка, і якщо відсутні інші правові підстави для обробки; (c) суб’єкт даних заперечує проти обробки згідно Статті 21(1), відсутні законодавчі підстави для обробки, або суб’єкт даних заперечує проти обробки згідно Статті 21(2); (d) персональні дані обробляються незаконно; (e) персональні дані повинні бути знищені для виконання юридичних обов’язків відповідно до законодавства Союзу або держави-члена ЄС, під дію якого підпадає володілець; (f) персональні дані збиралися для надання послуг інформаційного суспільства згідно Статті 8(1). 2. Якщо володілець оприлюднив персональні дані і він згідно параграфу 1 зобов’язаний видалити персональні дані, він з урахуванням наявних технологічних можливостей та витрат на імплементацію повинен вжити необхідних заходів, в тому числі технічні заходи для того, щоб проінформувати володільців, які обробляють персональні дані про те, що суб’єкт даних вимагає від них видалення будь-яких посилань, копій або точних повторень таких даних.
3. Параграфи 1 і 2 не повинні застосовуватися у тих випадках, коли обробка необхідна: (а) для реалізації права на свободу висловлення та розповсюдження інформації; (b) в цілях дотримання юридичних зобов’язань, що потребують обробку відповідно до законодавства Союзу або держави-члена ЄС, під дію якого підпадає володілець, або для виконання завдань в інтересах суспільства,або при здійсненні офіційних повноважень, що покладаються на володільця; (c) з причин державного інтересу у сфері громадської охорони здоров’я згідно з пунктами (h) і (i) Статті 9(2), а також Статті 9(3); (d) в цілях архівування в інтересах суспільства, в цілях наукових або історичних досліджень або в статистичних цілях, зазначених в Статті 89(1), оскільки, право, зазначене в параграфі 1, може зробити неможливим або негативно відобразитися на досягненні цілей обробки; або (e) для обґрунтування, виконання або ведення захисту по судовим позовам. Стаття 18 Право на обмеження обробки 1. Суб’єкт даних має право вимагати від володільця обмежити обробку, якщо застосовується одно з таких умов: (a) точність персональних даних заперечується суб’єктом даних, протягом терміну, що необхідний володільцю для підтвердження точності персональних даних; (b) обробка даних є незаконною, і суб’єкт даних заперечує проти видалення персональних даних, і вимагає обмеження їх використання; (c) володільцю даних більше не потрібні персональні дані для цілей обробки, але вони необхідні суб’єкту даних для обґрунтування, виконання або ведення захисту по судовим позовам; (d) суб’єкт даних заперечував проти обробки відповідно до Статті 21(1) до встановлення факту стосовно того, що чи переважають правові підстави володільця на обробку персональних даних над законними підставами суб’єкта даних. 2. Якщо обробка була обмежена відповідно до параграфу 1, зазначені персональні дані, за винятком процедури зберігання, повинні оброблятися тільки відповідно до згоди суб’єкта даних, або для обґрунтування, виконання або ведення захисту по судовим позовам, або для захисту прав іншої фізичної або юридичної особи, або з причин важливого суспільного інтересу Союзу або держав-членів ЄС. 3. Суб’єкт даних, який добився обмеження обробки відповідно до параграфу 1, повинен бути проінформований до того, як обмеження буде знято. Стаття 19 Обов’язок повідомлення щодо змін або знищення персональних даних Володілець даних повинен повідомляти про будь-які зміни або знищення персональних даних або обмеження обробки,яка здійснюється відповідно до Статті 16, Статті 17(1) і Статті 18, кожному отримувачу даних, якому були розкриті персональні дані, крім випадків, коли це виявляється неможливим або вимагає неспівмірного зусилля. Володілець повинен проінформувати суб’єкта даних про таких отримувачів, якщо суб’єкт даних цього вимагає. Стаття 20 Право на переносимість даних 1. Суб’єкт даних має право отримувати персональні дані, що до нього відносяться, і які він надав володільцю, в структурованому, універсальному та машино зчитуваному форматі; він має право передавати зазначені дані іншому володільцю безперешкодно з боку володільця, якому були надані персональні дані, якщо: (a) обробка даних основується на згоді у відповідності до пункту (а) Статті 6(1), або пунктом (ф) Статті 9(2), або пунктом (b) Статті 6(1); і (b) обробка здійснюється з використанням автоматизованих засобів. 2. При здійсненні свого права на переносимість даних відповідно до параграфу 1 суб’єкт даних повинен мати право на передачу персональних даних безпосередньо від одного володільця іншому, якщо це реалізується на технічному рівні. 3. Реалізація права, зазначеного в параграфі 1 цієї Статті, повинно діяти без перешкод Статті 17. Зазначене право не повинно застосовуватися для обробки, що є необхідною для
виконання завдань, які здійснюються в рамках суспільного інтересу або при виконанні офіційних повноважень, які покладаються на володільця. 4. Право, яке зазначено в параграфі 1 не повинно негативно впливати на права та свободи інших осіб. Розділ 4 ПРАВО НА ЗАПЕРЕЧУВАННЯ І АВТОМАТИЗОВАНИЙ ПРОЦЕС ПРИЙНЯТТЯ РІШ ЕННЯ У КОНКРЕТНОМУ ВИПАДКУ Стаття 21 Право на заперечування 1. Суб’єкт даних на підставах, що випливають з його конкретної ситуації, має право на заперечування проти обробки його персональних даних на основі пункту (е) або (f) Статті 6(1), включаючи формування профілю, що основується на зазначених положеннях. Володілець не повинен більше обробляти персональні дані, крім випадків, коли він може підтвердити наявність вагомих правових підстав для обробки, які переважають над інтересами, правами та свободами суб’єкта даних, або якщо обробка є необхідною для обґрунтування, виконання або ведення захисту по судовим позовам. 2. Якщо персональні дані обробляються для цілей прямого маркетингу, суб’єкт даних повинен мати право на заперечування проти обробки його персональних даних для цілей зазначеного маркетингу, включаючи формування профілю в тій мірі, в якій це пов’язано з прямим маркетингом. 3. У випадку якщо суб’єкт даних заперечує проти обробки в цілях прямого маркетингу, персональні дані більше не повинні оброблятися для зазначених цілей. 4. Як мінімум при першому спілкуванні з суб’єктом даних до його відома необхідно довести інформацію про наявність права, зазначеного в параграфі 1 і 2, зазначена інформація повинна бути представлена чітко і окремо від іншої інформації. 5. У зв’язку з використанням послуг інформаційного суспільства і безвідносно Директиви 2002/58/ЄС суб’єкт даних може реалізовувати своє право на заперечування за допомогою автоматизованих засобів з використанням технічних специфікацій. 6. У випадку якщо персональні дані обробляються в цілях наукового або історичного дослідження відповідно до Статті 89(1), суб’єкт даних на основі пов’язаної з ним конкретної ситуації повинен мати право на заперечування проти обробки його персональних даних, за винятком випадків, коли обробка даних необхідна для виконання завдань, що здійснюються по примах суспільного інтересу. Статті 22 Автоматизований процес прийняття рішення у в конкретному випадку, в тому числі формування профілю 1. Суб’єкт даних повинен мати право не підпадати під дію рішення, що основується винятково на автоматизованій обробці, включаючи формування профілю, і яке призводить до виникнення юридичних наслідків стосовно нього або неї або суттєво впливає на нього або на неї. 2. Параграф 1 не повинен застосовуватися, якщо рішення: (а) необхідно для укладання або виконання договору між суб’єктом даних і володільцем даних; (b) допускається законодавством Союзу або держави-члена ЄС, під дію якого підпадає володілець даних і яке також встановлює прийнятні заходи захисту прав, свобод та законних інтересів суб’єкта даних; або (c) основується на прямій згоді суб’єкта даних. 3. У випадках, зазначених в пунктах (а) і (с) параграфу 2, володілець даних повинен імплементувати прийнятні заходи захисту прав, свобод і законних інтересів суб’єкта даних, як мінімум права вимагати прийняття рішучих заходів з боку володільця, права на висловлення своєї точки зору і на оскаржувати рішення. 4. Рішення, зазначене в параграфі 2, не повинно основуватися на особливих категоріях персональних даних, зазначених в Статті 9(1), крім випадків, коли застосовується пункт (а) або (g) Статті 9(2) і наявні прийнятні заходи захисту прав, свобод і законних інтересів суб’єкта даних.
Розділ 5 ОБМЕЖЕННЯ Стаття 23 Обмеження 1. Законодавство Союзу або держави-члена ЄС, під дію якого підпадає володілець або особа, що обробляє персональні дані, може через законодавчі заходи обмежити обсяги та зміст обов’язків та прав, що передбачені в Статтях 12-22 і в Статті 34, а також в Статті 5, оскільки їх положення відповідають правам та обов’язкам, що передбачені в Статтях 12-22, якщо зазначене обмеження відповідає сутності основних прав і свобод і є необхідною і пропорційною мірою в демократичному суспільстві для забезпечення: (a) національної безпеки; (b) оборони; (c) громадської безпеки; (d) попередження, розслідування, розкриття і звинуваченнях по кримінальним злочинам або виконання кримінальних покарань, включаючи захист та попередження загроз громадській безпеці; (e) інших важливих цілей суспільного інтересу Союзу або держави-члена ЄС, зокрема важливих економічних або фінансових інтересів Союзу або держави-члена ЄС, включаючи грошові, бюджетні або податкові питання, громадську охорону здоров’я і громадську безпеку; (f) захист незалежності судової влади і захисту судового виробництва; (g) попередження, розслідування, розкриття і кримінального переслідування щодо порушень етики для регульованих професій; (h) функцій моніторингу, інспекційної та регулятивної функції, навіть випадково, зі здійсненням офіційних повноважень у випадках, зазначених в пунктах (а) – (е) і (g); (i) захисту суб’єкта даних або прав і свобод інших осіб; (j) виконання рішення по цивільно-правовим позивам. 2. Зокрема, будь-які законодавчі заходи, передбачені в параграфі 1, повинні містити особливі положення стосовно, як мінімум: (a) цілей обробки або категорій обробки; (b) категорій обробки; (c) об’ємів і змісту введених обмежень; (d) гарантій проти неправомірного використання, або несанкціонованого доступу, або несанкціонованої передачі; (e) специфікації володільця або категорій володільців; (f) термінів зберігання і існуючих гарантій з урахуванням характеру, обсягів і цілей обробки або категорій обробки; (g) ризиків для прав і свобод суб’єктів даних; і (h) прав суб’єкта даних на отримування інформації про обмеження, крім випадків, коли це може перешкоджати цілі обмеження. ГЛАВА IV. ВОЛОДІЛЕЦЬ І ОСОБА, Щ О ОБРОБЛЯЄ ДАНІ Розділ 1 ЗАГАЛЬНІ ЗОБОВ’ЯЗАННЯ Стаття 24 Відповідальність володільця 1. Враховуючи характер, обсяги, особливості та цілі обробки, а також ймовірність виникнення ризиків та загроз правам і свободам фізичних осіб, володілець повинен імплементувати відповідні технічні та організаційні заходи, які гарантують і підтверджують те, що обробка здійснюється у відповідності до цього Регламенту. Зазначені заходи повинні своєчасно переглядатися і уточнюватися, за необхідності. 2. Якщо це співмірно з обробкою даних, заходи, що зазначені в параграфі 1, повинні включати в себе імплементацію відповідних заходів щодо забезпечення захисту даних володільцем.
3. Дотримання затверджених норм поведінки відповідно до Статті 40 або затвердженим сертифікатним механізмам відповідно до Статті 41 може бути використано як елемент для підтвердження дотримання обов’язків володільця. Стаття 25 Захист даних за замовчуванням і на основі обдуманих дій 1. Враховуючи стан розвитку науки і техніки, втрати на імплементацію, характер, об’єм, особливості і цілі обробки, а також ймовірне виникнення ризиків і небезпек для прав і свобод фізичних осіб в результаті обробки, володілець повинен як під час визначення засобів обробки, так і у ході обробки, імплементувати відповідні технічні організаційні заходи, наприклад псевдонимізацію, які призначені для ефективної імплементації принципів захисту даних, наприклад мінімізацію даних, і для інтегрування необхідних гарантій в обробку для цілей виконання цього Регламенту і захисту прав суб’єктів даних. 2. Володілець повинен імплементувати відповідні технічні і організаційні заходи для забезпечення того, що за замовчуванням обробляються тільки ті персональні дані, які необхідні для кожної конкретної цілі обробки. Зазначений обов’язок застосовується до великої кількості зібраних персональних даних, об’єму їх обробки, строку їх зберігання і можливості доступу до них. Зокрема, зазначені заходи повинні гарантувати, що за замовчуванням доступ до персональних даних не буде наданий невизначеній кількості фізичних осіб без участі окремої особи. 3. Затверджений сертифікаційний механізм відповідно до Статті 42 може використовуватися як елемент для підтвердження дотримання вимог, визначених в параграфах 1 і 2 цієї Статті. Стаття 26 Володільці, що здійснюють спільну обробку 1. У випадку якщо два і більше володільця спільно визначають цілі та засоби обробки, вони повинні вважатися володільцями, які здійснюють спільну обробку. Вони повинні через угоди із дотриманням принципів прозорості визначити відповідні обов’язки для дотримання зобов’язань відповідно до цього Регламент, зокрема, щодо реалізації прав суб’єкта даних, а також визначити відповідні обов’язки щодо надання інформації відповідно до Статей 13 і 14, за винятком випадків, коли і оскільки відповідні обов’язки володільця визначені законодавством Союзу або державичлена ЄС, під дію якого підпадають володільці. В угоді може бути вказаний контрольний пункт зв’язку для суб’єктів даних. 2. Угода, зазначена в параграфі 1, повинна відображати відповідні функції і відношення володільців, які здійснюють спільну обробку даних суб’єктів персональних даних. 3. Незалежно від умов угоди, зазначеної в параграфі 1, суб’єкт даних може реалізовувати свої права в рамках цього Регламенту у відношенні до кожного з володільців і на противагу кожному з них. Стаття 27 Представники володільців або осіб, що обробляють дані, які на засновані в Союзі 1. У випадку якщо застосовується Стаття 3(2), володілець або особа, що обробляє дані, повинні у письмовій формі призначити представника в Союзі. 2. Обов’язок, визначений в параграфі 1 цієї Статті, не застосовується у відношенні: (а) обробка, яка носить випадковий характер, не включає в себе масштабну обробку особливих категорій даних у значенні Статті 9(1) або масштабну обробку персональних даних, пов’язаних з судимостями та кримінальними злочинами в значенні Статті 10, і яка, з урахуванням характеру, особливостей, обсягів та цілей обробки, імовірно не призведе до ризику для прав і свобод фізичних осіб; або (b) органу державної влади або урядової установи. 3. Представник повинен бути заснований в одній з держав-членів ЄС, в якій знаходяться суб’єкти даних, персональні дані яких обробляються при пропонуванні їм товарів і послуг або поведінкова активність яких знаходиться під наглядом. 4. Володілець або особа, яка обробляє персональні дані, повинні уповноважити представника вирішувати спільно з ним або замість них всі пов’язані з обробкою питання для забезпечення дотримання цього Регламенту, особливо для наглядових органів і суб’єктів даних.
5. Призначення представника володільцем або особою, що обробляє персональні дані, повинно відбуватися без перешкод правовим заходам щодо самого володільця чи особи, що обробляє дані. Стаття 28 Особа, що обробляє дані 1. У випадку якщо обробка здійснюється від імені володільця, він повинен працювати тільки з тими особами, які обробляють персональні дані, які нададуть належні гарантії того, що відповідні технічні та організаційні заходи будуть проведені таким чином, що обробка буде відповідати вимогам цього Регламенту і гарантує захист прав суб’єкта даних. 2. Особа, що обробляє персональні дані, не повинна долучати до роботи іншу особу, що обробляє дані, без попереднього особливого або письмового дозволу володільця. У випадку загального письмового дозволу особа, що обробляє персональні дані, повинна проінформувати володільця про будь-які заплановані зміни, які стосуються доручення або заміни інших осіб, що обробляють персональні дані, тим самим надаючи володільцю можливість висловити заперечення проти таких змін. 3. Обробка, яка здійснюється особою, яка обробляє дані, повинна регулюватися угодою або іншим юридичним актом в рамках законодавства Союзу або держави-члена ЄС, який має обов’язкову силу для особи, що обробляє персональні дані, щодо володільця і в якому зазначається предмет та тривалість обробки, характер і цілі обробки, тип персональних даних і категорії суб’єктів даних і обов’язки та права володільця. Зазначена угода або інший юридичний акт, зокрема передбачають, що особа, яка обробляє персональні дані: (а) обробляє персональні дані тільки на підставі документально підтверджених вказівок володільця, а також стосовно передачі персональних даних до третьої країни або міжнародній організації крім випадків, коли цього вимагає законодавство Союзу або держави-члена ЄС, під дію якого підпадає особа, що обробляє дані; у такому випадку особа, що обробляє персональні дані, повинна проінформувати володільця про зазначену законну вимогу до початку обробки, за винятком випадків, коли зазначене законодавство забороняє передачу зазначеної інформації виходячи із міркувань суспільного інтересу; (b) гарантує, що особи, уповноважені на обробку персональних даних, зобов’язалися дотримуватися конфіденційності або за законодавством зобов’язані дотримуватися конфіденційності; (c) вживає всіх заходів, необхідних відповідно до Статті 32; (d) виконує умови, зазначені в параграфах 2 і 4, для залучення до роботи іншої особи, що обробляє дані; (e) з урахуванням характеру обробки, за можливості, через відповідні технічні і організаційні заходи сприяє володільцю у виконанні його обов’язку реагувати на вимоги щодо реалізації прав суб’єкта даних, визначених в Главі ІІІ; (f) сприяє володільцю при виконанні обов’язків відповідно до Статей 32-36, з урахуванням характеру обробки і інформації, що доступна особі, яка обробляє дані; (g) за вибором володільця видаляє або повертає всі персональні дані володільцю після надання послуг, пов’язаних з обробкою, і видаляє існуючі копії, крім випадків, коли законодавством Союзу або держави-члена ЄС вимагає зберігання персональних даних; (h) надає в розпорядження володільця всю інформацію, необхідну для підтвердження виконання обов’язків, встановлених цією Статтею, а також передбачає можливість і сприяє аудиторським перевіркам, включаючи інспекторські перевірки, що проводяться володільцем або аудитором, уповноваженим володільцем. З урахуванням пункту (h) першого параграфу, особа, яка обробляє персональні дані, повинна негайно проінформувати володільця, якщо, на його думку, порушує цей Регламент або інші положення Союзу або держави-члена ЄС по захисту даних. 4. Якщо особа, що обробляє дані, залучає для роботи іншу особу для виконання певної обробки даних від імені володільця, ті ж самі обов’язки по захисту даних, що зазначені в угоді а бо іншому юридичному акті між володільцем та особою, обробляє дані, відповідно до параграфу 3, повинні покладатися на зазначену іншу особу, що обробляє дані, через угоду або інший юридичний акт в рамках законодавства Союзу або держави-члена ЄС, при цьому повинні бути надані достатні гарантії для імплементації відповідних технічних та організаційних заходів для того, щоб обробка відповідала вимогам цього Регламенту. Якщо зазначена інша особа, що
обробляє персональні дані, несе відповідальність перед володільцем за виконання обов’язків зазначеної третьої особи, що обробляє персональні дані 5. Виконання особою, що обробляє дані, затверджених норм поведінки відповідно до Статті 40 або затвердженим сертифікаційним механізмам відповідно до Статті 42 може бути використано як елемент для підтвердження достатніх гарантій, зазначених в параграфах 1-4 цієї Статті. 6. Без перешкоджання дії індивідуального договору між володільцем і особою, що обробляє дані, угода або інший юридичний акт, зазначений в параграфах 3 і 4 цієї Статті, може повністю або частково основуватися на стандартних договірних умовах, зазначених в параграфах 7 і 8 цієї Статті, в тому числі, якщо вони є складовою частиною сертифікату, виданого володільцю або особі, що обробляє дані, відповідно до Статей 42 і 43. 7. Європейська Комісія може визначити стандартні договірні умови для регулювання питань, зазначених в параграфах 3 і 4 цієї Статті, у відповідності до процедур перевірки згідно з Статтею 93(2). 8. Наглядовий орган може затвердити стандартні договірні умови для регулювання питань, зазначених в параграфах 3 і 4 цієї Статті, у відповідності до механізму співставлення, зазначеного в Статті 63. 9. Договір або інший юридичний документ, зазначений в параграфах 3 і 4, повинен бути складений у письмовому вигляді, в тому числі в електронній формі. 10. Без перешкоджання дії Статей 82, 83 і 84 особа, що обробляє дані і з порушенням вимог цього Регламенту визначає цілі і способи обробки, повинна вважатися володільцем у відношенні до зазначеної обробки. Стаття 29 Обробка від імені володільця або особи, яка обробляє дані Особа, що обробляє дані, і інша особа, яка діє від імені володільця або особи, що обробляє дані, і має доступ до персональних даних, повинні обробляти зазначені дані тільки по розпорядженню володільця, за винятком випадків, передбачених законодавством Союзу або держави-члена ЄС. Стаття 30 Облікові дані про обробку даних 1. Кожний володілець і, у відповідних випадках, представник володільця повинен вести облік усієї діяльності, пов’язаної з обробкою даних і яка підпадає під його відповідальність. Облікові відомості повинні містити таку інформацію: (а) прізвище і контактні дані володільця і, у відповідних випадках, володільця, який здійснює обробку разом з ним, представника володільця і інспектора з питань захисту персональних даних; (b) цілі обробки; (c) опис категорій суб’єктів даних і категорій персональних даних; (d) категорії отримувачів, яким були або будуть розкриті персональні дані, включаючи отримувачів в третіх країнах або міжнародних організаціях; (e) у відповідних випадках, передачі персональних даних третій країні або міжнародній організації, включаючи ідентифікаційні дані зазначеній третій країні або міжнародній організації, і у випадку передачі, яка зазначена в другому параграфі Статті 49(1), документальне підтвердження належних гарантій; (f) за можливості, передбачувані строки для знищення різних категорій даних; (g) за можливості, загальний опис технічних та організаційних заходів безпеки, зазначених в Статті 32(1). 2. Кожна особа, яка обробляє дані, і, у відповідних випадках, його представники повинні вести облік всіх категорій обробки даних, що здійснюється від імені володільця; облікові відомості повинні мітити таке: (а) прізвище і контактні відомості особи, що обробляє персональні дані, або осіб і кожного володільця, від імені якого діє зазначена особа, і, у відповідних випадках, представника володільця або особи, що обробляє персональні дані, і інспектора з питань захисту персональних даних; (b) категорії обробки, які здійснюються від імені володільця;
(c) у відповідних випадках, передачі персональних даних третій країні або міжнародній організації, і у випадку передачі, який зазначений в другому параграфі Статті 49(1), документальне підтвердження належних гарантій; (d) за можливості, загальний опис технічних і організаційних заходів безпеки, які зазначені в Статті 32(1). 3. Облікові відомості, зазначені в параграфах 1 і 2, повинні зберігати у письмовому вигляді, в тому числі в електронній формі. 4. Володілець або особа, що обробляє персональні дані, і, у відповідних випадках, їх представник повинні надавати облікові відомості в розпорядження наглядових органів за їх вимогою. 5. Обов’язки, зазначені в параграфах 1 і 2, не повинні застосовуватися у відношенні підприємств або організацій, на яких працює менше ніж 250 осіб, крім випадків, коли обробка даних, що ними здійснюється, може призвести до виникнення ризиків для прав і свобод суб’єктів даних, обробка не носить випадковий характер або включає в себе спеціальні категорії даних, що зазначені в Статті 9(1), або персональні дані, пов’язані з судимостями і злочинами відповідно до Статті 10. Стаття 31 Співробітництво з наглядовими органами Володілець і особа, що обробляє персональні дані, і у відповідних випадках їх представники повинні співробітничати за вимогою з наглядовими органами при реалізації своїх завдань. Розділ 2 БЕЗПЕКА ПЕРСОНАЛЬНИХ ДАНИХ Стаття 32 Безпека обробки 1. Враховуючи стан розвитку науки і техніки, витрати на імплементацію, характер, обсяги, особливості та цілі обробки, а також ймовірність виникнення ризиків та небезпек для прав і свобод фізичних осіб, володілець і особа, яка обробляє дані, повинні імплементувати відповідні технічні та організаційні заходи, щоб гарантувати спів розмірність ризику безпеки, включаючи interalia, наступне: (а) псевдонимізацію та криптографічний захист персональних даних; (b) спроможність гарантувати постійну конфіденційність, цілісність, доступність та стійкість систем і послуг, що пов’язані з обробкою; (c) спроможність своєчасно відновлювати доступність і доступ до персональних даних у випадку виникнення інциденту фізичного та технічного характеру; (d) процедуру регулярної перевірки та оцінювання ефективності технічних та організаційних заходів для забезпечення безпеки обробки. 2. При оцінюванні відповідного рівня безпеки, необхідно враховувати ризики, пов’язані з процесом обробки, зокрема з випадковим або незаконним знищенням, втратою, змінами, несанкціонованим розповсюдженням або доступом до персональних даних, які передаються, зберігаються або іншим чином обробляються. 3. Дотримання затверджених норм поведінки відповідно до Статті 40 або затвердженому сертифікаційному механізму відповідно до Статті 42 може бути використано як елемент для підтвердження дотримання вимог, зазначених в параграфі 1 цієї Статті. 4. Володілець і особа, що обробляє дані, повинні вжити заходів для того, щоб гарантувати,що будь-яка фізична особа, яка діє від імені володільця або особи, що обробляє персональні дані, і має доступ до персональних даних, повинно обробляти такі дані тільки за розпорядженням володільця, за винятком випадків, передбачених законодавством Союзу або держави-члена ЄС. Стаття 33 Повідомлення наглядового органу про виток персональних даних 1. У випадку втрати персональних даних володілець негайно і за наявності відповідної можливості протягом 72 годин після того, як йому стало відомо про виток, повинен повідомити
про це компетентний у відповідності до Статті 55 наглядовий орган, крім випадків, коли виток персональних даних ймовірно не призведе до ризику для прав і свобод фізичних осіб. У випадку, якщо повідомлення наглядового органу не було зроблено протягом 72 годи, в ньому необхідно вказати причини затримки. 2. Особа, що обробляє дані, повинна повідомити володільця про виток персональних даних одразу, як тільки йому стало відомо про це. 3. Повідомлення, зазначене в параграфі 1, повинно містити як мінімум таку інформацію: (а) опис характеру витоку персональних даних, в тому числі за можливості із зазначенням категорій і приблизної кількості суб’єктів даних та категорій і приблизної кількості записів персональних даних; (b) прізвище і контактні дані інспектора по захисту персональних даних або іншого координаційного центру, де можна отримати більш детальну інформацію; (c) опис можливих наслідків витоку персональних даних; (d) опис вжитих або запланованих володільцем заходів, в тому числі, у відповідних випадках, заходів щодо зменшення його негативного впливу. 4. У випадку якщо і оскільки в той же самий час надання інформації не можливо, вона надається поетапно без подальшої затримки. 5. Володілець повинен документувати будь-які витоки персональних даних, в тому числі всі, що відносяться до витоку персональних даних факти, його наслідки і вжиті коригуючи заходи. Зазначена документація повинна забезпечити можливість перевірки наглядовим органом дотримання цієї Статті. Стаття 34 Інформування суб’єкта даних про виток персональних даних 1. У випадку, якщо виток персональних даних може призвести до високого ступеню ризику для прав і свобод фізичних осіб, володілець негайно повинен повідомити суб’єкта даних про виток персональних даних. 2. Повідомлення суб’єкта даних, зазначене в параграфі 1 цієї Статті, повинно описувати ясною, зрозумілою і простою мово характер витоку персональних даних і містити як мінімум інформацію і заходи, зазначені в пунктах (b), (c) і (d) Статті 33(3). 3. Повідомлення суб’єкта даних, зазначене в параграфі 1, не вимагається, якщо виконується будь-яка з таких умов: (а) володілець імплементував відповідні технічні та організаційні заходи захисту, і зазначені заходи застосовувалися у відношенні до персональних даний, яких вони стосувалися, особливо ті заходи, через які персональні дані будуть незрозумілі всім особам, які не мають доступ до них, наприклад криптографічний захист; (b) володілець вжив додаткових заходів, які гарантують, що не виникне висока ступінь ризиків для прав і свобод суб’єктів даних відповідно до параграфу 1; (c) воно вимагає неспівмірних зусиль. У зазначеному випадку, замість цього здійснюється повідомлення для інформування громадськості або вживається аналогічний захід, який інформує суб’єктів даних. 4. Якщо володілець ще не проінформував суб’єкта даних про виток персональних даних, наглядовий орган, після вивчення ймовірності високого ступеню ризику через виток персональних даних може вимагати від володільця проінформувати суб’єкта даних або може прийняти рішення стосовно того, що виконується одна з умов, зазначених в параграфі 3. Розділ 3 ОЦІНКА ВПЛИВУ НА ЗАХИСТ ДАНИХ І ПОПЕРЕДНЯ КОНСУЛЬТАЦІЯ Стаття 35 Оцінка впливу на захист даних 1. У випадку якщо обробка персональних даних, особливо із застосуванням новітніх технологій і з урахуванням характеру, обсягів, особливостей і цілей обробки, може призвести до високої ступені ризику для прав і свобод фізичних осіб, володілець перед обробкою здійснює оцінку впливу передбачуваного процесу обробки даних на захист персональних даних. Окрема
оцінка може бути проведена у відношенні сукупності аналогічних процесів обробки з аналогічно високим ступенем ризику. 2. При проведенні оцінювання впливу на захист даних володілець повинен звернутися за порадою до інспектора із захисту персональних даних, якщо він призначений. 3. Оцінка впливу на захист даних, зазначена в параграфі 1, вимагається, зокрема, у випадку: (а) систематичного та масштабного оцінювання особистісних аспектів фізичних осіб, яка основується на автоматизованій обробці, включаючи формування профілю, і яка є основою для рішень, що спричиняють юридичні наслідки стосовно фізичної особи або аналогічним чином суттєво впливають на фізичну особу; (b) масштабної обробки особливих категорій даних, зазначених в Статті 9(1), або персональних даних, що стосуються кримінальних вироків та злочинів відповідно до Статті 10; або (c) систематичного широкого моніторингу відкритої для загального доступу сфери. 4. Наглядовий орган повинен створити та опублікувати перелік процесів обробки даних, стосовно яких повинна здійснюватися оцінка впливу на захист даних відповідно до параграфу. Наглядовий орган повинен передати ці переліки Раді, зазначеній в Статті 68. 5. Наглядовий орган може також складати та публікувати перелік видів обробки даних, для яких не потребується оцінка впливу на захист даних. Наглядовий орган повинен також передати зазначені переліки Раді. 6. До затвердження переліків, зазначених в параграфі 4 і 5, компетентний наглядовий орган повинен застосувати механізм співставлення, зазначений в Статті 63, якщо зазначені переліки охоплюють обробку даних, пов’язаних з пропозицією товарів та послуг суб’єктам даних або з моніторингом їх поведінкової активності в декількох державах членах ЄС або які можуть суттєво вплинути на вільний обіг персональних даних на території Союзу. 7. Оцінка повинні містити як мінімум наступне: (а) систематичний опис передбачуваних процесів обробки даних і цілей обробки, в тому числі, у відповідних випадках, законного інтересу володільця; (b) оцінку необхідності та пропорційності обробки даних відносно цілей; (c) оцінку ризиків для прав і свобод суб’єктів даних, зазначених в параграфі 1; і (d) заходи, передбачені для усунення ризиків, включаючи гарантії, заходи безпеки і механізми для забезпечення захисту персональних даних і підтвердження дотримання цього Регламенту з урахуванням прав і законних інтересів суб’єктів даних та інших зацікавлених осіб. 8. Дотримання затверджених норм поведінки відповідно до Статті 40 відповідними володільцями або особами, що обробляють персональні дані, необхідно враховувати при оцінці впливу обробки даних, проведеної зазначеними володільцями або особами, що обробляють персональні дані, зокрема в цілях оцінки впливу на захист даних. 9. У відповідних випадках володілець повинен дізнатися думку суб’єктів даних або їх представників щодо запланованої обробки, без шкоди захисту комерційних або суспільних інтересів або безпеки обробки даних. 10. У випадку якщо обробка відповідно до пункту (с) або (е) Статті 6(1) має правові підстави в законодавстві Союзу або держави-члена ЄС, під дію якого підпадає володілець, якщо зазначене законодавство регулює певний процес обробки даних або сукупність процесів обробки і якщо оцінка впливу на захист даних вже проводилася в рамках загального оцінювання впливу у відношенні затвердження зазначеної правової підстави, параграфи 1-7 не повинні застосовуватися крім випадків, коли держави-члени ЄС вважають за необхідне провести таку оцінку обробку даних. 11. За необхідності володілець провести перевірку для того, щоб оцінити, чи виконується обробка у відповідності до оцінки впливу на захист даних, як мінімум вимірювання відносно ризику, пов’язаного з обробкою даних. Стаття 36 Попередня консультація 1. Володілець повинен проконсультуватися з наглядовим органом до початку обробки, якщо оцінка впливу на захист даних відповідно до Статті 35 вказує на те, що обробка може призвести до виникнення високого ступеню ризику за відсутності заходів, вжитих володільцем для зниження ризику.
2. Якщо наглядовий орган вважає, що запланована обробка відповідно до параграфу 1 може порушити положення цього Регламенту, зокрема, якщо володілець в недостатній ступені ідентифікував або знизив ризик, наглядовий орган протягом не більше восьми тижнів з моменту отримання запиту про проведення консультації повинен надати володільцю і у відповідних випадках особі, що обробляє персональні дані, письмові рекомендації і може здійснювати повноваження, зазначені в Статті 58. Зазначений строк може бути збільшений на шість тижнів з урахуванням складності запланованої обробки. Наглядовий орган повинен проінформувати володільця і у відповідних випадках особу, яка обробляє дані, про таке збільшення терміну протягом місяця після отримання запиту про проведення консультацій і вказати причини відтермінування, зазначені строки можуть бути призупинені до тих пір, поки наглядовий орган не отримає інформацію, яку запитував в цілях консультації. 3. У випадку проведення консультації відповідно до параграфу 1 володілець повинен надати наглядовому органу таку інформацію: (а) у відповідних випадках, відомості про обов’язки володільця, володільців, які спільно здійснюють обробку, та осіб, що приймають участь в обробці, що обробляють персональні дані, зокрема при обробці в рамках групи підприємств; (b) цілі і способи запланованої обробки; (c) заходи та гарантії для захисту прав і свобод суб’єктів даних відповідно до цього Регламенту; (d) у відповідних випадках, контактні дані інспектора із захисту персональних даних; (e) оцінку впливу на захист даних відповідно до Статті 35; і (f) будь-яку іншу інформацію, що потрібна наглядовому органу. 4. Держави-члени ЄС повинні проконсультуватися з наглядовим органом при підготовці пропозицій щодо законодавчих заходів, які повинні бути ухвалені національним парламентом, або при підготовці регулятивних заходів , що базуються на такій законодавчій базі, що відноситься до обробки. 5. Безвідносно параграфа 1 законодавство держави-члена ЄС може зобов’язати володільців проконсультуватися з наглядовим органом, а також отримати від нього попередній дозвіл при обробці для виконання завдань в інтересах суспільства, в тому числі при обробці в цілях соціального захисту та громадської охорони здоров’я. Розділ 4 ІНСПЕКТОР ІЗ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ Стаття 37 Призначення інспектора із захисту персональних даних 1. Володілець і особа, що обробляє персональні дані, повинні призначати інспектора із захисту персональних даних у випадку, якщо: (a) обробка здійснюється органом державної влади або урядовим закладом, за винятком судів, що діють в рамках своєї судової дієздатності; (b) основна діяльність володільця або особи, що обробляє персональні дані, полягає в обробці даних, яка в силу свого характеру, обсягів і/або цілей, вимагає масштабного, регулярного і систематичного моніторингу суб’єктів даних; або (c) основна діяльність володільця або особи, яка обробляє дані, полягає в масштабній обробці особливих категорій даних відповідно до Статті 6 і в персональних даних, пов’язаних з кримінальними вироками та злочинами відповідно до Статті 10. 2. Група підприємств може затвердити єдиного інспектора із захисту персональних даних, за умови, що інспектор із захисту персональних даних може бути легкодоступним для кожного підприємства. 3. У випадку якщо володілець або особа, яка обробляє дані, є органом державної влади або урядовим закладом, єдиний інспектор із захисту персональних даних може бути призначений для декількох таких органів або закладів, з урахуванням їх організаційної структури і масштабів. 4. У випадках, що не зазначені в параграфі 1, володілець, або особа, яка обробляє дані, або об’єднання чи інші органи, що представляють категорії володільців або осіб, які обробляють дані, можуть, або якщо цього вимагає законодавство Союзу або держави-члена ЄС, повинні призначати інспектора із захисту даних. Інспектор із захисту даних може діяти від особи
зазначених об’єднань та інших органів, що представляють володільців або осіб, які обробляють персональні дані. 5. Інспектор із захисту даних повинен призначатися на основі професійних якостей і, зокрема, на основі експертного знання законодавства та практики в сфері захисту даних, а також на основі спроможності виконувати завдання, зазначені в Статті 39. 6. Інспектор із захисту персональних даних може бути працівником володільця або особи, яка обробляє персональні дані, або він може виконувати завдання відповідно до договору про надання послуг. 7. Володілець або особа, яка обробляє дані, повинні опублікувати контактні дані інспектора із захисту персональних даних та повідомити їх наглядовому органу. Стаття 38 Положення інспектора із захисту персональних даних 1. Володілець і особа, яка обробляє персональні дані повинні гарантувати, що інспектор із захисту персональних даних приймає своєчасну та належну участь у вирішенні усіх питань, пов’язаних із захистом персональних даних. 2. Володілець і особа, яка обробляє персональні дані, повинні надавати підтримку інспектору із захисту персональних даних при виконанні завдань, зазначених в Статті 39, через надання ресурсів, що необхідні для здійснення зазначених завдань, і доступу до персональних даних і процесу їх обробки, а також ресурсів, необхідних для збереження його/її експертних знань. 3. Володілець та особа, яка обробляє дані, повинні гарантувати, що інспектор із захисту персональних даних не отримає інших вказівок щодо виконання зазначених завдань. Інспектор із захисту персональних даних не повинен бути відсторонений або оштрафований володільцем або особою, яка обробляє персональні дані, за виконання своїх завдань. Інспектор із захисту персональних даних повинен напряму звітувати перед керівництвом вищого рівня володільця або особи, яка обробляє персональні дані. 4. Суб’єкти даних можуть звертатися до інспектора із захисту даних з усіх питань, пов’язаних з обробкою їх персональних даних і з реалізацією їх прав відповідно до цього Регламенту. 5. Інспектор із захисту персональних даних зобов’язаний у відповідності до законодавства Союзу або держави-члена ЄС дотримуватися таємниці або конфіденційності при здійсненні своїх завдань. 6. Інспектор із захисту персональних даних може виконувати інші завдання і обов’язки. Володілець або особа, яка обробляє персональні дані, повинні гарантувати, що будь-які такі завдання та обов’язки не призводять до конфлікту інтересів. Стаття 39 Завдання інспектора із захисту персональних даних 1. Інспектор із захисту персональних даних повинен виконувати як мінімум такі завдання: (a) інформувати і давати поради володільцю або особі, яка обробляє персональні дані, і співробітникам, які здійснюють обробку даних, щодо їх обов’язків відповідно до вимог цього Регламенту, а також згідно з іншими положеннями Союзу або держави-члена ЄС в сфері захисту персональних даних; (b) контролювати виконання цього Регламенту, інших положень Союзу або державичлена ЄС в сфері захисту персональних даних, а також методів володільця або особи, яка обробляє персональні дані, для захисту персональних даних, включаючи розподіл обов’язків, підвищення рівня інформованості та навчання персоналу, залученого до обробки даних, і відповідні аудиторські перевірки; (c) здійснення консультування, за необхідності, відносно оцінки впливу на захист даних і контролювати її виконання відповідно до Статті 35; (d) співробітничати з наглядовим органом; (e) діяти в якості координаційного центру для наглядового органу з питань, пов’язаних з обробкою, включаючи попередню консультацію, відповідно до Статті 36, і консультувати, у відповідних випадках, з інших питань.
2. Інспектор із захисту персональних даних при виконанні своїх завдань повинен враховувати ризик, пов'язаний з процесом обробки даних, з урахуванням характеру, обсягу, особливостей та цілей обробки. Розділ 5 НОРМИ ПОВЕДІНКИ І СЕРТИФІКАЦІЯ Стаття 40 Норми поведінки 1. Держави-члени ЄС, наглядові органи, Рада і Європейська Комісія повинні сприяти розробці норм поведінки, що призначені для належного застосування цього Регламенту, з урахуванням специфічних особливостей різних секторів обробки і специфічних потреб мікропідприємств, малих і середніх підприємств. 2. Об’єднання та інші організації, що представляють категорії володільців або осіб, що обробляють дані, можуть розробляти норми поведінки, вносити зміни до них або розширяти їх з метою визначення застосування цього Регламенту, з урахуванням наступного: (а) справедливої та прозорої обробки; (b) законних інтересів володільців у певних контекстах; (c) збору персональних даних; (d) псевдонимізації персональних даних; (e) інформації, що надається громадськістю та суб’єктами даних; (f) реалізації прав суб’єктів даних; (g) інформування та захисту дітей, а також способу отримання згоди осіб, що мають батьківську відповідальність у відношенні до дитини; (h) заходів і процедур, зазначених в Статті 24 і 25, а також заходів для забезпечення безпеки обробки відповідно до Статті 32; (i) повідомлення наглядових органів про виток персональних даних та інформування про такі витоки персональних даних суб’єктів даних; (j) передачі персональних даних до третіх країн або національним організаціям; або (k) позасудових процедур та інших процедур вирішення спірних питань між володільцями і суб’єктами даних щодо обробки, без перешкоджання правам суб’єкта даних відповідно до Статей 77 і 79. 3. В доповнення до дотримання володільцями або особами, що обробляють дані, і які підпадають під дію цього Регламенту, норми поведінки, затверджені у відповідності до параграфу 5 цієї Статті і які мають загальну дійсність відповідно до параграфу 9 цієї Статті, можуть дотримуватися володільцями або особами, які обробляють персональні дані, і які не підпадають під дію цього Регламенту відповідно до Статті 3, для того, щоб надати відповідні гарантії в рамках передачі персональних даних третім країнам або міжнародним організаціям у відповідності до пункту (е) Статті 46(2). Зазначені володільці або особи, які обробляють персональні дані, повинні через укладання договорів або інших документів, які мають юридичну силу, взяти на себе реалізуємі зобов’язання щодо застосування відповідних гарантій, в тому числі з урахуванням прав суб’єктів даних. 4. Норма поведінки, зазначена в параграфі 2 цієї Статті, повинна місти механізми, які нададуть можливість органу, зазначеному в Статті 41(1), здійснювати обов’язковий моніторинг дотримання положень володільцями або особами, які обробляють персональні дані, які зобов’язані виконувати норми поведінки, без перешкоджання завданням і повноваженням наглядових органів, що є компетентними у відповідності до Статті 55 або 56. 5. Об’єднання та інші органи, що зазначені в параграфі 2 цієї Статті, які мають намір розробити норму поведінки, внести зміни або розширити існуючу норму, повинні надати проект норм, зміни до них або їх розширення наглядовому органу, який є компетентним у відповідності до Статті 55. Наглядовий орган повинен дати висновок стосовно того, що чи відповідає проект норми, змін або розширення цьому Регламенту, а також затвердити проект норм, змін або розширення, якщо він вважає, що він передбачає відповідні гарантії. 6. Якщо проект норм, їх змін або розширення затверджений у відповідності до параграфу 5 і якщо відповідна норма поведінки не відноситься до обробки даних в декількох державахчленах ЄС, наглядовий орган повинен зареєструвати і опублікувати норму.
7. У випадку якщо проект норми поведінки відносяться до обробки даних в декількох державах-членах ЄС, наглядовий орган, що є компетентним відповідно до Статті 55, до затвердження проекту норм, змін до нього або їх розширення, повинен передати його у відповідності до процедури, зазначеної в Статті 63, Раді, яка повинна дати висновок стосовно того, чи відповідає проект норм, змін або розширень до нього цьому Регламенту або у випадку, зазначеному в параграфі 3 цієї Статті, і чи передбачає він відповідні гарантії. 8. У випадку якщо висновок, зазначений відповідно до параграфу 7, підтверджує, що проект норм, змін чи розширень до нього відповідає цьому Регламенту або у випадку, зазначеному у параграфі 3, передбачає відповідні гарантії, Рада повинна надати свій висновок Європейській Комісії. 9. Європейська Комісія через імплементацію актів може ухвалити рішення стосовно того, що затверджені норми поведінки, які були передані їй відповідно до параграфу 8, зміни чи ощирення до них, мають загальну дійсність на території Союзу. Зазначені імплементацій ні акти повинні бути прийняті у відповідності до процедури перевірки, що зазначена в Статті 93(2). 10. Європейська Комісія повинна гарантувати розповсюдження інформації про затверджені норми, загальна дійсність яких повинна бути визнана відповідно до параграфу 9. 11. Рада повинна внести затверджені норми поведінки, зміни та розширення до них до реєстру і через вжиття відповідних заходів довести їх до загального відома. Стаття 41. Моніторинг затверджених норм поведінки 1. Без перешкоджання завданням та повноваженням компетентного наглядового органу відповідно до Статей 57 та 58 моніторинг дотримання норм поведінки згідно зі Статтею 40 може здійснюватися органом, що має відповідний рівень компетентності щодо предмета норм і є уповноваженим для зазначеної цілі компетентним наглядовим органом. 2. Орган, що зазначений в параграфі 1, може бути уповноважений на моніторинг дотримання норм поведінки, якщо він: (а) підтвердив компетентному наглядовому органу свою незалежність і компетентність стосовно предмету норм; (b) встановив процедуру, яка дозволить йому оцінити, чи можуть володільці чи особи, що обробляють персональні дані, застосовувати норму, а також проконтролювати дотримання норм володільцями чи особами, що обробляють персональні дані, і проводити періодичну перевірку їх застосування; (c) встановив процедури і структури для того, щоб розглядати скарги на порушення норм або на способи, за допомогою яких норма була імплементована або імплементовується володільцем чи особою, що обробляє персональні дані, а також для того, щоб зробити зазначені процедури і структури прозорими для суб’єктів даних та громадськості; і (d) підтвердив компетентному наглядовому органу, що його завдання та обов’язки не призведуть до конфлікту інтересів. 3. Компетентний наглядовий орган повинен передати Раді проект критеріїв затвердження органу, зазначеного в параграфі 1 цієї Статті, відповідно до механізму співставлення, зазначеного в Статті 63. 4. Без перешкоджання завданням та повноваженням компетентного органу і повноваженням Глави VIII орган, зазначений в параграфі 1 цієї Статті, повинен з урахуванням відповідних гарантій прийняти належні заходи у випадку порушення норми володільцем чи особою, яка обробляє персональні дані, в тому числі тимчасове або остаточне відсторонення володільця чи особи, яка обробляє персональні дані, від норми. Він повинен проінформувати компетентний наглядовий орган про зазначені заходи та причини їх вжиття. 5. Компетентний наглядовий орган повинен відкликати затвердження органу, затверджене в параграфі 1, якщо умови його затвердження більше не виконуються або якщо заходи, які були прийняті зазначеним органом, порушують положення цього Регламенту. 6. Ця Стаття не застосовується щодо обробки, яка здійснюється компетентним органом державної влади і урядовими закладами. Стаття 42 Сертифікація
1. Держави-члени ЄС, наглядові органи, Рада і Європейська Комісія повинні сприяти, особливо на рівні Союзу, впровадженню сертифікаційних механізмів захисту даних, а також печаток і маркувальних знаків для захисту даних в цілях підтвердження дотримання цього Регламенту при обробці, що здійснюється володільцем чи особою, яка обробляє персональні дані. Необхідно враховувати певні потреби мікропідприємств, малих і середніх підприємств. 2. В доповнення до дотримання володільцем чи особою, яка обробляє персональні дані, що підпадають під дію цього Регламенту, сертифікаційні механізми захисту даних, печатки або маркувальні знаки, затверджені відповідно до параграфу 5 цієї Статті, можуть бути встановлені в цілях підтвердження наявності відповідних гарантій, що надаються володільцями чи особами, які обробляють персональні дані, які не підпадають під дію цього Регламенту згідно Статті 3, а в рамках передачі персональних даних третім країнам або міжнародним організаціям у відповідності до пункту (f) Стаття 46(2). Зазначені володільці чи особи, які обробляють персональні дані, повинні шляхом укладання угод або інших документів, які мають юридичну силу, взяти на себе зобов’язання щодо застосування відповідних гарантій, в тому числі з урахуванням права суб’єкта даних. 3. Сертифікація повинна бути добровільною та доступною через прозорий процес. 4. Сертифікація відповідно до цієї Статті не зменшує відповідальність володільця чи особи, яка обробляє персональні дані, за виконання цього Регламенту і діє без перешкоджання завданням та повноваженням наглядового органу, компетентного у відповідності до Статті 55 або 56. 5. Сертифікація відповідно до цієї Статті повинна здійснюватися сертифікаційними органами, зазначеними в Статті 43 або компетентним наглядовим органом на основі критеріїв, затверджених зазначеним компетентним наглядовим органом відповідно до Статті 58(3) або Радою згідно зі Статтею 63. Якщо критерії затверджуються Радою, це може призвести до загальної сертифікації, до європейської печатки про захист даних. 6. Володілець чи особа, яка обробляє персональні дані, яка підпадає сертифікаційним механізмам обробку даних, яку вона здійснює, повинен надавати сертифікаційному органу, зазначеному в Статті 43, або у відповідних випадках компетентному наглядовому органу всю інформацію, що необхідна для проведення сертифікаційної процедури, і забезпечити доступ до обробки даних. 7. Сертифікація повинна надаватися володільцю чи особі, яка обробляє персональні дані, на строк не більше трьох років, зазначений термін може бути продовжений на тих самих умовах у тому випадку, якщо продовжують виконуватися відповідні вимоги. Сертифікація повинна бути відмінена сертифікаційними органами, зазначеними в Статті 43, або компетентним наглядовим органом, якщо вимоги для сертифікації більше не виконуються. 8. Рада повинна внести всі сертифікаційні механізми, печатки та маркувальні знаки про захист даних до реєстру і через відповідні заходи довести їх до загального відома. Стаття 43 Сертифікаційні органи 1. Без перешкоджанням завданням та повноваженням компетентного наглядового органу згідно Статей 57 і 58 сертифікаційні органи, які мають відповідний рівень компетенції щодо захисту даних, повинні після інформування наглядового органу в цілях сприяння йому у здійсненні його повноважень згідно пункту (h) Статті 58(2), за необхідності, представляти і продовжувати сертифікацію. Держави-члени ЄС повинні гарантувати, що зазначені сертифікаційні органи затверджені: (а) наглядовим органом, компетентним відповідно до Статті 55 або 56; та/або (b) національною сертифікаційною організацією, яка визначена відповідно до Регламенту (ЄС) 765/2008 Європейського Парламенту і Ради ЄС 25 , відповідно до EN-ISO/IES 17065/2012 і з додатковими вимогами, встановленими наглядовими органами, які є компетентними відповідно до Статті 55 або 56. 2. Сертифікаційні органи, зазначені в параграфі 1, повинні бути акредитовані у відповідності до зазначеного параграфу тільки якщо вони: 25
Регламент (ЄС) 765/2008 Європейського Парламенту і Ради ЄС від 9 липня 2008 р., що встановлює вимоги до акредитації і нагляду стосовно продукції, яка розміщується на ринку ЄС, і яка відміняє Регламент (ЕЄС) 339/93 (ОЖ N L 218, 13.08.2008, стор. 30)
(a) підтвердили компетентному наглядовому орану свою незалежність і компетентність щодо предмета сертифікації; (b) прийняли на себе зобов’язання виконувати критерії, вказані в Статті 42(5) і затверджені наглядовим органом, компетентним відповідно до Статті 55 або 56, або Радою згідно Статті 63; (c) встановили процедури для видачі, періодичної перевірки та відміни сертифікації даних, печаток і маркувальних знаків про захист даних; (d) встановили процедури і структури для того, щоб розглядати скарги на порушення сертифікації або на способи, з використанням яких сертифікація була імплементована або імплементується володільцем чи особою, яка обробляє дані, а також для того, щоб зробити зазначені процедури і структуру прозорими для суб’єкта даних і громадськості; і (e) підтвердили компетентному наглядовому органу, що його завдання та обов’язки не призведуть до конфлікту інтересів. 3. Акредитація сертифікаційних органів, зазначених в параграфах 1 і 2 цієї Статті, повинна здійснюватися на основі критеріїв, затверджених наглядовим органом, компетентним відповідно до Статті 55 або 56, або Радою згідно Статті 63. У випадку акредитації відповідно до пункту (b) параграфу 1 цієї Статті, зазначені вимоги повинні відповідати вимогам, передбаченим Регламентом (ЄС) 765/2008 і технічним нормам, які описують методи і процедури сертифікаційних органів. 4. Сертифікаційні органи, зазначені в параграфі 1, повинні відповідати за належну оцінку, яка полягає в основі сертифікації або відміни такої сертифікації, не перешкоджаючи відповідальності володільця або особи, яка обробляє дані, за виконання цього Регламенту. Акредитація видається на строк не більше ніж п’ять років і зазначений строк може бути продовжений на ти самих умовах у випадку, якщо сертифікаційний орган виконує вимоги, що встановлені цією Статтею. 5. Сертифікаційні органи, зазначені в параграфі 1, повинні повідомити компетентному наглядовому органу причини надання або відміни сертифікації. 6. Вимоги, зазначені в параграфі 3 цієї Статті, і критерії, вказані в Статті 42(5), повинні бути опубліковані наглядовим органом у легкодоступній формі. Наглядові органи повинні також передати зазначені вимоги і критерії Раді. Рада повинна внести всі сертифікаційні механізми і печатки про захист даних до реєстру і з використанням відповідних заходів довести їх до загального відома. 7. Без перешкоджання дії Глави VIII компетентний наглядовий орган або національна сертифікаційна організація повинні відмінити акредитацію сертифікаційного органу згідно параграфу 1 цієї Статті, якщо умови акредитації більше не виконуються або якщо вжиті сертифікаційним органом заходи порушують положення цього Регламенту. 8. Європейська Комісія має право передати делеговані акти відповідно до Статті 92 з метою встановлення вимог, що необхідні враховувати для сертифікаційних механізмів захисту даних, зазначених в Статті 42(1). 9. Європейська Комісія може ухвалити імплементаційні акти, що встановлюють технічні стандарти для сертифікаційних механізмів, печаток та маркували знаків про захист даних, а також механізмів для сприяння і визнання зазначених сертифікаційних механізмів, печаток і маркувальних знаків. Зазначені імпелементаційні акти повинні бути прийняті у відповідності до процедури перевірки, зазначено в Статті 93. ГЛАВА V. ПЕРЕДАЧА ПЕРСОНАЛЬНИХ ДАНИХ ТРЕТІМ КРАЇНАМ АБО МІЖНАРОДНИМ ОРГАНІЗАЦІЯМ Статті 44 Загальні принципи передачі Будь-яка передача персональних даних, які вже оброблялися або які повинні будуть оброблені після передачі третій країні або міжнародній організації, повинна здійснюватися тільки якщо володілець або особа, яка обробляє дані, виконують вимоги, встановлені в цій Главі, а також інші положення цього Регламенту, включаючи передачу персональних даних з третьої країни або міжнародної організації до іншої третьої країни або іншої міжнародної організації. Всі положення цієї Глави, повинні застосовуватися для забезпечення того, що рівень захисту фізичних осіб, який гарантується цим Регламентом, залишається незмінним.
Стаття 45 Передача на основі рішення про відповідність 1. Передача персональних даних третій країні або міжнародній організації може здійснюватися якщо Європейська Комісія прийняла рішення про те, що третя країна, територія, або один або декілька специфічних секторів у зазначеній третій країні, або відповідна міжнародна організація гарантує належний рівень захисту. Така передача не вимагає спеціального дозволу. 2. При оцінюванні відповідності рівня захисту Європейська Комісія повинна, зокрема, враховувати такі елементи: (а) верховенство законодавства, повага до прав і основних свобод людини, відповідне законодавство як загального характеру, так і галузеве, в тому числі щодо громадської безпеки, оборони, внутрішньої безпеки та кримінального права і доступу органів державної влади до персональних даних, а також імплементацію зазначеного законодавства, норм захисту персональних даних, професійних правил і заходів безпеки, включаючи правила передачі персональних даних іншій третій країні або міжнародній організації, які дотримуються у зазначеній третій країні або міжнародній організації, прецедентне право, а також ефективні і захищені права суб’єктів даних і ефективні адміністративні та правові засоби захисту для суб’єктів даних, персональні дані яких передаються; (b) існування та ефективне функціонування одного або декількох незалежних наглядових органів в третій країні або органів, до компетенції яких відноситься міжнародна організація, що має компетенцію щодо забезпечення та реалізації дотримання норм захисту даних, включаючи відповідні правозастосовні повноваження, а також питання щодо сприяння та консультування суб’єктів даних при реалізації ними їхніх прав і співробітництва з наглядовими органами державчленів ЄС; і (c) міжнародні зобов’язання, які взяли на себе третя країна або міжнародна організація, або інші обов’язки, які випливають з юридично обов’язкових конвенцій або нормативних документів, а також з участі в багатосторонніх або регіональних системах, зокрема, щодо захисту персональних даних. 3. Європейська Конвенція, після оцінювання відповідності рівня захисту, може через імпелементаційні акти ухвалити рішення стосовно того, що третя країна, територія, один або декілька певних секторі у зазначеній третій країні, або відповідна міжнародна організація гарантує відповідний рівень захисту в значенні параграфу 2 цієї Статті. Імплементаційний акт повинен передбачувати механізм періодичної перевірки, як мінімум кожні чотири роки, яка повинна враховувати всі відповідні зміни в третій країні або міжнародній організації. Імплементаційний акт повинен встановлювати територіальне або секторальне застосування і, за необхідності, визначати наглядовий орган або органи, зазначені в пункті (b) параграфу 2 цієї Статті. Імплементацій ний акт повинен бути прийнятий у відповідності до процедури перевірки, зазначеної в Статті 93(2). 4. Європейська Комісія на постійній основі повинна контролювати зміни в третіх країнах та міжнародних організаціях, які можуть вплинути на виконання рішень, ухвалених відповідно до параграфу 3 цієї Статті, і рішень, ухвалених відповідно до Статті 25(6) Директиви 95/46/ЄС. 5. Європейська Комісія при виявленні відповідної інформації, зокрема, в результаті перевірки, зазначеної в параграфі 3 цієї Статті, стосовно того, що третя країна, територія, або один чи декілька певних секторів у зазначеній третій країні, або відповідна міжнародна організація більше не гарантує в тій ступені, яка необхідна, відповідний рівень захисту в значенні параграфа 2 цієї Статті, повинна відмінити, внести зміни або призупинити дію рішення, зазначеного в параграфі 3 цієї Статті, через імплементаційні акти без ефекту зворотної сили. Зазначені імплементаційні акти повинні бути ухвалені відповідно до процедури перевірки, зазначеної в Статті 93(2). Виходячи з міркувань крайньої необхідності, Європейська Комісія повинна негайно ухвалити імплементаційні акти у відповідності до процедури, зазначеної в Статті93(3). 6. Європейська Комісія повинна почати консультації з третьою країною або міжнародною організацією для того, щоб виправити ситуацію, яка призвела до ухвалення рішення, прийнятого згідно параграфу 5. 7. Рішення, ухвалене відповідно до параграфу 5 цієї Статті діє без перешкоджання передачі персональних даних третій країні, території, одному або декільком специфічним секторам у зазначеній третій країні або відповідній міжнародній організації згідно з Статтями 4649.
8. Європейська Комісія повинна опублікувати в Офіційному Журналі Європейського Союзу і на своєму Інтернет-сайті перелік третіх країн, територій і специфічних секторів в третій країні і міжнародних організацій, стосовно яких вона прийняла рішення стосовно того, що вони гарантують або більше не гарантують відповідний рівень захисту. 9. Рішення, ухвалене Європейською Комісією на підставі Статті 25(6) Директиви 95Ї46ЇЄС, залишається чинними до тих пір, поки воно не буде змінено, замінено або відмінено Рішенням Європейської Комісії, ухваленого у відповідності до параграфу 3 або 5 цієї Статті. Стаття 46 Передача за умови дотримання відповідних гарантій 1. У випадку відсутності рішення відповідно до Статті 45(3) володілець чи особа, яка обробляє дані, можуть передати персональні дані до третьої країни або міжнародної організації тільки якщо володілець чи особа, яка обробляє дані, передбачили відповідні гарантії і якщо суб’єкти даних мають юридично захищені права і ефективні засоби правового захисту. 2. Відповідні гарантії, зазначені в параграфі 1, можуть бути представлені без особливого рішення наглядового органу через: (а) маючий обов’язкову юридичну силу документ між органами державної влади або урядовими закладами; (b) юридично зобов’язуючі корпоративні правила згідно зі Статтею 47; (c) стандартні умови щодо захисту даних, ухвалені Європейською Комісією відповідно до процедури перевірки, зазначеної в Статті 93(2); (d) стандартні умови щодо захисту даних, ухвалені наглядовим органом і затверджені Європейською Комісією відповідно до процедури перевірки, зазначеної в Статті 93(2); (e) затверджену норму поведінки відповідно до Статті 40 спільно з юридично зобов’язуючими та захищеними обов’язками володільця або особи, яка обробляє дані, в третій країні щодо застосування відповідних гарантій, в тому числі щодо прав суб’єктів даних; або (f) затвердженого сертифікаційного механізму відповідно до Статті 42 спільно з юридично зобов’язуючими та захищеними обов’язками володільця чи особи, яка обробляє дані, в третій країні щодо застосування відповідних гарантій, в тому числі щодо прав суб’єктів даних. 3. За умови наявності дозволу компетентного наглядового органу відповідні гарантії, зазначені в параграфі 1, можуть бути представлені, зокрема через: (а) статті договору, узгодженого між володільцем або особою, яка обробляє дані, і володільцем, що обробляє дані або отримувачем персональних даних в третій країні або міжнародній організації; або (b) положення, які повинні бути внесені до адміністративних домовленостей між органами державної влади або урядовими закладами і які включають в себе захищені і діючі права суб’єктів даних. 4. Наглядовий орган повинен застосовувати механізм співставлення відповідно до Статті 63 у випадках, зазначених в параграфі 3 цієї Статті. 5. Дозволи, видані державою-членом ЄС або наглядовим органом на підставі Статті 26(2) Директиви 95/46/ЄС, залишаються діючими до тих пір, поки вони не будуть за необхідності змінені, замінені або відмінені зазначеним наглядовим органом. Рішення, ухвалені Європейською Комісією на підставі Статті 26(4) Директиви 95/46/ЄС залишаються діючими до тих пір, поки вони не будуть за необхідності замінені, змінені або відмінені Рішенням Європейської Комісії, прийнятим відповідно до параграфу 2 цієї Статті. Стаття 47 Юридично зобов’язуючі корпоративні правила 1. Компетентний наглядовий орган у відповідності до механізму співставлення, зазначеного в Статті 63, повинен затвердити юридично зобов’язуючі корпоративні правили за умови, якщо вони: (а) є юридично обов’язковими і застосовуються у відношенні до кожного члена групи підприємств або групи компаній, зайнятих у спільній економічній діяльності, в тому числі їх співробітниками, а також забезпечуються зазначеними особами; (b) прямо представляють юридично захищені права суб’єктам даних щодо обробки їх персональних даних; (c) виконують вимоги, визначені в параграфі 2.
2. Юридично зобов’язуючі корпоративні правила, зазначені в параграфі 1, повинні визначати, як мінімум, наступне: (a) структуру і контактні дані групи підприємств або групи компаній, що ведуть спільну економічну діяльність; (b) передачу даних або низку таких передач, включаючи категорії персональних даних, тип обробки і її цілі, тип суб’єктів даних та ідентифікаційну інформацію щодо відповідної третьої країни або країн; (c) свій юридично обов’язковий характер, як внутрішній, так і зовнішній; (d) застосування загальних принципів захисту даних, зокрема, цільове обмеження, мінімізація даних, обмежені строки зберігання, якість даних, захист даних, запланована і за замовчуванням, правові підстави для обробки, обробка спеціальних категорій персональних даних, заходи для забезпечення безпеки даних, вимоги щодо передачі даних органам, які не пов’язані юридично зобов’язуючими корпоративними правилами; (e) права суб’єкта даних щодо обробки і способи реалізації зазначених прав, включаючи право не виконувати рішення, яке основується виключно на автоматизованій обробці, включаючи формування профілю, відповідно до Статті 22, а також право на подання скарги компетентному наглядовому органу і до компетентних судів держав-членів ЄС у відповідності до Статті 79, і право на відшкодування і, у відповідних випадках, компенсацію за порушення юридично зобов’язуючих корпоративних правил; (f) відповідальність, яку володілець чи особа, яка обробляє дані, що засновані на території держави-члена ЄС беруть на себе за будь-яке порушення юридично зобов’язуючих корпоративних правил будь-яким членом групи підприємств, які не засновані в ЄС; володілець або особа, яка обробляє дані, повністю або частково звільняються від такого обов’язку тільки тоді, коли вони доведуть, що зазначений член не несе відповідальності за подію, що стала причиною збитків; (g) спосіб надання суб’єктам даних інформації про юридично зобов’язуючі корпоративні правила, зокрема про положення, вказані в пунктах (d), (e) і (f) цього параграфа, в доповнення до Статей 13 і 14; (h) завдання будь-якого інспектора із захисту даних, призначеного відповідно до Статті 37, або іншої фізичної або юридичної особи, що відповідає за контроль за дотримання юридично зобов’язуючих корпоративних правил в рамках групи підприємств або групи компаній, що здійснюють спільну економічну діяльність, а також моніторинг навчання та розгляду скарг; (i) процедури розгляду скарг; (j) механізми в групі підприємств або групі компаній, що зайняті в спільній економічній діяльності, які гарантують перевірку і підтвердження дотримання юридично зобов’язуючих корпоративних правил. Зазначені механізми повинні включати в себе аудиторські перевірки захисту даних і методи забезпечення коригувальних заходів для захисту прав суб’єктів даних. Результати зазначеної перевірки повинні бути надані фізичній або юридичній особі, зазначеній в пункті (h), і Раді, яка здійснює контроль підприємства в групі підприємств або групі підприємств або групі компаній, що здійснюють спільну економічну діяльність, такі результати повинні бути доступні компетентному наглядовому органу за його запитом; (k) механізми для повідомлення та обліку змін в правилах, а також механізми інформування про зазначені зміни наглядовий орган; (l) механізм співробітництва з наглядовим органом з метою забезпечення дотримання приписів будь-яким членом групи підприємств або групи компаній, що здійснюють спільну економічну діяльність, зокрема, через надання наглядовому органу результатів перевірок заходів, зазначених в пункті (j); (m) механізм надання звітів компетентному наглядовому органу щодо будь-яких законних вимог, під дію яких підпадає член групи підприємств або групи компаній, що здійснюють спільну економічну діяльність, в третій країні, і які можуть негативно вплинути на гарантії, надані юридично зобов’язуючими корпоративними правилами; і (n) відповідне навчання захисту даних для персоналу, який має постійний доступ до персональних даних. 3. Європейська Комісія може встановлювати формат і процедури для обміну інформацією щодо юридично зобов’язуючих корпоративних правил в значенні цієї Статті між володільцями, особами, які обробляють дані, і наглядовими органами.
Стаття 48 Передача або розкриття даних, недозволена законодавством Союзу Будь-яке рішення суду або трибуналу і будь-яке рішення адміністративного органу третьої країни, що вимагає від володільця чи особи, яка обробляє персональні дані, передати або розкрити персональні дані, може бути визнано або може належати до виконання, якщо воно основується на діючій міжнародній угоді, наприклад, на угоді про взаємну юридичну допомогу між запитуючою третьою країною і Радою або державою-членом ЄС, без перешкоджання іншим підставам для передачі відповідно до цієї Глави. Стаття 49 Часткові відступи від визначених випадків 1. У випадку відсутності рішення про відповідність відповідно до Статті 45(3) або відповідних гарантій згідно Статті 46, включаючи юридично зобов’язуючі корпоративні правила, передача або низка передач персональних даних до третьої країни або міжнародної організації повинна здійснюватися тільки при виконанні однієї з таких гарантій: (a) суб’єкт даних дав пряму згоду на відповідну передачу даних після того, як він був проінформований про можливі ризики зазначеної передачі даних внаслідок відсутності рішення про відповідність і належних гарантій; (b) необхідна для виконання договору між суб’єктом даних і володільцем або для імплементації переддоговірних заходів, прийнятих за запитом суб’єкта даних; (c) передача необхідна для укладання договору або для виконання договору, укладеного в інтересах суб’єкта даних між володільцем та іншою фізичною або юридичною особою; (d) передача необхідна з причин суспільного інтересу; (e) передача необхідна для обґрунтування, здійснення або оскарження судового позову; (f) передача необхідна для захисту життєво важливих інтересів суб’єкта даних або інших осіб, якщо суб’єкт даних фізично або юридично не може надати свою згоду; (g) передача здійснюється з реєстру, метою якого відповідно до законодавства Союзу або держави-члена ЄС є надання інформації громадськості і який відкритий для ознайомлення широкій громадськості або іншій особі, яка може довести наявність законного інтересу, але тільки в тій мірі, в якій дотримуються умови, визначені законодавством Союзу або держави-члена ЄС, для ознайомлення в окремому випадку. У випадку, якщо передача не може основуватися на положеннях Статті 45 або 46, в тому числі на положеннях про юридично зобов’язуючі корпоративні правила, і якщо не застосовуються часткові відступи для певних випадків відповідно до першого підпараграфу цього параграфу, передача даних до третьої країни або міжнародної організації може здійснюватися тільки якщо передача не має повторюваного характеру, стосується обмеженої кількості суб’єктів даних, необхідна в цілях захисту законних інтересів володільця, за умови, що інтереси або права і свободи суб’єкта даних не переважають над ними, і володілець оцінив всі обставини, пов’язані з передачею даних, і на основі зазначеної оцінки передбачив належні гарантії щодо захисту персональних даних. Володілець повинен проінформувати про передачу наглядовий орган. В доповнення до надання інформації, зазначеної в Статті 13 і 14, володілець повинен проінформувати суб’єкта даних про передачу даних і про свої законні інтереси. 2. Передача відповідно до пункту (g) першого підпараграфу параграфу 1 не повинна включати в себе всі персональні дані або всі категорії персональних даних, що містяться в реєстрі. Якщо метою реєстру є ознайомлення осіб, які мають законний інтерес, передача повинна здійснюватися тільки за запитом зазначених осіб або якщо зазначені особи є отримувачами даних. 3. Пункти (a), (b) і (c) першого підпараграфу параграфу 1, а також другого підпараграфу параграфу 1 не повинні застосовуватися щодо діяльності, яка здійснюється органами державної влади при виконанні ними своїх повноважень. 4. Суспільний інтерес в значенні пункту (d) першого підпараграфа параграфу 1 повинен бути визнаний в законодавстві Союзу або в законодавстві держави-члена ЄС, під дію якого підпадає володілець. 5. У випадку відсутності рішення про відповідність в законодавстві Союзу або державичлена ЄС може бути з причин суспільного інтересу передбачено обмеження передачі певних категорій персональних даних до третьої країни або міжнародної організації. Держави-члени ЄС повинні повідомити про таке положення Європейську Комісію.
6. Володілець або особа, яка обробляє персональні дані, повинні зафіксувати в облікових відомостях, зазначених в Статті 30, оцінку і належні гарантії, зазначені в другому підпараграфі параграфу 1 цієї Статті. Стаття 50 Міжнародне співробітництво для захисту персональних даних В тому, що стосується третіх країн та міжнародних організацій, Європейська Комісія і наглядові органи повинні вживати таких заходів: (a) для удосконалення механізмів міжнародного співробітництва з метою сприяння ефективній реалізації законодавства про захист персональних даних; (b) для надання міжнародного взаємного сприяння при реалізації законодавства у сфері захисту персональних даних, в тому числі через повідомлення, передачу скарг на розгляд, допомогу в розслідуваннях і обміну інформацією, за наявності відповідних гарантій для захисту персональних даних та інших основних прав і свобод; (c) для залучення відповідних зацікавлених осіб до участі у обговореннях і діяльності, спрямованої на сприяння міжнародному співробітництву при реалізації законодавства про захист персональних даних; (d) для сприяння обміну та документальному оформленню законодавства та сталої практики в сфері захисту персональних даних, включаючи судові конфлікти з третіми країнами. ГЛАВА VI. НЕЗАЛЕЖНІ НАГЛЯДОВІ ОРГАНИ Розділ 1 НЕЗАЛЕЖНИЙ СТАТУС Стаття 51 Наглядовий орган 1. Кожна держава-член ЄС повинна передбачити один або декілька наглядових органів державної влади, відповідальні за моніторинг застосування цього Регламенту, для захисту основних прав і свобод фізичних осіб при обробці даних і для сприяння вільному обігу персональних даних в Союзі («наглядовий орган»). 2. Кожний наглядовий орган повинен сприяти узгодженому застосуванню цього Регламенту на території всього Союзу. Для зазначеної мети наглядові органи повинні співробітничати між собою та з Європейською Комісією відповідно до Глави VII. 3. У випадку якщо в державі-члені ЄС засновано більше одного наглядового органу, така держава-член ЄС повинна визначити наглядовий орган, який повинен буде представляти зазначені органи в Раді, і встановить механізм забезпечення іншими органами правил, що пов’язані з механізмом співставлення відповідно до Статті 83. 4. Кожна держава-член ЄС не пізніше 25 травня 2018 року повинна повідомити Європейську Комісію щодо положень свого законодавства, які вона ухвалює відповідно до цієї Глави, а також негайно про будь-які подальші зміни цих положень. Стаття 52 Незалежність 1. Кожний наглядовий орган повинен бути повністю незалежним при виконанні своїх завдань та реалізації своїх повноважень у відповідності до цього Регламенту. 2. Член або члени кожного наглядового органу при виконанні своїх завдань та реалізації своїх повноважень у відповідності до цього Регламенту не повинні підпадати під прямий або опосередкований вплив зовнішніх факторів, а також не повинні прагнути отримати, а ні отримувати вказівки від будь-кого. 3. Член або члени кожного наглядового органу повинні утримуватися від будь-яких дій, що є несумісними з їхніми обов’язками, і протягом дії повноважень не повинні приймати участь у будь-якій іншій несумісній з їхніми повноваженнями, оплачуваною або неоплачуваною діяльністю. 4. Кожна держава-член ЄС повинна гарантувати, що кожний наглядовий орган забезпечений кадровими, технічними або фінансовими ресурсами, приміщеннями та
інфраструктурою, які є необхідними йому для ефективного виконання завдань та реалізації повноважень, в тому числі в рамках взаємної допомоги, співробітництва та участі в Раді. 5. Кожна держава-член ЄС повинна гарантувати, що кожний наглядовий орган обирає та має відповідний персонал, що знаходиться у безпосередньому підпорядкуванні члена або членів відповідного наглядового органу. 6. Кожна держава-член ЄС повинна гарантувати, що кожний наглядовий орган підпадає під фінансовий контроль, що не впливає на його незалежність, і що він має окремі, державні, річні бюджетні кошториси, які можуть бути частиною державного або національного бюджету. Стаття 53 Загальні умови для членів наглядового органу 1. Держави-члени ЄС повинні гарантувати, що кожний член його наглядових органів затверджується через прозорі процедури: - парламентом; - урядом; - глави держави; або - незалежним органом, на який покладаються обов’язки щодо призначення відповідно до законодавства держави-члена ЄС. 2. Кожний член повинен мати необхідну для виконання своїх обов’язків і реалізації своїх повноважень кваліфікацію, досвід та навички, зокрема, у сфері захисту персональних даних. 3. Обов’язки члена повинні закінчуватися по закінченню терміну дії їхніх повноважень, зі звільненням або виходом на пенсію відповідно до законодавства держави-члена ЄС. 4. Член повинен бути звільнений з посади тільки у разі серйозного порушення дисципліни або якщо він більше не виконує умови, необхідні для виконання обов’язків. Стаття 54 Правила заснування наглядового органу 1. Кожна держава-член ЄС на законодавчому рівні повинні передбачити таке: (а) заснування кожного наглядового органу; (b) необхідні кваліфікації та умови для призначення члена кожного наглядового органу; (c) правила і процедури для призначення члена або членів кожного наглядового органу; (d) строк повноважень члена або членів кожного наглядового органу не менше ніж чотири роки; це не відноситься до першого призначення після 24 травня 2016 року, строк якого для частини членів може бути меншим, якщо для захисту незалежності наглядового органу необхідна процедура диференційованого призначення; (e) питання в тому, чи можуть, і якщо так, як часто, член або члени кожного наглядового орану призначатися на новий термін; (f) умови, які регулюють обов’язки члена або членів і персоналу кожного наглядового органу; заборони на несумісні із зазначеними обов’язками дії, професійну діяльність та виплати протягом та по закінченню терміну повноважень, а також правила, що регулюють припинення діяльності. 2. Член або члени і персонал кожного наглядового органу у відповідності до законодавства Союзу або держави-члена ЄС повинні, як протягом, такі по закінченню терміну їх повноважень, зберігати професійну таємницю щодо будь-якої конфіденційної інформації, яка стала їм відомою при виконанні завдань або реалізації повноважень. Протягом строку їх повноважень зазначений обов’язок щодо зберігання професійної таємниці повинен, зокрема застосовуватися щодо порушень цього Регламенту, про які повідомили фізичні особи. Розділ 2 КОМПЕТЕНЦІЯ, ЗАВДАННЯ ТА ПОВНОВАЖЕННЯ Стаття 55 Компетенція 1. Кожний наглядовий орган відповідає за виконання поставлених завдань і реалізацію наданих йому повноважень у відповідності до цього Регламенту на території його власної держави-члена ЄС.
2. Якщо обробка здійснюється органами державної влади або приватними організаціями, які діють на основі пункту (с) або (е) Статті 6(1), відповідальним є наглядовий орган відповідної держави-члена ЄС. У цьому випадку Стаття 56 не застосовується. 3. Наглядові органи не повинні відповідати за контроль над обробкою даних, що здійснюється судами в рамках їхньої судової діяльності. Стаття 56 Компетенція головного наглядового органу. 1. Без перешкоджання дії Статті 55 наглядовий орган центрального закладу або єдиного закладу володільця або особи, що обробляє дані, повинен виступати в якості компетентного головного наглядового органу для транскордонної обробки, яка здійснюється зазначеним володільцем або особою, яка обробляє дані, у відповідності до процедури, передбаченої в Статті 60. 2. Шляхом часткового відступу від параграфу 1 кожний наглядовий орган повинен відповідати за розгляд поданих йому скарг або можливих порушень цього Регламенту, якщо предмет відноситься тільки до закладу в його державі-члені ЄС або суттєво впливає на суб’єкти даних тільки в його державі-члені ЄС. 3. У випадках, зазначених в параграфі 2 цієї Статті, наглядовий орган повинен негайно проінформувати головний наглядовий орган про зазначену обставину. Протягом трьох тижнів після отримання відповідної інформації, головний наглядовий орган повинен прийняти рішення про розгляд зазначеної справи у відповідності до процедури, передбаченої в Статті 60, враховуючи той факт, чи знаходиться заклад володільця чи особи, яка обробляє дані, в державі-члені ЄС, наглядовий орган якого проінформував його. 4. У випадку, якщо головний наглядовий орган приймає рішення про розгляд справи, повинна застосовуватися процедура згідно зі Статтею 60. Наглядовий орган, який проінформував головний наглядовий орган, може надати йому проект рішення. Головний наглядовий орган повинен приділяти увагу зазначеному проекту при підготовці проекту рішення, зазначеного в Статті 60(3). 5. Якщо головний наглядовий орган приймає рішення не розглядати справу, наглядовий орган, який проінформував головний наглядовий орган, повинен розглянути його відповідно до Статей 61 і 62. 6. Головний наглядовий орган повинен бути єдиним посередником володільця чи особи, яка обробляє дані, з питань, пов’язаних з транскордонною передачею даних, що здійснюється зазначеним володільцем або особою, яка обробляє дані. Стаття 57 Завдання 1. Без перешкоджання іншим завданням, визначеним цим Регламентом, кожний наглядовий орган на своїй території повинен: (а) контролювати та забезпечувати застосування цього Регламенту; (b) сприяти інформованості суспільства та розумінню ризиків, норм, гарантій і прав щодо обробки даних. Особливу увагу необхідно приділяти діяльності, що стосується дітей; (c) консультувати у відповідності до законодавства держави-члена ЄС, національний парламент, уряд та інші інституції та органи про законодавчі та адміністративні заходи, пов’язані із захистом прав і свобод фізичних осіб при обробці їх даних; (d) сприяти інформованості володільців та осіб, які обробляють дані, щодо їх обов’язків відповідно до цього Регламенту; (e) за запитом надавати інформацію будь-якому суб’єкту даних щодо реалізації його прав відповідно до цього Регламенту, і, у відповідних випадках, співробітничати у зв’язку з цими з наглядовими органами інших держав-членів ЄС; (f) розглядати скарги, подані суб’єктом даних, або органом, організацією чи об’єднанням у відповідності до Статті 80, розслідувати, у відповідних випадках, предмет скарг і у прийнятний термін проінформувати заявника про хід та результати розслідування, зокрема, якщо необхідно подальше розслідування або співробітництво з іншим наглядовим органом; (g) співробітничати з іншими наглядовими органами, включаючи обмін інформацією та надання взаємної допомоги, для того щоб гарантувати узгоджене застосування та виконання цього Регламенту;
(h) проводити розслідування щодо застосування цього Регламенту, в тому числі на підставі інформації, наданої іншим наглядовим органом або органом державної влади; (i) контролювати відповідні зміни, якщо вони впливають на захист персональних даних, зокрема, розробку інформаційних і комунікаційних технологій та ділову практику; (j) ухвалювати стандартні договірні умови, зазначені в Статті 28(8) та в пункті (d) Статті 46(2); (k) формувати та вести щодо вимог до оцінювання впливу на захист даних відповідно до Статті 35(4); (l) консультувати щодо обробки даних, зазначеної в Статті 36(2); (m) сприяти розробці норм поведінки відповідно до Статті 40(1), надавати висновок та затверджувати зазначені норми поведінки, які забезпечують відповідні гарантії згідно зі Статтею 40(5); (n) сприяти встановленню сертифікаційних механізмів захисту даних, а також печаток та маркувальних знаків для захисту даних відповідно до Статті 42(1) і затверджувати критерії сертифікації відповідно до Статті 42(5); (o) у відповідних випадках проводити періодичну перевірку виданих відповідно до Статті 42(7) сертифікацією; (p) скласти та опублікувати критерії акредитації органу по контролю за дотриманням норм поведінки відповідно до Статті 41 і критерії акредитації сертифікаційного органу відповідно до Статті 43; (q) провести акредитацію органу контролю за дотриманням норм поведінки відповідно до Статті 41 і акредитацію сертифікаційного органу відповідно до Статті 43; (r) затвердити умови договору та положення, зазначені в Статті 46(3); (s) затвердити юридично зобов’язуючі корпоративні правила відповідно до Статті 47; (t) сприяти діяльності Ради; (u) вести внутрішній облік порушень цього Регламенту і заходів, прийнятих відповідно до Статті 58(2); і (v) виконувати інші завдання, пов’язані із захистом персональних даних. 2. Кожний наглядовий орган повинен забезпечувати подачу скарг, зазначених в пункті (f) параграфу 1, через такі заходи як надання форми для подання скарги, яка може заповнюватися в електронній формі, не виключаючи інших способів взаємодії. 3. Виконання завдань кожного наглядового органу здійснюється на безоплатній основі для суб’єкта даних і, у відповідних випадках, для інспектора із захисту персональних даних. 4. У випадку, якщо запити є явно необґрунтованими або надмірними, зокрема, внаслідок їх повторюваного характеру, наглядовий орган може отримувати прийнятну плату на основі адміністративних витрат або відмовлятися діяти на основі запиту. Наглядовий орган повинен нести тягар доказування необґрунтованості або надмірного характеру запиту. Стаття 58 Повноваження 1. Кожний наглядовий орган повинен мати такі слідчі повноваження: (a) доручати володільцю і особі, яка обробляє дані, і, у відповідних випадках, їх представникам надавати будь-яку інформацію, що необхідна йому для виконання його завдань; (b) проводити розслідування в формі аудиторських перевірок захисту даних; (c) проводити перевірку сертифікацій, наданих відповідно до Статті 42(7); (d) повідомити володільця або особу, яка обробляє дані, про ймовірні порушення цього Регламенту; (e) від володільця або особи, яка обробляє дані, отримувати доступ до всіх персональних даних та всієї інформації, яка йому є необхідна для виконання його завдань; (f) отримувати доступ до будь-яких приміщень володільця чи особи, яка обробляє дані, включаючи обладнання та засоби для обробки даних, у відповідності до процесуального законодавства Союзу або держави-члена ЄС. 2. Кожний наглядовий орган повинен мати такі коригувальні повноваження: (а) видавати попередження володільцю або особі, яка обробляє дані, про те, що запланована обробка даних може порушувати положення цього Регламенту; (b) робити попередження володільцю або особі, яка обробляє дані, якщо обробка даних порушила положення цього Регламенту;
(c) вимагати від володільця або особи, яка обробляє дані, дотримання запитів суб’єкта даних стосовно здійснення його прав відповідно до цього Регламенту; (d) вимагати від володільця або особи, яка обробляє дані, привести процес обробки даних у відповідність до положень цього Регламенту, за необхідності, у встановленому порядку і у встановлений термін; (e) вимагати від володільця повідомити суб’єкту даних про виток персональних даних; (f) накласти тимчасове або остаточне обмеження на обробку даних, включаючи заборону; (g) вимагати виправити або знищити персональні дані або обмежити обробку відповідно до Статей 16, 17 і 18, а також повідомити щодо зазначених заходів отримувачів, яким були розкриті персональні дані відповідно до Статті 17(2) і Статті 19; (h) відмінити сертифікацію, або вимагати від сертифікаційного органу відмінити сертифікацію, надану згідно зі Статтями 42 і 43, або вимагати від сертифікаційного органу не представляти сертифікацію, якщо не виконуються вимоги для сертифікації; (i) накласти адміністративний штраф у відповідності до Статті 83 в доповнення до або замість заходів, зазначених у цьому параграфі, в залежності від обставин кожного окремого випадку; (j) вимагати призупинити передачу даних отримувачу в третій країні або міжнародній організації. 3. Кожний наглядовий орган повинен мати такі дозвільні та консультативні повноваження: (а) консультувати володільця у відповідності до процедури попередньої консультації, зазначеної в Статті 36; (b) за власною ініціативою або за запитом видавати національному парламенту, уряду держави-члена ЄС або у відповідності до законодавства держави-члена ЄС іншим інститутам або органам, а також громадськості висновок з будь-якого питання, пов’язаного із захистом персональних даних; (c) дозволяти обробку, зазначену в Статті 36(5), якщо у відповідності до законодавства держави-члена ЄС вимагається зазначений попередній дозвіл; (d) видавати висновок і затверджувати проект норм поведінки відповідно до Статті 40(5); (e) акредитувати сертифікаційні органи відповідно до Статті 43; (f) видавати сертифікації та затверджувати критерії сертифікації у відповідності до Статті 42(5); (g) приймати стандартні умови по захисту даних, зазначені в Статті 28(8) і в пункті (d) Статті 46(2); (h) затверджувати договірні умови, зазначені в пункті (а) Статті 46(3); (i) дозволяти адміністративні домовленості, зазначені в пункті (b) Статті46(3); (j) затверджувати юридично зобов’язуючі корпоративні правила відповідно до Статті 47. 4. Повноваження, надані наглядовому органу відповідно до цієї Статті, реалізовуються за умови наявності відповідних гарантій, включаючи ефективні засоби судового захисту і належну процедуру, встановлену в законодавстві Союзу або держави-члена ЄС у відповідності до Хартії. 5. Кожна держава-член ЄС повинна законодавчо передбачити, що її наглядовий орган зможе довести до відома органів судової влади факт порушення цього Регламенту і, у відповідних випадках, може почати або іншим чином приймати участь в судовому процесі в цілях забезпечення виконання положень цього Регламенту. 6. Кожна держава-член ЄС може законодавчо передбачити, що його наглядовий орган повинен мати повноваження, додаткові до повноважень, зазначених в параграфах 1, 2 і 3. Реалізація зазначених повноважень не впливає на ефективне здійснення Глави VII. Стаття 59 Звіт про виконану роботу Кожний наглядовий орган готує щорічний звіт про виконану роботу, який може включати в себе перелік типових виявлених порушень і вжитих заходів у відповідності до Статті 58(2). Зазначені звіти повинні передаватися національному парламенту, уряду та іншим органам, визначеним законодавством держави-члена ЄС. Вони повинні бути доведені до відома громадськості, Європейської Комісії і Ради. ГЛАВА VII.СПІВРОБІТНИЦТВО ТА СПІВСТАВЛЕННЯ
Розділ 1 СПІВРОБІТНИЦТВО Стаття 60 Співробітництво між головним наглядовим органом і іншими відповідними наглядовими органами 1. У прагненні досягнення консенсусу головний наглядовий орган повинен співробітничати з іншими наглядовими органами у відповідності до цієї Статті. Головний наглядовий орган і відповідні наглядові органи повинні обмінюватися один з одним всією суттєвою інформацією. 2. Головний наглядовий орган завжди може запросити відповідні інші наглядові органи про надання взаємної допомоги відповідно до Статті 61 і може проводити спільні дії відповідно до Статті 62, зокрема, для здійснення розслідувань або моніторингу імплементації заходів щодо володільця або особи, яка обробляє дані, засновані в іншій державі-члені ЄС. 3. Головний наглядовий орган повинен негайно передати відповідну інформацію по справі іншим наглядовим органам. Він без зволікань повинен надати проект рішення іншим наглядовим органам для їхнього висновку і врахувати їх думку. 4. У випадку, якщо один з відповідних наглядових органів протягом чотирьох тижнів після проведення консультування у відповідності до параграфу 3 цієї Статті висловлює суттєве і вмотивоване заперечування проти проекту рішення, головний наглядовий орган, якщо він не згодний з суттєвим та вмотивованим заперечуванням або вважає, що заперечування не є суттєвим і не є вмотивованим, повинен ініціювати у відношенні цього питання механізм співставлення, зазначений в Статті 63. 5. У випадку якщо головний наглядовий орган погоджується з суттєвими та вмотивованими заперечуваннями, він повинен передати іншим наглядовим органам доопрацьований проект рішення для їх висновку. Зазначений доопрацьований проект рішення повинен підпадати під процедуру, зазначену в параграфі 4, протягом двох тижнів. 6. Якщо жодний з інших наглядових органів не заперечує проти проекту рішення, який був представлений головним наглядовим органом протягом строку, зазначеного в параграфах 4 і 5, головний наглядовий орган і відповідні наглядові органи вважаються згодними із зазначеним проектом рішення і повинні бути ним пов’язані. 7. Головний наглядовий орган повинен ухвалити рішення та повідомити про нього основний заклад або єдиний заклад володільця або особи, яка обробляє дані, у відповідних випадках, і проінформувати інші наглядові органи і Раду про зазначене рішення, включаючи стисле викладення фактів та обґрунтувань. Наглядовий орган, якому була подана скарга, повинен проінформувати заявника про рішення. 8. Шляхом часткового відступу від параграфу 7, якщо скарга відхилена або визнана неспроможною, наглядовий орган, якому вона була подана, повинен затвердити рішення і повідомити про нього заявника та проінформувати володільця. 9. У випадку, якщо головний наглядовий орган і відповідні наглядові органи відхиляють або визнають неспроможною тільки частину скарги і діють у відповідності до іншої її частини, по кожній частині справи необхідно ухвалювати окреме рішення. Головний наглядовий орган повинен винести рішення по частині, що стосується дій володільця, повинен повідомити про нього основний заклад або єдиний заклад володільця або особи, яка обробляє дані, на території своєї держави-члена ЄС, а також повинен проінформувати про нього заявника; при цьому наглядовий орган заявника повинен ухвалити рішення по частині, що стосується відхилення скарги або визнання її неспроможною, і повинен повідомити про це заявника і проінформувати володільця або особу, яка обробляє дані. 10. Після повідомлення про рішення головного наглядового органу відповідно до параграфу 7 і 9 володілець або особа, яка обробляє дані, повинен вжити заходів, щоб гарантувати виконання рішення щодо обробки даних у всіх його закладах в Союзі. Володілець або особа, яка обробляє дані, повинен повідомити про заходи, вжиті в цілях дотримання рішення, головний наглядовий орган, який повинен проінформувати інші відповідні наглядові органи. 11. Якщо у виняткових випадках відповідний наглядовий орган має підстави вважати, що існує гостра необхідність діяти в цілях захисту інтересів суб’єктів даних, повинна застосовуватися невідкладна процедура, зазначена в Статті 66.
12. Головний наглядовий орган і інші наглядові органи повинні надавати один одному інформацію, необхідну відповідно до цієї Статті, електронним способом, з використанням стандартизованого формату. Стаття 61 Взаємна допомога 1. Наглядові органи повинні надавати один одному відповідну інформацію та взаємну допомогу для однакової імплементації та застосування цього Регламенту; вони повинні вживати заходів для ефективного співробітництва один з одним. Взаємна допомога, зокрема, розповсюджується на інформаційні запити і заходи нагляду, наприклад, на запити щодо попередніх консультацій та дозволів, а також щодо проведення перевірок і розслідувань. 2. Кожний наглядовий орган повинен вживати всіх необхідних заходів, щоб негайно і не пізніше одного місяця після отримання запиту надати на нього відповідь іншому наглядовому органу. Зазначені заходи можуть включати в себе, зокрема, передачу відповідної інформації про проведення розслідувань. 3. Запити про надання допомоги повинні містити всю необхідну інформацію, включаючи цілі і причини запиту. Передана інформація повинна використовуватися виключно для цілі, яка зазначена в запиті. 4. Запитуваний наглядовий орган повинен відхилити запит тільки у разі, якщо: (а) він не має компетенції щодо предмета запиту або стосовно заходів, які він відповідно до запиту повинен виконати; або (b) виконання запиту може порушувати положення цього Регламенту або законодавства Союзу або держави-члена ЄС, під дію якого підпадає наглядовий орган, який отримав запит. 5. Запитуваний наглядовий орган повинен проінформувати запитуючий наглядовий орган про результати або, у відповідних випадках, про хід виконання заходів, прийнятих у відповідь на запит. Запитуваний наглядовий орган повинен надавати причини відмови у виконанні запиту у відповідності до параграфу 4. 6. Запитуваний наглядовий орган повинен надавати інформацію, яка вимагається іншими наглядовими органами, як правило, електронним способом, з використанням стандартизованого формату. 7. Запитуваний наглядовий орган не повинен стягувати плату за дії, вжиті ним у відповідності до запиту про взаємну допомогу. Наглядові органи можуть погоджувати правила щодо відшкодування один одному у виняткових випадках особливих витрат, які виникли в результаті надання взаємної допомоги. 8. У випадку, якщо наглядовий орган не надає інформацію, зазначену у параграфі 5 цієї Статті, протягом місяця після отримання запиту від іншого наглядового органу, наглядовий орган, який запитує, може вжити тимчасовий захід на території своєї держави-члена ЄС відповідно до Статті 55(1). У зазначеному випадку гостра необхідність діяти відповідно до Статті 66(1) вимагає термінового рішення Ради відповідно до Статті 66(2). 9. Європейська Комісія через імплементаційні акти може визначати формат та процедури взаємної допомоги, зазначеної в цій Статті, а також форми електронного обміну інформацією між наглядовими органами і між наглядовими органами і Радою, зокрема встановити стандартизований формат, зазначений в параграфі 6 цієї Статті. Зазначені імпелементаційні акти повинні бути прийняті у відповідності до процедури перевірки, зазначеної в Статті 93(2). Стаття 62 Спільні дії наглядових органів 1. Наглядові органи повинні у відповідних випадках проводити спільні дії, включаючи спільні розслідування і спільні примусові заходи, в яких приймають участь члени і персонал наглядових органів інших держав-членів ЄС. 2. Якщо заклад володільця або особи, яка обробляє дані, знаходяться в декількох державах-членах ЄС або якщо обробка даних може суттєво вплинути на значну кількість суб’єктів даних більше ніж в одній державі-члені ЄС, наглядовий орган кожного із зазначених державчленів ЄС, можуть приймати участь у спільних діях. Наглядовий орган, компетентний відповідно до Статті 56(1) або (4), повинен запросити наглядовий орган кожної із зазначених держав-членів ЄС прийняти участь у спільних діях і повинен негайно дати відповідь на запит наглядового органу про участь.
3. Наглядовий орган у відповідності до законодавства держави-члена ЄС і з дозволу наглядового органу, що надає підтримку, може наділяти повноваженнями, в тому числі слідчими повноваженнями, членів, які приймають участь у спільних діях, або персонал, що надає підтримку наглядовому органу, або оскільки це припустимо згідно законодавства держави-члена ЄС основного наглядового органу, може дозволити членам або персоналу, який надає підтримку наглядовому органу, здійснювати їхні слідчі повноваження у відповідності до законодавства держави-члена ЄС, що надає підтримку наглядовому органу. Зазначені слідчі повноваження можуть здійснюватися тільки під керівництвом та в присутності членів або персоналу основного наглядового органу. Члени або персонал наглядового органу, що надає підтримку, підпадають під дію законодавства держави-члена ЄС основного наглядового органу. 4. Якщо у відповідності до параграфу 1 персонал наглядового органу, що надає підтримку, здійснює свою діяльність в іншій державі-члені ЄС, держава-член ЄС основного наглядового органу повинна взяти на себе відповідальність за їх дії, в тому числі фінансові зобов’язання за будь-які витрати, пов’язані з їх діяльністю, у відповідності до законодавства держави-члена ЄС, на території якого вони здійснюють свою діяльність. 5. Держава-член ЄС, на території якої був спричинений збиток, повинна усунути спричинені збитки згідно умов, що застосовуються щодо збитку, спричиненого його власним персоналом. Держава-член ЄС наглядового органу, що надає підтримку, персонал якого спричинив збитки будь-якій особі на території іншої держави-члена ЄС, повинно відшкодувати зазначеній іншій державі-члені ЄС у повному розмірі суму, яку вона заплатила особам, уповноваженим від їхнього імені. 6. Без збитків реалізації прав щодо третіх сторін і за винятком параграфа 5 кожна держава-член ЄС у випадку, передбаченому в параграфі 1, повинна відмовитися від запитуваного відшкодування від іншої держави-члена ЄС щодо збитку, зазначеного в параграфі 4. 7. У випадку якщо спільні дії заплановані і наглядовий орган протягом одного місяця не виконує обов’язок, визначений в другому додатку параграфу 2 цієї Статті, інші наглядові органи можуть затвердити тимчасовий захід на території своєї держави-члена ЄС у відповідності до Статті 55. У зазначеному випадку гостра необхідність дій відповідно до Статті 66(1) вимагає висновку або термінового зобов’язуючого рішення Ради відповідно до Статті 66(2). Розділ 2 СПІВСТАВЛЕННЯ Стаття 63 Механізм співставлення В цілях сприяння одноманітному застосуванню цього Регламенту в Раді наглядові органи повинні співробітничати один з одним і у відповідних випадках з Європейською Комісією у рамках зазначеного в цьому розділі механізму співставлення. Стаття 64 Висновок Ради 1. Рада повинна дати свій висновок, якщо компетентний наглядовий орган має намір затвердити один з названих нижче заходів. В такому випадку компетентний наглядовий орган повинен передати Раді проект рішення, якщо він: (а) спрямований на затвердження переліку процесів обробки даних у відповідності до вимоги про оцінку впливу на захист даних згідно Статті 35(4); (b) стосується обставин відповідно до Статті 40(7), а також питання стосовно того, чи відповідає проект норм поведінки або зміни чи розширення цьому Регламенту; (c) спрямований на затвердження критеріїв для акредитації органу відповідно до Статті 41(3) або сертифікаційного органу згідно Статті 43(3); (d) спрямований на визначення стандартних умов захисту даних, зазначених в пункті (d) Статті 46(2) і в Статті 28(8); (e) спрямований на затвердження договірних умов відповідно до пункту (а) Статті 46(3); (f) спрямований на затвердження юридично зобов’язуючих корпоративних правил в значенні Статті 47. 2. Будь-який наглядовий орган, президія Ради або Європейська Комісія можуть вимагати, щоб будь-яка справа загального використання або такого, що здійснює вплив в декількох
державах-членах ЄС було вивчено Радою для отримання висновку, зокрема якщо компетентний наглядовий орган не виконує зобов’язання щодо надання взаємної допомоги у відповідності до Статті 61 або щодо спільних дій відповідно до Статті 62. 3. У випадках, зазначених в параграфах 1 і 2, Рада повинна надати висновок щодо наданої йому на розгляд справі за умови, що вона вже не надала свого висновку за тією ж самою справою. Зазначений висновок може бути ухвалений протягом восьми тижнів простою більшістю голосів членів Ради. Зазначений термін може бути продовжений ще на шість тижнів з урахуванням складності предмета розгляду. У відношенні зазначеного в параграфі 1 проекту рішення, направленого членам Ради у відповідності до параграфу 5, передбачається, що член, який не висловлює заперечень у визначений термін, визначений Президією, згоден з проектом рішення. 4. Наглядові органи і Європейська Комісія негайно повинні передати Раді в електронний спосіб, з використанням стандартизованого формату будь-яку відповідну інформацію, в тому числі у відповідних випадках стисле викладення фактів, проект рішення, підстави для вжиття необхідних заходів, а також думки інших відповідних наглядових органів. 5. Президія Ради негайно повинна в електронний спосібм проінформувати: (а) членів Ради та Європейську Комісію про будь-яку направлену йому відповідну інформацію з використанням стандартизованого формату. Секретаріат Ради за необхідності повинен забезпечити переклад відповідної інформації; і (b) наглядовий орган, зазначений у відповідних випадках в параграфах 1 і 2, і Європейську Комісію про свій висновок і опублікувати його. 6. Компетентний наглядовий орган не повинен ухвалювати проект рішення, зазначений в параграфі 1, протягом терміну, зазначеного в параграфі 3. 7. Наглядовий орган, зазначений в параграфі 1, повинен врахувати висновок Ради і протягом двох тижнів після отримання висновку електронним способом, з використанням стандартизованого формату повідомити Президію Ради про те, чи залишить він проект рішення без змін або внесе до нього зміни; у відповідних випадках він повинен передати змінений проект рішення. 8. У випадку, якщо відповідний наглядовий орган протягом строку, зазначеного в параграфі 7 цієї Статті, інформує Президію Ради про те, що він не має наміру частково або повністю дотримуватися висновку Ради, і зазначає відповідні причини, повинна застосовуватися Стаття 65(1). Стаття 65 Вирішення Радою складних питань 1. Для того, щоб в окремих випадках гарантувати правильне та одноманітне застосування цього Регламенту, Рада повинна ухвалити обов’язкове для виконання рішення у таких випадках: (а) якщо у випадку, зазначеному в Статті 60(4), відповідний наглядовий орган висловив відповідне та обґрунтоване заперечування проти проекту рішення головного наглядового органу або головний орган відхилив зазначене заперечування через його невідповідність або необґрунтованість. Обов’язкове для виконання рішення повинно стосуватися всіх обставин, що є предметом відповідного та обґрунтованого заперечування, зокрема, питань щодо наявності порушень цього Регламенту; (b) якщо є суперечливі точки зору щодо того, який з відповідних наглядових органів відповідає за основний заклад; (c) якщо компетентний наглядовий орган не вимагає висновку Ради у випадках, зазначених в Статті 64(1), або не дотримується висновку Ради, наданого відповідно до Статті 64. У зазначеному випадку будь-який відповідний наглядовий орган або Європейська Комісія можуть передати справу Раді. 2. Рішення, зазначене в параграфі 1, повинно бути ухвалено протягом одного місяця після передачі предмета справи на розгляд більшістю в дві третини голосів членів Ради. Зазначений термін може бути продовжений ще на один місяць, зважаючи на складність предмету розгляду. Рішення, зазначене в параграфі 1, повинно бути вмотивованим і направлено до головного наглядового органу і всім відповідним наглядовим органам; воно повинно бути обов’язковим для його виконання. 3. Якщо Рада не змогла ухвалити рішення протягом строку, зазначеного в параграфі 1, він повинен ухвалити своє рішення протягом двох тижнів після закінчення другого місяця,
зазначеного в параграфі 2, простою більшістю голосів членів Ради. При рівності голосів членів Ради право вирішального голосу при ухваленні рішення має Президія. 4. Відповідні наглядові органи не повинні ухвалювати рішення за суттю питання, направленого до Ради згідно з параграфом 1, протягом строків, зазначених в параграфах 2 і 3. 5. Президія Ради повинна негайно повідомити про рішення, зазначене в параграфі 1, відповідні наглядові органи, він повинен проінформувати про нього Європейську Комісію. Рішення повинно бути опублікованим на Інтернет-сайті Ради одразу після того, як наглядовий орган повідомить про остаточне рішення, зазначене в параграфі 6. 6. Головний наглядовий орган або, у відповідних випадках, наглядовий орган, якому була подана скарга, повинен прийняти своє остаточне рішення на основі рішення, зазначеного в параграфі 1 цієї Статті, негайно і не пізніше одного місяця, після того, як Рада повідомила про своє рішення. Головний наглядовий орган або, у відповідних випадках, наглядовий орган, до якого була подана скарга, повинен проінформувати Раду про дату, коли володілець або особа, яка обробляє дані, і суб’єкт даних будуть повідомлені про його остаточне рішення. Остаточне рішення наглядових органів повинно бути прийнято відповідно до Статті 60(7), (8), і (9). Остаточне рішення повинно узгоджуватися з рішенням, зазначеним в параграфі 1 цієї Статті, і повинно визначати, що рішення, зазначене в цьому параграфі, буде опублікованим на Інтернет-сайті Ради у відповідності до параграфу 5 цієї Статті. До остаточного рішення повинно додаватися рішення, зазначене в параграфі 1 цієї Статті. Стаття 66 Невідкладна процедура 1. За виняткових обставин, якщо відповідний наглядовий орган вважає, що існує гостра необхідність в захисті прав і свобод суб’єктів даних, він може шляхом часткового відступу від механізму співставлення, зазначеного в Статтях 63, 64 і 65, або від процедури, зазначеної в Статті 60, негайно прийняти тимчасові заходи, що мають юридичні наслідки на його власній території, з визначеним терміном дії, який не повинен перевищувати трьох місяців. Наглядовий орган негайно повинен повідомити про зазначені заходи і причинах для їх ухвалення іншим відповідним наглядовим органом, Раду і Європейську Комісію. 2. У випадку якщо наглядовий орган прийняв заходи, відповідно до параграфу 1 і вважає, що необхідно терміново прийняти остаточні рішення, він може запитати невідкладного висновку Ради або термінового обов’язкового рішення Ради і вказати причини такого висновку або рішення. 3. Будь-який наглядовий орган може запитати Раду надати невідкладний висновок або, у відповідному випадку, термінове обов’язкове рішення, якщо компетентний наглядовий орган не ухвалив відповідний захід, незважаючи на те, що є нагальна потреба в захисті прав і свобод суб’єктів даних, і вказати причини для запиту такого висновку або рішення, в тому числі щодо зазначеної нагальної необхідності. 4. Шляхом часткового відступу від Статті 64(3) і від Статті 65(2) невідкладний висновок або термінове обов’язкове рішення відповідно до параграфу 2 і 3 цієї Статті повинно бути ухвалено протягом двох тижнів простою більшістю голосів членів Ради. Стаття 67 Обмін інформацією Європейська Комісія може ухвалювати імплементаційні акти загальної дії для того, щоб визначити порядок електронного обміну інформацією між наглядовими органами, а також між наглядовими органами і Радою, зокрема, стандартизований формат, зазначений в Статті 64. Зазначені імплементаційні акти повинні бути ухвалені відповідно до процедури перевірки згідно Статті 93(2). Розділ 3 ЄВРОПЕЙСЬКА РАДА ІЗ ЗАХИСТУ ДАНИХ Стаття 68 Європейська рада із захисту даних 1. Європейська рада із захисту даних («Рада») цим затверджується як орган Союзу і має правоздатність. 2. Рада представлена її Президією.
3. До складу Ради входять голова одного наглядового органу кожної держави-члена ЄС і Європейський інспектор із захисту персональних даних або їхні представники. 4. У випадку, якщо в державі-члені ЄС більше ніж один наглядовий орган відповідає за моніторинг застосування положень цього Регламенту, у відповідності до законодавства зазначеної держави-члена ЄС повинен бути призначений спільний представник. 5. Європейська Комісія має право приймати участь в діяльності і в засіданнях Ради без права голосу. Європейська Комісія повинна призначати представника. Президія Ради повинна повідомляти Європейську Комісію про діяльність Ради. 6. У випадках, зазначених в Статті 65, Європейський інспектор із захисту персональних даних має право голосу тільки в очікуванні рішення, яке стосується принципів і правил, що застосовуються до інститутів, органів, відомств і агентств Ради, і які за сутністю відповідають принципам і правилам цього Регламенту. Стаття 69 Незалежність 1. Рада повинна діяти незалежно від виконання своїх завдань і реалізації своїх повноважень відповідно до Статті 70 і 71. 2. Без перешкод вимогам Європейської Комісії, зазначеним в пункті (b) Статті 70(1) і в Статті 70(2), Рада при виконанні своїх завдань і реалізації своїх повноважень не повинна ні прагнути отримати, а ні отримувати вказівки від кого б не було. Стаття 70 Завдання Ради 1. Рада повинна гарантувати одноманітне застосування цього Регламенту. У зв’язку з цим Рада повинна за власною ініціативою або, у відповідних випадках, за вимогою Європейської Комісії, зокрема: (а) контролювати та гарантувати правильне застосування цього Регламенту у випадках, передбачених в Статтях 64 і 65, без перешкод завданням національних наглядових органів; (b) консультувати Європейську Комісію з будь-яких питань, пов’язаних із захистом персональних даних в Союзі, включаючи будь-які зміни цього Регламенту, які пропонуються; (c) консультувати Європейську Комісію щодо формату та процедур обміну інформацією між володільцями, особами, які обробляють дані, і наглядовими органами щодо юридично зобов’язуючих корпоративних правил; (d) видавати керівні вказівки, рекомендації та стандарти найкращих практик щодо процедур видалення посилань на персональні дані, копії або реплік зазначених даних з загальнодоступних служб зв’язку відповідно до Статті 17(2); (e) за власною ініціативою, за запитом одного із своїх членів або на вимогу Європейської Комісії розглядати будь-які питання, пов’язані з застосуванням цього Регламенту, і видавати керівні вказівки, рекомендації і стандарти найкращих практик для сприяння одноманітного застосування цього Регламенту; (f) видавати керівні вказівки, рекомендації і стандарти найкращих практик відповідно до пункту (е) цього параграфу для подальшого визначення критеріїв та умов для рішень, що основані на формуванні профілю відповідно до Статті 22(2); (g) видавати керівні вказівки, рекомендації і стандарти найкращих практик у відповідності до пункту (е) цього параграфу для встановлення витоків персональних даних і визначення невиправданої затримки в розумінні Статті 33(1) і (2), а також щодо особливих обставин, за яких володілець або особа, яка обробляє дані, повинні повідомити про виток персональних даних; (h) видавати керівні вказівки, рекомендації і стандарти найкращих практик у відповідності до пункту (е) цього параграфу щодо обставин, за яких виток персональних даних може призвести до високого ступеню ризику для прав і свобод фізичних осіб відповідно до Статті 34(1); (i) видавати керівні вказівки, рекомендації і стандарти найкращих практики у відповідності до пункту (е) цього параграфу для подальшого визначення критеріїв та вимог для передачі персональних даних, що основується на юридично зобов’язуючих корпоративних правилах володільця чи особи, яка обробляє дані, а також, на необхідних вимогах, що гарантують захист персональних даних суб’єктів даних відповідно до Статті 47:
(j) видавати керівні вказівки, рекомендації і стандарти найкращих практик у відповідності до пункту (е) цього параграфу для подальшого визначення критеріїв і вимог щодо передачі персональних даних на основі Статті 49(1); (k) розробляти керівні вказівки для наглядових органів щодо застосування заходів, зазначених в Статті 58(1), (2) і (3), та визначати адміністративні штрафи відповідно до Статті 83; (l) перевіряти практичне застосування керівних вказівок, рекомендацій та стандартів кращих практик відповідно до пунктів (е) і (f); (m) видавати керівні вказівки, рекомендації і стандарти кращих практик у відповідності до пункту (е) цього параграфу щодо встановлення загальних процедур для повідомлення фізичних осіб про порушення цього Регламенту відповідно до Статті 54(2); (n) сприяти розробці норм поведінки та встановленню сертифікаційних механізмів захисту даних, печаток і маркувальних знаків для захисту даних відповідно до Статті 40 і 42; (o) здійснювати акредитацію сертифікаційних органів та їх регулярну поведінку відповідно до Статті 43, а також вести відкритий реєстр акредитованих органів відповідно до Статті 43(6) і акредитованих володільців і осіб, що обробляють дані, і які засновані в третіх країнах відповідно до Статті 42(7); (p) визначати вимоги, зазначені в Статті 43(3), в цілях акредитації сертифікаційних органів відповідно до Статті 42; (q) надати Європейській Комісії висновки щодо сертифікаційних вимог, зазначених Статті 43(8); (r) надати Європейській Комісії висновок щодо графічних зображень, зазначених в Статті 12(7); (s) надати Європейській Комісії висновок щодо оцінки відповідності рівня захисту в третій країні або міжнародній організації, включаючи оцінку питання стосовно того, що третя країна, територія, або один чи декілька специфікацій них секторів у зазначеній третій країні, або міжнародній організації більше не гарантують відповідний рівень безпеки. У зв’язку з цим Європейська Комісія повинна надати Раді всю необхідну документацію, в тому числі листування з урядом третьої країни, стосовно зазначеної третьої країни, території або специфічного сектору, або з міжнародною організацією; (t) видавати висновок щодо проектів рішень наглядових органів відповідно до механізму співставлення, зазначеного в Статті 64(1), з питань, переданих на розгляд відповідно до Статті 64(2), а також видавати обов’язкові для виконання рішення відповідно до Статті 65, в тому числі у випадках, зазначених в Статті 66; (u) сприяти співробітництву, а також ефективному двосторонньому або багатосторонньому обміну інформацією і стандартами найкращих практик між наглядовими органами; (v) сприяти загальним програмам навчання та сприяти обміну персоналом між наглядовими органами і, за необхідності, з наглядовими органами третіх країн або з міжнародними організаціями; (w) сприяти обміну знаннями і документацією щодо законодавства і практики із захисту даних з органами нагляду за дотриманням законодавства про захист персональних даних у всьому світі; (x) видавати висновок щодо норм поведінки, розроблених на рівні Союзу, відповідно до Статті 40(9); (y) вести загальнодоступний електронний реєстр рішень, ухвалених наглядовими органами і судами з питань, опрацьованих в рамках механізму співставлення. 2. У випадку якщо Європейській Комісії потрібна консультація Ради, вона може вказати гранично припустимий термін, з урахуванням терміновості обставин справи. 3. Рада повинна передати свій висновок, керівні вказівки, рекомендації і стандарти найкращих практик Європейської Комісії і комітету, зазначеному в Статті 93, а також опубліковувати їх; 4. У відповідних випадках Рада повинна проконсультувати зацікавлені сторони і дати їм можливість у прийнятний термін надати свої зауваження. Без перешкод Статті 76 Рада повинна довести результати консультації до загального відома. Статті 71 Надання звітів
1. Рада повинна готувати щорічний звіт щодо захисту фізичних осіб при обробці даних в Союзі і, у відповідних випадках, в третіх країнах і міжнародних організаціях. Звіт повинен бути оприлюднений і переданий Європейському Парламенту, Раді ЄС і Європейській Комісії. 2. Щорічний звіт повинен включати перевірку практичного застосування керівних вказівок, рекомендацій і стандартів найкращих практик, зазначених в пункті (l) Статті 70(1), а також обов’язкових для виконання рішень, зазначених в Статті 66. Стаття 72 Процедура 1. Якщо інше не визначено цим Регламентом, Рада повинна ухвалювати рішення простою більшістю голосів своїх членів. 2. Рада ухвалює свої правила процедурою більшості в дві третини голосів своїх членів і встановлює свій власний режим роботи. Стаття 73 Президія 1. Рада з числа своїх членів простою більшістю голосів повинна обрати голову і двох заступників голови. 2. Термін повноважень і двох його заступників повинен бути п’ять років: припускається їх неодноразове переобрання. Стаття 74 Завдання президії 1. Президія повинна виконувати такі завдання: (a) скликати наради Ради і готувати повістку дня; (b) повідомляти про рішення, ухвалені Радою відповідно до Статті 65, головний наглядовий орган і відповідні наглядові органи; (c) гарантувати своєчасне виконання завдань, покладених на Раду, зокрема, щодо механізму співставлення згідно зі Статтею 63. 2. Рада повинна встановити розподіл завдань між головою і двома його заступниками в правилах процедури. Стаття 75 Секретаріат 1. Рада повинна мати секретаріат, який забезпечується Європейським інспектором із захисту персональних даних. 2. Секретаріат повинен виконувати завдання тільки відповідно до вказівок Президії Ради. 3. Персонал Європейського інспектора із захисту даних, який приймає участь в реалізації завдань, покладених на Раду цим Регламентом, підпадає під дію інших обов’язків щодо надання звітів в якості персоналу, що приймає участь у виконанні завдань, покладених на Європейського інспектора із захисту персональних даних. 4. У відповідних випадках Рада і Європейський інспектор із захисту персональних даних повинні складати і публікувати Протокол про взаєморозуміння, що імплементує цю Статтю, що визначає умови їх співробітництва і який застосовується до персоналу Європейського інспектора із захисту персональних даних, що приймає участь у виконанні завдань, покладених на Раду цим Регламентом. 5. Секретаріат повинен представляти Раді аналітичну, адміністративну та логістичну підтримку. 6. Секретаріат несе відповідальність, зокрема: (а) за повсякденну діяльність Ради; (b) за спілкування між членами Ради, його Президією і Європейською Комісією; (c) за спілкування з іншими інститутами і громадськістю; (d) за використання електронних засобів для внутрішніх і зовнішніх зв’язків; (e) за переклад важливої інформації; (f) за підготовку і аналіз результатів засідань Ради; (g) за підготовку, складання і публікацію висновків, рішень щодо урегулювання спірних питань між наглядовими органами та інших документів, ухвалених Радою.
Стаття 76 Конфіденційність 1. Обговорення Радою відповідно до правил повинно мати конфіденційний характер, якщо Рада вважатиме це за необхідне. 2. Доступ до документів, які надані на розгляд членам Ради, експертам і представникам третьої сторони повинен регулюватися Регламентом (ЄС) 1049/2001 Європейського Парламенту і Ради ЄС26 ГЛАВА VIII. ПРАВОВІ ЗАСОБИ ЗАХИСТУ. ВІДПОВІДАЛЬНІСТЬ І САНКЦІЇ Стаття 77 Право на подачу скарги до наглядового органу 1. Без перешкод будь-якому іншому адміністративному або судовому засобу захисту кожний суб’єкт даних повинен мати право подачі скарги до наглядового органу, зокрема, в державі-члені ЄС місця його проживання, місця роботи або місця ймовірного порушення, якщо суб’єкт даних вважає, що обробка персональних даних, що його стосуються, порушує цей Регламент. 2. Наглядовий орган, до якого була подана скарга, повинен проінформувати заявника про хід і результати розгляду скарги, в тому числі щодо можливості судового захисту відповідно до Статті 78. Стаття 78 Право на ефективний засіб судового захисту стосовно наглядового органу 1. Без перешкод будь-яким іншим адміністративним або не судовим засобам захисту кожна фізична або юридична особа повинна мати право на ефективний засіб судового захисту у відношенні обов’язкового рішення наглядового органу, що його стосується. 2. Без перешкод будь-яким іншим адміністративним або не судовим засобам захисту кожний суб’єкт даних має право на ефективний засіб судового захисту, якщо наглядовий орган, компетентний відповідно до Статей 55 і 56, не розглядає скаргу або не інформує суб’єкта даних протягом трьох місяців про хід або результати розгляду скарги, поданої відповідно до Статті 77. 3. Провадження у відношенні наглядового органу повинно бути передано до суду держави-члена ЄС, в якому заснований наглядовий орган. 4. Якщо провадження у відношенні рішення наглядового органу, якому передував висновок або рішення Ради в рамках механізму співставлення, наглядовий орган повинен направити зазначений висновок або рішення до суду. Стаття 79 Право на ефективний засіб судового захисту у відношенні володільця або особи, яка обробляє дані 1. Без перешкод будь-яким іншим адміністративним або не судовим засобам захисту, що застосовується, в тому числі право на подачу скарги до наглядового органу відповідно до Статті 77, кожний суб’єкт даних повинен мати право не ефективний засіб судового захисту, якщо він вважає, що його права згідно цього Регламенту були порушені в результаті обробки його персональних даних з порушеннями вимог цього Регламенту. 2. Провадження у відношенні володільця або особи, яка обробляє дані, повинно бути передано до суду держави-члена ЄС, в якому знаходиться заклад володільця або особи, яка обробляє дані. Інша можливість передбачає, що зазначене провадження може бути передано до суду держави-члена ЄС, в якому постійно проживає суб’єкт даних, за винятком випадків, коли володілець або особа, яка обробляє дані, є органом державної влади держави-члена ЄС, що діє при виконанні своїх повноважень. 26
Регламент (ЄС) 1049/2001 Європейського Парламенту і Ради ЄС від 30 травня 2001 р. про доступ громадськості до документів Європейського Парламенту, Ради ЄС і Європейської Комісії (ОЖ N L 145, 31.05.2001, стор. 43)
Стаття 80 Представництво суб’єкта даних 1. Суб’єкт даних може передавати некомерційному органу, організації або об’єднанню, які були засновані у відповідності до законодавства держави-члена ЄС, мають статутні завдання в сфері громадського інтересу, а також здійснюють діяльність у сфері захисту прав і свобод суб’єктів даних щодо захисту їх персональних даних, право подавати скаргу від його імені, реалізовувати права, зазначені в Статтях 77, 78 і 79, від його імені і реалізовувати право на отримання компенсації згідно Статті 82 від його імені у випадках, передбачених законодавством держави-члена ЄС. 2. Держави-члени ЄС можуть передбачати, що будь-який орган, організація або об’єднання, зазначені в параграфі 1 цієї Статті, незалежно від доручення суб’єкта даних, має право подавати у зазначеній державі-члені ЄС скаргу до наглядового органу, компетентного у відповідності до Статті 77, і реалізовувати права, зазначені в Статтях 78 і 79, якщо він вважає, що права суб’єктів даних згідно цього Регламенту були порушені в результаті обробки даних. Стаття 81 Призупинення провадження по справі 1. У випадку, якщо суд відповідної інстанції держави-члена ЄС має інформацію щодо провадження, яке стосується одного і того ж самого предмета щодо обробки тим же самим володільцем даних або особою, яка обробляє дані, і що знаходиться на розгляді в суді іншої держави-члена ЄС, він повинен зв’язатися із зазначеним судом в іншій державі-члені ЄС, для того щоб підтвердити наявність такого провадження. 2. У випадку, якщо провадження, що стосується одного і того ж самого предмета щодо обробки тим самим володільцем або особою, що обробляє дані, знаходиться на розгляді в суді іншої держави-члена ЄС, будь-який суд відповідної інстанції, що розглядає справу пізніше, може призупинити його провадження. 3. У випадку, якщо справа знаходиться у провадженні суду першої інстанції, будь-який суд, який розглядає справу пізніше, може також за заявою однієї з сторін відмовитися від юрисдикції, якщо суд, який розглядає справу першим, уповноважений розглядати зазначені справи і його законодавство дозволяє об’єднання позовів. Стаття 82 Право на компенсацію і відповідальність 1. Будь-яка особа, що понесла матеріальні або нематеріальні збитки в результаті порушення цього Регламенту, повинна мати право на отримання компенсації від володільця або особи, яка обробляє дані, за отримані збитки. 2. Будь-який володілець, що приймає участь в обробці даних, несе відповідальність за збитки, що нанесені обробкою, яка не відповідає вимогам цього Регламенту. Особа, яка обробляє дані несе відповідальність за збитки, спричинені обробкою даних, тільки якщо вона не відповідала зобов’язанням особи, яка обробляє дані, відповідно до цього Регламенту або якщо вона діяла виходячи за межі законних інструкцій володільця, або всупереч ним. 3. Володілець або особа,яка обробляє дані, звільняється від відповідальності відповідно до параграфу 2, якщо доведе, що він жодним чином не несе відповідальності за подію, яка стала причиною нанесення збитків. 4. Якщо більше одного володільця або особи, яка обробляє дані, або і володілець і особа, яка обробляє дані, приймають участь в одній і тій же обробці даних і якщо вони згідно з параграфами 2 і 3 несуть відповідальність за будь-який збиток, спричинений обробкою, кожний володілець або кожна особа, яка обробляє дані, несе відповідальність за всі збитки, для того, щоб гарантувати ефективну компенсацію суб’єкту даних. 5. Якщо володілець або особа, яка обробляє дані, повністю компенсував відповідно до параграфу 4 спричинені збитки, зазначений володілець або особа, яка обробляє дані, можуть вимагати від інших володільців або осіб, які обробляють дані, що приймають участь в тій же самій обробці, повернення частини компенсації, яка відповідає їхній частині відповідальності за збитки відповідно до умов параграфа 2.
6. Судове провадження щодо реалізації права на отримання компенсації повинно бути передано до суду, який є компетентним відповідно до законодавства держави-члена ЄС, зазначеного в Статті 79(2). Стаття 83 Загальні умови для накладання адміністративних штрафів 1. Кожний наглядовий орган повинен гарантувати, що накладання адміністративних штрафів відповідно до цієї Статті щодо порушень положень цього Регламенту, які зазначені в параграфах 4, 5 і 6, і в кожному окремому випадку повинно бути ефективним, пропорційним і повинно мати стримуючий вплив. 2. В залежності від обставин кожного окремого випадку адміністративні штрафи повинні накладатися в доповнення до заходів або замість заходів, зазначених в пунктах (а) – (h) і (j) Статті 58(2). При вирішенні питання щодо накладання адміністративного штрафу і про його розмір в кожному окремому випадку необхідно зазначати наступне: (а) характер, тяжкість і тривалість порушення, враховуючи характер, об’єми та цілі обробки, а також кількість суб’єктів даних, інтересів яких стосувалася така обробка, і розмір спричинених нею збитків; (b) навмисність або необачність характеру порушення; (c) будь-які заходи, вжиті володільцем або особою, яка обробляє дані, для пом’якшення збитків, спричинених суб’єктам даних; (d) ступінь відповідальності володільця або особи, яка обробляє дані, враховуючи технічні та організаційні заходи, імплементовані відповідно до Статей 25 і 32; (e) будь-які суттєві порушення, які були раніше вчинені володільцем або особою, яка обробляє дані; (f) ступінь співробітництва з наглядовим органом для усунення порушення та пом’якшення можливих негативних наслідків; (g) категорії персональних даних, яких стосувалися порушення; (h) спосіб, через який наглядовому органу стало відомо про порушення, зокрема чи повідомив володілець або особа, яка обробляє дані, про порушення, і якщо так, то якою ступеню; (i) у випадку якщо раніше були вжиті зазначені в Статті 58(2) заходи у відношенні до володільця або особи, яка обробляє дані, стосовно того ж самого предмету розгляду, дотримання зазначених заходів; (j) дотримання затверджених норм поведінки відповідно до Статті 40 або затверджених сертифікаційних механізмів згідно зі Статтею 42; і (k) будь-які ніші обтяжуючі або пом’якшуючі обставини в справі, наприклад, отриману матеріальну вигоду або запобігання збиткам, які виникли прямо або опосередковано в результаті порушення. 3. Якщо володілець або особа, яка обробляє дані, порушують положення цього Регламенту навмисно або за необачністю в межах одного і того ж самого процесу обробки або в межах взаємопов’язаних процесів обробки, загальний розмір адміністративного штрафу не повинен перевищувати розмір, встановлений для найбільшого порушення. 4. За порушення таких положень у відповідності до параграфу 2 повинні накладатися адміністративні штрафи в розмірі не більше ніж 10 000 000 Євро або для підприємства в розмірі не більше ніж 2% від загального річного обороту за попередній фінансовий рік, в залежності від того, яка сума є більшою: (а) обов’язки володільця і особи, яка обробляє дані відповідно до Статей 8, 11, 25-39 і 42 і 43; (b) обов’язки сертифікаційного органу згідно Статей 42 і 43; (с) обов’язків контролюючого органу згідно Статей 41(4). 5. За порушення таких положень у відповідності до параграфу 2 повинні накладатися адміністративні штрафи в розмірі не більше ніж 20 000 000 Євро або для підприємства в розмірі не більше ніж 4% від загального річного обороту за попередній фінансовий рік, в залежності від того, яка сума є більшою: (a) основних принципів обробки, в тому числі умов для згоди у відповідності до Статей 5, 6, 7, і 9; (d) прав суб’єктів даних згідно Статей 12-22;
(c) передачі персональних даних отримувачу в третій країні або міжнародній організації згідно зі Статтями 44-49; (d) будь-яких обов’язків відповідно до законодавства держави-члена ЄС, ухваленого відповідно до Глави ІХ; (e) недотримання вимог або тимчасового або остаточного обмеження на обробку або призупинення передачі даних наглядовим органом відповідно до Статті 58(2) або відмову в наданні доступу в порушення Статті 58(1). 6. За невиконання вимог наглядового органу відповідно до Статті 58(2) повинні накладатися згідно з параграфом 2 адміністративні штрафи в розмірі не більше ніж 20 000 000 Євро або, для підприємства не більше ніж 4% від загального річного обігу за попередній фінансовий рік, в залежності від того яку сума є більшою. 7. Від збитку відкоригованим відповідно до Статті 58(2) повноваженням наглядових органів кожна держава-член ЄС може встановлювати правила стосовно того, чи можуть вони і в якій ступені накладати адміністративні штрафи на органи державної влади та інші державні органи, засновані в цій державі-члені ЄС. 8. На здійснення наглядовим органом своїх повноважень відповідно до цієї Статті розповсюджуються відповідні процесуальні гарантії згідно з законодавством Союзу і державичлена ЄС, включаючи ефективні засоби судового захисту та належну правову процедуру. 9. У випадку, якщо правова система держави-члена ЄС не передбачає адміністративні штрафи, ця Стаття може застосовуватися таким чином, що накладання штрафу ініціюється компетентним наглядовим органом, а штраф накладається компетентними національними судами, при цьому гарантується, що зазначені засоби правового захисту є ефективними і м ають вплив, еквівалентний впливу адміністративних штрафів, що накладаються наглядовими органами. В будь-якому випадку, штрафи, що накладаються, повинні бути ефективними, пропорційними і повинні мати стримуючий вплив. Зазначені держави-члени ЄС повинні повідомляти Європейську Комісію про положення свого законодавства, що вони ухвалюють відповідно до цього параграфу, до 25 травня 2018 року і негайно про будь-які подальші законодавчі акти, про правки або будь-які зміни, що стосуються зазначених положень. Стаття 84 Санкції 1. Держави-члени ЄС можуть встановлювати правила щодо інших санкцій, які застосовуються до порушень цього Регламенту, зокрема, до порушень, які не підпадають під адміністративні штрафи згідно зі Статтею 83, і вжити всіх заходів, необхідних для забезпечення їхньої імплементації. Зазначені санкції повинні бути ефективними, пропорційними і повинні мати стримуючий вплив. 2. Кожна держава-член ЄС повинна повідомляти Європейську Комісію про положення свого законодавства, яке воно ухвалює відповідно до параграфу 1, до 25 травня 2018 року і негайно про будь-які зміни, що стосуються цього положення. ГЛАВА ІХ. ПОЛОЖЕННЯ Щ ОДО ОСОБЛИВИХ СИТУАЦІЙ ОБРОБКИ Стаття 85 Обробка і свобода висловлення думок і інформації 1. Держави-члени ЄС законодавчо повинні узгоджувати право на захист персональних даних у відповідності до цього Регламенту з правом на свободу висловлення і інформації, включаючи обробку в журналістських цілях, а також в наукових, художніх та літературних цілях. 2. Для обробки, що здійснюється в журналістських, наукових, художніх та літературних цілях, держави-члени ЄС повинні передбачати виключення та часткові відступи від Глави ІІ (принципи), Глави ІІІ (права суб’єкта даних), Глави ІV (володілець та особа, яка обробляє дані), Глави V (передача персональних даних до третіх країн та міжнародних організацій), Глави VІ (незалежні наглядові органи), Глави VІІ (співробітництво і співставлення) і Глави ІХ (особливі ситуації обробки даних), якщо вони необхідні для того, щоб узгодити право на захист персональних даних зі свободою висловлення думки та інформації. 3. Кожна держава-член ЄС повинна повідомити Європейську Комісію про положення свого законодавства, яке воно ухвалило відповідно до параграфу 2, і негайно про будь-які наступні законодавчі акти, про правки або будь-які зміни, що стосуються зазначених положень.
Стаття 86. Обробка і доступ громадськості до офіційних документів Персональні дані в офіційних документах, що знаходяться в органах державної влади або урядових закладах, або приватних організаціях для здійснення завдань в рамках суспільного інтересу, можуть бути розкриті органом або закладом у відповідності до законодавства Союзу або держави-члена ЄС, під дію якого підпадає орган державної влади або заклад, для того щоб узгодити доступ громадськості до офіційних документів з правом на захист персональних даних згідно з цим Регламентом. Стаття 87 Обробка національного ідентифікаційного номера Держави-члени ЄС можуть визначати особливі умови для обробки національного ідентифікаційного номера або будь-якого ідентифікатора загального призначення. У зазначеному випадку національний ідентифікаційний номер або будь-який інший ідентифікатор загального призначення повинен використовуватися тільки за умови забезпечення відповідних гарантій для прав і свобод суб’єкта даних відповідно до цього Регламенту. Стаття 88 Обробка в контексті зайнятості 1. Держави-члени ЄС можуть законодавчо або через колективні угоди передбачати більш специфічні правила для того, щоб гарантувати захист прав і свобод щодо обробки персональних даних працівників при виконанні посадових обов’язків, зокрема при прийомі на роботу, виконанні трудової угоди, включаючи виконання зобов’язань, що встановлені у відповідності до законодавства або колективної угоди, в цілях управління, планування і організації роботи, рівноправ’я в різноманітності на робочому місці, охорони праці і виробничої безпеки, захисту власності роботодавця або клієнта, а також в цілях здійснення пов’язаних із зайнятістю індивідуальних або колективних прав і гарантій і в цілях припинення трудових відносин. 2. Зазначені правила повинні містити прийнятні і конкретні заходи для того, щоб гарантувати людську гідність, законні інтереси і основні права суб’єкта даних, особливо щодо прозорості обробки, передачі персональних даних в межах групи підприємств або групи компаній, що задіяні в спільній економічній діяльності, а також у питаннях систем моніторингу на робочому місці. 3. Кожна держава-член ЄС повинна повідомити Європейську Комісію про зазначені положення свого законодавства, які воно ухвалила згідно з параграфом 1, до 25 травня 2018 року і негайно про будь-які подальші зміни, що стосуються зазначених положень. Стаття 89 Гарантії і часткові відступи щодо обробки в цілях архівування і в інтересах суспільства, в цілях наукового або історичного дослідження або в статистичних цілях 1. На обробку даних в цілях в цілях архівування і в інтересах суспільства, в наукових цілях, в цілях історичного дослідження або в статистичних цілях повинні поширюватися відповідні гарантії щодо прав і свобод суб’єкта даних відповідно до цього Регламенту. Зазначені гарантії повинні забезпечувати наявність технічних та організаційних заходів, зокрема для дотримання принципу мінімізації даних. Зазначені заходи можуть включати в себе псевдонимізацію за умови, що зазначені цілі можуть бути досягнуті таким чином. Якщо зазначені цілі можуть бути досягнуті при подальшій обробці, яка не передбачає або більше не передбачає ідентифікацію суб’єктів даних, зазначені цілі можуть досягатися таким чином. 2. У випадку якщо персональні дані обробляються в наукових цілях, в цілях історичного дослідження або в статистичних цілях, в законодавстві Союзу або держави-члена ЄС можуть бути передбачені часткові відступи від прав, зазначених в Статтях 15, 16, 18 і 21, у відповіднос ті до умов і гарантій, зазначених в параграфі 1 цієї Статті, оскільки зазначені права можуть зробити неможливим або суттєво вплинути на досягнення особливих цілей, і зазначені часткові відступи необхідні для досягнення зазначених цілей. 3. У випадку, якщо персональні дані обробляються в цілях архівування в інтересах суспільства, в законодавстві Союзу або держави-члена ЄС можуть бути передбачені часткові
відступи від прав, зазначених в Статтях 15, 16, 18, 19, 20 і 21, у відповідності до умов і гарантій, зазначених в параграфі 1 цієї Статті, оскільки зазначені права можуть зробити неможливим або суттєво вплинути на досягненні особливих цілей, і зазначені часткові відступи необхідні для досягнення зазначених цілей. 4. У випадку, якщо обробка, що зазначена в параграфах 2 і 3, здійснюється одночасно і для іншої мети, часткові відступи повинні застосовуватися тільки щодо обробки для цілей, що передбачені у зазначених параграфах. Стаття 90 Обов’язковість нерозголошення таємниці 1. Держави-члени ЄС можуть ухвалювати особливі правила для затвердження повноважень наглядових органів в значенні пунктів (e) і (f) Статі 58(1) щодо володільців та осіб, які обробляють дані фізичних осіб, які відповідно до законодавства Союзу або держави-члена ЄС або згідно з правилами, встановленими національними компетентними органами, підпадають під зобов’язання дотримуватися професійної таємниці або іншим аналогічним зобов’язанням щодо нерозголошення таємниці, якщо це необхідно і пропорційно для узгодження прав на захист персональних даних із зобов’язанням щодо нерозголошення таємниці. Зазначені положення повинні застосовуватися тільки у відношенні персональних даних, які володілець або особа, яка обробляє дані, отримали в результаті діяльності, що підпадає під зазначене зобов’язання щодо нерозголошення таємниці. 2. Кожна держава-член ЄС повинна повідомити Європейську Комісію про положення, ухвалені відповідно до параграфу 1, до 25 травня 2018 року і негайно про будь-які подальші зміни, що стосуються зазначених положень. Стаття 91 Існуючі положення про захист даних церков і релігійних організацій 1. У випадку якщо церкви і релігійні організації або общини в державі-члені ЄС на момент набуття чинності цього Регламенту застосовують вичерпні правила щодо захисту фізичних осіб при обробці їхніх персональних даних, зазначені правила можуть застосовуватися в подальшому, за умови їх відповідності цьому Регламенту. 2. Церкви і релігійні організації, які застосовують вичерпні правила відповідно до параграфу 1 цієї Статті, підпадають під нагляд з боку незалежного наглядового органу, який може мати сертифікаційний характер, за умови, що виконують умови, встановлені в Главі VI цього Регламенту. ГЛАВА Х. ДЕЛЕГОВАНІ АКТИ І ІМПЛЕМЕНТАЦІЙНІ АКТИ Стаття 92 Здійснення делегування 1. Повноваження на ухвалення делегованих актів надається Європейській Комісії відповідно до умов, визначених в цій Статті. 2. Делегування повноважень, зазначених в Статті 12(8) і в Статті 43(8), надається Європейській Комісії на невизначений термін, починаючи з 24 травня 2016 року. 3. Делегування повноважень, зазначених в Статті 12(8) і в Статті 43(8), може бути відмінено в будь-який час Європейським Парламентом або Радою ЄС. Рішення про відміну припиняє делегування повноважень, визначених у зазначеному рішенні. Воно вступає в силу на наступний день після публікації рішення в Офіційному журналі Європейського Союзу або в більш пізній термін, визначний у рішенні. Воно не впливає на чинність делегованих актів, які вже набули чинності. 4. Одразу після ухвалення делегованого акту Європейська Комісія повинна повідомити про це Європейський Парламент та Раду ЄС. 5. Делегований акт, ухвалений відповідно до Статті 12(8) і Статті 43(8), повинен набувати чинності тільки у випадку, якщо ні Європейський Парламент, а ні Рада ЄС не надали заперечень протягом трьох місяців з моменту повідомлення про зазначений акт або якщо до закінчення зазначеного строку Європейський Парламент і Рада ЄС проінформували Європейську Комісію про
те, що вони не будуть надавати заперечення. Зазначений строк може бути продовжений на три місяці за ініціативою Європейського Парламенту або Ради ЄС. Стаття 93 Процедура Комітету 1. Європейській Комісії повинен сприяти Комітет. Зазначений Комітет повинен бути комітетом в значенні Регламенту (ЄС) 182/2011. 2. У випадку якщо робиться посилання на цей параграф, застосовується Стаття 5 Регламенту (ЄС) 182/2011. 3. У випадку якщо робиться посилання на цей параграф, застосовується Стаття 8 Регламенту (ЄС) 182/2011 разом зі Статтею 5 зазначеного Регламенту. ГЛАВА ХІ. ЗАКЛЮЧНІ ПОЛОЖЕННЯ Стаття 94 Відміна Директиви 95/46/ЄС 1. Директива 95/46/ЄС відміняється з 25 травня 2018 року. 2. Посилання на Директиву, що відмінена, повинні розглядатися як посилання на цей Регламент. Посилання на Робочу групу із захисту фізичних осіб при обробці персональних даних, засновану Статтею 29 Директиви 95/46/ЄС, повинні розглядатися як посилання на Європейську Раду із захисту даних, що засновується цим Регламентом. Стаття 95 Співвідношення з Директивою 2002/58/ЄС Цей Регламент не повинен накладати додаткові зобов’язання на фізичних та юридичних осіб при обробці даних у поєднанні з Положенням про загальнодоступні електронні послуги зв’язку в мережах загального користування в Союзі з питань, стосовно яких вони підпадають під специфічні зобов’язання, встановлені Директивою 2002/58/ЄС і які мають таку ж саму мету. Стаття 96 Співвідношення з вже укладеними угодами Міжнародні угоди, що стосуються передачі персональних даних до третіх країн або міжнародних організацій, які держави-члени ЄС уклали до 24 травня 2016 року і які відповідають законодавству Союзу, що застосовувалося до зазначеної дати, повинні зберігати чинність до тих пір, поки вони не будуть змінені, замінені або відмінені. Стаття 97 Звіти Європейської Комісії 1. До 25 травня 2020 року і кожні чотири роки надалі Європейська Комісія повинна направляти звіт про оцінку та перегляд цього Регламенту до Європейського Парламенту та Ради ЄС. Звіт повинен публікуватися. 2. В рамках оцінювання та перегляду відповідно до параграфу 1 Європейська Комісія повинна перевірити, зокрема застосування та дію: (а) Глави V про передачу персональних даних до третіх країн або міжнародних організацій, особливо з урахуванням рішень, ухвалених відповідно до Статті 45(3) цього Регламенту, і рішень, ухвалених на основі Статті 25(6) Рішення 95/46/ЄС; (b) Глави VІІ про співробітництво та співставлення. 3. Для цілей параграфа 1 Європейська Комісія може запитувати інформацію у державчленів ЄС і наглядових органів. 4. При виконанні оцінювання та перегляду відповідно до параграфів 1 і 2 Європейська Комісія повинна враховувати позиції та висновки Європейського Парламенту, Ради ЄС та інших відповідних органів або джерел. 5. Європейська Комісія за необхідності, повинна внести відповідні пропозиції щодо зміни цього Регламенту, зокрема з урахуванням інформаційних технологій з огляду на прогрес в інформаційному суспільстві. Стаття 98
Перегляд інших правових актів про захист даних Європейська Комісія, за необхідності, повинна внести законодавчі пропозиції щодо зміни інших правових актів про захист персональних даних для того, щоб гарантувати одноманітний та послідовий захист фізичних осіб при обробці даних. Зокрема, це стосується норм щодо захисту фізичних осіб при обробці даних інституціями, органами, службами і агенціями Союзу, а також норм про вільний обіг зазначених даних. Стаття 99 Набуття чинності та застосування 1. Цей Регламент набуває чинності на двадцятий день після публікації в Офіційному Журналі Європейського Союзу. 2. Він повинен застосовуватися з 25 травня 2018 року. Цей Регламент є обов’язковим в повному обсязі і належить до прямого застосування в державах-членах ЄС. Брюссель 27 квітня 2016 року.