GDPR

Витяг з Положення № 679/2016 про захист фізичних осіб щодо обробки персональних даних та про вільне переміщення таких даних та скасування Директиви 95/46 / EC

Загальне положення про захист даних

РОЗДІЛ III: Права суб’єкта даних

Розділ 2: Інформація та доступ до персональних даних

Стаття 13: Інформація, яка надається, якщо персональні дані збираються від суб’єкта даних

1. Якщо персональні дані щодо суб’єкта даних збираються від цього суб’єкта даних, контролер при отриманні таких персональних даних надає суб’єкту даних всю наступну інформацію:

а) особу та контактні дані оператора та, у разі необхідності, його представника;

b) контактні дані відповідального за захист даних, залежно від обставин;

в) цілі, для яких обробляються персональні дані, а також правові основи обробки;

d) якщо обробка здійснюється відповідно до статті 6 (1) (f), законні інтереси, які переслідує контролер або третя сторона;

д) одержувачі або категорії одержувачів персональних даних;

f) у разі потреби, намір контролера передати персональні дані третій країні чи міжнародній організації та наявність чи відсутність рішення Комісії щодо придатності або, у разі передачі, зазначеної у статті 46 або 47 або статті 49 (1) (1) другий підпункт, посилання на відповідні або відповідні гарантії та на засоби отримання їх копії, якщо вони були доступні.

2. На додаток до інформації, зазначеної в параграфі 1, при отриманні персональних даних контролер надає суб’єкту даних таку додаткову інформацію, необхідну для забезпечення справедливої ​​та прозорої обробки:

а) період, протягом якого будуть зберігатися персональні дані, або, якщо це неможливо, критерії, за якими встановлено цей період;

б) наявність права на запит від розпорядника щодо персональних даних щодо суб’єкта даних, доступу до них, виправлення чи видалення чи обмеження обробки або права протидіяти обробці, а також права на перенесення даних;

c) якщо обробка базується на статті 6 (1) (a) або статті 9 (2) (a), наявність права відкликати згоду в будь-який час без шкоди для законності обробки, здійсненої на підстави згоди до її відкликання;

г) право на подання скарги до контролюючого органу;

д) чи є надання персональних даних юридичним чи договірним зобов’язанням чи обов’язком, необхідним для укладення договору, а також чи зобов’язаний суб’єкт даних надати такі персональні дані та які можливі наслідки недотримання це зобов’язання;

f) наявність автоматизованого процесу прийняття рішень, включаючи профілювання, зазначеного у статті 22 (1) і (4), а також, принаймні, у цих випадках, відповідну інформацію про використану логіку та про важливість та очікувані наслідки такої обробки для суб’єкта даних.

3. Якщо контролер має намір надалі обробляти персональні дані з метою, відмінною від тієї, для якої вони були зібрані, контролер повинен надати суб’єкту даних перед такою подальшою обробкою інформацію про цю вторинну мету та будь-яку додаткову інформацію відповідно до пункт 2.

4. Параграфи 1, 2 і 3 не застосовуються, якщо суб’єкт даних уже володіє такою інформацією.

Стаття 14: Інформація, яка надається, якщо персональні дані не були отримані від суб’єкта даних

(1) Якщо персональні дані не були отримані від суб’єкта даних, контролер повинен надати суб’єкту даних таку інформацію: а) особу та контактні дані контролера та, якщо доречно, його представника;

b) контактні дані відповідального за захист даних, залежно від обставин;

в) цілі, для яких обробляються персональні дані, а також правові основи обробки;

г) категорії персональних даних, про які йдеться;

e) одержувачі або категорії одержувачів персональних даних, залежно від обставин;

f) у разі потреби, намір контролера передати персональні дані одержувачу в третій країні чи міжнародній організації та наявність чи відсутність рішення Комісії щодо доцільності або, у разі передачі, зазначеної у статті 46 або 47 або в другому абзаці статті 49 (1) посилання на відповідні або відповідні гарантії та на засоби отримання їх копії, якщо вони були доступні.

2. На додаток до інформації, зазначеної в параграфі 1, контролер надає суб’єкту даних таку інформацію, необхідну для забезпечення справедливої ​​та прозорої обробки стосовно суб’єкта даних:

а) період, протягом якого будуть зберігатися персональні дані, або, якщо це неможливо, критерії, за якими встановлено цей період;

b) якщо обробка здійснюється відповідно до статті 6 (1) (f), законні інтереси, які переслідує контролер або третя сторона;

в) наявність права запитувати від розпорядника щодо персональних даних, що стосуються суб’єкта даних, доступу до них, їх виправлення чи видалення чи обмеження обробки та права протидіяти обробці, а також права на перенесення даних ;

d) якщо обробка базується на статті 6 (1) (a) або статті 9 (2) (a), наявність права відкликати згоду в будь-який час без шкоди для законності обробки, здійсненої на підстави згоди до її відкликання;

д) право на подання скарги до контролюючого органу;

f) джерело, з якого надходять персональні дані, і, якщо застосовно, якщо вони надходять із загальнодоступних джерел;

g) наявність автоматизованого процесу прийняття рішень, включаючи профілювання, зазначеного у статті 22 (1) і (4), а також, принаймні, у цих випадках, відповідну інформацію про використану логіку та про важливість та очікувані наслідки такої обробки для суб’єкта даних.

3. Розпорядник надає інформацію, зазначену в пунктах 1 і 2: а) протягом розумного строку після отримання персональних даних, але не більше одного місяця, з урахуванням конкретних обставин, за яких вони обробляються.

b) якщо персональні дані будуть використані для зв’язку із суб’єктом даних, принаймні під час першого повідомлення суб’єкту даних; або

c) якщо передбачається розкриття персональних даних іншому одержувачу, принаймні на дату, коли вони були вперше розкриті.

4. Якщо контролер має намір надалі обробляти персональні дані з метою, відмінною від тієї, для якої вони були отримані, контролер повинен надати суб’єкту даних перед такою подальшою обробкою інформацію про цю вторинну мету та будь-яку додаткову інформацію відповідно до пункт 2.

5. Пункти 1-4 не застосовуються, якщо та в тій мірі, що:

а) суб’єкт даних уже має інформацію;

b) надання такої інформації виявляється неможливим або вимагає непропорційних зусиль, зокрема, у разі обробки для цілей архівування в суспільних інтересах, для наукових чи історичних досліджень або для статистичних цілей, за умови дотримання умов та гарантій. у статті 89 (1), або в тій мірі, в якій зобов’язання, зазначені в пункті 1 цієї статті, можуть зробити неможливим або серйозно зашкодити досягненню цілей такої обробки. У таких випадках контролер вживає відповідних заходів захищати права, свободи та законні інтереси суб’єкта даних, включаючи надання інформації для громадськості;

c) отримання або розкриття даних прямо передбачено законодавством Союзу або національним законодавством, якому підпорядковується контролер, і яке передбачає відповідні заходи для захисту законних інтересів суб’єкта даних; або d) коли персональні дані повинні залишатися конфіденційними на підставі законодавчого зобов’язання зберігати професійну таємницю, яке регулюється законодавством Союзу або національним законодавством, включаючи юридичне зобов’язання зберігати таємницю.

Стаття 15: Право доступу суб’єкта даних

1. Суб’єкт даних має право отримати від розпорядника підтвердження того, чи обробляються персональні дані, що стосуються його чи її, і, якщо так, доступ до таких даних та до такої інформації:

а) цілі обробки;

b) категорії персональних даних, про які йдеться;

c) одержувачі або категорії одержувачів, яким були або мають бути розкриті персональні дані, зокрема одержувачі з третіх країн або міжнародних організацій;

d) якщо можливо, період, протягом якого очікується зберігання персональних даних, або, якщо це неможливо, критерії, які використовуються для встановлення цього терміну;

e) наявність права вимагати від оператора виправлення або видалення персональних даних або обмеження обробки персональних даних, що стосуються суб’єкта даних, або права виступати проти обробки;

е) право на подання скарги до контролюючого органу;

g) якщо персональні дані не збираються від суб’єкта даних, будь-яку доступну інформацію щодо їх джерела;

h) наявність автоматизованого процесу прийняття рішень, включаючи профільування, зазначеного у статті 22 (1) і (4), а також, принаймні, у цих випадках, відповідну інформацію про використану логіку та про важливість та очікувані наслідки такої обробки для суб’єкта даних.

2. Якщо персональні дані передаються третій країні або міжнародній організації, суб’єкт даних має право бути поінформованим про відповідні гарантії відповідно до статті 46 щодо передачі.

(3) Оператор надає копію персональних даних, які підлягають обробці. За будь-які інші копії, які запитує суб’єкт даних, оператор може стягувати розумну плату на основі адміністративних витрат. Якщо суб’єкт даних подає заявку в електронному форматі, і якщо суб’єкт даних не вимагає іншого формату, інформація надається в загальновживаному електронному форматі.

4. Право на отримання копії, зазначене в пункті 3, не порушує права і свободи інших осіб.

Розділ 3: Виправлення та видалення

Стаття 16: Право на виправлення

Суб’єкт даних має право отримати від контролера без невиправданої затримки виправлення неточних персональних даних, що стосуються його. Враховуючи цілі, для яких оброблялися дані, суб’єкт даних має право отримати доповнення персональних даних, які є неповними, у тому числі шляхом надання додаткової заяви.

Стаття 17: Право на стирання даних (“право бути забутим”)

(1) Суб’єкт даних має право отримати від контролера видалення персональних даних, які його стосуються, без невиправданої затримки, а контролер має зобов’язання видалити персональні дані без невиправданої затримки, якщо застосовується одна з наступних причин:

а) персональні дані більше не потрібні для цілей, для яких вони були зібрані або оброблені;

(b) суб’єкт даних відкликає згоду, на основі якої відбувається обробка відповідно до статті 6 (1) (a) або статті 9 (2) (a), і немає іншої правової підстави для обробки;

(c) суб’єкт даних виступає проти обробки відповідно до статті 21 (1), і немає законних причин, що переважають щодо обробки, або суб’єкт даних виступає проти обробки відповідно до статті 21 (2);

г) персональні дані оброблені незаконно;

e) персональні дані мають бути видалені для виконання юридичних зобов’язань контролера відповідно до законодавства Союзу або національного законодавства, відповідно до якого контролер підпорядковується;

f) персональні дані були зібрані у зв’язку з наданням послуг інформаційного суспільства, зазначених у статті 8 (1).

2. Якщо контролер оприлюднив свої персональні дані та відповідно до пункту 1 вимагає їх видалити, контролер, беручи до уваги наявну технологію та вартість впровадження, вживає розумних заходів, включаючи технічні заходи, щоб інформувати операторів, які обробляють персональні дані. дані, про які суб’єкт даних попросив видалити ці оператори будь-яких посилань на такі дані або будь-яких копій чи відтворень таких персональних даних.

3. Параграфи 1 і 2a не застосовуються, якщо обробка потрібна:

а) за реалізацію права на вільне вираження поглядів та інформацію;

b) для дотримання юридичного зобов’язання щодо обробки відповідно до законодавства Союзу або національного законодавства, що застосовується до контролера, або для виконання завдання, що виконується в суспільних інтересах або під час виконання офіційних повноважень, якими наділений контролер;

c) з причин, що становлять суспільний інтерес у сфері охорони здоров’я, відповідно до статті 9 (2) (h) та (i) та статті 9 (3);

d) для цілей архівування в суспільних інтересах, з метою наукового чи історичного дослідження або для статистичних цілей, відповідно до статті 89 (1), якщо право, зазначене в параграфі 1, може зробити це неможливим або серйозно впливати на досягнення цілей такої обробки; або

д) для встановлення, реалізації або захисту права в суді.

Стаття 18: Право на обмеження обробки

1. Суб’єкт даних має право отримати від контролера обмеження на обробку, якщо застосовується один із наступних випадків:

а) суб’єкт даних заперечує точність даних протягом періоду, який дозволяє контролеру перевірити точність даних;

б) обробка є незаконною, а суб’єкт даних виступає проти видалення персональних даних, вимагаючи натомість обмеження їх використання;

в) контролеру більше не потрібні персональні дані для цілей обробки, але суб’єкт даних запитує їх для встановлення, реалізації або захисту права в суді; або

d) суб’єкт даних заперечив проти обробки відповідно до статті 21 (1) протягом періоду, протягом якого перевіряється, чи переважають законні права контролера над правами суб’єкта даних.

2. Якщо обробка була обмежена згідно з параграфом 1, такі персональні дані можуть оброблятися, за винятком випадків зберігання, лише за згодою суб’єкта даних або для встановлення, здійснення чи захисту права в суді, або для захист прав іншої фізичної чи юридичної особи або з причин, що переважають суспільні інтереси в Союзі чи державі-члені.

3. Суб’єкт даних, який отримав обмеження на обробку згідно з параграфом 1, повинен бути проінформований контролером до зняття обмеження на обробку.

Стаття 19: Зобов’язання повідомляти про виправлення або видалення персональних даних або обмеження обробки

Контролер повідомляє кожного одержувача, якому було розкрито персональні дані, про будь-яке виправлення або видалення персональних даних або обмеження обробки, здійснене відповідно до статті 16, статті 17 (1) і статті 18, якщо це не виявляється неможливим або не передбачає непропорційного зусилля. Оператор інформує суб’єкта даних про цих одержувачів, якщо суб’єкт даних цього вимагає.

Стаття 20: Право на перенесення даних

1. Суб’єкт даних має право отримувати персональні дані щодо нього, які він надав контролеру, у структурованому, загальновживаному форматі, який автоматично читається, і має право передати такі дані іншому оператору, безперешкодно з боку оператора, якому були надані персональні дані, якщо:

(a) обробка базується на згоді відповідно до статті 6 (1) (a) або статті 9 (2) (a) або контракту відповідно до статті 6 (1) (b); і

б) обробка здійснюється автоматичними засобами.

2. При здійсненні свого права на перенесення даних відповідно до пункту 1 суб’єкт даних має право на передачу персональних даних безпосередньо від одного контролера до іншого, якщо це технічно можливо.

3. Здійснення права, зазначеного в пункті 1 цієї статті, не зачіпає статтю 17. Це право не поширюється на обробку, необхідну для виконання завдання, що виконується в суспільних інтересах або під час здійснення офіційних повноважень з яким наділений оператор.

4. Право, зазначене в параграфі 1, не порушує права і свободи інших осіб.

Розділ 4: Право на заперечення та автоматизоване індивідуальне прийняття рішень

Стаття 21: Право на заперечення

1. Суб’єкт даних має в будь-який час право заперечити, на підставах, що стосуються його конкретної ситуації, проти обробки відповідно до статті 6 (1) (e) або (f) або статті 6 (1). 1) персональні дані щодо неї, включаючи створення профілів на основі цих положень. Контролер більше не обробляє персональні дані, якщо контролер не продемонструє, що він має законні та вагомі причини, які виправдовують обробку та переважають над інтересами, правами та свободами суб’єкта даних або що метою є встановлення, здійснення чи захист права в суді. .

2. Якщо обробка персональних даних здійснюється з метою прямого маркетингу, суб’єкт даних має право в будь-який час заперечити проти обробки персональних даних, що стосуються його або її, включаючи створення профілів, якщо це пов’язано з до цього прямого маркетингу.

(3) Якщо суб’єкт даних виступає проти обробки з метою прямого маркетингу, персональні дані більше не обробляються для цієї мети.

4. Принаймні під час першого спілкування із суб’єктом даних право, зазначене в параграфах 1 і 2, має бути чітко доведено до відома суб’єкта даних і має бути чітко та окремо від будь-якої іншої інформації.

5. У контексті використання послуг інформаційного суспільства та незважаючи на Директиву 2002/58/EC, суб’єкт даних може скористатися своїм правом на заперечення за допомогою автоматичних засобів із використанням технічних специфікацій.

6. Якщо персональні дані обробляються для цілей наукових або історичних досліджень або для статистичних цілей відповідно до статті 89 (1), суб’єкт даних, з причин, пов’язаних з його чи її конкретною ситуацією, має право виступити проти обробки. персональних даних, які стосуються її, крім випадків, коли обробка необхідна для виконання завдання з причин суспільного інтересу.

Стаття 22: Автоматизований індивідуальний процес прийняття рішень, включаючи створення профілю

1. Суб’єкт даних має право не піддаватися рішенню, заснованому виключно на автоматичній обробці, включаючи профілювання, що має юридичні наслідки щодо суб’єкта даних або подібним чином вплинути на нього чи її значною мірою.

2. Пункт 1 не застосовується, якщо рішення:

а) необхідний для укладення або виконання договору між суб’єктом даних та розпорядником даних;

b) дозволено законодавством Союзу або національним законодавством, що застосовується до контролера, і яке також передбачає відповідні заходи для захисту прав, свобод та законних інтересів суб’єкта даних; або

в) ґрунтується на явній згоді суб’єкта даних.

3. У випадках, зазначених у пунктах (a) і (c) параграфа 2, розпорядник даних вживає відповідних заходів для захисту прав, свобод і законних інтересів суб’єкта даних, принаймні його права на отримання людського втручання від суб’єкт даних, оператор, щоб висловити свою точку зору та оскаржити рішення.

4. Рішення, зазначені в параграфі 2, не повинні ґрунтуватися на спеціальних категоріях персональних даних, зазначених у статті 9 (1), якщо не застосовується стаття 9 (2) (a) або (g). були створені для захисту прав, свобод і законних інтересів суб’єкта даних.