(125) Керівний орган повинен бути компетентним в ухваленні зобов'язальних рішень щодо заходів із застосування повноважень, покладених на нього згідно з цим Регламентом. Як керівний орган, наглядовий орган повинен активно залучати та координувати наглядові органи, залучені в процесі вироблення й ухвалення рішень. Якщо рішення полягає у відхиленні скарги, поданої суб'єктом даних, повністю або частково, таке рішення повинен ухвалити наглядовий орган, до якого було подано скаргу.
(126) Рішення необхідно узгоджувати у співпраці керівного наглядового органу і відповідних наглядових органів та направляти його до головного або єдиного осідку контролера або оператора, воно повинно бути зобов'язальним для контролера або оператора. Контролер або оператор повинні вживати необхідних заходів для забезпечення відповідності цьому Регламенту та виконання рішення, про яке керівний наглядовий орган повідомив в головний осідок контролера або оператора щодо опрацювання даних в Союзі.
(127) Кожний наглядовий орган, що не діє як керівний наглядовий орган, повинен бути компетентним у розгляді місцевих справ, якщо контролер або оператор мають осідки в більше ніж одній державі-члені, а предмет спеціального опрацювання стосується лише опрацювання, що здійснюють в єдиній державі-члені із залученням лише суб'єктів даних такої єдиної держави-члена, наприклад, якщо предмет стосується опрацювання персональних даних працівників у спеціальному контексті зайнятості в рамках держави-члена. У таких випадках наглядовий орган повинен повідомляти керівний наглядовий орган без затримки щодо суті питання. Після того, як його повідомили, керівний наглядовий орган повинен вирішити, чи розглядатиме він справу відповідно до положення про співпрацю між керівним наглядовим органом та іншими відповідними наглядовими органами (механізм "єдиного вікна"), або чи повинен наглядовий орган, який про це повідомив, розглядати справу на місцевому рівні. Під час прийняття рішення про те, чи буде він розглядати справу, керівний наглядовий орган повинен взяти до уваги, чи має контролера або оператора осідок в державі-члені наглядового органу, який про це повідомив, для забезпечення результативного виконання рішення щодо контролера або оператора. Якщо керівний наглядовий орган вирішує розглядати справу, наглядовий орган, який повідомив про неї, повинен мати можливість подати проект рішення, на який керівний наглядовий орган повинен звернути максимальну увагу під час підготування свого проекту рішення в рамках зазначеного механізму єдиного вікна.
(128) Правила щодо керівного наглядового органу та механізму єдиного вікна не можна застосовувати, якщо опрацювання здійснюють публічні органи чи приватні органи для цілей суспільного інтересу. У таких випадках єдиним наглядовим органом, компетентним здійснювати повноваження, покладені на нього згідно з цим Регламентом, повинен бути наглядовий орган держави-члена, в якій засновано публічний орган або приватний орган.
(129) Для забезпечення послідовного моніторингу і виконання цього Регламенту в межах Союзу, наглядові органи повинні мати в кожній державі-члені однакові завдання та дієві повноваження, в тому числі повноваження на розслідування, виправні повноваження та санкції, дозвільні та консультативні повноваження, зокрема, у випадках подання скарг фізичними особами, і без обмеження повноважень органів прокуратори за законодавством держави-члена, доводити інформацію про порушення цього Регламенту до відома судових органів та брати участь у судовому процесі. Такі повноваження повинні також включати повноваження накладати тимчасове або остаточне обмеження, в тому числі заборону, на опрацювання. Держави-члени мають право визначати інші завдання, пов'язані з захистом персональних даних за цим Регламентом. Повноваження наглядових органів необхідно реалізовувати відповідно до належних процедурних гарантій, встановлених законодавством Союзу та держави-члена, неупереджено, правомірно та в розумний строк. Зокрема, кожний захід має бути доцільним, необхідним і пропорційним в аспекті забезпечення відповідності цьому Регламенту, з огляду на обставини кожної індивідуальної справи, поважати право кожної особи бути вислуханою до вжиття будь-якого індивідуального заходу, що негативно вплине на неї, та уникати зайвих витрат і надмірних незручностей для відповідних осіб. Слідчі повноваження щодо доступу до приміщень необхідно реалізовувати відповідно до спеціальних вимог процесуального права держави-члена, зокрема, вимоги щодо отримання попереднього судового дозволу. Кожний юридично зобов'язальний інструмент наглядового органу необхідно оформлювати у письмовій формі, чітко й однозначно, із зазначенням наглядового органу, який ухвалив інструмент, дати ухвалення інструменту, він повинен містити підпис голови чи члена наглядового органу, уповноваженого ним, обґрунтування інструменту, а також повинен вказувати на право щодо дієвого засобу правового захисту. Це не виключає можливість додаткових вимог згідно з процесуальним правом держави-члена. Ухвалення юридично зобов'язального рішення передбачає, що воно може призвести до судового перегляду в державі-члені наглядового органу, який ухвалив рішення.
(130) Якщо наглядовий орган, до якого було подано скаргу, не є керівним наглядовим органом, керівний наглядовий орган повинен тісно співпрацювати з наглядовим органом, до якого було подано скаргу, згідно з положеннями щодо співпраці та послідовності, встановленими в цьому Регламенті. У таких випадках керівний наглядовий орган повинен, вживаючи заходів, спрямованих на породження правових наслідків, у тому числі накладення адміністративних штрафів, звертати максимальну увагу на думку наглядового органу, до якого було подано скаргу та який повинен зберігати компетентність у проведенні будь-якого розслідування на території своєї власної держави-члена у взаємодії з компетентним наглядовим органом.
(131) Якщо інший наглядовий орган повинен діяти як керівний наглядовий орган щодо опрацювання даних, яке здійснює оператор або процесор, але конкретний предмет скарги чи можливе порушення стосується лише опрацювання даних, яке здійснює оператор або процесор у державі-члені, де скаргу було подано або можливе порушення було виявлене, а справа не впливає істотно чи ймовірно істотно не впливатиме на суб'єктів даних у інших державах-членах, у такому разі наглядовий орган, що отримує скаргу чи виявляє ситуацію або якого повідомляють іншим чином про ситуації, що тягнуть за собою можливі порушення цього Регламенту, повинен прагнути укладення мирової угоди з контролером і, якщо це виявляється невдалим, реалізувати повний спектр його повноважень. Це включає: спеціальне опрацювання, що здійснюють на території держави-члена наглядового органу чи щодо суб'єктів даних на території тієї держави-члена; опрацювання, що здійснюють в контексті пропонування товарів або послуг, що спеціально призначені для суб'єктів даних на території держави-члена наглядового органу; чи опрацювання, що має бути оцінено, виходячи з відповідних встановлених законом зобов'язань за законодавством держави-члена.
(132) Діяльність щодо підвищення рівня обізнаності громадськості, яку здійснюють наглядові органи, повинна передбачати спеціальні заходи, спрямовані на контролерів і операторів, у тому числі, мікропідприємств, малих і середніх підприємств, а також фізичних осіб, зокрема, в освітньому контексті.
(133) Наглядові органи повинні сприяти один одному у виконанні своїх завдань та надавати взаємну допомогу для того, щоб забезпечити послідовне застосування та виконання цього Регламенту на внутрішньому ринку. Наглядовий орган, що надсилає запит про взаємну допомогу, може ухвалювати застосування тимчасового інструменту, якщо не отримує відповіді на запит про взаємну допомогу протягом одного місяця з дати отримання такого запиту іншим наглядовим органом.
(134) Кожний наглядовий орган повинен, за необхідності, брати участь у спільних операціях з іншими наглядовими органами. Наглядовий орган, який отримав запит, зобов'язаний відповісти на запит протягом визначеного періоду часу.
(135) Для забезпечення послідовного застосування цього Регламенту в межах Союзу, необхідно запровадити механізм послідовності для співпраці між наглядовими органами. Такий механізм необхідно, зокрема, застосовувати, якщо наглядовий орган має намір ухвалити інструмент, спрямований на створення правових наслідків щодо операцій опрацювання, які істотно впливають на значну кількість суб'єктів даних у декількох державах-членах. Його необхідно також застосувати, якщо будь-який відповідний наглядовий орган або Комісія надсилає запит про те, що таку справу необхідно розглядати згідно з механізмом послідовності. Такий механізм не повинен обмежувати будь-які заходи, які Комісія може вживати під час реалізації своїх повноважень за Угодами.
(136) Застосовуючи механізм послідовності, рада повинна, протягом визначеного періоду часу, ухвалити висновок, якщо так вирішить більшість її членів або якщо існує запит відповідного наглядового органу чи Комісії. Рада повинна також мати повноваження ухвалювати юридично зобов'язальні рішення в разі суперечок між наглядовими органами. З цією метою вона повинна ухвалювати, як правило, більшістю в дві третини голосів її членів, юридично зобов'язальні рішення в чітко визначених ситуаціях, якщо є суперечливі думки наглядових органів, зокрема, в механізмі послідовності між керівним наглядовим органом і відповідними наглядовими органами по суті справи, зокрема щодо наявності порушення цього Регламенту.
(137) Може виникнути нагальна потреба діяти з метою захисту прав та свобод суб'єктів даних, зокрема якщо існує загроза того, що реалізація права суб'єкта даних може бути істотно ускладненою. Наглядовий орган повинен, таким чином, бути спроможним ухвалювати застосування належним чином обґрунтованих тимчасових інструментів на своїй території з визначеним строком дії, що не повинен перевищувати три місяці.
(138) Застосування такого механізму повинно бути умовою законності інструменту, спрямованого на породження наглядовим органом правових наслідків у тих випадках, коли його застосування є обов'язковим. В інших випадках транскордонного значення, необхідно застосовувати механізм співпраці між керівним наглядовим органом і відповідними наглядовими органами, а надання взаємної допомоги і здійснення спільних операцій може відбуватися між відповідними наглядовими органами на двосторонній чи багатосторонній основі без застосування механізму послідовності.
(139) Для того, щоб сприяти послідовному застосуванню цього Регламенту, раду необхідно заснувати як незалежний орган Союзу. Для досягнення своїх цілей, рада повинна володіти правосуб'єктністю. Раду повинен представляти її Голова. Вона повинна замінити Робочу групу із захисту осіб у сфері опрацювання персональних даних, засновану Директивою 95/46/ЄС. Вона повинна складатися з голови наглядового органу кожної держави-члена та Європейського інспектора із захисту даних або їхніх відповідних представників. Комісія повинна брати участь в діяльності ради без права голосу, а Європейський інспектор із захисту даних повинен мати особливе право голосу. Рада повинна сприяти послідовному застосуванню цього Регламенту в межах Союзу, в тому числі надаючи консультації Комісії, зокрема, щодо рівня захисту в третіх країнах або міжнародних організаціях, та сприяючи співпраці наглядових органів в межах Союзу. Рада повинна діяти незалежно під час виконання своїх завдань.
(140) Раді повинен допомагати секретаріат, який забезпечує Європейський інспектор із захисту даних. Персонал Європейського інспектора із захисту даних, залучений до виконання завдань, покладених на нього радою згідно з цим Регламентом, повинен виконувати свої завдання виключно за дорученням Голови Ради та звітуючи їй.
(141) Кожний суб'єкт даних повинен мати право подати скаргу до єдиного наглядового органу, зокрема, в державі-члені за місцем його постійного проживання, та право на дієві засоби судового захисту згідно зі статтею 47 Хартії, якщо суб'єкт даних вважає, що його або її права за цим Регламентом було порушено, або якщо наглядовий орган не розглядає скаргу, частково чи повністю відхиляє або відмовляє в розгляді скарги, або демонструє бездіяльність у разі необхідності вжити відповідних заходів для захисту прав суб'єкта даних. Після отримання скарги необхідно провести розслідування, що підлягає судовому перегляду, тією мірою, що є необхідною для конкретної справи. Наглядовий орган повинен повідомити суб'єкта даних про стан і результати розгляду скарги протягом розумного строку. Якщо справа потребує подальшого розслідування чи координації з іншим наглядовим органом, суб'єкту даних необхідно надати попередню інформацію. Щоб полегшити подання скарг, кожний наглядовий орган повинен вживати заходів, наприклад, надання форми подання скарги, яку також можна оформити в електронному форматі, без обмеження застосування інших засобів зв'язку.
(142) Якщо суб'єкт даних вважає, що його або її права за цим Регламентом порушено, він або вона повинні мати право уповноважити неприбутковий орган, організацію чи асоціацію, засновані за законодавством держави-члена, які мають статутні цілі у сфері суспільних інтересів та здійснюють активну діяльність в сфері захисту персональних даних, подати до наглядового органу скаргу від його або її імені, реалізувати право на засоби судового захисту від імені суб'єктів даних або, якщо це передбачено законодавством держави-члена, реалізувати право на отримання відшкодування від імені суб'єктів даних. Держава-член може надати такому органу, організації чи асоціації право подати скаргу в такій державі-члені, незалежно від мандату суб'єкта даних, і право на дієві засоби судового захисту, якщо вона має підстави вважати, що права суб'єкта даних було порушено в результаті опрацювання персональних даних з порушенням положень цього Регламенту. Такий орган, організація чи асоціація не можуть вимагати компенсації від імені суб'єкта даних незалежно від мандату суб'єкта даних.
(143) Будь-яка фізична чи юридична особа має право подавати позов за анулювання рішень ради до Суду на умовах, передбачених статтею 263 ДФЄС. Як адресати таких рішень, зацікавлені наглядові органи, що бажають їх оскаржити, повинні подати позов протягом двох місяців після того, як їх було повідомлено про них, згідно зі статтею 263 ДФЄС. У разі, якщо рішення ради безпосередньо та в індивідуальному порядку стосуються контролера, оператора чи заявника, останній може подати позов на анулювання таких рішень протягом двох місяців з дати їх опублікування на офіційній сторінці Ради в мережі Інтернет, згідно зі статтею 263 ДФЄС. Без обмеження цього права відповідно до статті 263 ДФЄС, кожна фізична чи юридична особа повинна мати дієвий засіб судового захисту в компетентному національному суді щодо рішення наглядового органу, що породжує правові наслідки щодо такої особи. Таке рішення стосується, зокрема, реалізації слідчих, виправних і дозвільних повноважень наглядовим органом або відхилення чи відмови у задоволенні скарг. Проте право на дієвий засіб судового захисту не передбачає заходів, яких вживають наглядові органи та які не є юридично зобов'язальними, наприклад, ухвалення висновків або надання наглядовим органом консультацій. Провадження щодо наглядового органу необхідно здійснювати в судах держави-члена, де засновано наглядовий орган, та відповідно до процесуального права тієї держави-члена. Такі суди повинні здійснювати повну юрисдикцію, що охоплює юрисдикцію щодо розгляду всіх питань факту та права, які стосуються відповідного спору.
У разі відмови у задоволенні скарги чи її відхилення з боку наглядового органу, заявник може звернутися до судів тієї самої держави-члена. У контексті засобів судового захисту, що стосуються застосування цього Регламенту, національні суди, що розглядають рішення з питання, необхідного для надання їм повноваження винести рішення, можуть, або у випадку, передбаченому статтею 267 ДФЄС, повинні, надіслати запит до Суду про винесення попередньої ухвали щодо тлумачення нормативно-правового акту Союзу, в тому числі цього Регламенту. Більш того, якщо рішення наглядового органу, на основі якого здійснюють виконання рішення ради, оскаржують в національному суді, а законність рішення ради є спірною, такий національний суд не має повноваження оголошувати рішення ради незаконним, але повинен передати питання щодо законності до Суду згідно зі статтею 267 ДФЄС, відповідно до тлумачення Суду, якщо він вважає рішення незаконним. Проте національний суд може не передавати питання щодо законності рішення ради на запит фізичної чи юридичної особи, яка мала можливість подавати позов на анулювання такого рішення, особливо, якщо таке рішення безпосередньо стосувалося особисто її, але не зробила цього протягом строку, встановленого в статті 263 ДФЄС.
(144) Якщо суд, який розпочав провадження щодо рішення наглядового органу, має підстави вважати, що провадження щодо того самого опрацювання, зокрема, того самого предмету, що стосується опрацювання тим самим контролером або оператором, або тієї самої підстави для подання позову, передають до компетентного суду в іншій державі-члені, він повинен звернутися до такого суду для того, щоб підтвердити факт такого суміжного провадження. Якщо суміжне провадження перебуває на розгляді в суді в ще одній державі-члені, будь-який суд, що не є судом, який першим розпочав провадження, може продовжити провадження або, на запит однієї зі сторін, відмовитися від юрисдикції на користь суду, який першим розпочав провадження, якщо такий суд має юрисдикцію щодо відповідного провадження, і об'єднання таких суміжних проваджень дозволено його законодавством. Провадження вважаються суміжними, якщо вони пов'язані настільки тісно, що їхній спільний розгляд та вирішення стає доцільним для уникнення ризику ухвалення суперечливих рішень, винесених у рамках окремих проваджень.
(145) У провадженні щодо контролера або оператора, заявник повинен мати вибір щодо подання позову або до судів держав-членів, де має осідок контролер або оператор, або - де проживає суб'єкт даних, за винятком, якщо контролер є публічним органом держави-члена, що виконує свої публічні повноваження.
(146) Контролер або оператор повинні відшкодувати будь-яку шкоду, заподіяну особі в результаті опрацювання із порушенням цього Регламенту. Контролера або оператора необхідно звільнити від відповідальності у разі доведення, що вони жодним чином не несуть відповідальності за заподіяну шкоду. Поняття шкоди необхідно тлумачити у широкому сенсі в світлі прецедентного права Суду у спосіб, що повністю відображає цілі цього Регламенту. Воно не обмежує будь-які позови про відшкодування шкоди, що виникають внаслідок порушення інших норм нормативно-правового акту Союзу чи держави-члена. Опрацювання, що порушує цей Регламент, також означає опрацювання, що порушує делеговані акти та імплементаційні акти, ухвалені згідно з цим Регламентом і нормативно-правовим актом держави-члена, що уточнює норми цього Регламенту. Суб'єкти даних повинні отримати повне та результативне відшкодування за заподіяну їм шкоду. У випадку залучення контролерів або операторів до того самого опрацювання, кожний контролер або оператор повинен нести відповідальність за нанесення шкоди у повному обсязі. Проте, у разі їхньої спільної участі в одному провадженні, згідно із законодавством держави-члена, відшкодування може бути розподілено з урахуванням відповідальності кожного контролера або оператора за шкоду, заподіяну внаслідок опрацювання, за умови забезпечення в повному обсязі результативного відшкодування суб'єкту даних, якому було заподіяно шкоду. Будь-який контролер або оператор, що виплатив відшкодування у повному обсязі, може, відповідно, розпочати процедуру оскарження щодо інших контролерів або операторів, залучених до того самого опрацювання.
(147) Якщо цей Регламент містить спеціальні норми щодо юрисдикції, зокрема, в частині провадження, у питанні судового засобу правового захисту, в тому числі відшкодування, щодо контролера або оператора, загальні норми щодо юрисдикції, наприклад, норми Регламенту Європейського Парламенту і Ради (ЄС) № 1215/2012 (- 1) не повинні обмежувати застосування таких спеціальних норм.
__________
(-1) Регламент Європейського Парламенту і Ради (ЄС) № 1215/2012 від 12 грудня 2012 року про юрисдикцію, визнання і забезпечення виконання рішень у цивільних і комерційних справах (OB L 351, 20.12.2012, с. 1).
(148) З метою посилення ступеня застосування норм цього Регламенту, санкції, в тому числі, адміністративні штрафи, необхідно накладати за будь-яке порушення цього Регламенту, окрім або замість відповідних заходів, застосованих наглядовим органом відповідно до цього Регламенту. У разі незначного порушення або якщо штраф, який ймовірно буде накладено, становитиме надмірний тягар для фізичної особи, замість штрафу можна винести догану. Необхідно належним чином враховувати специфіку, тяжкість і тривалість порушення, навмисний характер порушення, дії, яких було вжито для пом'якшення заподіяної шкоди, ступінь відповідальності чи будь-які відповідні попередні порушення, спосіб, у який наглядовий орган дізнався про порушення, відповідність інструментам, передбаченим щодо контролера або оператора, дотримання кодексу поведінки та будь-який інший обтяжувальний або пом'якшувальний фактор. На накладення штрафів, у тому числі адміністративних штрафів, повинні поширюватися відповідні процесуальні гарантії згідно із загальними принципами законодавства Союзу та Хартії, в тому числі дієвий судовий захист та належна правова процедура.
(149) Держави-члени повинні мати можливість встановлювати норми щодо кримінальних покарань за порушення цього Регламенту, в тому числі за порушення національних норм, ухвалених відповідно до та з урахуванням обмежень цього Регламенту. Такі кримінальні покарання можуть також допускати позбавлення переваг, отриманих внаслідок порушення цього Регламенту. Проте призначення кримінальних покарань за порушення таких національних правил та адміністративних санкцій не повинні призводити до порушення принципу ne bis in idem, як його тлумачить Суд.
(150) Щоб посилити та гармонізувати адміністративні санкції за порушення цього Регламенту, кожний наглядовий орган повинен мати повноваження накладати адміністративні штрафи. Цей Регламент повинен зазначати порушення і верхню межу та критерії встановлення пов'язаних адміністративних штрафів, які повинен визначити компетентний наглядовий орган у кожному окремому випадку, беручи до уваги всі відповідні обставини конкретної ситуації, з належним врахуванням, зокрема, специфіки, тяжкості, тривалості порушення і його наслідків та інструментів, що було застосовано для забезпечення відповідності обов'язкам за цим Регламентом та запобігання чи пом'якшення наслідків порушення. Якщо адміністративні штрафи було накладено на підприємство, його необхідно розуміти як підприємство згідно зі статтями 101 і 102 ДФЄС для цих цілей. Якщо адміністративні штрафи було накладено на осіб, що не є підприємством, наглядовий орган повинен враховувати загальний рівень доходу в державі-члені, а також економічну ситуацію особи, під час визначення необхідного рівня штрафу. Механізм послідовності також можна використовувати для сприяння послідовному застосуванню адміністративних штрафів. Саме держави-члени мають визначити, чи повинні органи публічної влади підлягати накладенню адміністративних штрафів та якою мірою. Накладення адміністративного штрафу чи попередження не впливає на застосування інших повноважень наглядових органів або інших санкцій за цим Регламентом.
(151) Правовими системами Данії та Естонії не передбачено накладення адміністративних штрафів, як встановлено у цьому Регламенті. Правила щодо адміністративних штрафів можна застосовувати у спосіб, аналогічний практиці Данії, де компетентні національні суди накладають штраф як кримінальне покарання, та - Естонії, де штраф накладає наглядовий орган в рамках процедури незначних правопорушень, за умови, що таке застосування правил у таких державах-членах має наслідки, аналогічні накладенню адміністративних штрафів наглядовими органами. Тому, компетентні національні суди повинні враховувати рекомендацію наглядового органу, який порушує питання щодо стягнення штрафу. У будь-якому разі накладені штрафи повинні бути дієвими, пропорційними і стримувальними.
(152) Якщо цей Регламент не гармонізує адміністративні санкції чи, за необхідності в інших випадках, наприклад, у разі серйозних порушень цього Регламенту, держави-члени повинні забезпечувати застосування системи, що передбачає дієві, пропорційні та стримувальні санкції. Сутність таких санкцій, кримінальних чи адміністративних, повинно визначати законодавство держави-члени.
(153) Держави-члени повинні узгоджувати норми, що регулюють свободу вияву поглядів та свободу інформації, в тому числі журналістику, наукову, художню чи літературну діяльність із правом на захист персональних даних відповідно до цього Регламенту. На опрацювання персональних даних винятково для цілей журналістики чи цілей наукової, художньої чи літературної діяльності повинна поширюватися дія відступів чи винятків від деяких положень цього Регламенту, якщо це необхідно для узгодження права на захист персональних даних із правом на свободу вияву поглядів та свободу інформації, як закріплено в статті 11 Хартії. Це необхідно застосовувати, зокрема, до опрацювання персональних даних у сфері аудіовізуальних послуг, архівах новин і бібліотеках. Тому держави-члени повинні ухвалити законодавчі інструменти, що встановлюють винятки та відступи, необхідні для узгодження цих фундаментальних прав. Держави-члени повинні ухвалити такі винятки і відступи щодо загальних принципів, прав суб'єкта даних, контролера і оператора, передавання персональних даних до третіх країн чи міжнародних організацій, незалежних наглядових органів, співпраці і послідовності, та спеціальних ситуацій з опрацювання даних. Якщо такі винятки чи відступи відрізняються в декількох державах-членах, необхідно застосовувати законодавство держави-члени, яке поширюється на контролера. Щоб врахувати важливість права на свободу вияву поглядів у кожному демократичному суспільстві, поняття такої свободи, наприклад в журналістиці, необхідно тлумачити у широкому сенсі.
(154) Цей Регламент передбачає врахування принципу публічного доступу до офіційних документів під час застосування цього Регламенту. Публічний доступ до офіційних документів можна вважати таким, що відповідає суспільним інтересам. Необхідно забезпечити можливість публічного розкриття персональних даних, що містяться в документах, які зберігає публічний орган або організація, таким органом або організацією, якщо таке розкриття передбачено законодавством Союзу чи держави-члена, яке поширюється на публічний орган чи організацію. Таке законодавство повинно узгодити питання публічного доступу до офіційних документів та повторного використання інформації публічної сфери із правом на захист персональних даних і може, відтак, передбачати необхідне узгодження з правом на захист персональних даних відповідно до цього Регламенту. Покликання на публічні органи та організації має в такому контексті включати усі органи чи інші організації, на яких поширюється сфера дії законодавства держави-члена про публічний доступ до документів. Директива Європейського Парламенту і Ради 2003/98/ЄС (- 1) залишає без змін і жодним чином не впливає на рівень захисту фізичних осіб у зв'язку з опрацюванням персональних даних згідно з положеннями законодавства Союзу чи держави-члена, та, зокрема, не змінює обов'язки та права, встановлені цим Регламентом. Зокрема, цю Директиву не застосовують до документів, доступ до яких виключено чи обмежено в силу режимів доступу на підставах захисту персональних даних, і частин документів, доступ до яких дозволено в силу таких режимів, що містять персональні дані, повторне використання яких було передбачено на законодавчому рівні як таке, що є несумісним із законодавством щодо захисту фізичних осіб у зв'язку з опрацюванням персональних даних.
__________
(-1) Директива Європейського Парламенту і Ради 2003/98/ЄС від 17 листопада 2003 року про повторне використання інформації публічного сектора (ОВ L 345, 31.12.2003, с.90).
(155) У законодавстві держави-члена чи колективних угодах, в тому числі "трудових договорах", може бути передбачені спеціальні норми щодо опрацювання персональних даних працівників у контексті зайнятості, зокрема, умови, за яких персональні дані в контексті зайнятості можна опрацьовувати на підставі згоди працівника, цілі працевлаштування, виконання трудового договору, в тому числі виконання обов'язків, установлених законом або колективними угодами, управління, планування та організацію праці, рівність та різноманітність на робочому місці, здоров'я та безпеку на робочому місці, для цілей реалізації та користування, індивідуально чи колективно, правами та перевагами, пов'язаними із зайнятістю, та для цілей припинення трудових відносин.
(156) Опрацювання персональних даних для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей повинно підлягати застосуванню відповідних гарантій для прав і свобод суб'єкта даних відповідно до цього Регламенту. Такі гарантії повинні забезпечувати наявність технічних і організаційних інструментів для гарантування, зокрема, принципу мінімізації даних. Подальше опрацювання персональних даних для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей потрібно здійснювати, якщо контролер оцінив можливість реалізації таких цілей за допомогою опрацювання даних, що не дозволяє чи більше не дозволяє ідентифікацію суб'єктів даних, за умови, що існують відповідні гарантії (такі як, наприклад, використання псевдонімів до даних). Держави-члени повинні передбачити відповідні гарантії для опрацювання персональних даних для досягнення цілей суспільних інтересів, цілей наукового і історичного дослідження або статистичних цілей. Держав-членів необхідно уповноважити надавати, за спеціальних умов і з урахуванням відповідних гарантій для суб'єктів даних, уточнення та відступи, що стосуються вимог до інформації та прав на виправлення, стирання, права бути забутим, обмеження опрацювання, мобільності даних і заперечення, коли опрацьовують персональні дані для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей. Відповідні умови та гарантії можуть тягти за собою спеціальні процедури для суб'єктів даних для реалізації таких прав, якщо це є належним у світлі цілей, яких прагнуть досягти в результаті спеціального опрацювання разом з технічними та організаційними інструментами, спрямованими на мінімізацію опрацювання персональних даних відповідно до принципів пропорційності та необхідності. Опрацювання персональних даних для наукових цілей необхідно також здійснювати з дотриманням іншого відповідного законодавства, наприклад, законодавства про клінічні випробування.
(157) Об'єднуючи інформацію з реєстрів, дослідники можуть отримати нові знання важливого значення щодо широко розповсюджених медичних станів, таких як серцево-судинне захворювання, рак і депресія. На підставі реєстрів можна посилити результати досліджень, оскільки вони охоплюють більшу кількість населення. У суспільній науці дослідження на підставі реєстрів дає можливість дослідникам отримати необхідні знання про довготривалий взаємозв'язок певної кількості суспільних умов, таких, як безробіття та освіта, з іншими життєвими умовами. Результати дослідження, отримані через реєстри, надають міцні, високоякісні знання, що можуть становити основу для розроблення та реалізації політики, заснованої на знаннях, покращити якість життя для певної кількості людей і підвищити ефективність постачання соціальних послуг. Сприяючи науковому дослідженню, персональні дані можна опрацьовувати для цілей наукового дослідження, за дотримання відповідних умов і гарантій, встановлених законодавством Союзу чи держави-члена.
(158) Якщо персональні дані опрацьовують для архівних цілей, цей Регламент необхідно застосовувати до такого опрацювання, враховуючи, що цей Регламент не застосовують до померлих осіб. Публічними органами або публічними чи приватними органами, що ведуть записи суспільного інтересу, повинні бути служби, що, згідно з законодавством Союзу чи держави-члена, мають встановлене законом зобов'язання отримувати, зберігати, оцінювати, проводити, описувати, повідомляти, сприяти веденню, розповсюджувати та надавати доступ до записів тривалого значення в інтересах суспільства. Держави-члени повинні також мати повноваження на забезпечення подальшого опрацювання персональних даних для цілей архівації, наприклад, для надання спеціальної інформації, що стосується політичної поведінки в умовах колишніх режимів тоталітарних держав, геноциду, злочинів проти людяності, зокрема, Голокосту, або воєнних злочинів.
(159) Якщо персональні дані опрацьовують для цілей наукових досліджень, цей Регламент необхідно також застосовувати до такого опрацювання. В рамках цього Регламенту, опрацювання персональних даних для цілей наукового дослідження необхідно тлумачити в широкому сенсі, у тому числі, наприклад, в аспекті технологічних розробок і демонстрації, фундаментального дослідження, прикладного дослідження і дослідження за фінансової підтримки з боку приватного сектору. Крім того, необхідно брати до уваги мету Союзу, відображену в статті 179(1) ДФЄС щодо формування Європейського дослідницького простору. Цілі наукового дослідження повинні також включати навчання, що проводять в суспільних інтересах у сфері охорони суспільного здоров'я. Зважаючи на особливості характеристики опрацювання персональних даних для цілей наукового дослідження, необхідно застосовувати спеціальні умови, зокрема, в тому, що стосується опублікування чи іншого розкриття персональних даних у контексті цілей наукового дослідження. Якщо результат наукового дослідження, зокрема, в контексті здоров'я надає підстави для вжиття подальших заходів в інтересах суб'єкта даних, необхідно застосувати загальні норми цього Регламенту на підставі таких заходів.
(160) Якщо персональні дані опрацьовують для цілей історичних досліджень, цей Регламент необхідно також застосовувати до такого опрацювання. Це також передбачає історичне дослідження і дослідження для генеалогічних цілей, зважаючи на те, що цей Регламент не застосовують до померлих осіб.
(161) Для цілі надання згоди на участь у науково-дослідницькій діяльності в ході клінічних випробувань необхідно застосовувати відповідні положення Регламенту Європейського Парламенту і Ради (ЄС) № 536/2014 (- 1).
(162) Якщо персональні дані опрацьовують для статистичних цілей, цей Регламент необхідно також застосовувати до такого опрацювання. У законодавстві Союзу чи держави-члена необхідно, в межах цього Регламенту, визначити статистичний зміст, контроль за доступом, особливості опрацювання персональних даних для статистичних цілей, відповідні заходи для захисту прав і свобод суб'єкта даних та забезпечення статистичної конфіденційності. Статистичні цілі означають будь-яку операцію щодо збирання та опрацювання персональних даних, необхідних для статистичних спостережень або для підготування статистичних результатів. Такі статистичні результати можна надалі використовувати для різних цілей, у тому числі для цілей наукового дослідження. Статистична ціль передбачає, що результат опрацювання для статистичних цілей є не персональними даними, а агрегованими даними, та що цей результат або персональні дані не використовують задля підтримки заходів або рішень щодо будь-якої визначеної фізичної особи.
(163) Необхідно захистити конфіденційну інформацію, яку Союз і національні органи статистики збирають для підготування офіційної європейської та офіційної національної статистики. Європейську статистику необхідно розробляти, готувати та розповсюджувати згідно зі статистичними принципами, як встановлено в статті 338(2) ДФЄС, а національну статистику також - відповідно до законодавства держави-члена. Регламент Європейського Парламенту і Ради (ЄС) № 223/2009 (- 2) надає детальні уточнення щодо статистичної конфіденційності для європейської статистики.
__________
(-1) Регламент Європейського Парламенту і Ради (ЄС) № 536/2014 від 16 квітня 2014 року про клінічні випробування лікарських препаратів, призначених для використання людиною, та скасування Директиви 2001/20/ЄС (OB L 158, 27.05.2014, с. 1).
(-2) Регламент Європейського Парламенту і Ради (ЄС) № 223/2009 від 11 березня 2009 року про європейську статистику та про скасування Регламенту Європейського Парламенту і Ради (ЄС, Євратом) № 1101/2008 про передавання конфіденційних статистичних даних до Статистичного управління Європейських Співтовариств, Регламенту Ради (ЄС) № 322/97 про статистику Співтовариства, та Рішення Ради 89/382/ЄЕС, Євратом, про створення Комітету статистичної програми Європейських Співтовариств (OB L 87, 31.03.2009, с. 164).
(164) Щодо повноважень наглядових органів отримувати від контролера або оператора доступ до персональних даних і доступ до їхніх приміщень, держава-член може ухвалити на законодавчому рівні, в межах цього Регламенту, спеціальні норми для охорони професійних зобов'язань або інших рівноцінних зобов'язань щодо конфіденційності мірою необхідності цього для узгодження права на захист персональних даних із обов'язком збереження професійної таємниці. Це не обмежує чинні зобов'язання держави-члена ухвалювати норми щодо професійної таємниці, якщо це необхідно за законодавством Союзу.
(165) Цей Регламент поважає та не обмежує статус церков і релігійних асоціацій чи спільнот за чинним конституційним правом держав-членів, як це визнано у статті 17 ДФЄС.
(166) Для виконання цілей цього Регламенту, а саме, захисту фундаментальних прав і свобод фізичних осіб і, зокрема, їхнього права на захист персональних даних, а також для забезпечення вільного руху персональних даних у всьому Союзі, Комісії необхідно делегувати повноваження ухвалювати акти згідно зі статтею 290 ДФЄС. Зокрема, делеговані акти необхідно ухвалювати на основі критеріїв і вимог для механізмів сертифікації, інформацію необхідно надавати у форматі стандартизованих іконок та процедур для надання таких іконок. Особливо важливим є проведення Комісією відповідних консультації під час своєї підготовчої роботи, в тому числі, - на рівні експертів. Комісія, під час підготування та розроблення делегованих актів, повинна забезпечувати одночасне, вчасне та належне передавання відповідних документів до Європейського Парламенту і Ради.
(167) Для забезпечення єдиних умов імплементації цього Регламенту Комісії необхідно надати виконавчі повноваження, якщо це передбачено цим Регламентом. Реалізацію таких повноважень необхідно здійснювати відповідно до Регламенту (ЄС) № 182/2011. У такому контексті Комісія повинна розглянути спеціальні інструменти для мікропідприємств, малих і середніх підприємств.
(168) Необхідно застосовувати експертну процедуру для ухвалення імплементаційних актів щодо стандартних договірних положень між контролерами і операторами та між операторами; кодексів поведінки; технічних стандартів і механізмів сертифікації; належного рівня захисту, що надає третя країна, територія чи спеціальний сектор у межах тієї третьої країни, або міжнародна організація; стандартних положень про захист; форматів і процедур для обміну інформацією електронними засобами між контролерами, операторами та наглядовими органами щодо зобов'язальних корпоративних правил; взаємної допомоги; домовленостей для обміну інформацією електронними засобами між наглядовими органами та між наглядовими органами і радою.
(169) Комісія повинна негайно ухвалити застосовні імплементаційні акти, якщо наявні докази відображають, що третя країна, територія чи спеціальний сектор у межах такої третьої країни, або міжнародна організація не забезпечують належного рівня захисту, та якщо це необхідно невідкладно і терміново.
(170) Оскільки мету цього Регламенту, зокрема щодо забезпечення належного рівня захисту фізичних осіб та вільного потоку персональних даних у всьому Союзі, не можна досягти достатньою мірою на рівні держав-членів, але, з огляду на масштаб запропонованої ініціативи, її можна досягти на рівні Союзу, Союз може ухвалити інструменти відповідно до принципу субсидіарності, як це передбачено в статті 5 Договору про Європейський Союз. Відповідно до принципу пропорційності, встановленого зазначеною статтею, цей Регламент не виходить за межі необхідного для досягнення такої цілі.
(171) Директиву 95/46/ЄС необхідно скасувати цим Регламентом. Опрацювання, що вже було розпочато станом на дату застосування цього Регламенту, необхідно привести у відповідність з цим Регламентом протягом дворічного періоду з дати набуття чинності цим Регламентом. Якщо опрацювання засновано на згоді відповідно до Директиви 95/46/ЄС, немає потреби для суб'єкта даних надавати свою повторну згоду, якщо спосіб, у який було надано згоду, відповідає умовам цього Регламенту, і таким чином дозволяє контролеру продовжувати таке опрацювання після дати застосування цього Регламенту. Ухвалені Комісією рішення та дозволи, надані наглядовими органами на підставі Директиви 95/46/ЄС, залишаються чинними, поки їх не буде змінено, замінено або скасовано.
(172) З Європейським інспектором із захисту даних було проведено консультацію згідно зі статтею 28(2) Регламенту (ЄС) № 45/2001, він надав висновок від 7 березня 2012 року (- 1).
(173) Цей Регламент необхідно застосовувати до усіх питань, що стосуються захисту фундаментальних прав і свобод у зв'язку з опрацюванням персональних даних, що не є предметом конкретних зобов'язань з тією самою метою, яку визначено в Директиві Європейського Парламенту і Ради 2002/58/ЄС (- 2), у тому числі зобов'язань, покладених на контролера, і прав фізичних осіб. Для того, щоб роз'яснити взаємозв'язок між цим Регламентом і Директивою 2002/58/ЄС, необхідно внести відповідні зміни та доповнення до зазначеної Директиви. Після ухвалення цього Регламенту, Директиву 2002/58/ЄС необхідно переглянути, зокрема, з метою забезпечення її відповідності цьому Регламенту,
__________
(-1) ОВ С 192, 30.06.2012, с. 7.
(-2) Директива Європейського Парламенту і Ради 2002/58/ЄС від 12 липня 2002 року щодо опрацювання персональних даних і захисту приватності в секторі електронних комунікацій (Директива про приватність та електронні комунікації) (ОВ L 201, 31.07.2002, с. 37).
УХВАЛИЛИ ЦЕЙ РЕГЛАМЕНТ:
ГЛАВА I
Загальні положення
Стаття 1. Предмет і цілі
1. Цей Регламент установлює норми щодо захисту фізичних осіб у зв'язку з опрацюванням персональних даних і норми про вільний рух персональних даних.
2. Цей Регламент захищає фундаментальні права і свободи фізичних осіб, зокрема їхнє право на захист персональних даних.
3. Вільний рух персональних даних у всьому Союзі не повинно бути обмежено чи заборонено із причин, пов'язаних із захистом фізичних осіб у зв'язку з опрацюванням персональних даних.
Стаття 2. Матеріальна сфера дії
1. Цей Регламент поширюється на опрацювання персональних даних повністю чи частково із застосуванням автоматизованих засобів та до опрацювання персональних даних із застосуванням неавтоматизованих засобів, які формують частину картотеки або призначені для внесення до картотеки.
2. Цей Регламент не застосовують до опрацювання персональних даних:
(a) в ході діяльності, що виходить за межі дії права Союзу;
(b) державами-членами під час реалізації діяльності, що виходить за межі глави 2 розділу V Договору про ЄС;
(c) фізичною особою під час задоволення особистих або побутових потреб;
(d) компетентними органами для цілей запобігання, розслідування, виявлення або переслідування за вчинення кримінальних злочинів або для виконання кримінальних покарань, у тому числі, для захисту від загроз громадській безпеці або запобігання таким загрозам.
3. До опрацювання персональних даних установами, органами, службами та агенціями Союзу застосовують Регламент (ЄС) № 45/2001. Регламент (ЄС) № 45/2001 та інші нормативно-правові акти Союзу, що застосовні до такого опрацювання персональних даних, необхідно адаптувати до принципів і правил цього Регламенту відповідно до статті 98.
4. Цей Регламент не перешкоджає застосуванню Директиви 2000/31/ЄС, зокрема, норм щодо відповідальності надавачів послуг, передбачених у статтях 12-15 зазначеної Директиви.
Стаття 3. Територіальна сфера дії
1. Цей Регламент застосовують до опрацювання персональних даних в контексті діяльності осідку контролера або оператора в Союзі, незалежно від того, чи відбувається власне опрацювання в межах Союзу чи ні.
2. Цей Регламент застосовують до опрацювання персональних даних суб'єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов'язано з:
(a) постачанням товарів чи наданням послуг таким суб'єктам даних у Союзі, незалежно від того, чи вимагають оплату від таких суб'єктів даних; або
(b) моніторингом поведінки суб'єктів даних, якщо така поведінка має місце у межах Союзу.
3. Цей Регламент застосовують до опрацювання персональних даних контролером, що має осідок поза межами Союзу, але в місці, де застосовується законодавство держави-члена в силу публічного міжнародного права.
Стаття 4. Терміни та означення
Для цілей цього Регламенту:
(1) "персональні дані" означає будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати ("суб'єкт даних"); фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім'я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи;
(2) "опрацювання" означає будь-яку операцію або низку операцій з персональними даними або наборами персональних даних з використанням автоматизованих засобів або без них, такі як збирання, реєстрація, організація, структурування, зберігання, адаптація чи зміна, пошук, ознайомлення, використання, розкриття через передавання, розповсюдження чи надання іншим чином, упорядкування чи комбінування, обмеження, стирання чи знищення;
(3) "обмеження опрацювання" означає позначення збережених персональних даних з метою обмеження їх опрацювання в майбутньому;
(4) "профайлінг" означає будь-яку форму автоматизованого опрацювання персональних даних, що складається із використання персональних даних для оцінювання окремих персональних аспектів, що стосуються фізичної особи, зокрема, для аналізу або прогнозування аспектів, що стосуються продуктивності суб'єкта даних на роботі, економічної ситуації, здоров'я, особистих переваг, інтересів, надійності, поведінки, місцезнаходження або пересування;
(5) "використання псевдонімів" означає опрацювання персональних даних у такий спосіб, що персональні дані більше не можна віднести до конкретного суб'єкта даних без використання додаткової інформації, за умови, що таку додаткову інформацію зберігають окремо, і на неї поширюється застосування технічних і організаційних інструментів для забезпечення того, що персональні дані не віднесено до фізичної особи, яку ідентифіковано чи можна ідентифікувати;
(6) "картотека" означає будь-який структурований набір персональних даних, доступ до якого надають відповідно до спеціальних критеріїв, є централізованим, децентралізованим або розосередженим на функціональній або географічній основі;
(7) "контролер" означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який самостійно чи спільно з іншими визначає цілі та засоби опрацювання персональних даних; якщо цілі та засоби такого опрацювання визначаються законодавством Союзу чи держави-члена, контролер або спеціальні критерії його призначення може бути передбачено законодавством Союзу чи держави-члена;
(8) "оператор" означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який опрацьовує персональні дані від імені контролера;
(9) "одержувач" означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, якому розкривають персональні дані, незалежно від того, чи є вони третьою стороною. Проте органів публічної влади, що можуть отримувати персональні дані в рамках конкретного запиту згідно з законодавством Союзу чи держави-члена, не вважають одержувачами; опрацювання таких даних такими органами публічної влади повинно відповідати застосовним нормам про захист даних відповідно до цілей опрацювання;
(10) "третя сторона" означає фізичну чи юридичну особу, орган публічної влади, агентство чи орган, який не є суб'єктом даних, контролером, оператором та особами, які, під безпосереднім керівництвом контролера або оператора, уповноважені опрацьовувати персональні дані;
(11) "згода" суб'єкта даних означає будь-яке вільно надане, конкретне, поінформоване та однозначне зазначення бажань суб'єкта даних, яким він або вона, шляхом оформлення заяви чи проявом чітких ствердних дій, підтверджує згоду на опрацювання своїх персональних даних;
(12) "порушення захисту персональних даних" означає порушення безпеки, що призводить до випадкового чи незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, які передано, збережено або іншим чином опрацьовано;
(13) "генетичні дані" означає персональні дані, що стосуються вроджених або набутих генетичних ознак фізичної особи, надають унікальну інформацію про фізіологію чи здоров'я такої фізичної особи та такі, що отримані, зокрема, в результаті аналізу біологічної проби, взятої у відповідної фізичної особи;
(14) "біометричні дані" означають персональні дані, отримані в результаті спеціального технічного опрацювання, що стосується фізичних, фізіологічних чи поведінкових ознак фізичної особи, таких як, зображення обличчя чи дактилоскопічні дані, що дозволяють однозначно ідентифікувати або підтверджують однозначну ідентифікацію фізичної особи;
(15) "дані стосовно стану здоров'я" означає персональні дані, що стосуються стану фізичного чи психічного здоров'я фізичної особи, в тому числі надання медичних послуг, що відображають інформацію про її стан здоров'я;
(16) "головний осідок" означає:
(a) щодо контролера, що має осідки в декількох державах-членах, - осідок його центральної адміністрації в Союзі, за винятком випадків, коли рішення про цілі та засоби опрацювання персональних даних ухвалено в іншому осідку контролера в Союзі, і якщо такий інший осідок має повноваження забезпечувати виконання таких рішень; у такому разі, осідок, де було ухвалено такі рішення, необхідно вважати головним;
(b) щодо оператора що має осідки в декількох державах-членах, - осідок його центральної адміністрації в Союзі, або, якщо оператор не має центральної адміністрації в Союзі, осідок оператора в Союзі, де відбувається основне опрацювання даних в контексті діяльності осідку оператора тією мірою, якою на оператора поширюються конкретні обов'язки за цим Регламентом;
(17) "представник" означає фізичну чи юридичну особу, що перебуває чи має осідок в Союзі, та призначена контролером або оператором у письмовій формі згідно зі статтею 27, представляє контролера або оператора у питанні, що стосується їхніх відповідних обов'язків за цим Регламентом;
(18) "підприємство" означає фізичну чи юридичну особу, що займається господарською діяльністю, незалежно від організаційно-правової форми, в тому числі партнерства чи асоціації, що займаються господарською діяльністю на постійній основі;
(19) "група підприємств" означає підприємство, що контролює, і підприємства, що перебувають під його контролем;
(20) "зобов'язальні корпоративні правила" означає політику захисту персональних даних, якої дотримується контролер або оператор, що має осідок на території держави-члена, для здійснення передавання або низки актів передавання персональних даних контролеру або оператору в одній або декількох третіх країнах у межах групи підприємств, або групи підприємств, що здійснюють спільну господарську діяльність;
(21) "наглядовий орган" означає незалежний публічний орган, заснований державою-членом відповідно до статті 51;
(22) "відповідний наглядовий орган" означає наглядовий орган, якого стосується опрацювання персональних даних, оскільки:
(a) контролер або оператор має осідок на території держави-члена такого наглядового органу;
(b) суб'єкти даних, що перебувають на території держави-члена такого наглядового органу, зазнають істотного впливу чи ймовірно будуть зазнавати істотного впливу в результаті опрацювання;
(c) до такого наглядового органу було подано скаргу;
(23) "транскордонне опрацювання" означає або:
(a) опрацювання персональних даних, що відбувається у контексті діяльності осідків контролера чи оператора в Союзі у більше ніж одній державі-члені, якщо контролер або оператор мають осідки в більше ніж одній державі-члені; або
(b) опрацювання персональних даних, що здійснюють у контексті діяльності єдиного осідку контролера або оператора в Союзі, але яке істотно впливає чи ймовірно істотно впливатиме на суб'єктів даних у декількох державах-членах.
(24) "відповідне і вмотивоване заперечення" означає заперечення проти проекту рішення щодо того, чи має місце порушення цього Регламенту, чи відповідають цьому Регламенту передбачені заходи щодо контролера або оператора, що чітко вказують на значимість ризиків, що спричиняє проект рішення, для фундаментальних прав і свобод суб'єктів даних та, у відповідних випадках, вільного руху персональних даних в межах Союзу;
