(25) "послуга інформаційного суспільства" означає послугу, як її означено в пункті (b) статті 1(1) Директиви Європейського Парламенту і Ради (ЄС) 2015/1535 (- 1).
__________
(-1) Директива Європейського Парламенту і Ради 2015/1535/ЄС від 9 вересня 2015 року про порядок надання інформації у сфері технічних регламентів та правила щодо послуг інформаційного суспільства (OB L 241, 17.09.2015, с. 1).
(26) "міжнародна організація" означає організацію та її підпорядковані органи, що регулюються публічним міжнародним правом, або будь-який інший орган, заснований договором або на основі договору між двома чи декількома державами.
ГЛАВА II
Принципи
Стаття 5. Принципи опрацювання персональних даних
1. Персональні дані необхідно:
(a) опрацьовувати у законний, правомірний і прозорий спосіб щодо суб'єкта даних ("законність, правомірність і прозорість");
(b) збирати для визначених, чітких і законних цілей і в подальшому не опрацьовувати у спосіб, що є несумісним з такими цілями; подальше опрацювання для досягнення цілей суспільних інтересів, цілей чи цілей наукового чи історичного дослідження або статистичних цілей не можна вважати, згідно зі статтею 89(1), несумісним з первинними цілями ("цільове обмеження");
(c) вважати достатніми і відповідними та обмежити їх мірою необхідності в них з огляду на цілі опрацювання ("мінімізація даних");
(d) вважати точними і, за необхідності, оновлювати; необхідно вживати усіх відповідних заходів для того, щоб забезпечити, що неточні персональні дані, зважаючи на цілі їхнього опрацювання, було стерто чи виправлено без затримки ("точність");
(e) зберігати в формі, що дозволяє ідентифікацію суб'єктів даних не довше, ніж це є необхідним для цілей їхнього опрацювання; персональні дані можна зберігати протягом більш тривалих періодів, доки їх опрацьовують винятково для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей відповідно до статті 89(1) за умов вжиття відповідних технічних і організаційних заходів, передбачених цим Регламентом для гарантування прав і свобод суб'єкта даних ("обмеження зберігання");
(f) опрацьовувати в спосіб, що забезпечує належну безпеку персональних даних, у тому числі, захист проти несанкціонованого чи незаконного опрацювання та проти ненавмисної втрати, знищення чи завдання шкоди, із застосуванням відповідних технічних і організаційних інструментів ("цілісність і конфіденційність").
2. Контролер несе відповідальність за дотримання параграфа 1 і повинен бути здатним це довести ("підзвітність").
Стаття 6. Законність опрацювання
1. Опрацювання є законним, лише якщо виконано та мірою виконання принаймні однієї з наведених нижче умов:
(a) суб'єкт даних надав згоду на опрацювання своїх персональних даних для однієї чи декількох спеціальних цілей;
(b) опрацювання є необхідним для виконання контракту, стороною якого є суб'єкт даних, або для вжиття дій на запит суб'єкта даних до укладення договору;
(c) опрацювання є необхідним для дотримання встановленого законом зобов'язання, яке поширюється на контролера;
(d) опрацювання є необхідним для того, щоб захистити життєво важливі інтереси суб'єкта даних або іншої фізичної особи;
(e) опрацювання є необхідним для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера;
(f) опрацювання є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб'єкта даних, що вимагають охорони персональних даних, особливо, якщо суб'єктом даних є дитина.
Пункт (г) першого підпараграфа не застосовують до опрацювання, яке здійснюють публічні органи у ході виконання своїх завдань.
2. Держави-члени можуть мати або вводити уточнені положення для застосування норм цього Регламенту щодо опрацювання з метою дотримання пунктів (c) і (e) параграфа 1, визначивши більш чітко спеціальні вимоги опрацювання та інші засоби для забезпечення законного та правомірного опрацювання, в тому числі, для інших спеціальних ситуацій опрацювання, як це передбачено главою IX.
3. Законодавчу базу, вказану в пункті (c) і (e) параграфа 1, визначає:
(a) законодавство Союзу; або
(b) законодавство держави-члена, яке поширюється на контролера.
Мету опрацювання необхідно означити в такій законодавчій базі або, в частині опрацювання, вказаного в пункті (e) параграфа 1, її необхідно обов'язково передбачити для виконання завдання в суспільних інтересах чи здійснення офіційних повноважень, покладених на контролера. Така законодавча база може містити спеціальні положення для адаптації застосування правил цього Регламенту, між іншим: загальні умови, що регулюють питання законності опрацювання контролером; типи даних, що підлягають опрацюванню; відповідні суб'єкти даних; установи, яким можна розкривати персональні дані та цілі такого розкриття; цільове обмеження; періоди зберігання; операції опрацювання і процедури опрацювання, в тому числі, заходи щодо забезпечення законного та справедливого опрацювання як ті, що вживають в інших спеціальних ситуаціях опрацювання, як передбачено в главі IX. Законодавство Союзу або держави-члена повинно відповідати меті суспільного інтересу та бути пропорційним наявній законній цілі.
4. Якщо опрацювання для іншої цілі, ніж тієї для якої відбувалося збирання персональних даних, не засновано на згоді суб'єкта даних або на законодавстві Союзу чи держави-члена, що є необхідним і пропорційним заходом у демократичному суспільстві для гарантування цілей, вказаних у статті 23(1), контролер, для того, щоб переконатися, чи є опрацювання для іншої цілі сумісним із ціллю первинного збирання персональних даних, повинен врахувати, між іншим:
(a) будь-який зв'язок між цілями, для яких збирають персональні дані, і цілями запланованого подальшого опрацювання;
(b) контекст збирання персональних даних, зокрема, щодо взаємозв'язку між суб'єктами даних і контролера;
(c) специфіку персональних даних, зокрема, питання опрацювання спеціальних категорій персональних даних, згідно зі статтею 9, або опрацювання персональних даних про судимості і кримінальні злочини, згідно зі статтею 10;
(d) можливі наслідки запланованого подальшого опрацювання для суб'єктів даних;
(e) наявність належних гарантій, що можуть передбачати шифрування чи використання псевдонімів.
Стаття 7. Умови надання згоди
1. У разі, якщо опрацювання засновано на згоді, контролер повинен бути спроможним довести те, що суб'єкт даних надав згоду на опрацювання своїх персональних даних.
2. Якщо суб'єкт даних надає згоду в контексті письмової декларації, що також стосується інших питань, запит на надання згоди необхідно подавати у формі, що чітко відрізняється від інших питань, у зрозумілій та доступній формі, з використанням чітких і простих формулювань. Будь-яка частина такої декларації, що становить порушення цього Регламенту, не є зобов'язальною.
3. Суб'єкт даних повинен мати право відкликати свою згоду в будь-який момент. Відкликання згоди не повинно впливати на законність опрацювання, що ґрунтувалося на згоді до її відкликання. До надання згоди суб'єкта даних необхідно про це повідомити. Необхідно однаково забезпечити можливість як відкликати, так і надати згоду.
4. Здійснюючи оцінку того, чи є згода вільно наданою, необхідно максимально враховувати те, чи залежить, між іншим, виконання договору, в тому числі надання послуги, від згоди на опрацювання персональних даних, що не є необхідною для виконання такого договору.
Стаття 8. Умови, застосовні до згоди дитини в сфері послуг інформаційного суспільства
1. У разі застосування пункту (a) статті 6(1), у сфері пропозиції послуг інформаційного суспільства безпосередньо дитині, опрацювання персональних даних дитини є законним, якщо дитина досягла щонайменше 16 років. Якщо дитина не досягла 16 років, таке опрацювання є законним, лише якщо та тією мірою, коли згоду надано чи її надання санкціоновано носієм батьківської відповідальності щодо дитини.
Держави-члени можуть передбачити в законі нижчий вік для таких цілей за умови, що такий вік не є нижчим 13 років.
2. Контролер повинен докласти розумних зусиль для перевірки в таких випадках того, що згоду надано чи її надання санкціоновано носієм батьківської відповідальності щодо дитини, з урахуванням наявних технологій.
3. Пункт 1 не впливає на загальне договірне право держав-членів, таке як правила щодо законності, укладення чи наслідків контракту для дитини.
Стаття 9. Опрацювання спеціальних категорій персональних даних
1. Заборонено опрацювання персональних даних, що розкривають расову чи етнічну приналежність, політичні переконання, релігійні чи філософські вірування, чи членство в професійних спілках, і опрацювання генетичних даних, біометричних даних для цілі єдиної ідентифікації фізичної особи, даних стосовно стану здоров'я чи даних про статеве життя фізичної особи чи її сексуальної орієнтації.
2. Параграф 1 не застосовують, якщо застосовують таке:
(a) суб'єкт даних надав явну згоду на опрацювання таких персональних даних для однієї чи декількох визначених цілей, за винятком, якщо законодавством Союзу чи держави-члена передбачено, що суб'єкт даних не може зняти заборону, вказану в параграфі 1;
(b) опрацювання є необхідним для цілей виконання обов'язків і здійснення спеціальних прав контролера або суб'єкта даних у сфері зайнятості та права соціального забезпечення і соціального захисту, якщо воно дозволено законодавством Союзу або держави-члена або колективною угодою згідно з законодавством держави-члена, що надає необхідні гарантії для фундаментальних прав та інтересів суб'єкта даних;
(c) опрацювання є необхідним для захисту життєво важливих інтересів суб'єкта даних або іншої фізичної особи, якщо суб'єкт даних фізично чи юридично неспроможний надати згоду;
(d) опрацювання здійснюють в ході відповідної законної діяльності з необхідними гарантіями установою, асоціацією чи будь-яким іншим некомерційним органом з політичною, філософською, релігійною ціллю або для цілі професійної спілки та за умови, що опрацювання стосується винятково членів чи колишніх членів органу або до осіб, що регулярно підтримують контакт з ними у зв'язку з його цілями, та що персональні дані не розкривають поза межами такого органу без згоди суб'єктів даних;
(e) опрацювання стосується персональних даних, що відкрито оприлюднені суб'єктом даних;
(f) опрацювання є необхідним для формування, здійснення або захисту правових претензій або якщо суди діють як судові органи;
(g) опрацювання є необхідним з причин суттєвого суспільного інтересу, на підставі законодавства Союзу або держави-члена, що має бути пропорційним цілі, якої прагнуть досягти, поважати сутність права на захист даних і передбачати належні та спеціальні заходи для захисту фундаментальних прав та інтересів суб'єкта даних;
(h) опрацювання є необхідним для цілей превентивної медицини чи гігієни праці, для оцінювання працездатності працівника, медичного діагнозу, надання послуг у сфері охорони здоров'я чи соціального забезпечення чи лікування або управління системами та послугами в сфері охорони здоров'я чи соціального забезпечення чи лікування на підставі законодавства Союзу або держави-члена чи відповідно до контракту з медичним працівником і з урахуванням умов і гарантій, зазначених у параграфі 3;
(i) опрацювання є необхідним з причин суспільного інтересу в сфері охорони суспільного здоров'я, зокрема, захисту від серйозних транскордонних загроз здоров'ю чи забезпечення високих стандартів якості та безпеки в сфері охорони здоров'я і лікарських препаратів або медичного обладнання, на підставі законодавства Союзу або держави-члена, що передбачає належні та спеціальні заходи для захисту прав і свобод суб'єкта даних, зокрема, професійної таємниці;
(j) опрацювання є необхідним для досягнення цілей суспільного інтересу, цілей наукового чи історичного дослідження або статистичних цілей відповідно до статті 89(1) на підставі законодавства Союзу або держави-члена, що має бути пропорційним цілі, якої прагнуть досягти, поважати сутність права на захист даних і передбачати належні та спеціальні заходи для захисту фундаментальних прав та інтересів суб'єкта даних.
3. Персональні дані, зазначені в параграфі 1, можна опрацьовувати для цілей, зазначених у пункті (h) параграфа 2, якщо такі дані опрацьовує фахівець або їх опрацьовують за його відповідальністю з урахуванням обов'язку збереження професійної таємниці згідно з законодавством Союзу або держави-члена або нормами, встановленими національними компетентними органами чи іншою особою також з урахуванням обов'язку збереження таємниці згідно з законодавством Союзу або держави-члена або нормами, встановленими національними компетентними органами.
4. Держави-члени можуть мати або вводити деталізовані умови, в тому числі, обмеження, у зв'язку з опрацюванням генетичних даних, біометричних даних або даних стосовно стану здоров'я.
Стаття 10. Опрацювання персональних даних про судимості і кримінальні злочини
Опрацювання персональних даних про судимості і кримінальні злочини або пов'язані заходи безпеки на підставі статті 6(1) здійснюють лише під контролем офіційного органу або у разі, якщо опрацювання дозволено законодавством Союзу або держави-члена, що передбачають належні гарантії для прав і свобод суб'єктів даних. Будь-який всеосяжний реєстр судимостей необхідно вести лише під контролем офіційного органу.
Стаття 11. Опрацювання, що не вимагає ідентифікації
1. Якщо персональні дані, які опрацьовує контролер, не надають йому можливості ідентифікувати фізичну особу, контролер даних не повинен бути зобов'язаним отримувати додаткову інформацію для того, щоб ідентифікувати суб'єкта даних винятково для цілей дотримання будь-якого положення цього Регламенту.
2. Якщо, в ситуаціях, вказаних у параграфі 1 цієї статті, контролер здатний довести, що він не може ідентифікувати суб'єкта даних, контролер, відповідно, за можливості, повинен повідомити про це суб'єкта даних. У таких ситуаціях, статті 15-20 не застосовують, за винятком, якщо суб'єкт даних, з метою реалізації своїх прав за зазначеними статтями, надає додаткову інформацію, що уможливлюють його ідентифікацію.
ГЛАВА III
Права суб'єкта даних
Секція 1
Прозорість і форми
Стаття 12. Прозора інформація, повідомлення та форми реалізації прав суб'єкта даних
1. Контролер повинен вжити необхідних заходів для надання будь-якої інформації, вказаної в статтях 13 і 14 та в будь-якому повідомленні згідно зі статтями 15-22 і 34 щодо опрацювання, суб'єкту даних у стислій, прозорій, доступній для розуміння та легко доступній формі, з використанням чітких і простих формулювань, зокрема, для будь-якої інформації, яку спеціально призначено для дитини. Інформацію необхідно надавати у письмовій формі або іншими засобами, в тому числі, за необхідності, електронними засобами. У разі надання запиту суб'єктом даних, інформацію можна бути надано усно, за умови, що особу суб'єкта даних доведено іншими засобами.
2. Контролер повинен сприяти реалізації прав суб'єктом даних згідно зі статтями 15-22. У випадках, вказаних у статті 11(2), контролер не має права ухилятися від дій на запит суб'єкта даних щодо реалізації його прав за статтями 15-22, за винятком, доведення контролером неможливості ідентифікувати суб'єкта даних.
3. Контролер повинен надати інформацію щодо дії, вжитої на запит за статтями 15-22, суб'єкту даних без необґрунтованої затримки та в будь-якому випадку протягом одного місяця з дати отримання запиту. За необхідності, зважаючи на складність та кількість запитів, цей період можна подовжити на два наступні місяці. Контролер повинен повідомити суб'єкта даних про будь-яке таке подовження протягом одного місяця з дати отримання запиту, а також - про причини затримки. Якщо суб'єкт даних надає запит за допомогою електронних засобів, інформацію за можливості необхідно надати електронними засобами за винятком прохання суб'єкта даних про інше.
4. Якщо контролер не вживає дій у відповідь на запит суб'єкта даних, він повинен повідомити суб'єкта даних без затримки та щонайменше протягом одного місяця з дати отримання запиту про причини утримання від дій і про можливість подання скарги до наглядового органу та звернення до засобів судового захисту.
5. Інформацію, що надають за статтями 13 і 14, і будь-яке повідомлення та будь-які дії, яких вживають за статтями 15-22 і 34, необхідно надавати на безоплатній основі. Якщо запити від суб'єкта даних є явно необґрунтованими чи надмірними, зокрема, через їхнє багатократне повторення, контролер може або:
(a) стягнути розумну плату, враховуючи адміністративні витрати на надання інформації або повідомлення чи вжиття дій на запит; або
(b) ухилитися від виконання дій на запит.
На контролера необхідно покласти додаткове зобов'язання щодо доведення явно необґрунтованого чи надмірного характеру запиту.
6. Без обмеження статті 11, якщо контролер має вагомі підстави сумніватися в особистості фізичної особи, що здійснює запит, вказаний у статтях 15-21, контролер може надіслати запит на надання додаткової інформації, необхідної для підтвердження особистості суб'єкта даних.
7. Інформацію, яку необхідно надати суб'єктам даних відповідно до статей 13 і 14, можна надавати в поєднанні зі стандартизованими іконками для того, щоб надати конструктивний огляд призначеного опрацювання у видимий, доступний для розуміння та чіткий спосіб. У випадку електронного представлення іконок, - вони повинні легко зчитуватися машиною.
8. Комісії необхідно надати повноваження ухвалювати делеговані акти згідно зі статтею 92 з метою визначення інформації, необхідної для представлення в іконках, та процедур для надання стандартизованих іконок.
Секція 2
Інформація та доступ до персональних даних
Стаття 13. Інформація, яку необхідно надати у разі збирання персональних даних від суб'єкта даних
1. Якщо персональні дані щодо суб'єкта даних збирають від суб'єкта даних, контролер повинен, у момент отримання персональних даних, надати суб'єкту даних усю інформацію, а саме інформацію про:
(a) особу та контактні дані контролера та, за необхідності, представника контролера;
(b) контактні дані співробітника з питань захисту даних, за необхідності;
(c) цілі опрацювання, для досягнення яких призначено персональні дані, а також законодавчу базу для опрацювання;
(d) якщо опрацювання здійснюють на підставі пункту (f) статті 6(1), законні інтереси контролера або третьої сторони;
(e) одержувачі чи категорії одержувачів персональних даних, за наявності;
(f) за необхідності, інформацію про те, що контролер має намір передати персональні дані до третьої країни чи міжнародної організації, про наявність чи відсутність рішення Комісії про відповідність, або, у випадку актів передавання, вказаних у статті 46 чи 47, або другому підпараграфі статті 49(1), - зазначення належних чи відповідних гарантій і засобів, за допомогою яких можна отримати копію таких даних, або джерела, звідки їх можна отримати у вільному доступі.
2. Крім інформації, вказаної в параграфі 1, контролер повинен, у момент отримання персональних даних, надати суб'єкту даних усю детальну інформацію, необхідну для забезпечення правомірного та прозорого опрацювання, а саме інформацію про:
(a) період зберігання персональних даних, або, якщо це неможливо, - критерії визначення такого періоду;
(b) існування права на запит від контролера щодо доступу до персональних даних і їх виправлення, стирання, обмеження опрацювання щодо суб'єкта даних або на заперечення проти опрацювання, а також права на мобільність даних;
(c) якщо опрацювання здійснюють на підставі пункту (a) статті 6(1) або пункту (a) статті 9(2), - існування права на відкликання згоди в будь-який момент, без наслідків для законності опрацювання, що було засновано на згоді до її відкликання;
(d) право подавати скаргу до наглядового органу;
(e) те, чи є надання персональних даних статутною чи договірною вимогою, або вимогою, необхідною для укладення контракту, а також - чи зобов'язаний суб'єкт даних надати персональні дані, та про можливі наслідки ненадання таких даних;
(f) наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу, вказаного в статті 22(1) та (4) і, принаймні в таких випадках, достовірної інформації про логіку, значимість та передбачувані наслідки такого опрацювання для суб'єкта даних.
3. Якщо контролер прагне надалі опрацьовувати персональні дані для іншої цілі, ніж та, для якої персональні дані було отримано, контролер повинен надати суб'єкту даних до початку такого подальшого опрацювання інформацію про таку іншу ціль і будь-яку належну детальну інформацію, як вказано в параграфі 2.
4. Параграфи 1, 2 і 3 не застосовують, якщо і оскільки суб'єкт даних уже володіє інформацією.
Стаття 14. Інформація, яку необхідно надати у разі отримання персональних даних не від суб'єкта даних
1. Якщо персональні дані було отримано не від суб'єкта даних, контролер повинен надати суб'єкту даних інформацію, а саме про:
(a) особу та контактні дані контролера та, за необхідності, представника контролера;
(b) контактні дані співробітника з питань захисту даних, за необхідності;
(c) цілі опрацювання, для досягнення яких призначено персональні дані, а також законодавчу базу для опрацювання;
(d) категорії відповідних персональних даних;
(e) одержувачі чи категорії одержувачів персональних даних, за наявності;
(f) за необхідності, про те, що контролер прагне передати персональні дані до одержувача в третій країні чи міжнародної організації, про наявність чи відсутність рішення Комісії про відповідність, або, у випадку актів передавання, вказаних у статті 46 чи 47, або другому підпараграфі статті 49(1), - зазначення належних чи відповідних гарантій і засобів, за допомогою яких можна отримати копію таких даних, або джерела, звідки їх можна отримати у вільному доступі.
2. Крім інформації, зазначеної в параграфі 1, контролер повинен надати суб'єкту даних інформацію, необхідну для забезпечення правомірного та прозорого опрацювання, що стосується суб'єкта даних, а саме про:
(a) період зберігання персональних даних, або, якщо це неможливо, - критерії визначення такого періоду;
(b) якщо опрацювання здійснюють на підставі пункту (f) статті 6(1), законні інтереси контролера або третьої сторони;
(c) існування права на запит від контролера щодо доступу до персональних даних і їх виправлення, стирання, обмеження опрацювання щодо суб'єкта даних і на заперечення опрацювання, а також права на мобільність даних;
(d) якщо опрацювання здійснюють на підставі пункту (a) статті 6(1) або пункту (a) статті 9(2), - існування права на відкликання згоди в будь-який момент, без наслідків для законності опрацювання, що ґрунтувалося на згоді до її відкликання;
(e) право подавати скаргу до наглядового органу;
(f) те, з якого джерела походять персональні дані, та, за необхідності, про те, чи надійшли вони з джерел, доступних для громадськості;
(g) наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу, вказаного в статті 22(1) та (4) і, принаймні в таких випадках, достовірної інформації про логіку, значимість та передбачувані наслідки такого опрацювання для суб'єкта даних.
3. Контролер повинен надати інформацію, вказану в параграфах 1 та 2:
(a) у розумний строк після отримання персональних даних, але щонайменше протягом одного місяця, враховуючи конкретні обставини, за яких опрацьовують персональні дані;
(b) якщо персональні дані необхідно використати для спілкування з суб'єктом даних, - принаймні в момент першого повідомлення такому суб'єкту даних; або,
(c) якщо передбачається розкриття іншому одержувачу, - принаймні під час першого розкриття персональних даних.
4. Якщо контролер прагне надалі опрацьовувати персональні дані для іншої цілі, ніж та, для якої персональні дані було отримано, контролер повинен надати суб'єкту даних до початку такого подальшого опрацювання інформацію про таку іншу ціль і будь-яку належну детальну інформацію, як вказано в параграфі 2.
5. Параграфи 1-4 не застосовують, якщо і оскільки:
(a) суб'єкт даних уже володіє інформацією;
(b) надання такої інформації стає неможливим чи викликало б несумісні наслідки, зокрема, для опрацювання задля досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілях, із урахуванням умов і гарантій, зазначених у статті 89(1) або доки обов'язок, вказаний у параграфі 1 цієї статті, ймовірно унеможливить або серйозно обмежить досягнення цілей такого опрацювання. У таких ситуаціях контролер повинен вжити необхідних заходів для захисту прав і свобод та законних інтересів суб'єкта даних, у тому числі, оприлюднення інформації;
(c) отримання чи розкриття прямо передбачено законодавством Союзу або держави-члена, яке поширюється на контролера та яким передбачено необхідні заходи для захисту законних інтересів суб'єкта даних; або
(d) якщо персональні дані необхідно залишати в таємниці відповідно до обов'язку збереження професійної таємниці, що регулюється законодавством Союзу або держави-члена, в тому числі, статутний обов'язок збереження таємниці.
Стаття 15. Право суб'єкта даних на доступ
1. Суб'єкт даних повинен мати право на отримання від контролера підтвердження факту опрацювання її або його персональних даних і, якщо це так, - доступ до персональних даних та інформації про:
(a) цілі цього Регламенту;
(b) категорії відповідних персональних даних;
(c) одержувачі чи категорії одержувача, якому персональні дані були або будуть розкриті, зокрема, одержувачі в третіх країнах або міжнародні організації;
(d) за можливості, період, протягом якого передбачається, що персональні дані будуть зберігати, або, якщо це неможливо, - критерії визначення такого періоду;
(e) існування права надсилати запит до контролера щодо виправлення чи стирання персональних даних, або обмеження опрацювання персональних даних про суб'єкта даних і заперечувати проти такого опрацювання;
(f) право подавати скаргу до наглядового органу;
(g) якщо персональні дані не збирають від суб'єкта даних, будь-яку інформацію щодо їхнього джерела;
(h) наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу, вказаного в статті 22(1) та (4) і, принаймні в таких випадках, достовірної інформації про логіку, значимість та передбачувані наслідки такого опрацювання для суб'єкта даних.
2. Якщо персональні дані передають до третьої країни або до міжнародної організації, суб'єкт даних повинен мати право бути повідомленим про належні гарантії відповідно до статті 46 щодо передавання даних.
3. Контролер повинен надати копію персональних даних, які знаходяться у процесі опрацювання. Для будь-яких подальших копій, запит на які надсилатиме суб'єкт даних, контролер може стягувати розумну плату, що ґрунтується на адміністративних витратах. У разі подання суб'єктом даних запиту електронними засобами і за винятком його прохання щодо іншої форми інформацію необхідно надавати загальноприйнятими електронними засобами.
4. Право на отримання копії, вказаної в параграфі 3, не повинно негативно впливати на права та свободи інших осіб.
Секція 3
Виправлення та стирання
Стаття 16. Право на виправлення
Суб'єкт даних повинен мати право на виправлення його або її неточних персональних даних, яке повинен здійснити контролер без будь-якої необґрунтованої затримки. Зважаючи на цілі опрацювання, суб'єкт даних повинен мати право заповнити незаповнені персональні дані, в тому числі, надавши додаткову заяву.
Стаття 17. Право на стирання ("право бути забутим")
1. Суб'єкт даних повинен мати право на стирання своїх персональних даних, яке повинен здійснити контролер без будь-якої безпідставної затримки, також контролер повинен бути зобов'язаним стерти персональні дані без будь-якої необґрунтованої затримки у разі виникнення однієї наведених нижче підстав:
(a) немає більше потреби в персональних даних для цілей, для яких їх збирали чи іншим чином опрацьовували;
(b) суб'єкт даних відкликає згоду, на якій ґрунтується опрацювання, згідно з пунктом (a) статті 6(1) чи пунктом (a) статті 9(2), та якщо немає іншої законної підстави для опрацювання;
(c) суб'єкт даних заперечує проти опрацювання згідно зі статтею 21(1), та немає жодних першочергових законних підстав для опрацювання, або суб'єкт даних заперечує проти опрацювання згідно зі статтею 21(2);
(d) персональні дані опрацьовували незаконно;
(e) персональні дані необхідно стерти для дотримання встановленого законом зобов'язання, закріпленого в законодавстві Союзу або держави-члена, яке поширюється на контролера;
(f) персональні дані збирали в зв'язку з пропонуванням послуг інформаційного суспільства, вказаних у статті 8(1).
2. У разі, якщо контролер оприлюднив персональні дані та є зобов'язаним відповідно до параграфа 1 стерти персональні дані, контролер, з урахуванням наявних технологій та витрат на їхню реалізацію, повинен вжити відповідних заходів, у тому числі, технічних заходів, для інформування контролерів, які опрацьовують персональні дані, про те, що суб'єкт даних направив запит на стирання такими контролерами будь-яких посилань на такі персональні дані, їхні копії чи відтворення.
3. Параграфи 1 та 2 не застосовують залежно від ступеня необхідності в опрацюванні:
(a) для реалізації права на свободу вияву поглядів та свободу інформації;
(b) для дотримання встановленого законом зобов'язання, що вимагає опрацювання згідно з законодавством Союзу або держави-члена, яке поширюється на контролера, або для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера;
(c) на підставах суспільного інтересу в сфері охорони суспільного здоров'я згідно з пунктами (h) та (i) статті 9(2), а також статтею 9(3);
(d) для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей, відповідно до статті 89(1), мірою, якою вказане в параграфі 1 ймовірно унеможливить або серйозно обмежить досягнення цілей такого опрацювання; або
(e) для формування, здійснення або захисту правових претензій.
Стаття 18. Право на обмеження опрацювання
1. Суб'єкт даних повинен мати право на обмеження опрацювання контролером у разі настання таких обставин:
(a) точність персональних даних оскаржує суб'єкт даних, протягом періоду часу, що надає контролеру можливість перевірити точність персональних даних;
(b) опрацювання є незаконним та суб'єкт даних виступає проти стирання персональних даних і натомість надсилає запит на обмеження їх використання;
(c) контролеру більше не потрібні персональні дані для цілей опрацювання, але їх вимагає суб'єкт даних для формування, здійснення або захисту правових претензій;
(d) суб'єкт даних заперечив проти опрацювання згідно зі статтею 21(1) в очікуванні проведення перевірки щодо того, чи переважають законні підстави контролера над законними інтересами суб'єкта даних.
2. Якщо опрацювання було обмежено відповідно до параграфа 1, такі персональні дані необхідно, за винятком зберігання, опрацьовувати лише за згоди суб'єкта даних або для подання, реалізації або захисту правових претензій або для захисту прав іншої фізичної або юридичної особи чи на підставах важливого суспільного інтересу Союзу або держави-члена.
3. Контролер повинен повідомити суб'єкта даних, який домігся обмеження опрацювання згідно з параграфом 1, до моменту скасування обмеження на опрацювання.
Стаття 19. Зобов'язання щодо повідомлення про виправлення чи стирання персональних даних або обмеження опрацювання
Контролер повинен повідомити про будь-яке виправлення чи стирання персональних даних або обмеження опрацювання, що здійснюють згідно зі статтею 16, статтею 17(1) і статтею 18, кожного одержувача, якому було розкрито персональні дані, за винятком, якщо це неможливо або викликає несумісні наслідки. Контролер повинен повідомити суб'єкта даних про таких одержувачів, якщо суб'єкт даних надсилає про це запит.
Стаття 20. Право на мобільність даних
1. Суб'єкт даних повинен мати право на отримання його або її персональних даних, які він надав контролеру, в структурованому, загальноприйнятому форматі, що легко зчитується машиною, та мати право на передавання таких даних іншому контролеру без перешкод від контролера, якому було надано персональні дані, якщо:
(a) опрацювання ґрунтується на згоді згідно з пунктом (a) статті 6(1) чи пунктом (a) статті 9(2), або на основі договору згідно з пунктом (b) статті 6(1); та
(b) опрацювання є автоматизованим.
2. Реалізуючи своє право на мобільність даних згідно з параграфом 1, суб'єкт даних повинен мати право на передавання персональних даних безпосередньо від одного контролера до іншого, за умов відповідної технічної можливості.
3. Реалізація права, вказаного в параграфі 1 цієї статті, не повинна обмежувати дію статті 17. Це право не застосовується до опрацювання, необхідного для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера.
4. Право, вказане в параграфі 1, не повинно негативно впливати на права та свободи інших осіб.
Секція 4
Право на заперечення та автоматизоване індивідуальне вироблення й ухвалення рішень
Стаття 21. Право на заперечення
1. Суб'єкт даних повинен мати право заперечувати, на підставах, що пов'язані з його або її конкретною ситуацією, в будь-який час, проти опрацювання його або її персональних даних, яке здійснюють на підставі пункту (e) чи (f) статті 6(1), у тому числі, проти профайлінгу, що ґрунтується на тих положеннях. Контролер не повинен більше опрацьовувати персональні дані за винятком доведення ним наявності істотних законних підстав для опрацювання, що переважають над інтересами, правами та свободами суб'єкта даних або для формування, здійснення або захисту правових претензій.
2. У випадку опрацювання персональних даних для цілей прямого маркетингу, суб'єкт даних повинен мати право на заперечення проти такого опрацювання персональних даних, у тому числі, профайлінгу, тією мірою, якою це стосуються такого прямого маркетингу.
3. Якщо суб'єкт даних заперечує проти опрацювання для цілей прямого маркетингу, персональні дані не можна більше опрацьовувати для таких цілей.
4. Щонайпізніше в момент першого повідомлення суб'єкту даних, право, вказане в параграфах 1 і 2, необхідно чітко довести до відома суб'єкта даних і представити зрозуміло та окремо від будь-якої іншої інформації.
5. У контексті користування послугами інформаційного суспільства та незважаючи на Директиву 2002/58/ЄС, суб'єкт даних може реалізовувати своє право на заперечення автоматизованими засобами з використанням технічних специфікацій.
6. Якщо персональні дані опрацьовують для цілей наукового чи історичного дослідження, або статистичних цілей згідно зі статтею 89(1), суб'єкт даних, на підставах, що пов'язані з його або її конкретною ситуацією, повинен мати право на заперечення проти опрацювання його або її персональних даних, за винятком, якщо таке опрацювання є необхідним для виконання завдання на підставах суспільного інтересу.
Стаття 22. Автоматизоване індивідуальне вироблення й ухвалення рішень, у тому числі, профайлінг
1. Суб'єкт даних повинен мати право не підлягати рішенню, що ґрунтується винятково на автоматизованому опрацюванні, в тому числі, профайлінгу, що породжує правові наслідки для чи подібним чином істотно впливає на нього або неї.
2. Параграф 1 не застосовують, якщо рішення:
(a) є необхідним для укладення чи виконання договору між суб'єктом даних і контролером даних;
(b) дозволено законодавством Союзу або держави-члена, яке поширюється на контролера та яким також передбачено відповідні заходи для захисту прав і свобод та законних інтересів суб'єкта даних; або
(c) ґрунтується на прямо висловленій згоді.
3. У ситуаціях, вказаних у пунктах (a) та (c) параграфа 2, контролер даних повинен вжити належних заходів для гарантування охорони прав, свобод, законних інтересів суб'єктів даних, принаймні права на людське втручання з боку контролера, висловлення своєї думки та оскарження рішення.
4. Рішення, вказані в параграфі 2, не повинні ґрунтуватися на спеціальних категоріях персональних даних, вказаних у статті 9(1), за винятком застосування пункту (a) або (g) статті 9(2) та відсутності передбачених належних заходів щодо охорони прав, свобод, законних інтересів суб'єктів даних.
Секція 5
Обмеження
Стаття 23. Обмеження
1. Законодавство Союзу або держави-члена, яке поширюється на контролера або оператора, може обмежувати за допомогою законодавчого інструменту обсяг обов'язків і прав, передбачений в статтях 12-22 і статті 34, а також статті 5, відповідно до того, наскільки його положення відображають права і обов'язки, передбачені в статтях 12-22, якщо таке обмеження зберігає сутність фундаментальних прав і свобод і є необхідним та пропорційним заходом у демократичному суспільстві для забезпечення:
(a) національної безпеки;
(b) оборони;
(c) громадської безпеки;
(d) запобігання, розслідування, виявлення або переслідування за скоєння кримінальних злочинів або для виконання кримінальних покарань, у тому числі, захисту від або запобіганню загрозам громадській безпеці;
(e) інших важливих цілей загального суспільного інтересу Союзу або держави-члена, зокрема важливого економічного чи фінансового інтересу Союзу або держави-члена, в тому числі, питань валютної, бюджетної і податкової політики, охорони суспільного здоров'я та соціального забезпечення;
(f) захисту незалежності судових органів і судових процесів;
(g) запобігання, розслідування, виявлення або переслідування за порушення етичних норм для регульованих професій;
(h) моніторингу, перевірки чи регуляторної функції, пов'язаної, навіть періодично, з реалізацією офіційних повноважень у випадках, вказаних у пунктах (a)-(e) та (g);
(i) захисту суб'єкта даних або прав і свобод інших осіб;
(j) виконання цивільно-правових позовів.
2. Зокрема, будь-який законодавчий інструмент, вказаний у параграфі 1, повинен містити спеціальні положення, за необхідності, принаймні щодо:
(a) цілей опрацювання чи категорій опрацювання;
(b) категорій персональних даних;
(c) обсяг введених обмежень;
(d) гарантій запобігання зловживанню чи незаконному доступу або передаванню;
(e) детальної інформації щодо контролера або категорій контролерів;
(f) періодів зберігання та застосовних гарантій, з огляду на специфіку, обсяг та цілі опрацювання чи категорій опрацювання;
(g) ризиків для прав і свобод суб'єктів даних; або
(h) право суб'єктів даних бути повідомленими про обмеження, за винятком порушень цілі обмеження.
ГЛАВА IV
Контролер і оператор
Секція 1
Загальні обов'язки
Стаття 24. Відповідальність контролера
1. Зважаючи на специфіку, обсяг, контекст і цілі опрацювання, а також ризики різної ймовірності та тяжкості для прав і свобод фізичних осіб, контролер повинен вжити необхідних технічних і організаційних заходів для того, щоб гарантувати та бути здатним довести, що опрацювання здійснюють згідно з цим Регламентом. За необхідності, такі заходи необхідно переглядати та оновлювати.
2. У разі їхньої пропорційності щодо опрацювання даних, вказані в параграфі 1 заходи повинні передбачати реалізацію відповідних політик щодо захисту даних контролером.
3. Дотримання затверджених кодексів поведінки, як вказано в статті 40, чи затверджених механізмів сертифікації, як вказано в статті 42, можна використовувати як елемент підтвердження відповідності обов'язкам контролера.
Стаття 25. Захист даних за призначенням і за замовчуванням
1. Зважаючи на сучасний рівень розвитку, витрати на реалізацію, специфіку, обсяг, контекст і цілі опрацювання, а також ризики різної ймовірності та тяжкості для прав і свобод фізичних осіб, які може спричинити опрацювання, контролер повинен, у момент визначення засобів опрацювання та в момент власне опрацювання, вжити необхідних технічних і організаційних заходів, таких як використання псевдонімів, призначених для результативної реалізації принципів захисту даних, зокрема, мінімізації даних, і включення необхідних гарантій до опрацювання для досягнення відповідності вимогам цього Регламенту та забезпечення захисту прав суб'єктів даних.
2. Контролер повинен вжити відповідних технічних і організаційних заходів для гарантування того, що за замовчуванням опрацьовують лише ті персональні дані, які є необхідними для кожної спеціальної цілі опрацювання. Такий обов'язок застосовують до кількості зібраних персональних даних, ступеня їхнього опрацювання, періоду їхнього зберігання та їхньої доступності. Зокрема, такими заходами необхідно гарантувати ненадання за замовчуванням доступу до персональних даних без звернення особи до невизначеної кількості фізичних осіб.
3. Затверджений механізм сертифікації, відповідно до статті 42, можна використовувати як елемент підтвердження відповідності вимогам, встановленим у параграфах 1 та 2 цієї статті.
Стаття 26. Спільні контролери
1. Якщо два чи декілька контролерів спільно визначають цілі та засоби опрацювання, вони є спільними контролерами. Вони повинні на умовах прозорості встановити свої відповідні обов'язки, що відображають зміст зобов'язань за цим Регламентом, зокрема, щодо реалізації прав суб'єкта даних і їхніх відповідних обов'язків щодо надання інформації, вказаної в статтях 13 і 14, шляхом досягнення домовленості між ними, за винятком, якщо, та оскільки, відповідні обов'язки контролерів не визначено законодавством Союзу або держави-члена, дія якого поширюється на контролерів. За домовленістю можна призначити координаційний центр для суб'єктів даних.
2. Домовленість, вказана в параграфі 1, повинна належним чином відображати відповідні ролі та відносини спільних контролерів щодо суб'єктів даних. Сутність домовленості необхідно повідомити суб'єкту даних.
3. Незалежно від умов домовленості, вказаних у параграфі 1, суб'єкт даних може скористатися своїми правами за цим Регламентом щодо та проти кожного з контролерів.
Стаття 27. Представники контролерів або операторів, які не мають осідків у Союзі
1. У разі застосування статті 3(2), контролер або оператор повинен призначити в письмовій формі представника в Союзі.
2. Обов'язок, установлений у параграфі 1 цієї статті, не застосовують до:
(a) опрацювання, яке призначено для окремого випадку, воно не передбачає, у великих обсягах, опрацювання спеціальних категорій даних, як вказано в статті 9(1), або опрацювання даних про судимості і кримінальні злочини, вказані в статті 10, та ймовірно не призведе до виникнення ризику для прав і свобод фізичних осіб, з огляду на специфіку, контекст, масштаб і цілі опрацювання; або
(b) органу чи установи публічної влади.
3. Представник має осідок в одній з держав-членів, де перебувають суб'єкти даних, чиї персональні дані опрацьовують у зв'язку з пропонуванням їм товарів чи послуг, або чию поведінку відстежують.
4. Представник отримує мандат від контролера або оператора, за яким до нього можуть звертатися окрім або замість контролера або оператора, зокрема, наглядові органи і суб'єкти даних, з усіх питань, пов'язаних з опрацюванням, з метою забезпечення відповідності цьому Регламенту.
5. Призначення представника контролером або оператором необхідно здійснювати без обмеження судових позовів, які могли бути ініційовані проти контролера або оператора як таких.
Стаття 28. Оператор
1. У разі здійснення опрацювання від імені контролера, контролер повинен залучити лише таких операторів, які надають достатні гарантії щодо вжиття необхідних технічних і організаційних заходів у спосіб, що дозволяє забезпечити відповідність опрацювання вимогам цього Регламенту та гарантувати захист прав суб'єкта даних.
2. Оператор не повинен залучати будь-якого додаткового оператора без отримання попереднього спеціального чи загального письмового дозволу контролера. У випадку загального письмового дозволу, оператор повинен повідомити контролера про будь-які цілеспрямовані зміни щодо залучення додаткового чи заміни інших операторів, таким чином надаючи контролеру можливість заперечити проти таких змін.
3. Опрацювання оператором повинен регулювати договір або інший нормативно-правовий акт відповідно до законодавства Союзу або держави-члена, який пов'язує оператора зобов'язальними відносинами з контролером та встановлює предмет і тривалість опрацювання, специфіку і цілі опрацювання, тип персональних даних і категорії суб'єктів даних, обов'язки і права контролера. Такий договір або інший нормативно-правовий акт передбачає, зокрема, що оператор:
(a) опрацьовує персональні дані лише на підставі задокументованих вказівок контролера, в тому числі щодо передавання персональних даних до третьої країни чи міжнародної організації, за винятком існування відповідної вимоги законодавством Союзу або держави-члена, яка поширюється на оператора; у такому випадку, оператор інформує контролера про таку законодавчу вимогу до початку опрацювання, за винятком, якщо таким законодавством заборонено надання такої інформації на важливих підставах суспільного інтересу;
(b) забезпечує, що особи, які отримали дозвіл на опрацювання персональних даних, взяли на себе обов'язок збереження конфіденційності чи зобов'язані відповідним статутним обов'язком збереження конфіденційності;
(c) вживає усіх заходів, необхідних відповідно до статті 32;
(d) дотримується умов, вказаних у параграфах 2 і 4 щодо залучення додаткового оператора;
(e) враховуючи специфіку опрацювання, допомагає контролеру належними технічними та організаційними заходами, наскільки це можливо, для виконання обов'язку контролера відповідати на запити щодо реалізації прав суб'єкта даних, установлених у главі III;
(f) допомагає контролеру в забезпеченні відповідності обов'язкам згідно зі статтями 32-36, з урахуванням специфіки опрацювання та наявної в контролера інформації;
(g) на розсуд контролера, видаляє або повертає усі персональні дані контролеру після постачання послуг, пов'язаних з опрацюванням, і видаляє наявні копії, за винятком існування у законодавстві Союзу або держави-члена вимоги збереження персональних даних;
(h) надає контролеру всю інформацію, необхідну для підтвердження дотримання зобов'язань, встановлених у цій статті, та сприяння перевіркам, у тому числі інспекціям, які проводять контролер або інший аудитор відповідно до мандату, наданого контролером.
З урахування пункту (h) першого підпараграфа, оператор негайно інформує контролера, якщо, на його думку, вказівка порушує цей Регламент або інші положення законодавства Союзу або держави-члена щодо захисту даних.
4. У разі залучення оператором додаткового оператора до здійснення спеціального опрацювання даних від імені контролера, ті самі обов'язки щодо захисту даних, які встановлено між контролером або оператором в договорі або іншому нормативно-правовому акті, як вказано в параграфі 3, необхідно покласти на такого додаткового оператора договором або іншим нормативно-правовим актом відповідно до законодавства Союзу або держави-члена, зокрема, шляхом надання достатніх гарантій для вжиття необхідних технічних і організаційних заходів у спосіб, який дозволяє забезпечити відповідність опрацювання вимогам цього Регламенту. Якщо такий додатковий оператор не виконує обов'язки із захисту даних, первинний оператор залишається таким, що повністю відповідає перед контролером за виконання обов'язків такого додаткового оператора.
5. Дотримання оператором затвердженого кодексу поведінки, як вказано в статті 40, чи затвердженого механізму сертифікації, як вказано в статті 42, можна використовувати як елемент підтвердження достатніх гарантій, як вказано в параграфах 1 та 4 цієї статті.
6. Без обмеження окремого договору між контролером і оператором, договір або інший нормативно-правовий акт, вказані в параграфах 3 і 4 цієї статті, може ґрунтуватися, в цілому чи частково, на стандартних договірних положеннях, вказаних у параграфах 7 і 8 цієї статті, в тому числі, якщо вони є частиною сертифікації, наданої контролеру або оператору відповідно до статей 42 і 43.
7. Комісія може встановлювати стандартні договірні положення з питань, вказаних у параграфах 3 і 4 цієї статті, та відповідно до експертної процедури, вказаної в статті 93(2).
