25 травня 2018 року GDPR вступає в силу. Для консультативної допомоги спільноті волонтери Київського відділення ISACA переклали документ українською.

1. General Data Privacy Regulation (GDPR)
Загальний регламент щодо захисту даних
Переклад українською
від ISACA Kyiv Chapter
Київ, 2018

2. 2
General Data Privacy Regulation (GDPR)
Загальний регламент щодо захисту даних
Переклад українською
Джерело:
REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of
natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive
95/46/EC (General Data Protection Regulation), OJ L 119, 04/05/2016, p. 1–88 (EN)
Редактори:
Ірина Івченко
Анастасія Конопльова
Ростислав Цейко
Андрій Рибальченко
Перекладачі:
Сергій Болдинюк
Ольга Вишатицька, Євгенія Пилипенко, Андрій Малярчук (з координацією Світлани Лазарєвої)
Олексій Мендрін
Наталія Валєєва
Юлія Драніщева
Обмеження відповідальності
Волонтери ISACA Kyiv Chapter переклали та опублікували документ в якості консультативного ресурсу щодо захисту
персональних даних для фахівців із надання впевненості, корпоративного управління, управління ризиками та безпеки.
Наведений переклад General Data Protection Regulation (GDPR) не є офіційним перекладом нормативного документу.
Термінологія та назви установ, органів та інституцій в Європейському Союзі, наведені в документі, були перекладені з
використанням нормативних актів України з питань захисту персональних даних та відкритих джерел на власне
судження перекладачів та редакторів документу. В статті 3 в дужках наданий англійський еквівалент використаних
термінів.
ISACA Kyiv Chapter, перекладачі та редактори не несуть відповідальність за наслідки використання документу.
Переклад не має під собою ніякої комерційної основи. Документ розміщений безкоштовно, у вільному доступі і для
загального користування.

3. 3
РЕГЛАМЕНТ (ЄС) 2016/679 ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ ТА РАДИ
від 27 квітня 2016 р.
Про захист фізичних осіб стосовно обробки персональних даних та щодо вільного
переміщення таких даних та скасування Директиви 95/46 / ЄС
(Загальний регламент щодо захисту даних)
(Текст релевантний для Європейської економічної зони)
Європейський Парламент та Рада Європейського Союзу,
Беручи до уваги Договір про функціонування Європейського Союзу, і зокрема його Статтю
16,
Беручи до уваги пропозицію Європейської Комісії,
Після передачі проекту законодавчого акту національним парламентам,
Беручи до уваги висновок Європейського економічного та соціального комітету1,
Беручи до уваги думку Комітету регіонів2,
Діючи відповідно до звичайної законодавчої процедури3),
Враховуючи, що:
(1) Захист фізичних осіб стосовно обробки персональних даних – це основоположне
право. Стаття 8 (1) Хартії основних прав Європейського Союзу ("Хартія") та Стаття
16 (1) Договору про функціонування Європейського Союзу (ДФЄС) передбачають,
що кожен має право на захист персональних даних, які його стосуються.
(2) Принципи та правила захисту фізичних осіб стосовно обробки їхніх персональних
даних призначені, незалежно від національності осіб чи місця проживання,
забезпечити дотримання їхніх основних прав та свобод, зокрема їхнього права на
захист персональних даних. Цей Регламент має на меті сприяти гарантуванню
свободи, безпеки та справедливості й економічної єдності, економічного та
соціального прогресу, зміцнення та конвергенції економік на внутрішньому ринку
та добробуту фізичних осіб.
(3) Директива 95/46/ЄС Європейського Парламенту та Ради4 спрямована на
гармонізацію захисту основоположних прав та свобод фізичних осіб в аспекті
діяльності з обробки, а також на забезпечення вільного переміщення персональних
даних між країнами Членами.
(4) Обробка персональних даних повинна бути спрямована на те, щоб служити
людству. Право на захист персональних даних не є абсолютним правом; його слід
1 OJ C 229, 31.7.2012, L 90
2 OJ C 391, 18.12.2012, L 127.
3 Положення Європейського парламенту від 12 березня 2014 року (ще не опубліковане в Офіційному журналі)
та положення Ради в першому читанні від 8 квітня 2016 року (ще не опубліковане в Офіційному журналі)
[прим. пер.OJ C 159, 3.5.2016, p. 1–82]. Положення Європейського парламенту від 14 квітня 2016 року.
4 Директива Європейського Парламенту та Ради 95/46/ЄС від 24 жовтня 1995 р. про захист фізичних осіб
стосовно обробки персональних даних та вільного переміщення таких даних (ОJ L 281, 23.11.1995, р.31).

4. 4
розглядати в аспекті його функцій у суспільстві і воно повинно бути збалансованим
з іншими основоположними правами за принципом пропорційності. Цей Регламент
поважає всі основні права та дотримується свобод і принципів, визнаних у Хартії,
закріплених у Договорі, зокрема права на повагу до приватного і сімейного життя,
житла та комунікацій, захист персональних даних, свободу думки, совісті та релігії,
свободу слова та інформації, свободу ведення бізнесу, права на ефективний засіб
правового захисту та справедливий судовий розгляд, а також культурне, релігійне
та мовне розмаїття.
(5) Економічна та соціальна інтеграція, викликана функціонуванням внутрішнього
ринку, привела до значного збільшення транскордонних потоків персональних
даних. Збільшено обмін персональними даними між державними та приватними
організаціями, включаючи фізичних осіб, асоціацій та підприємств у межах Союзу.
Законодавство Союзу закликає національні органи влади Країн Членів ЄС
співпрацювати та обмінюватися персональними даними, щоб вони могли
виконувати свої обов'язки, або виконувати завдання від імені органу влади в іншій
Країні Члені.
(6) Швидкі темпи технологічного розвитку та глобалізація породили нові проблеми у
сфері захисту персональних даних. Значно зросли масштаби збору та обміну
персональними даними. Технологія дозволяє і приватним компаніям, і державним
органам використовувати персональні дані у безпрецедентних масштабах для
ведення діяльності. Фізичні особи все частіше оприлюднюють персональну
інформацію в глобальних масштабах. Технології трансформували і економіку, і
суспільне життя, і повинні надалі сприяти вільному обігу персональних даних в
межах Союзу та передачі їх третім країнам та міжнародним організаціям, одночасно
забезпечуючи високий рівень захисту персональних даних.
(7) Такий розвиток вимагає надійної та краще узгодженої структури захисту даних у
Союзі, а також сильної структури забезпечення виконання, якщо врахувати
важливість формування довіри, яка дозволить розвивати цифрову економіку на
внутрішньому ринку. Фізичні особи повинні контролювати власні персональні
дані. Потрібно підсилити юридичну та практичну визначеність для фізичних осіб,
суб'єктів господарювання та органів державної влади.
(8) Якщо цей Регламент передбачає уточнення, або обмеження його правил
законодавством Країн Членів, то Країни Члени можуть, наскільки це необхідно для
забезпечення узгодженості та зрозумілості національних положень особам, до яких
вони застосовуються, включити елементи цього Регламенту до їхнього
національного законодавства.
(9) Цілі та принципи Директиви 95/46/ЄС залишаються обґрунтованими, однак це не
завадило фрагментації у здійсненні захисту даних у всьому Союзі, правовій
невизначеності, або поширенню громадської думки, що існують серйозні ризики
для захисту фізичних осіб, зокрема, стосовно діяльності в Інтернеті. Відмінності у
рівні захисту прав та свобод фізичних осіб, зокрема права на захист персональних
даних, стосовно обробки персональних даних у Країнах Членах, можуть
перешкоджати вільному обігу персональних даних у всьому Союзі. Таким чином, ці
відмінності можуть стати перешкодою для здійснення економічної діяльності на
рівні Союзу, спотворювати конкуренцію та перешкоджати владі виконувати свої
обов'язки відповідно до законодавства Союзу. Така різниця в рівнях захисту
зумовлена існуванням відмінностей у впровадженні та застосуванні Директиви
95/46/ЄС.

5. 5
(10) З метою забезпечення послідовного та високого рівня захисту фізичних осіб та
усунення перешкод на шляху потоків персональних даних в межах Союзу, рівень
захисту прав та свобод фізичних осіб стосовно обробки таких даних повинен бути
однаковим у всіх Країнах Членах. Слід забезпечити послідовне та однорідне
застосування правил захисту основних прав та свобод фізичних осіб стосовно
обробки персональних даних у всьому Союзі. Що стосується обробки персональних
даних для дотримання юридичного зобов'язання, для виконання завдання, що
здійснюється в інтересах суспільства, або для здійснення офіційних повноважень
контролера, то Країнам Членам слід дозволити зберігати, або вводити національні
положення, які би детальніше прописували правила застосування положень цього
Регламенту. У поєднанні із загальним і горизонтальним законодавством про захист
даних, впроваджуючи Директиву 95/46/ЄС, Країни Члени мають кілька галузевих
законів у тих сферах, де потрібні конкретніші положення. Цей Регламент також дає
змогу Країнам Членам конкретизувати свої правила, зокрема для обробки
особливих категорій персональних даних ("чутливі дані"). У цьому відношенні цей
Регламент не виключає законодавства Країн Членів, які визначають обставини для
конкретних ситуацій обробки, включаючи точніше визначення умов, за яких
обробка персональних даних є законною.
(11) Ефективний захист персональних даних у всьому Союзі вимагає посилення та
детального визначення прав суб'єктів даних та зобов'язань тих, хто обробляє та
визначає обробку персональних даних, а також еквівалентних повноважень для
здійснення моніторингу та забезпечення відповідності правилам захисту
персональних даних і застосування еквівалентних санкцій за порушення в Країнах
Членах.
(12) Стаття 16(2) ДФЄС уповноважує Європейський Парламент і Раду визначати
правила захисту фізичних осіб стосовно обробки персональних даних, а також
правила, що стосуються вільного переміщення персональних даних.
(13) З метою забезпечення узгодженості захисту фізичних осіб у всьому Союзі та
запобігання розбіжностям, що перешкоджають вільному переміщенню
персональних даних на внутрішньому ринку, необхідно забезпечити правову
визначеність та прозорість для економічних операторів, включаючи
мікропідприємства, малі та середні підприємства, а також надавати фізичним
особам у всіх Країнах Членах такий самий рівень юридично гарантованих прав та
обов'язків для контролерів та обробників, для забезпечення узгодженого
моніторингу обробки персональних даних та застосування еквівалентних санкцій у
всіх Країнах Членах, а також ефективне співробітництво між наглядовими
органами різних Країн Членів. Належне функціонування внутрішнього ринку
вимагає, щоб вільне переміщення персональних даних в межах Союзу не було
обмежено, або заборонено з причин, пов'язаних із захистом фізичних осіб стосовно
обробки персональних даних. Щоб враховувати специфічну ситуацію на мікро,
малих і середніх підприємствах, цей Регламент передбачає виключення для
організацій, які мають менше 250 працівників, стосовно ведення обліку. Крім того,
установам та органам Союзу, а також Країнам Членам та їхнім наглядовим органам
рекомендується враховувати специфічні потреби мікро, малих та середніх
підприємств при застосуванні цього Регламенту. Поняття мікро-, малих та середніх
підприємств повинно базуватися на статті 2 Додатку до Рекомендації Комісії
2003/361/ЄС1.
1 Рекомендація Комісії від 6 травня 2003 р. Щодо визначення мікро-, малих та середніх підприємств (C (2003)
1422) (ОJ L 124, 20.5.2003, стор. 36).

6. 6
(14) Захист, передбачений цим Регламентом, повинен застосовуватися до фізичних осіб,
незалежно від їхньої національності чи місця проживання, стосовно обробки їхніх
персональних даних. Цей Регламент не поширюється на обробку персональних
даних, що стосується юридичних осіб та, зокрема, підприємств, зареєстрованих як
юридичні особи, включаючи назву та форму юридичної особи, а також контактну
інформацію про юридичну особу.
(15) З метою запобігання серйозному ризику обходу норм, захист фізичних осіб має
бути технологічно нейтральним і не повинен залежати від методів, які
використовуються. Захист фізичних осіб повинен застосовуватися до обробки
персональних даних автоматизованими засобами, а також засобами ручної
обробки, якщо персональні дані містяться, або призначені для включення в
систему обліку. Файли або комплекти файлів, а також їхні титульні сторінки, які не
структуровані за певними критеріями, не підпадають під дію цього Регламенту.
(16) Цей Регламент не застосовується до питань захисту основоположних прав та
свобод, або вільного обігу персональних даних, пов'язаних з діяльністю, що не
підпадає під сферу дії законодавства Союзу, наприклад, діяльністю, що стосується
національної безпеки. Цей Регламент не застосовується до обробки персональних
даних країнами Членами при здійсненні заходів щодо спільної зовнішньої та
політики Союзу щодо безпеки.
(17) Постанова (ЄС) № 45/2001 Європейського Парламенту та Ради1 застосовується до
обробки персональних даних установами, органами, службами та установами
Союзу. Постанова (ЄС) № 45/2001 та інші законодавчі акти Союзу, що
застосовуються до такої обробки персональних даних, повинні бути адаптовані до
принципів та правил, встановлених цим Регламентом, і застосовуються у світлі
цього Регламенту. З метою забезпечення сильної та узгодженої структури захисту
даних у Союзі, після прийняття цього Регламенту необхідно внести потрібні зміни
до Постанови (ЄС) № 45/2001, щоб дозволити її застосування одночасно з цим
Регламентом.
(18) Цей Регламент не застосовується до обробки персональних даних фізичною особою
в ході суто особистої чи побутової діяльності, і, таким чином, не пов’язаної із
професійною чи комерційною діяльністю. Особиста або побутова діяльність може
включати листування та збереження адрес, або активність у соціальних мережах та
онлайн, що здійснюється в контексті такої діяльності. Проте цей Регламент
застосовується до контролерів або обробників, які забезпечують засоби для
обробки персональних даних для таких особистих, або побутових заходів.
(19) Захист фізичних осіб стосовно обробки персональних даних компетентними
органами з метою запобігання, розслідування, виявлення та переслідування
кримінальних злочинів, або виконання кримінальних покарань, включаючи захист
від загроз і попередження та запобігання загрозам громадській безпеці та вільному
переміщенню таких даних, є предметом окремого правового акту Європейського
Союзу. Тому цей Регламент не застосовується до діяльності з обробки для таких
цілей. Проте персональні дані, що обробляються державними органами відповідно
до цього Регламенту, повинні, коли вони використовуються для цих цілей,
регулюватися іншим окремим законодавчим актом Союзу, а саме Директивою (ЄС)
1 Постанова Європейського Парламенту та Ради від 18 грудня 2000 р. № 45/2001 про захист фізичних осіб
щодо обробки персональних даних установами та органами Співтовариства та про вільне переміщення таких
даних (ОJ L 8, 12.1.2001, Стор. 1).

7. 7
2016/680 Європейського Парламенту та Ради1. Країни Члени можуть довірити
компетентним органам у розумінні Директиви (ЄС) 2016/680 завдання, які не
обов'язково виконуються з метою запобігання, розслідування, виявлення та
переслідування кримінальних злочинів, або виконання кримінальних покарань,
включаючи захист від загроз і попередження та запобігання загрозам громадській
безпеці, для того, щоб обробка персональних даних для інших цілей, в тій мірі, в
якій вона знаходиться в межах сфери дії законодавства Союзу, належала до сфери
застосування цього Регламенту.
Стосовно обробки персональних даних цими компетентними органами для цілей,
що належать до сфери застосування цього Регламенту, Країни Члени повинні мати
можливість підтримувати, або вводити окремі положення для адаптації
застосування правил цього Регламенту. Такі положення можуть чіткіше визначати
конкретні вимоги щодо обробки персональних даних цими компетентними
органами для інших цілей з урахуванням конституційної, організаційної та
адміністративної структури відповідної Країни Члена. Коли обробка персональних
даних приватними органами підлягає застосуванню цього Регламенту, то цей
Регламент передбачає можливість для Країн Членів за деяких умов обмежувати
законом деякі зобов'язання та права, коли таке обмеження є необхідною та
пропорційною мірою в демократичному суспільстві для захисту окремих важливих
інтересів, включаючи громадську безпеку та запобігання, розслідування,
виявлення та переслідування кримінальних злочинів, або виконання кримінальних
покарань, включаючи захист від загроз та запобігання загрозам громадської
безпеки. Це актуально, наприклад, у сфері боротьби з відмиванням грошей, або
діяльністю криміналістичних лабораторій.
(20) Хоча цей Регламент застосовується, зокрема, до діяльності судів та інших судових
органів, законодавство Союзу або Країни Члена може встановлювати операційні
процедури обробки та процедури обробки даних, пов'язаних з обробкою
персональних даних судами та іншими судовими органами. Компетенція
наглядових органів не повинна включати обробку персональних даних, коли суди
діють у своїй судовій функції, з метою забезпечення незалежності судової влади
при виконанні своїх судових функцій, включаючи прийняття рішень. Повинна
існувати можливість доручити нагляд за такими операціями з обробки даних
окремим органам судової системи Країни Члена, які, зокрема, повинні забезпечити
дотримання правил цього Регламенту, посилити обізнаність членів судової влади з
їхніми зобов'язаннями відповідно до цього Регламенту та розглядати скарги щодо
таких операцій з обробки даних.
(21) Цей Регламент не обмежує застосування Директиви 2000/31/ЄС Європейського
Парламенту та Ради2, зокрема правил відповідальності постачальників послуг, які є
посередниками, що окреслені у статтях 12-15 Директиви. Ця Директива
спрямована на сприяння належному функціонуванню внутрішнього ринку шляхом
забезпечення вільного переміщення послуг інформаційного суспільства між
Країнами Членами.
1 Директива Європейського Парламенту та Ради (ЄС) 2016/680 від 27 квітня 2016 року про захист фізичних
осіб щодо обробки персональних даних компетентними органами з метою розслідування, запобігання,
виявлення та переслідування кримінальних правопорушень, або виконання кримінальних покарань та
вільне переміщення таких даних та скасування Рамкового рішення Ради 2008/977 / JHA (див. стор. 89 цього
Офіційного вісника).
2 Директива 2000/31 / ЄС Європейського Парламенту та Ради від 8 червня 2000 р. Про деякі правові аспекти
послуг інформаційного суспільства, зокрема електронної комерції, на внутрішньому ринку (Директива про
електронну торгівлю) (ОВ L 178, 17.7.2000, р. 1)

8. 8
(22) Будь-яка обробка персональних даних у контексті діяльності головного офісу
контролера, або обробника в Союзі, повинна здійснюватися відповідно до цього
Регламенту, незалежно від того, чи відбувається сам процес обробки в межах
Союзу. Створення головного офісу передбачає ефективне та реальне здійснення
діяльності шляхом сталих схем. Правова форма таких угод – чи через філію, чи
через дочірню компанію, яка має статус окремої юридичної особи, не є
визначальним фактором у цьому відношенні.
(23) З метою забезпечення того, щоб фізичні особи не були позбавлені захисту, на який
вони мають право відповідно до цього Регламенту, обробка персональних даних
суб'єктів даних, які перебувають у Союзі, контролерами або обробниками, які не
зареєстровані у Союзі, підпадає під дію цього Регламенту, коли діяльність з
обробки пов'язана із пропозицією товарів чи послуг таким суб'єктам даних
незалежно від того, чи вони пов'язані з оплатою. Щоб визначити, чи такий
контролер, або обробник пропонує товари, або послуги суб'єктам даних, які
знаходяться в Союзі, необхідно з'ясувати, чи є очевидним, що цей контролер або
обробник передбачає пропозицію надання послуг суб'єктам даних в одній, або
кількох Країнах Членах в Союзі. Самої лиш доступності веб-сайту контролера,
обробника, або посередника в Союзі, адреси електронної пошти, або інших
контактних даних, або використання мови чи валюти, яка в основному
використовується в тій країні, де зареєстровано контролера, недостатньо для
з'ясування таких намірів, але такі фактори, як використання мови, або валюти, що
звичайно використовуються в одній, або декількох Країнах Членах, з можливістю
замовлення товарів і послуг на тій чи іншій мові, або згадка про клієнтів або
користувачів, які знаходяться в Союзі, можуть доводити очевидність того, що
контролер передбачає можливість пропонувати товари чи послуги суб'єктам даних
в Союзі.
(24) Обробка персональних даних суб'єктів даних, що знаходяться у Союзі, контролером
або обробником, зареєстрованими не у Союзі, також має підпадати під дію цього
Регламенту, якщо це стосується здійснення моніторингу діяльності таких суб'єктів
даних настільки, наскільки їхня діяльність ведеться всередині Союзу. Щоб
визначити, чи можна розглядати процес обробки даних як такий, що здійснюється
для моніторингу діяльності суб'єктів даних, слід з’ясувати, чи відстежуються
фізичні особи в Інтернеті, включаючи можливість подальшого використання
методів обробки персональних даних, які полягають у профілюванні фізичної
особи, зокрема щоб прийняти рішення стосовно неї, або для аналізу чи
прогнозування її або його особистих уподобань, поведінки та ставлення.
(25) Якщо законодавство Країн Членів застосовується на підставі міжнародного
публічного права, цей Регламент також повинен застосовуватися до контролера,
зареєстрованого не в Союзі, наприклад, у дипломатичній місії або консульській
установі Країни Члена.
(26) Принципи захисту даних повинні застосовуватися до будь-якої інформації про
ідентифіковану фізичну особу чи фізичну особу, яку можна ідентифікувати.
Персональні дані, які пройшли псевдонімізацію, які можуть бути віднесені до
фізичної особи шляхом використання додаткової інформації, повинні розглядатися
як інформація про ідентифіковану фізичну особу. Щоб визначити, чи може фізична
особа бути ідентифікована, слід враховувати всі засоби, які обґрунтовано можуть
бути використані, наприклад, виділення чи то контролером, чи то іншою особою з
метою безпосередньої чи опосередкованої ідентифікації фізичної особи. Для того,
щоб з'ясувати, чи цілком можливо використовувати засоби для ідентифікації

9. 9
фізичної особи, слід враховувати всі об'єктивні фактори, такі як витрати та
кількість часу, необхідного для ідентифікації, з урахуванням наявних технологій на
момент проведення обробки та технологічних напрацювань. Тому принципи
захисту даних не повинні застосовуватися до анонімної інформації, а саме
інформації, яка не стосується ідентифікованої фізичної особи чи фізичної особи, яку
можна ідентифікувати, чи до персональних даних, наданих анонімним шляхом так,
що суб'єкт даних не може бути ідентифікований, або його більше не можна
ідентифікувати. Тому цей Регламент не стосується обробки такої анонімної
інформації, в тому числі для статистичних, або дослідницьких цілей.
(27) Цей Регламент не застосовується до персональних даних померлих осіб. Країни
Члени можуть встановлювати правила щодо обробки персональних даних
померлих осіб.
(28) Застосування псевдонімізації до персональних даних може зменшити ризик для
відповідних суб'єктів даних та допомогти контролерам і обробникам виконувати
свої зобов'язання щодо захисту даних. Чітке введення "псевдонімізації" у цей
Регламент не покликане перешкоджати будь-яким іншим заходам захисту даних.
(29) Для того, щоб створити стимули для застосування псевдонімізації при обробці
персональних даних, заходи псевдонімізації повинні, крім того, що дозволяють
загальний аналіз, бути доступними в межах одного контролера, коли цей
контролер вжив технічних та організаційних заходів, необхідних для забезпечення,
в рамках відповідної обробки, реалізації цього Регламенту і окремого збереження
додаткової інформації щодо віднесення персональних даних до конкретного
суб'єкта даних. Контролер, що обробляє персональні дані, повинен вказати
уповноважених осіб в межах одного контролера.
(30) Фізичні особи можуть асоціюватися з онлайн-ідентифікаторами, які надають їхні
пристрої, додатки, інструменти та протоколи, такі як адреси Інтернет-протоколу
(IP), ідентифікатори cookie, або інші ідентифікатори, наприклад теги визначення
радіочастот. Це може залишити сліди, які, зокрема, у поєднанні з унікальними
ідентифікаторами та іншою інформацією, отриманою серверами, можуть бути
використані для створення профілів фізичних осіб та їхньої ідентифікації.
(31) Органи державної влади, які розкривають персональні дані відповідно до
законного обов'язку для виконання своєї офіційної місії, такі як податкові та митні
органи, підрозділи фінансових розслідувань, незалежні адміністративні органи або
органи фінансового ринку, відповідальні за регулювання та нагляд за ринками
цінних паперів, не повинні розглядатися як одержувачі, якщо вони отримують
персональні дані, необхідні для виконання конкретного запиту в загальних
інтересах, відповідно до законодавства Союзу чи Країни Члена. Запити про
розголошення, що надсилаються державними органами, завжди повинні бути у
письмовому вигляді, бути обґрунтованими та нерегулярними, і не повинні
стосуватися всієї системи обліку документів, або вести до об’єднання систем обліку
документів. Обробка персональних даних цими органами повинна відповідати
чинним правилам захисту даних у відповідності до цілей обробки.
(32) Згода повинна надаватися у вигляді чітко стверджувальної заяви, що встановлює
вільно надану, конкретну, обґрунтовану та однозначну вказівку на згоду суб'єкта
даних на обробку персональних даних, пов'язаних з ним/нею, наприклад,
письмової заяви, в тому числі електронними засобами, або усної заяви. Це може
включати в себе проставлення „галочки” під час відвідування веб-сайту, вибір

10. 10
технічних налаштувань для послуг інформаційного суспільства чи інше
твердження чи поведінка, які чітко вказують у цьому контексті, що суб'єкт даних
приймає запропоновану обробку його або її персональних даних. Тож мовчання,
попередньо відзначені квадратики чи бездіяльність не повинні вважатися згодою.
Згода повинна стосуватися всієї діяльності з обробки, яка здійснюється з тією ж
ціллю, або цілями. Якщо обробка має декілька цілей, то для них всіх потрібно
надати згоду. Якщо згода суб'єкта даних надається за запитом, поданим
електронними засобами, то запит має бути чітким, лаконічним і таким, що без
необхідності не припиняє використання послуги, щодо якої він надається.
(33) Часто неможливо повністю визначити мету обробки персональних даних у
наукових цілях на момент збирання даних. Тому суб'єктам даних слід надати
можливість надавати згоду на певні напрямки наукових досліджень, якщо вони
відповідають визнаним етичним стандартам наукових досліджень. Суб'єкти даних
повинні мати можливість дати свою згоду лише для певних сфер досліджень або
окремих частин дослідницьких проектів у межах, дозволених за призначенням.
(34) Генетичні дані слід визначати як персональні дані, що стосуються успадкованих чи
набутих генетичних характеристик фізичної особи, які з’являються при аналізі
біологічного зразка відповідної фізичної особи, зокрема, хромосомної,
дезоксирибонуклеїнової кислоти (ДНК), або рибонуклеїнової кислоти (РНК), або
аналізу іншого елемента, що дозволяє отримати еквівалентну інформацію.
(35) Персональні дані стосовно охорони здоров'я повинні включати всі дані, що
стосуються стану здоров'я суб'єкта даних, який розкриває інформацію, що
стосується минулого, теперішнього чи майбутнього фізичного, або психічного
стану суб'єкта даних. Це включає в себе інформацію про фізичну особу, яку було
зібрано під час реєстрації для отримання медичних послуг чи під час надання
медичних послуг, як зазначено в Директиві 2011/24/ЄС Європейського Парламенту
та Ради1 , до цієї фізичної особи; номер, символ чи якась деталь, призначені
фізичній особі для її унікального визначення як фізичної особи в медичних цілях;
інформацію, отриману в результаті аналізу чи вивчення частини тіла, або тілесної
речовини, у тому числі від генетичних даних та біологічних зразків; і будь-яку
інформацію про хворобу, інвалідність, ризик захворювання, історію хвороби,
клінічне лікування або фізіологічний чи біомедичний стан суб'єкта даних,
незалежно від джерела, наприклад, чи це лікар, чи інший медичний працівник,
лікарня, медичний прилад чи діагностичний аналіз у пробірці.
(36) Головною організацією контролера в Союзі повинно бути місце його центрального
управління в Союзі, якщо рішення про цілі та засоби обробки персональних даних
не приймаються в іншій організації контролера в Союзі, оскільки в такому випадку
цю іншу організацію слід вважати головною організацією. Головна організація
контролера в Союзі повинна визначатися відповідно до об'єктивних критеріїв і має
включати ефективне та реальне здійснення управлінської діяльності, що визначає
основні рішення щодо цілей та засобів обробки шляхом сталих схем. Цей критерій
не повинен залежати від того, чи здійснюється обробка персональних даних у
цьому місці. Наявність та використання технічних засобів і технологій для обробки
персональних даних, або діяльність з обробки самі по собі не визначають головну
організацію і, отже, не визначають критерії головної організації. Головна
організація обробника повинна бути місцем його центрального управління в Союзі,
1 Директива 2011/24 / ЄС Європейського Парламенту та Ради від 9 березня 2011 р. про застосування права
пацієнтів на транскордонне медичне обслуговування (ОВ L 88, 4.4.2011, стор. 45).

11. 11
або якщо він не має центрального управління в Союзі, то місцем, де здійснюється
основна діяльність з обробки в Союзі. У випадках, пов'язаних і з контролером, і з
обробником, компетентним наглядовим органом повинен залишатися наглядовий
орган Країни Члена, в якому розташована головна організація контролера, але
наглядовим органом обробника повинен вважатися зацікавлений наглядовий
орган, і наглядовий орган повинен брати участь у процедурі співробітництва,
передбаченої цим Регламентом. У будь-якому випадку наглядові органи Країни
Члена або Країн Членів, де обробник має одну чи більше організацій, не слід
розглядати як зацікавлені наглядові органи, якщо проект рішення стосується лише
контролера. Якщо обробка здійснюється групою підприємств, головною
організацією контролюючого підприємства слід вважати головну організацію
групи підприємств, за винятком випадків, коли цілі та засоби обробки
визначаються іншою компанією.
(37) Група підприємств повинна охоплювати контролююче підприємство та його
контрольовані підприємства, згідно з якими контролююча компанія повинна бути
суб'єктом господарювання, який може здійснювати домінуючий вплив на інші
підприємства в силу, наприклад, власності, фінансової участі чи правил, які
керують нею, або права застосовувати правила захисту персональних даних.
Підприємство, яке контролює обробку персональних даних у підприємствах, що
входять до нього, слід розглядати разом з цими підприємствами як групу
підприємств.
(38) Діти заслуговують на особливий захист їхніх персональних даних, оскільки вони
можуть бути менш обізнаними з відповідними ризиками, наслідками та
гарантіями, а також своїми правами стосовно обробки персональних даних. Такий
особливий захист слід, зокрема, застосовувати до використання персональних
даних про дітей для цілей маркетингу чи створення профілів осіб чи користувачів
та збору персональних даних щодо дітей при використанні послуг, що
пропонуються безпосередньо дитині. Згода особи, що несе батьківську
відповідальність, не повинна бути необхідною в контексті профілактичних та
консультаційних послуг, що пропонуються безпосередньо дитині.
(39) Будь-яка обробка персональних даних має бути законною та справедливою. Для
фізичних осіб повинно бути прозорим те, що персональні дані щодо них
збираються, використовуються, беруться до уваги, або обробляються іншим
способом, і якою мірою їхні персональні дані вже обробляються, або будуть
оброблятися. Принцип прозорості вимагає, щоб будь-яка інформація та
повідомлення, пов'язані з обробкою цих персональних даних, були легко
доступними та легко зрозумілими, а також щоб використовувалася чітка та
зрозуміла мова. Цей принцип стосується, зокрема, інформації, яка надається
суб'єктам даних про особу контролера та цілі обробки, а також додаткової
інформації, спрямованої на забезпечення чесної та прозорої обробки стосовно
відповідних фізичних осіб та їхнього права на отримання підтвердження та
повідомлення про їхні персональні дані, які обробляються. Фізичні особи повинні
бути проінформовані про ризики, правила, гарантії та права щодо обробки
персональних даних та способів реалізації своїх прав щодо такої обробки. Зокрема,
конкретні цілі, для яких обробляються персональні дані, повинні бути чітко
визначеними, законними та визначатися під час збору персональних даних.
Персональні дані повинні бути адекватними, релевантними та обмежуватись тим,
що необхідно для цілей, для яких вони обробляються. Це вимагає, зокрема,
забезпечення того, щоб період зберігання персональних даних обмежувався строго

12. 12
мінімальним. Персональні дані слід обробляти лише в тому випадку, якщо ціль
обробки не може бути обґрунтовано досягнута іншими засобами. Для того, щоб
персональні дані не зберігалися довше, ніж це необхідно, контролер повинен
встановити граничні строки для їхнього видалення, або періодичного перегляду.
Слід докласти усіх розумних зусиль для того, щоб виправляти чи видаляти неточні
персональні дані. Персональні дані повинні оброблятися таким чином, щоб
гарантувати належну безпеку та конфіденційність персональних даних, у тому
числі для запобігання несанкціонованого доступу до персональних даних, або
використання персональних даних та обладнання, яке використовується для їхньої
обробки.
(40) Для того, щоб обробка була законною, персональні дані повинні оброблятися на
підставі згоди суб'єкта даних, або на іншій законній основі, встановленій законом,
чи цим Регламентом, або законодавством Союзу, або законодавством Країни Члена,
зазначеними в цьому Регламенті, включаючи необхідність дотримання
юридичного зобов'язання, під дію якого підпадає контролер, або необхідність
виконання договору, стороною якого є суб'єкт даних, або для вжиття заходів за
запитом суб'єкта даних до укладення договору.
(41) У випадках, коли цей Регламент посилається на правову основу, або законодавчу
мету, це не обов'язково вимагає законодавчого акту, прийнятого парламентом, без
шкоди для вимог, що відповідають конституційному порядку відповідної Країни
Члена. Проте, така правова основа або законодавчі заходи повинні бути ясними та
чіткими, а її застосування має бути передбачуваним для осіб, які їй підлягають,
відповідно до прецедентного права Суду Справедливості Європейського Союзу
("Суд Справедливості") та Європейського Суду з Прав Людини.
(42) У випадках, якщо обробка здійснюється на підставі згоди суб'єкта даних, контролер
повинен мати можливість продемонструвати, що суб'єкт даних дав згоду на
обробку даних. Зокрема, в контексті письмової декларації з іншого питання,
гарантії повинні забезпечити, щоб суб'єкт даних знав про те, на що і в якій мірі
дається згода. Відповідно до Директиви Ради 93/13 / ЄЕС1 декларація про згоду,
підготована контролером, повинна бути надана у зрозумілій та легкодоступній
формі, використовуючи чітку та зрозумілу мову, і не повинна містити
несправедливих умов. Для того щоб повідомити про згоду суб'єкт даних повинен
знати хто виступатиме контролером та цілі обробки персональних даних, для яких
ці дані призначені. Згода не повинна розглядатися як надана добровільно, якщо
суб'єкт даних не має справжнього, або вільного вибору, або не може баз шкоди
відмовитися або відкликати згоду.
(43) З метою забезпечення того, що згода надана добровільно, згода не повинна
надавати дійсних правових підстав для обробки персональних даних у випадку,
коли існує чіткий дисбаланс між суб'єктом даних та контролером, зокрема, якщо
контролер є державним органом, і тому навряд чи така згода була надана
добровільно у всіх обставинах цієї конкретної ситуації. Передбачається, що згода не
є добровільно наданою, якщо вона не дозволяє надавати окрему згоду на різні
операції з обробки персональних даних, незважаючи на те, що вона підходить у
конкретному випадку, або якщо виконання договору, включаючи надання послуги,
залежить від згоди, незважаючи на те, що така згода не є необхідною для такого
виконання.
1 Директива Ради 93/13/ЄС від 5 квітня 1993 р. Про несправедливі умови у споживчих договорах (OJ L 95,
21.4.1993, p.29 )

13. 13
(44) Обробка повинна бути законною, якщо це необхідно в контексті договору, або у
намірі укласти договір.
(45) Якщо обробка здійснюється відповідно до юридичного зобов'язання, якому
підпорядковується контролер, або якщо обробка необхідна для виконання
завдання, що здійснюється в інтересах суспільства, або в здійсненні державних
повноважень, обробка повинна базуватися на законі Союзу, або Країни Члена. Цей
Регламент не вимагає спеціального закону для кожної окремої обробки. Закон
може слугувати основою для виконання декількох операцій з обробки на підставі
юридичного зобов'язання, якому підпорядковується контролер, або якщо обробка
необхідна для виконання завдання, що виконується в інтересах суспільства, або в
здійсненні державних повноважень. Також закон Союзу, або Країни Члена має
визначити мету обробки. Крім того, цей закон міг би уточнювати загальні умови
цього Регламенту, визначаючи законність обробки персональних даних,
встановлювати функціональні вимоги для визначення контролера, тип
персональних даних, що підлягають обробці, суб'єкти даних, дані яких можуть бути
розкриті, організації, яким персональні дані можуть розкриватися, обмеження
мети, термін зберігання та інші заходи для забезпечення законної та справедливої
обробки. Слід також, щоб закон Союзу чи Країни Члена визначав, чи повинен
контролер, який виконує завдання, що здійснюється в інтересах громадськості, або
здійснює державні повноваження, бути державним органом, або іншою фізичною
чи юридичною особою, яка регулюється публічним правом, або, якщо робити це в
інтересах громадськості, в тому числі в цілях життєзабезпечення, таких як охорона
здоров’я, соціальний захист та медичні послуги, чи підпорядковуватися
приватному праву, так як професійна асоціація.
(46) Обробка персональних даних також повинна розглядатися як законна, коли це
необхідно для захисту інтересу, який є суттєвим для життя суб'єкта даних, або
інформації іншої фізичної особи. Обробка персональних даних на основі життєво
важливих інтересів іншої фізичної особи, в принципі, має місце лише тоді, коли
обробка не може бути явно заснована на іншій законодавчій основі. Деякі види
обробки можуть бути як важливими підставами суспільного інтересу, так і життєво
важливими інтересами суб'єкта даних, наприклад, коли обробка необхідна для
гуманітарних цілей, у тому числі для моніторингу епідемій та їх поширення, або в
ситуаціях гуманітарних надзвичайних ситуацій, зокрема в ситуаціях природніх та
техногенних катастроф.
(47) Законні інтереси контролера, у тому числі контролера, якому можуть бути розкриті
персональні дані, або третій стороні, можуть створювати законодавчу основу для
обробки, за умови, що вони не мають переважаючої сили над інтересами, або
основними правами та свободами суб'єкта даних, беручи до уваги розумні
очікування суб'єктів даних, виходячи з їх відносин з контролером. Такий законний
інтерес може існувати, наприклад, у випадку, коли між суб'єктом даних та
контролером існують відповідні відносини у ситуаціях, коли суб'єкт даних є
клієнтом, або працює для контролера. У будь-якому разі існування законного
інтересу потребує ретельної оцінки, в тому числі, чи може суб'єкт даних
обґрунтовано очікувати, що обробка персональних даних здійснюватиметься для
вказаної мети. Інтереси та основні права суб'єкта даних можуть, зокрема, мати
переважаючу силу над інтересом контролера даних, якщо персональні дані
обробляються в умовах, коли суб'єкти даних обґрунтовано не очікують подальшої
обробки. Враховуючи те, що законодавець зобов’язаний на рівні законодавчого
акту передбачити законодавчу базу для державних органів щодо обробки

14. 14
персональних даних, ця правова база не повинна застосовуватися по відношенню
до обробки державними органами при виконанні ними своїх завдань. Обробка
персональних даних, необхідна в цілях запобігання шахрайству, також є законним
інтересом відповідного контролера даних. Обробка персональних даних для цілей
адресного маркетингу може розглядатися як така, що відповідає законному
інтересу.
(48) Контролери, які є частиною групи підприємств, або установ, що входять до
центрального органу, можуть мати законний інтерес щодо передачі персональних
даних у рамках групи підприємств для внутрішніх адміністративних цілей,
включаючи обробку персональних даних клієнтів, або працівників. Загальні
принципи передачі персональних даних у межах групи підприємств до
підприємства, розташованого у третій країні, залишаються незмінними.
(49) Обробка персональних даних органами державної влади, центрами реагування на
комп’ютерні надзвичайні події (CERTs), центрами реагування на інциденти,
пов’язані з комп’ютерною безпекою (CSIRTs), постачальниками електронних
комунікаційних мереж і послуг, а також постачальниками технологій та послуг по
забезпеченню безпеки є законним інтересом відповідного контролера даних в тому
обсязі, необхідному та пропорційному для забезпечення безпеки мережі та
інформаційної безпеки, тобто спроможності мережі або інформаційної системи
протистояти, при певному рівні впевненості, випадковим подіям, незаконним, або
шкідливим діям, що компрометують доступність, автентичність, цілісність та
конфіденційність збережених, або переданих персональних даних, а також безпеку
відповідних служб, що надаються або доступні через ці мережі та системи.
(50) Обробка персональних даних для цілей, відмінних від тих, для яких спочатку були
зібрані персональні дані, повинна бути дозволена лише тоді, коли обробка є
сумісною з цілями, для яких спочатку збирались персональні дані. У такому
випадку правова база не відрізняється від тієї, що вимагає збір персональних
даних. Якщо обробка необхідна для виконання завдання, що виконується в
інтересах суспільства, або при здійсненні офіційних повноважень контролера, то
законодавство Союзу або Країни Члена може визначити завдання та цілі, для яких
слід розглядати подальшу обробку як сумісну та законну. Подальша обробка для
цілей архівації в інтересах суспільства, наукових чи історичних дослідницьких
цілей, або в статистичних цілях повинна розглядатися як сумісна законна обробка
операцій. Правова база, передбачена законодавством Союзу, або Країною Членом
для обробки персональних даних, також може бути правовою підставою для
подальшої обробки. Для того, щоб з'ясувати, чи цілі подальшої обробки є сумісними
з ціллю, для якої спочатку збираються персональні дані, контролер, відповідаючи
всім вимогам щодо законності первісної обробки, повинен враховувати, зокрема:
будь-який зв'язок між цими цілями та цілями передбачуваної подальшої обробки;
контекст, в якому були зібрані персональні дані, зокрема, розумні очікування
суб'єктів даних на основі їх стосунків з контролером щодо їхнього подальшого
використання; характер персональних даних; наслідки передбачуваної подальшої
обробки для суб'єктів даних; а також наявність належних гарантій як в
початковому, так і у планованому процесі подальшої обробки.
Коли суб'єкт даних дав згоду, або обробка здійснюється на основі законодавства
Союзу або Країни Члена, що є необхідною та пропорційною мірою в
демократичному суспільстві, для забезпечення, зокрема, важливих цілей, що
становлять загальні суспільні інтереси, контролеру слід дозволити подальший
процес обробки персональних даних незалежно від сумісності цілей. У будь-якому

15. 15
випадку слід забезпечити застосування принципів, викладених у цьому Регламенті,
зокрема інформування суб'єкта даних про вказані інші цілі, а також про його або її
права, включаючи право на заперечення. Вказівки контролера щодо можливих
злочинних дій, або загрози громадській безпеці та передача відповідних
персональних даних в окремих випадках, або у кількох випадках, пов'язаних із
одним і тим же злочинним діянням, або загрозами суспільній безпеці
компетентному органу, слід розглядати, як законний інтерес контролера. Проте
така передача в законних інтересах контролера, або подальша обробка
персональних даних повинна бути заборонена, якщо обробка несумісна з законним,
професійним чи іншим зобов'язанням збереження конфіденційності.
(51) Персональні дані, які за своєю природою особливо чутливі щодо основних прав та
свобод, заслуговують на особливий захист, оскільки контекст їх обробки може
створювати значні ризики для основних прав та свобод. Ці персональні дані
повинні включати в себе персональні дані, що розкривають расове чи етнічне
походження, при цьому використання терміну "расове походження" в цьому
Регламенті не означає, що Союз підтримує підходи, які намагаються визначити
існування окремих людських рас. Обробка фотографій не повинна систематично
розглядатися як обробка спеціальних категорій персональних даних, оскільки вони
охоплюються визначенням біометричних даних, лише якщо вони обробляються за
допомогою спеціальних технічних засобів, що дозволяють унікальну
ідентифікацію, або автентифікацію фізичної особи. Такі персональні дані не
повинні оброблятися за винятком випадків, якщо обробка дозволена у окремих
випадках, передбачених цим Регламентом, приймаючи до уваги, що законодавство
Країн Членів може встановлювати конкретні положення про захист даних, щоб
адаптувати застосування норм Регламенту по відношенню до дотримання
законодавчих зобов’язань чи виконання завдань, що здійснюються в інтересах
суспільства чи при здійсненні офіційних повноважень, покладених на контролера.
На додаток до конкретних вимог до такої обробки, повинні застосовуватися
загальні принципи та інші вимоги цього Регламенту, зокрема щодо умов
законності обробки. Вилучення із загальної заборони на обробку таких особливих
категорій персональних даних повинні бути чітко передбачені, в тому числі, якщо
суб'єкт даних дає свою явну згоду, або по відношенню до конкретних потреб,
зокрема, якщо обробка здійснюється в процесі законної діяльності конкретних
асоціацій чи фондів, метою яких є забезпечення виконання основних свобод.
(52) Виключення із заборони на обробку особливих категорій персональних даних
також повинні бути дозволені, якщо це передбачено законодавством Союзу, або
Країн Членів і володіють відповідними гарантіями захисту персональних даних та
інших основних прав, якщо це виправдано суспільними інтересами, зокрема,
обробка персональних даних у сфері трудового законодавства, закону про
соціальний захист, включаючи пенсії та охорону здоров'я, цілі моніторингу та
попередження, або боротьбу з інфекційними захворюваннями та іншими
серйозними загрозами здоров'ю. Таке виключення може бути зроблено з метою
охорони здоров'я, включаючи охорону здоров'я та управління медичними
послугами, особливо для забезпечення якості та економічної ефективності методів,
що використовуються для врегулювання претензій на пільги та послуги в системі
медичного страхування, або для цілей архівації у суспільних інтересах, для
наукових, або історичних досліджень, або для статистичних цілей. Виключення
може бути здійснено для обробки персональних даних, необхідної для
обґрунтування, виконання чи оскарження позовних вимог, в рамках судової
процедури чи в рамках адміністративних, чи позасудових процедур.

16. 16
(53) Особливі категорії персональних даних, які вимагають більш високого рівня
захисту, повинні оброблятися для цілей, пов'язаних з охороною здоров'я, лише там,
де це необхідно для досягнення цих цілей в інтересах фізичних осіб та суспільства в
цілому, в тому числі в контексті управління медичними та соціальними послугами
і, включно з обробкою таких даних з боку керівництва та центральних органів
охорони здоров'я з метою контролю якості, інформації про управління та
загальнодержавного, та місцевого нагляду за системою охорони здоров'я, або
соціальної допомоги, а також забезпечення безперервності медичного
обслуговування чи соціального забезпечення, а також транскордонного медичного
обслуговування чи з метою забезпечення безпеки, моніторингу та профілактики
захворювань, а також для цілей архівації в інтересах суспільства, наукових або
історичних дослідницьких цілей, або в статистичних цілях на основі законодавства
Союзу, або Країни Члена, що повинно відповідати цілям, що становлять суспільний
інтерес у сфері охорони здоров'я. Тому цей Регламент повинен передбачати
узгоджені умови для обробки спеціальних категорій персональних даних стосовно
здоров'я, осіб, що підпадають під юридичне зобов'язання щодо професійної
таємниці. Законодавство Союзу або Країни Члена повинно передбачати спеціальні
та прийнятні заходи для захисту основних прав та персональних даних фізичних
осіб. Країнам Членам слід дозволяти підтримувати, або запроваджувати додаткові
умови, включаючи обмеження щодо обробки генетичних даних, біометричних
даних чи даних стосовно здоров'я. Однак це не повинно перешкоджати вільному
потоку персональних даних в межах Союзу, коли ці умови застосовуються до
транскордонної обробки таких даних.
(54) З причин суспільного інтересу в сферах охорони здоров'я, обробка спеціальних
категорій персональних даних може бути необхідною без згоди суб'єкта даних.
Така обробка повинна здійснюватися у відповідності до прийнятних та конкретних
заходів для захисту прав та свобод фізичних осіб. У цьому контексті "суспільна
охорона здоров'я" повинна тлумачитися як визначена в Регламенті (ЄС) №
1338/2008 Європейського Парламенту та Ради1, а саме всі елементи, що стосуються
здоров'я, а саме стан здоров'я, включаючи захворювання та інвалідність, фактори,
що впливають на стан здоров'я, потреби в охороні здоров'я, ресурси, що
виділяються на охорону здоров'я, надання медичного обслуговування та загальний
доступ до них, а також витрати на охорону здоров'я та фінансування і причини
смертності. Така обробка даних, що стосується здоров'я, з причин суспільного
інтересу не повинна призводити до того, що персональні дані будуть оброблятися
для інших цілей третіми особами, такими як роботодавці або страхові та банківські
компанії.
(55) Разом з цим, обробка персональних даних офіційними органами з метою
досягнення цілей, встановлених конституційним, або міжнародним публічним
законодавством офіційно визнаних релігійних об'єднань, здійснюється на підставі
суспільних інтересів.
(56) У випадку якщо в ході передвиборчої діяльності функціонування демократичної
системи у Країні Члені вимагає, щоб політичні партії збирали персональні дані
щодо політичних поглядів людей, обробка таких даних може бути дозволена з
міркувань суспільного інтересу, за умови встановлення відповідних гарантій.
1 Постанова (ЄС) № 1338/2008 Європейського Парламенту та Ради від 16 грудня 2008 р. Про статистику
Співтовариства щодо здоров'я населення та охорони здоров'я та безпеки праці (OJ L 354, 31.12.2008, р. 70).

17. 17
(57) Якщо персональні дані, що обробляються контролером, не дозволяють
контролерові ідентифікувати фізичну особу, контролер даних не зобов'язаний
отримувати додаткову інформацію для визначення суб'єкта даних з єдиною метою
дотримання будь-якого положення цього Регламенту. Проте контролер не повинен
відмовлятись прийняти додаткову інформацію, надану суб'єктом даних, з метою
здійснення своїх прав. Ідентифікація повинна включати в себе цифрову
ідентифікацію суб'єкта даних, наприклад, через механізм автентифікації, таку ж як
ті облікові дані, що використовуються суб'єктом даних для входу в онлайновий
сервіс, запропонований контролером даних.
(58) Принцип прозорості вимагає, щоб будь-яка інформація, адресована громадськості,
або суб'єктам даних, була стислою, легко доступною та зрозумілою, а також
використовувалася чітка та зрозуміла мова та додатково, де це доречно,
використовувалася візуалізація. Така інформація може бути надана в електронній
формі, наприклад, якщо вона адресована громадськості, через веб-сайт. Це має
особливе значення в ситуаціях, коли внаслідок великої кількості учасників і
технологічна складність практики ускладнюють вивчення та розуміння суб'єктами
даних того, хто і для чого збирає персональні дані, що стосуються його/її, або
пов’язані з його/її особою, таких як у випадку інтернет-реклами. Враховуючи, що
діти заслуговують на особливий захист, будь-яка інформація та повідомлення, де
обробка адресована дитині, повинні бути такою чіткою та зрозумілою мовою, яку
дитина може легко зрозуміти.
(59) Необхідно передбачити умови для полегшення здійснення прав суб'єкта даних
відповідно до цього Регламенту, включаючи механізми для запиту та, якщо це
можливо, безкоштовно отримувати, зокрема, доступ, виправлення, або стирання
персональних даних та здійснення права на заперечення. Контролер повинен
також забезпечувати інструменти для надсилання запитів електронним способом,
особливо там, де персональні дані обробляються електронними засобами.
Контролер повинен бути зобов'язаним відповідати на запити суб'єкта даних без
зайвої затримки і не пізніше одного місяця, а також вказувати причини, коли
контролер не має наміру виконувати будь-які такі запити.
(60) Принципи чесної та прозорої обробки вимагають, щоб суб'єкт даних був
поінформований про наявність процесу з обробки та його цілі. Контролер повинен
надавати суб'єкту даних будь-яку додаткову інформацію, необхідну для
забезпечення чесної та прозорої обробки, з урахуванням конкретних обставин і
контексту, в якому обробляються персональні дані. Крім того, суб'єкт даних
повинен бути поінформований про складання профілю та про наслідки такого
профілювання. У випадках, коли персональні дані збираються у суб'єкта даних, сам
суб'єкт даних також повинен бути поінформований про те, чи зобов'язаний
він/вона надавати персональні дані та наслідки, у випадку їх ненадання. Ця
інформація може бути надана у поєднанні зі стандартизованими графічними
позначеннями, щоб дати у легко помітний, зрозумілий та чітко розбірливий спосіб,
загальне представлення передбачуваної обробки. Якщо графічні представлення
подаються в електронному вигляді, вони повинні бути машино зчитуваними.
(61) Інформація стосовно обробки персональних даних, що стосуються суб'єкта даних,
повинна надаватися йому/їй в момент збирання у суб'єкта даних або, якщо
персональні дані отримуються з іншого джерела, в межах розумного періоду,
залежно від обставин справи. Якщо персональні дані можуть бути законним чином
розкриті іншому одержувачу, суб'єкт даних повинен бути поінформований, коли
персональні дані вперше будуть розкриватися одержувачу. Якщо контролер має

18. 18
намір обробляти персональні дані для цілей, відмінних від тієї, для якої вони були
зібрані, контролер повинен надавати суб'єкту даних інформацію відносно такої
іншої цілі, а також іншу необхідну інформацію. Якщо походження персональних
даних не може бути надане суб'єкту даних, оскільки використовувались різні
джерела, повинна бути надана загальна інформація.
(62) Проте, необов'язково встановлювати обов'язок надавати інформацію, коли суб'єкт
даних вже володіє інформацією, коли запис чи розголошення персональних даних
чітко визначено законом, або якщо надання інформації суб'єкту даних виявиться
неможливим, або спричинить непропорційні зусилля. Останнє, зокрема, може бути
випадком, коли обробка здійснюється для цілей архівації в інтересах суспільства,
наукових або історичних дослідницьких цілей, або в статистичних цілях. У цьому
відношенні слід враховувати кількість суб'єктів даних, вік даних та будь-які
відповідні запобіжні заходи.
(63) Суб'єкт даних повинен мати право доступу до персональних даних, які були зібрані
стосовно нього/неї, і це право повинне здійснюватися безперешкодно та з
визначеною періодичністю з метою отримання інформацію про обробку і перевірки
законності обробки. Це охоплює право суб'єктів даних мати доступ до даних щодо
їх здоров'я, наприклад, даних в їх медичних документах, що містять інформацію,
таку як діагнози, результати обстежень, спостереження лікуючих лікарів та
відомості про будь-яке лікування чи втручання. Тому кожен суб'єкт даних повинен
мати право знати та отримувати повідомлення, зокрема щодо цілей, за якими
обробляються персональні дані, де це можливо, період, протягом якого
обробляються персональні дані, одержувачі персональних даних, логіка алгоритму
автоматичної обробки персональних даних і, наслідки такої обробки, якщо вона
базується на складанні профілю. Наскільки це можливо, контролер повинен мати
можливість надавати віддалений доступ до безпечної системи, яка зможе надати
суб'єкту даних прямий доступ до його або її персональних даних. Це право не
повинно негативно впливати на права та свободи інших, включаючи комерційну
таємницю чи інтелектуальну власність, зокрема авторське право, яке захищає
програмне забезпечення. Проте, результат цих міркувань не повинен бути
відмовою надавати всю інформацію суб'єкту даних. Якщо контролер обробляє
велику кількість інформації стосовно суб'єкта даних, контролер повинен мати
змогу, запросити суб’єкта даних уточнити інформацію чи вид її обробки, до якого
відноситься запит.
(64) Контролер повинен використовувати всі прийнятні заходи для перевірки та
підтвердження особи суб'єкта даних, який запитує доступ, зокрема в контексті
онлайнових послуг та онлайн-ідентифікаторів. Контролер не повинен зберігати
персональні дані з єдиною метою, щоб він міг реагувати на потенційний запит.
(65) Суб'єкт даних повинен мати право виправляти свої персональні дані та "право бути
забутими", коли зберігання таких даних порушує вимоги цього Регламенту чи
законодавство Союзу, або Країни Члена, яке застосовується до контролера.
Зокрема, суб'єкт даних повинен мати право на видалення його/її персональних
даних і на те, щоб його/її персональні дані більше не оброблялися, якщо
персональні дані більше не є необхідними щодо цілей, для яких вони збиралися чи
іншим чином оброблялися, коли суб'єкт даних відкликав його/ її згоду, або
заперечує проти обробки персональних даних, що стосуються його/її, або якщо
обробка його/її персональних даних іншим чином не відповідає вимогам цього
Регламенту. Це право має суттєве значення, зокрема, якщо суб'єкт даних дав його/її
згоду будучи дитиною і повністю не міг усвідомлювати ризики, пов’язані з

19. 19
обробкою, а пізніше хоче видалити такі персональні дані, особливо в Інтернеті.
Суб'єкт даних повинен мати можливість використовувати це право, незважаючи на
те, що він/вона більше не є дитиною. Проте подальше збереження персональних
даних має бути законним, якщо це необхідно для здійснення права на свободу
вираження поглядів та розповсюдження інформації, дотримання юридичних
зобов’язань, виконання завдання, що виконується в інтересах суспільства,
здійснення офіційних повноважень наданих контролеру на підставі суспільних
інтересів у сфері охорони здоров'я, для цілей архівування, в інтересах суспільства,
наукових, або історичних дослідницьких чи статистичних цілей, або для
обґрунтування, виконання чи оскарження позовних вимог.
(66) Щоб посилити право бути забутими в онлайн-середовищі, право на видалення
даних також повинно розширюватися таким чином, щоб контролер, який
опублікував персональні дані, був зобов’язаний повідомити контролерів, які
обробляють такі персональні дані, видалити будь-які посилання, копії чи дублікати
цих персональних даних. При цьому цей контролер повинен приймати відповідні
кроки з урахуванням наявних технологій та засобів, доступних для контролера,
включаючи технічні заходи, щоб проінформувати контролерів, які обробляють
персональні дані запиту суб'єкта даних.
(67) Методи, за допомогою яких обмежується обробка персональних даних, можуть
включати, зокрема, тимчасове переміщення вибраних даних в іншу систему
обробки, при цьому вибрані персональні дані повинні бути недоступні для
користувачів, або повинно забезпечуватися тимчасове видалення опублікованих
даних з веб-сайту. У автоматизованих системах обліку обмеження обробки в
принципі повинно забезпечуватися технічними засобами таким чином, щоб
персональні дані не підлягали подальшій обробці і не могли бути змінені. Той факт,
що обробка персональних даних обмежена, повинен бути явно вказаний у системі.
(68) Для подальшого посилення контролю над його/її даними у випадку, коли обробка
персональних даних виконується за допомогою автоматизованих засобів, суб'єкт
даних повинен також мати можливість отримувати персональні дані стосовно
нього/неї, що він/вона надав контролеру у структурованому, широко
використовуваному, машино зчитуваному та сумісному форматі для передачі їх
іншому контролеру. Контролерів даних слід заохочувати розробляти сумісні
формати, що забезпечують портативність даних. Це право повинно
застосовуватися, коли суб'єкт даних надавав персональні дані на підставі його або
її згоди, або обробка необхідна для виконання договору. Як наслідок, воно не
повинне застосовуватися, якщо обробка здійснюється на юридичній підставі, не
пов’язаній із згодою чи договором. За своїм характером це право не повинно
застосовуватися проти контролерів, які обробляють персональні дані, при
виконанні своїх публічних обов'язків. Як наслідок, воно не повинне
застосовуватися, якщо обробка персональних даних є необхідною для дотримання
юридичного зобов'язання, що застосовується до контролера, або для виконання
завдання, що виконується в інтересах суспільства, або при здійсненні офіційних
повноважень, що належать контролеру. Право суб'єкта даних передавати або
отримувати персональні дані, що стосуються його/її, не повинно створювати
зобов'язання для контролерів приймати, або підтримувати технічно сумісні
системи обробки. Там, де в певному наборі персональних даних, відповідно більше
одного об'єкта даних, право на отримання персональних даних має здійснюватися
без шкоди для прав і свобод інших суб'єктів даних у відповідності до цього
Регламенту. Крім того, це право не повинно перешкоджати праву суб'єкта даних на

20. 20
видалення персональних даних і обмеження цього права, як зазначено в цьому
Регламенті, і, зокрема, не повинно означати видалення персональних даних
стосовно суб'єкта даних, які були надані ним/нею для виконання договору в тій
мірі і до тих пір, доки персональні дані необхідні для виконання цього договору.
Якщо це технічно можливо, суб'єкт даних повинен мати право передавати
персональні дані безпосередньо від одного контролера до іншого.
(69) Якщо персональні дані можуть бути оброблені законно, оскільки обробка
необхідна для виконання завдання, що виконується в інтересах суспільства, або
при здійсненні офіційних повноважень контролера чи на підставі законних
інтересів контролера, або третьої особи, суб'єкт даних повинен мати право на
заперечення обробки будь-яких персональних даних, що стосуються його/її
конкретної ситуації. Контролер повинен продемонструвати, що його переконливі
законні інтереси мають переважаючу силу над інтересами, або основними правами
та свободами суб'єкта даних.
(70) Якщо персональні дані обробляються для цілей адресного маркетингу, суб'єкт
даних повинен мати право на заперечення такої обробки в будь-який час і
безкоштовно, включаючи складання профілю, у тій мірі, в якій це пов'язано з таким
адресним маркетингом, незалежно чи це первинна, або подальша обробка. Це право
має бути чітко доведено до відома суб'єкта персональних даних, а також
представлено у чіткій формі, обов’язково окремо від будь-якої іншої інформації.
(71) Суб'єкт даних повинен мати право не підкорятися дії рішення, яке може включати в
себе заходи, що оцінюють особисті аспекти, пов'язані з ним/нею, а також базуються
виключно на автоматизованій обробці та створюють юридичні наслідки щодо
нього/неї чи аналогічним чином значно впливають на нього/неї, наприклад, на
автоматичну відмову від онлайн-заявки на отримання кредиту чи практики
електронного рекрутингу без будь-якого втручання людини. Така обробка включає
в себе створення профілю, що складається з будь-якої форми автоматичної обробки
персональних даних, що оцінює особисті аспекти, пов'язані з фізичною особою,
зокрема для аналізу та прогнозування аспектів, що стосуються результатів роботи
суб'єкта даних на роботі, економічної ситуації, здоров'я, особистих переваг,
інтересів, надійності, поведінки, місця розташування чи пересування, якщо це
спричиняє юридичні наслідки, пов'язані з ним/нею чи подібно цьому значно
впливає на нього/неї. Однак прийняття рішень на основі такої обробки, включаючи
створення профілю, повинно бути дозволено там, де це безпосередньо дозволено
законодавством Союзу чи Країни Члена, якому підпорядковується контролер, у
тому числі для цілей моніторингу, запобігання шахрайству, ухиляння від сплати
податків, що проводяться відповідно до регламентів, стандартів та
рекомендаціями установ Союзу, або національних наглядових органів, а також
забезпечення безпеки та надійності послуги, наданої контролером, чи якщо це
необхідно для вступу, або виконання договору між суб'єктом даних та
контролером, чи коли суб'єкт даних дав його чи її явну згоду. У будь-якому випадку
така обробка повинна здійснюватися із відповідними гарантіями, які повинні
містити конкретне інформування суб'єкта даних та право на втручання людини,
щодо висловлення своєї точки зору, отримати пояснення рішення, прийнятого
після такої оцінки і оскаржити це рішення. Така міра не повинна стосуватися
дитини.
З метою забезпечення чесної та прозорої обробки даних суб'єкта з урахуванням
конкретних обставин і контексту при обробці персональних даних, контролер
повинен використовувати відповідні математичні або статистичні методи для

21. 21
створення профілю, застосовувати технічні та організаційні заходи, які б
забезпечували, що фактори, які призводять до неточності у персональних даних,
були виправлені та ризик виникнення помилок зводився до мінімуму, що
персональні дані захищаються таким чином, який враховує потенційні ризики,
пов'язані з інтересами та правами суб'єкта даних, і що запобігає, зокрема,
дискримінаційному впливу на фізичних осіб на основі расової чи етнічної
приналежності, політичних поглядів, релігії чи переконань, членства в
профспілках, генетичної схильності, стану здоров'я, або сексуальної орієнтації чи
не допустити прийняття таких заходів, які можуть мати такий вплив.
Автоматизоване прийняття рішень та створення профілю на основі особливих
категорій персональних даних допускаються лише за певних умов.
(72) Створення профілю регулюється нормами цього Регламенту, які регулюють процес
обробки персональних даних, в тому числі юридичні підстави для обробки чи
принципи захисту даних. Європейська Рада з Захисту Даних, заснована у
відповідності до цього Регламенту (далі - "Рада"), повинна мати можливість давати
вказівки у цьому контексті.
(73) Обмеження, що стосуються конкретних принципів та прав на отримання
інформації, доступу до даних та виправлення чи видалення персональних даних,
права на портативність даних, права на заперечення, рішення, що ґрунтуються на
профілізації, а також повідомлення про порушення персональних даних суб'єкту
даних та певні пов'язані з ним зобов'язання контролера можуть бути встановлені
законодавством Союзу, або Країни Члена, наскільки це необхідно і пропорційно у
демократичному суспільстві для забезпечення громадської безпеки, включаючи
захист людського життя, особливо у відповідь на природні лиха, або техногенні
катастрофи, для запобігання і розслідування правопорушень, і кримінальних
переслідувань, або виконання кримінальних покарань, включаючи попередження
загроз суспільній безпеці чи порушення етики регульованих професій, інші важливі
цілі, що становлять загальний інтерес Союзу, або Країни Члена, зокрема важливий
економічний або фінансовий інтерес Союзу, або Країни Члена, ведення публічних
реєстрів, що зберігаються з міркувань суспільного інтересу, подальша обробка
архівних персональних даних для надання конкретної інформації, пов'язаної з
політичною поведінкою колишніх тоталітарних державних режимів, або захистом
суб'єкта даних, чи прав та свобод інших осіб, включаючи соціальний захист,
охорону здоров'я та гуманітарні цілі. Ці обмеження повинні відповідати вимогам,
викладеним у Хартії та Європейській конвенції про захист прав людини та
основних свобод.
(74) Повинні бути встановлені обов'язки та відповідальність контролера за будь-яку
обробку персональних даних контролером чи від його імені. Зокрема, контролер
повинен бути зобов'язаний вживати належні та ефективні заходи і бути здатним
продемонструвати відповідність виконаних ним заходів до цього Регламентом,
включаючи ефективність цих заходів. Ці заходи повинні враховувати характер,
обсяг, контекст та цілі обробки та ризик для прав та свобод фізичних осіб.
(75) Ризик для прав і свобод фізичних осіб, що мають різну ймовірність та серйозність,
може бути результатом обробки персональних даних, яка може призвести до
фізичної, матеріальної чи нематеріальної шкоди, зокрема: якщо обробка може
привести до дискримінації, крадіжки персональних даних чи шахрайства з ними,
фінансових втрат, втрати репутації, порушення конфіденційності персональних
даних, що захищаються професійною таємницею, несанкціоноване скасування
псевдонімізації, або будь-які інші значні економічні або соціальні втрати; у

22. 22
випадку, коли суб'єкти даних можуть бути позбавлені своїх прав та свобод чи
можливості контролювати свої персональні дані; якщо обробляються персональні
дані, які розкривають расове чи етнічне походження, політичні погляди, релігію,
або філософські переконання, членство в профспілках та генетичні дані, дані про
здоров'я чи про сексуальне життя, або кримінальні судимості та правопорушення,
або відповідні заходи безпеки; якщо оцінюються особисті аспекти, зокрема аналіз
чи прогнозування, що стосуються ефективності трудової діяльності, економічної
ситуації, здоров'я, особистих уподобань чи інтересів, надійності, поведінки, місця
розташування чи пересування, з метою створення чи використання персональних
профілів; коли обробляються персональні дані вразливих фізичних осіб, зокрема
дітей; коли обробка передбачає велику кількість персональних даних і впливає на
велику кількість суб'єктів даних.
(76) Ймовірність та серйозність ризику для прав і свобод суб'єкта даних має
визначатися з урахуванням характеру, обсягу, контексту та цілей обробки. Ризик
повинен оцінюватися на основі об'єктивної оцінки, за якою встановлюється, чи
пов'язані операції з обробки даних з ризиком чи високим ризиком.
(77) Керівництво щодо виконання відповідних заходів та підтвердження їх дотримання
контролером або обробником, особливо стосовно ідентифікації ризику, пов'язаного
з обробкою, їх оцінкою з точки зору походження, характеру, ймовірності та
серйозності; визначення найкращих практик для зменшення ризику можуть бути
забезпечені, зокрема, за допомогою схвалених кодексів поведінки, затверджених
сертифікатів, директивних вказівок, що надаються Радою, або вказівок, наданих
офіцером із захисту персональних даних. Рада також може видати директивні
вказівки щодо операцій з обробки, які з малою ймовірністю призведуть до високих
ризиків для прав і свобод фізичних осіб, і вказують, які заходи можуть бути
достатніми для таких випадків для усунення цього ризику.
(78) Захист прав і свобод фізичних осіб стосовно обробки персональних даних вимагає
проведення відповідних технічних та організаційних заходів для забезпечення
дотримання вимог цього Регламенту. Для того, щоб бути в змозі продемонструвати
відповідність до цього Регламенту, контролер повинен прийняти внутрішні
політики та впровадити заходи, які за замовчуванням відповідають принципам
захисту даних при проектуванні та за замовчуванням. Такі заходи можуть містити,
зокрема, мінімізацію обробки персональних даних, якнайшвидшу їх
псевдонімізацію, прозорість щодо методів та обробки персональних даних, надання
суб'єктам даних можливості контролювати обробку їх даних, надаючи
контролерові можливість створювати та покращувати засоби безпеки. Під час
розробки, проектування, виборі та використанні додатків, послуг та продуктів, які
базуються на обробці персональних даних, або їх обробці для виконання їх завдань,
виробникам продуктів, послуг та додатків слід враховувати право на захист даних
при розробці та проектуванні таких продуктів, послуг та додатків, а також, з
урахуванням сучасного технологічного розвитку, зробити усе необхідне, щоб
переконатись, що контролери та обробники здатні виконувати свої зобов'язання
щодо захисту даних. Принципи захисту даних при проектуванні та за
замовчуванням повинні враховуватися в контексті публічних тендерів.
(79) Захист прав та свобод суб'єктів даних, а також відповідальність та зобов’язання
контролерів та обробників, у тому числі щодо моніторингу та заходів наглядових
органів, вимагає чіткого розподілу обов'язків відповідно до цього Регламенту,
включаючи випадки, коли контролер визначає цілі та засоби обробки спільно з
іншими контролерами, або коли здійснюється обробка від імені контролера.

23. 23
(80) Якщо контролер або обробник, не зареєстрований у Союзі, обробляє персональні
дані суб'єктів даних, які знаходяться в Союзі, обробка яких пов'язана з наданням
пропозиції щодо товарів або послуг, незалежно від оплати суб'єкта даних, то для
таких суб'єктів даних в Союзі, або для моніторингу їхньої діяльності, оскільки їхня
діяльність відбувається всередині Союзу, контролер або обробник повинен
призначити представника, окрім випадків, коли обробка є нерегулярною, не
включає масштабну обробку окремих категорій персональних даних, або обробку
персональних даних, що стосуються кримінальних переконань та правопорушень, і
навряд чи призведе до ризику для прав і свобод фізичних осіб з урахуванням
характеру, контексту, обсягу та цілей обробки, чи коли контролер є державною
установою, або органом. Представник повинен діяти від імені контролера, або
обробника, і до нього може звертатися будь-який наглядовий орган. Представник
повинен бути чітко визначений письмовим мандатом контролера, або обробника,
який діє від свого імені у стосунку до своїх зобов'язань за цим Регламентом.
Призначення такого представника не впливає на відповідальність контролера, або
обробника відповідно до цього Регламенту. Такий представник повинен
виконувати свої завдання відповідно до мандата, отриманого від контролера, або
обробника, включаючи співпрацю з компетентними наглядовими органами
стосовно будь-яких дій, спрямованих на забезпечення дотримання цього
Регламенту. Зазначений представник повинен підлягати застосуванню
виконавчого провадження з боку контролера чи обробника у випадку
недотримання цього Регламенту.
(81) Щоб забезпечити відповідність вимогам цього Регламенту стосовно обробки, яка
повинна здійснюватися обробником від імені контролера, у разі передачі прав
обробнику на діяльність з обробки, контролер повинен використовувати тільки
обробників, що забезпечують достатні гарантії, зокрема, з погляду експертних
знань, надійності та ресурсів, здійснювати технічні та організаційні заходи, які
відповідають вимогам цього Регламенту, в тому числі для гарантування безпеки
обробки. Дотримання обробником затвердженого кодексу поведінки або
затвердженого механізму сертифікації може бути використано як елемент для
демонстрації дотримання зобов'язань контролера. Здійснення діяльності з обробки
обробником повинно регулюватися договором, або іншим законодавчим актом
відповідно до законодавства Союзу або Країни Члена, що забезпечує прив’язку
обробника до контролера, визначає предмет і тривалість обробки, характер та цілі
обробки, тип персональних даних та категорії суб'єктів даних, з урахуванням
конкретних завдань і обов’язків обробника в контексті обробки, яку слід здійснити,
та ризику для прав і свобод суб'єкта даних. Контролер та обробник можуть
використовувати окремий договір чи стандартні договірні положення, прийняті
безпосередньо Комісією або наглядовим органом відповідно до механізму
узгодженості, а потім затверджені Комісією. Після завершення обробки від імені
контролера обробник повинен, на розсуд контролера, повернути або видалити
персональні дані, якщо не існує вимоги зберігати персональні дані відповідно до
законодавства Союзу або Країни Члена, дотриманню якого обробник підлягає.
(82) Для того, щоб продемонструвати відповідність цьому Регламенту, контролер чи
обробник повинен вести облік операцій з обробки, за які він несе відповідальність.
Кожен контролер і обробник зобов'язані співпрацювати з наглядовим органом та
зробити ці записи, на запит, доступними, щоб вони могли служити для моніторингу
цих процесів обробки.

24. 24
(83) З метою гарантування безпеки та запобігання обробці даних із порушенням цього
Регламенту, контролер або обробник повинен оцінювати ризики, притаманні
обробці, та вживати заходи з пом'якшення таких ризиків, наприклад, шифрування.
Ці заходи повинні гарантувати належний рівень безпеки, включаючи
конфіденційність, з урахуванням поточної ситуації та витрат, пов'язаних із
впровадженням, у зв'язку з ризиками та характером персональних даних, що
підлягають захисту. При оцінці ризику для безпеки даних слід враховувати ризики,
що виникають при обробці персональних даних, таких як випадкове, або незаконне
знищення, втрата, зміна, несанкціоноване розголошення чи доступ до
персональних даних, які передані, зберігаються або обробляються іншим чином, а
також тих, які можуть зокрема, призвести до фізичної, матеріальної чи
нематеріальної шкоди.
(84) З метою покращення дотримання цього Регламенту, у випадку коли процеси
обробки можуть призвести до високого ризику для прав та свобод фізичних осіб,
контролер повинен нести відповідальність за проведення оцінки наслідків для
захисту даних, щоб оцінити, зокрема, походження, характер, особливості та ступінь
цього ризику. Результати оцінки повинні враховуватися при визначенні
відповідних заходів, що мають бути вжиті, щоб продемонструвати, що обробка
персональних даних відповідає цьому Регламенту. Якщо оцінка наслідків для
захисту даних вказує на те, що процеси обробки пов'язані з високим ризиком, який
контролер не може пом'якшити за допомогою відповідних заходів з огляду на
наявні технології та витрати на здійснення, слід до початку обробки
проконсультуватися із наглядовим органом.
(85) Витік персональних даних може, якщо не буде усунений відповідним та своєчасним
способом, призвести до завдання фізичної, матеріальної чи нематеріальної шкоди
фізичним особам, таких як втрата контролю над їхніми персональними даними, або
обмеження їхніх прав, дискримінація, крадіжка ідентифікаційних даних чи
шахрайство, фінансові втрати, несанкціоноване скасування псевдонімізації,
завдання шкоди репутації, втрата конфіденційності персональних даних,
захищених професійною таємницею, або будь-які інші значні економічні збитки чи
соціальна шкода для відповідної фізичної особи. Тому, як тільки контролеру стане
відомо, що стався витік персональних даних, контролер повинен повідомити
наглядовий орган про витік персональних даних без необґрунтованих затримок і,
наскільки це можливо, не пізніше, ніж через 72 години після того, як це йому стало
відомо, окрім випадків, коли контролер здатний продемонструвати, згідно з
принципом підзвітності, що цей витік обробки персональних даних навряд чи може
привести до будь-якої загрози та ризику для прав і свобод фізичних осіб. Якщо таке
повідомлення не може надано протягом 72 годин, у повідомленні слід зазначити
причини затримки і інформація може надаватися поетапно без жодних зайвих
зволікань.
(86) Контролер повинен повідомляти суб'єкту даних про витік його персональних
даних без зайвої затримки, коли такий витік персонального даних, ймовірно,
призведе до високого ризику для прав і свобод фізичної особи, з тим щоб
дозволити йому/їй вжити необхідні запобіжні заходи. У повідомленні слід описати
характер витоку персональних дані, а також надати рекомендації відповідної
фізичної особі з метою пом'якшення потенційних негативних наслідків. Такі
повідомлення суб'єктам даних слід надавати якомога швидше, наскільки це
можливо, і в тісному співробітництві з наглядовим органом, поважаючи вказівки,
надані ним або іншими відповідними органами, такими як правоохоронні органи.

25. 25
Наприклад, необхідність пом’якшити безпосередній ризик завдання шкоди вимагає
негайної комунікації з суб'єктами даних, тоді як необхідність вжиття відповідних
заходів проти тривалих, або подібних витоків щодо персональних даних може
вимагати присвячення більше часу для такої комунікації.
(87) Слід пересвідчитися, чи були вжиті усі відповідні технологічні та організаційні
заходи, щоб негайно визначити, чи стався витік персональних даних та негайно
повідомити наглядовий орган і суб'єкта даних. Те, чи повідомлення було надано
без зайвої затримки, встановлюється з урахуванням, зокрема, характеру та
серйозності витоку персональних даних та негативних наслідків витоку для
суб'єкта даних. Таке повідомлення може спричинити втручання з боку наглядового
органу відповідно до його завдань та повноважень, викладених у цьому Регламенті.
(88) При розробці детальних правил, що стосуються формату і процедур, які
застосовуються до сповіщення про витік персональних даних, необхідно приділяти
належну увагу обставинам такого витоку, в тому числі, чи були персональні дані
захищені за допомогою відповідних технічних заходів захисту, що, таким чином,
дієво обмежило ймовірність шахрайського використання персональних даних або
інших форм зловживання. Крім того, такі правила та процедури повинні
враховувати законні інтереси правоохоронних органів, коли раннє розкриття може
негативно позначитися на розслідуванні обставин витоку персональних даних.
(89) Директива 95/46/ЄС передбачала загальне зобов'язання повідомляти наглядові
органи про обробку персональних даних. Це зобов'язання створює адміністративні
та фінансові труднощі, але не завжди сприяє покращенню захисту персональних
даних. Тож такі невибіркові загальні зобов'язання щодо сповіщення слід скасувати
і замінити ефективними процедурами та механізмами, які зосереджуються,
натомість, на тих видах операцій з обробки, які можуть призвести до високого
ризику для прав та свобод фізичних осіб в силу їхнього характеру, сфери
застосування, контексту та цілі. До таких типів операцій обробки можуть належати
ті операції, які, зокрема, полягають у використанні нових технологій або технологій
нового виду, і щодо яких контролер раніше не здійснював оцінку наслідків для
захисту даних, або у випадку, якщо у них виникає необхідність, у світлі того,
скільки часу пройшло з моменту первинної обробки.
(90) У таких випадках контролер повинен проводити оцінку наслідків для захисту
даних перед обробкою, щоб оцінити конкретну ймовірність та ступінь загрози
виникнення високого рівня ризику, беручи до уваги характер, масштаб, контекст та
цілі обробки і джерела ризику. Ця оцінка наслідків повинна включати, зокрема,
заходи, гарантії та механізми, передбачені для пом'якшення цього ризику,
забезпечення захисту персональних даних та демонстрації відповідності цьому
Регламенту.
(91) Це слід, зокрема, застосовувати до операцій масштабної обробки, які спрямовані на
обробку значної кількості персональних даних на регіональному, національному
або наднаціональному рівнях і які можуть вплинути на велику кількість суб'єктів
даних, а також, ймовірно, призвести до високих ризиків, наприклад, внаслідок їх
вразливості, коли відповідно до досягнутого стану технологічних знань широко
використовується нова технологія, а також інші процеси обробки, що призводять
до високого ризику для прав і свобод суб'єктів даних, зокрема, коли ці операції
ускладнюють здійснення суб'єктами даних своїх прав. Оцінка впливу на захист
даних має також проводитися там, де персональні дані обробляються для
прийняття рішень стосовно конкретних фізичних осіб після будь-якої

26. 26
систематичної та широкої оцінки особистих аспектів, пов'язаних з фізичними
особами, на основі опису цих даних, або після обробки спеціальних категорій
персональних даних, біометричних даних, або даних про кримінальні покарання та
правопорушення чи відповідні заходи безпеки. Оцінка впливу на захист даних
однаково потрібна для моніторингу широко доступних сфер, особливо при
використанні оптико-електронних пристроїв, або для будь-яких інших операцій,
коли компетентний наглядовий орган вважає, що обробка може призвести до
високого ризику для прав і свобод суб'єктів даних, зокрема, через те, що вони не
дозволяють суб'єктам даних здійснювати право чи користуватись послугою чи
договором, чи тому, що вони здійснюються систематично у великих масштабах.
Обробка персональних даних не повинна розглядатися як масштабна, якщо
обробка стосується персональних даних пацієнтів, або клієнтів і здійснюється
окремим лікарем, іншим медичним працівником, або адвокатом. У таких випадках
оцінка впливу на захист даних не повинна бути обов'язковою.
(92) Є обставини, за яких може бути розумним та економічно доцільним, щоб суб'єкт
оцінки наслідків для захисту даних виходив за межі одного проекту, наприклад,
якщо державні органи або органи мають намір встановити загальний додаток чи
платформу для обробки, або ж якщо декілька контролерів планують запровадити
загальний додаток чи середовище обробки в галузевому секторі або сегменті, або
для горизонтальної діяльності, яка ведеться у широких масштабах.
(93) В контексті впровадження закону Країни Члена, на основі якого здійснюється
виконання завдань державного органу і який регулює конкретний вид обробки,
або комплекс операцій, Країни Члени можуть вважати за необхідне здійснити таку
оцінку перед процесом обробки.
(94) Якщо оцінка наслідків для захисту даних вказує на те, що обробка даних, за
відсутності гарантій, заходів та механізмів безпеки, спрямованих на пом'якшення
ризику, призведе до високого ризику для прав та свобод фізичних осіб, а контролер
вважає, що ризик не може бути пом'якшений за допомогою розумних засобів з
погляду наявних технологій та витрат на реалізацію, то слід проконсультуватися
щодо доцільності початку обробки даних із наглядовим органом. Такий високий
ризик, ймовірно, може бути результатом певних видів обробки та їхнього обсягу і
частоти обробки, які можуть призвести до завдання шкоди або втручання у права і
свободи фізичної особи. Наглядовий орган повинен відповісти на запит про
надання консультації протягом визначеного терміну. Проте відсутність реакції з
боку наглядового органу протягом цього періоду не означає відмову від будь-якого
втручання з боку наглядового органу відповідно до його завдань і повноважень,
визначених у цьому Регламенті, включаючи право заборонити операції з обробки. У
рамках цієї процедури консультування результати оцінки наслідків для захисту
даних, що здійснюється по відношенню до конкретної обробки, можуть бути
передані наглядовому органові, зокрема, щодо заходів, передбачених для
пом'якшення ризику для прав та свобод фізичних осіб.
(95) Обробник повинен допомагати контролеру, де це необхідно та на вимогу,
забезпечити дотримання зобов'язань, що випливають із проведення оцінки
наслідків для захисту даних та у випадку попередньої консультації з наглядовим
органом.
(96) Консультування із наглядовим органом також повинно відбуватися під час
підготовки законодавчого акту або нормативного заходу, який передбачає обробку

27. 27
персональних даних, з метою забезпечення відповідності передбаченої обробки
цьому Регламенту та, зокрема, для пом'якшення ризику для суб'єкта даних.
(97) Якщо обробку здійснює державний орган, крім судів, або незалежних судових
органів, коли вони діють у своїй судовій функції, якщо, у приватному секторі,
обробку здійснює контролер, основні види діяльності якого – це операції з обробки,
які вимагають регулярного та систематичного моніторингу суб'єктів даних у
великих масштабах, або якщо основні види діяльності контролера або обробника –
це масштабна обробка спеціальних категорій персональних даних та даних, що
стосуються кримінальних вироків та правопорушень, то особа з експертними
знаннями про законодавство та практику захисту даних повинна допомогти
контролеру або обробнику контролювати внутрішнє дотримання цього
Регламенту. У приватному секторі основні види діяльності контролера стосуються
його первинної діяльності і не пов'язані з обробкою персональних даних як
допоміжної діяльності. Необхідний рівень експертних знань слід визначати,
зокрема, відповідно до операцій з обробки даних, що проводяться, та захисту,
необхідного для персональних даних, які обробляє контролер або обробник. Такі
відповідальні за захист даних, незалежно від того, чи є вони працівниками
контролера, чи ні, повинні мати можливість виконувати свої обов’язки і завдання
незалежно.
(98) Асоціації чи інші органи, що представляють категорії контролерів або обробників,
слід заохочувати складати кодекси поведінки в межах цього Регламенту, задля
того, щоб сприяти ефективному застосуванню цього Регламенту, враховуючи
специфіку обробки, що здійснюється в певних секторах, та специфічні потреби
мікро-, малих та середніх підприємств. Зокрема, такі кодекси поведінки можуть
визначати зобов'язання контролерів та обробників, з урахуванням ризику, який
може зумовити обробка ними даних для прав та свобод фізичних осіб.
(99) При складанні кодексу поведінки, або при внесенні змін до нього чи розширенні
такого кодексу, асоціації та інші органи, що представляють категорії контролерів
або обробників, повинні консультуватися із відповідними зацікавленими
сторонами, включаючи суб'єктів даних де це можливо, і враховувати отримані
матеріали та думки, виражені у відповідь на такі консультації.
(100) З метою підвищення прозорості та дотримання цього Регламенту слід заохочувати
створення механізмів сертифікації та захисних пломб і знаків, оскільки це дозволяє
суб'єктам даних швидко оцінювати рівень захисту даних відповідних товарів і
послуг.
(101) Для розширення міжнародної торгівлі та міжнародного співробітництва необхідні
потоки персональних даних до країн, що не входять до Союзу та з них, і
міжнародних організацій. Посилення таких потоків викликало нові виклики та
проблеми щодо захисту персональних даних. Однак коли персональні дані
передаються з Союзу контролерам, обробникам або іншим одержувачам у третіх
країнах або міжнародним організаціям, то рівень захисту фізичних осіб, який
забезпечується в Союзі цим Регламентом, не слід послаблювати, у тому числі у
випадках подальшої передачі персональних даних з третіх країн, або від
міжнародних організацій контролерам, обробникам в тій самій чи іншій третій
країні, або міжнародній організації. У будь-якому випадку така передача до третіх
країн та міжнародних організацій може здійснюватися тільки в повній
відповідності до цього Регламенту. Передача даних може відбутися лише в тому
випадку, якщо, при дотриманні інших положень цього Регламенту, контролер чи

28. 28
обробник виконує умови, викладені в положеннях цього Регламенту стосовно
передачі персональних даних третій країні або міжнародній організації.
(102) Цей Регламент не скасовує міжнародних угод, укладених між Союзом та третіми
країнами, що регулюють передачу персональних даних, включаючи відповідні
гарантії для суб'єктів даних. Країни Члени можуть укладати міжнародні угоди, які
передбачають передачу персональних даних третім країнам, або міжнародним
організаціям, якщо такі угоди не впливають на цей Регламент чи будь-які інші
положення законодавства Союзу та включають належний рівень захисту
основоположних прав суб'єктів даних.
(103) Комісія може прийняти рішення, дійсне для всього Союзу, про те, що третя країна,
територія або окреслений сектор у третій країні, або міжнародна організація
забезпечує належний рівень захисту даних, таким чином забезпечуючи правову
визначеність та однорідність у всьому Союзі щодо третьої країни чи міжнародної
організації, яка, як вважається, забезпечує належний рівень захисту. У таких
випадках передача персональних даних цій третій країні або міжнародній
організації може здійснюватися без необхідності отримання будь-яких додаткових
дозволів. Комісія може також прийняти рішення, повідомивши третю країну чи
міжнародну організацію заявою із зазначенням причин, скасування такого
рішення.
(104) Відповідно до фундаментальних цінностей, на яких заснований Союз, зокрема,
захисту прав людини, Комісія повинна, при оцінці третьої країни, або території чи
певного сектору в межах однієї третьої країни, враховувати, наскільки певна третя
країна поважає верховенство права, доступ до правосуддя, міжнародні норми і
стандарти в галузі прав людини, а також її загальне і галузеве право, включаючи
законодавство щодо громадської безпеки, оборони та національної безпеки,
громадського порядку, а також кримінальне право. При прийнятті рішення про
адекватність заходів стосовно території або певного сектора у третій країні слід
враховувати чіткі і об'єктивні критерії, такі як конкретний вид обробки та обсяг
застосовних юридичних стандартів і законів, які діють у третій країні. Третя країна
повинна запропонувати гарантії, що забезпечують адекватний рівень захисту,
суттєво еквівалентний тому, який забезпечується в межах Союзу, зокрема, коли
персональні дані обробляються в одному чи кількох окремих секторах. Зокрема,
третя країна повинна забезпечити ефективний незалежний моніторинг захисту
даних і повинна передбачати механізми співпраці з органами, відповідальними за
захист даних Країн Членів. Суб'єктам даних слід забезпечити дієві та належні права,
а також ефективне адміністративне та судове відшкодування.
(105) Окрім міжнародних зобов'язань, які взяла на себе третя країна чи міжнародна
організація, Комісія повинна враховувати зобов'язання, що випливають з участі
третьої країни чи міжнародної організації у багатосторонніх або регіональних
системах, зокрема, тих, які стосуються захисту персональних даних, і виконання
таких зобов'язань. Зокрема, слід врахувати приєднання третьою країною до
Конвенції Ради Європи від 28 січня 1981 року про захист осіб у зв’язку з
автоматизованою обробкою персональних даних та її Додаткового протоколу.
Комісія повинна проконсультуватися з Радою при оцінці рівня захисту в третіх
країнах, або міжнародних організаціях.
(106) Комісія повинна контролювати виконання рішень щодо рівня захисту в третій
країні, території або визначеному секторі у межах третьої країни, або у
міжнародній організації та здійснювати моніторинг виконання рішень, прийнятих

29. 29
на підставі статті 25 (6) або статті 26 (4) Директиви 95/46/ЄС. У своїх рішеннях
щодо достатності заходів Комісія повинна передбачити механізм періодичного
перегляду їхнього виконання. Періодичний огляд слід проводити, консультуючись
із третьою країною, або міжнародною організацією, про яку йдеться, та
враховувати усі відповідні події в третій країні, або міжнародній організації. Для
цілей здійснення моніторингу та періодичних оглядів Комісія повинна враховувати
думки і висновки Європейського Парламенту та Ради, а також інших відповідних
органів та джерел. Комісія повинна впродовж розумного строку оцінити виконання
останніх рішень та повідомляти про відповідні висновки Комітету у розумінні
Регламенту (ЄС) № 182/2011 Європейського Парламенту і Ради1, як визначено цим
Регламентом, Європейському Парламенту і Раді.
(107) Комісія може визнати, що третя країна, територія, або певний сектор у межах
третьої країни, або міжнародна організація більше не забезпечує належного рівня
захисту даних. Отже, передача персональних даних до цієї третьої країни, або
міжнародної організації повинні бути заборонені, якщо не виконуються вимоги
цього Регламенту, що стосуються передачі даних, на які поширюються відповідні
гарантії, включаючи корпоративні правила із зобов’язуючою силою і відхилення
для конкретних ситуацій. У такому випадку слід передбачити положення щодо
консультацій між Комісією і такими третіми країнами, або міжнародними
організаціями. Комісія повинна своєчасно інформувати третю країну, або
міжнародну організацію про причини та вступити з ними в переговори з метою
виправлення ситуації.
(108) За відсутності рішення про достатність заходів контролер, або обробник повинні
вжити заходів для компенсації недостатності захисту даних у третій країні шляхом
надання відповідних гарантій суб'єкту даних. Такі відповідні гарантії можуть
полягати у застосуванні корпоративних правил із зобов’язуючою силою, стандартів
положень про захист даних, прийнятих Комісією, стандартних положень щодо
захисту даних, прийнятих наглядовим органом, або договірними положеннями,
затвердженими уповноваженим наглядовим органом. Ці гарантії повинні
забезпечувати дотримання вимог щодо захисту даних, що підлягають обробці в
межах Союзу, включаючи наявність прав, що підлягають застосуванню, та
ефективних засобів правового захисту, включаючи дотримання чинного
адміністративного права, або судового відшкодування і право вимагати
відшкодування в Союзі або в третій країні. Вони повинні стосуватися зокрема
дотримання загальних принципів, що стосуються обробки персональних даних.
Передача також може здійснюватися між державними органами з іншими
державними органами в третіх країнах, або з міжнародними організаціями, що
мають відповідні обов'язки, або функції, на підставі положень, що мають бути
включені до адміністративних домовленостей, таких як Меморандум про
взаєморозуміння, що передбачає чинні права суб'єктів даних, які підлягають
застосуванню. Слід отримати авторизацію від компетентного наглядового органу,
якщо гарантії передбачені для адміністративних домовленостей, що не мають
зобов’язуючої юридичної сили.
(109) Можливість контролера, або обробника використовувати стандартні положення
щодо захисту даних, прийняті Комісією або наглядовим органом, не повинна
перешкоджати тому, щоб контролери, або обробники включали стандартні
1 Постанова (ЄС) No 182/2011 Європейського Парламенту та Ради від 16 лютого 2011, що встановлює правила
і загальні принципи, що стосуються механізмів контролю з боку Країн Членів за виконанням Комісією
виконавчих повноважень (OJ L 55, 28.2.2011, p. 13)

30. 30
положення захисту даних у ширший договір, наприклад, договір між обробником
та іншим обробником, а також додавали інші статті, або додаткові гарантії, за
умови, що вони не суперечать прямо або опосередковано, стандартним договірним
положенням, прийнятим Комісією, або наглядовим органом, або зачіпають
основоположні права і свободи суб'єктів даних. Контролерам та обробникам
рекомендується надавати додаткові гарантії за договірними зобов’язаннями, що
доповнюють стандартні положення про захист.
(110) Група компаній, або група підприємств, які займаються спільною економічною
діяльністю, повинні мати можливість використовувати затверджені корпоративні
правила із зобов’язуючою силою для міжнародної передачі даних з Союзу в
організації в рамках одної групи підприємств чи групи компаній, що здійснюють
спільну господарську діяльність, за умови, що такі корпоративні правила
включають всі основні принципи та права, що підлягають застосуванню, щоб
забезпечити відповідні гарантії для передачі персональних даних.
(111) Необхідно передбачити положення про можливість здійснення передачі даних за
певних обставин, коли суб'єкт даних надав чітку згоду, якщо передача даних є
нерегулярною і здійснюється за необхідністю у зв'язку з договором або законними
претензіями, незалежно від того, чи здійснюється передача в судовому процесі, чи в
адміністративному, чи в позасудовій процедурі, включаючи процедури у
наглядових органах. Також слід передбачити положення про можливість
здійснення передачі, коли цього вимагають важливі громадські інтереси, закладені
Союзом чи країнами Членами, чи коли передача здійснюється із реєстру,
створеного за законом і призначеного для консультування громадськості чи осіб,
які мають законний інтерес. В останньому випадку така передача не повинна
включати всю сукупність персональних даних, або цілі категорії даних, що
містяться в реєстрі. І, коли реєстр призначений для консультування осіб, що мають
законний інтерес, то передача здійснюється виключно на вимогу цих осіб, або якщо
вони повинні бути одержувачами, – з повним врахуванням інтересів та
основоположних прав суб'єкта даних.
(112) Ці відступлення слід, зокрема, застосовувати до передачі даних, необхідної з
важливих причин у громадських інтересах, наприклад, у випадках міжнародного
обміну даними між органами з питань конкуренції, податковими чи митними
адміністраціями, між органами фінансового нагляду, службами з питань
соціального забезпечення, охорони здоров'я, наприклад, у випадках контакту з
метою виявлення інфекційних хворіб, або для того, щоб зменшити і / або усунути
допінг у спорті. Передача персональних даних також повинна розглядатися як
законна там, де вона є необхідна для захисту інтересу, який є частиною життєво
важливих інтересів суб'єкта даних або іншої людини, включаючи фізичну
недоторканність, або життя, навіть якщо суб'єкт даних не може дати згоду на
обробку даних. За відсутності рішення про достатність заходів, законодавство
Союзу або Країни Члена може, за важливих причин, що становлять державний
інтерес, чітко встановлювати обмеження щодо передачі певних категорій даних
третій країні, або міжнародній організації. Країни Члени повинні повідомляти про
такі положення Комісію. Будь-яка передача міжнародним гуманітарним
організаціям персональних даних суб'єкта даних, який фізично, або юридично не в
змозі дати згоду, з метою виконання завдання, що випливає з Женевських
конвенцій, або дотримання міжнародних гуманітарних норм, законів, що
застосовуються в збройних конфліктах, може вважатися необхідною з важливої

31. 31
причини, що становить суспільний інтерес, або є життєво важливим інтересом
суб'єкта даних.
(113) Передача, яка може бути кваліфікована як неповторювана і яка стосується лише
обмеженої кількості суб'єктів даних, може бути можливою для цілей, виправданих
законними інтересами, які переслідує контролер, коли вони не перекриваються
інтересами, правами та свободами суб'єкта даних, а також коли контролер оцінив
всі обставини, пов'язані з передачею даних. Контролер повинен приділяти
особливу увагу характеру персональних даних, меті й тривалості запропонованої
операції чи операцій обробки, а також ситуації в країні походження, третій країні та
країні кінцевого призначення, і повинен забезпечувати відповідні гарантії захисту
основоположних прав і свобод фізичних осіб стосовно обробки їхніх персональних
даних. Така передача повинна бути можливою лише у виняткових випадках у разі,
коли жодна з інших підстав для передачі не може застосовуватися. Для наукових
або історичних досліджень, або в статистичних цілях слід враховувати законні
очікування суспільства щодо підвищення рівня знань. Контролер повинен
інформувати наглядовий орган та суб'єкт даних про передачу.
(114) У будь-якому випадку, коли Комісія не прийняла жодного рішення щодо
достатнього рівня захисту даних у третій країні, контролер, або обробник повинен
використовувати рішення, які надають суб'єктам даних чинні права щодо обробки
їхніх даних у Союзі, якщо здійснено передачу цих даних, щоб вони продовжували
користуватися своїми основоположними правами і гарантіями.
(115) Деякі треті країни приймають закони, положення та інші нормативно-правові акти,
які спрямовані на безпосереднє регулювання діяльності з обробки даних фізичних
та юридичних осіб, що підпадають під юрисдикцію Країн Членів. Це може включати
в себе рішення судів, або трибуналів, або рішення адміністративних органів у
третіх країнах, які вимагають від контролера, або обробника передачі, або
розкриття персональних даних і які не базуються на міжнародних угодах, таких як
договір про взаємну правову допомогу, що діє між запитуючою третьою країною та
Союзом, або державою Членом. Екстратериторіальне застосування цих законів,
положень та інших нормативно-правових актів може призвести до порушення
міжнародного права та може перешкоджати захисту даних фізичних осіб, що
передбачено цим Регламентом. Передача має бути дозволена лише за умови, якщо
дотримано вимог положень цього Регламенту щодо передачі даних третім країнам.
Така передача може бути здійснена, зокрема, якщо розкриття інформації є
необхідним для важливого суспільного інтересу, визначеного законодавством
Союзу, або Країн Членів, якому підпорядковується контролер.
(116) Коли персональні дані переміщуються через кордони за межі Союзу, то це може
призвести до підвищеного ризику для законного права фізичних осіб здійснювати
захист даних, зокрема, захищати себе від незаконного використання чи розкриття
такої інформації. У той же час наглядові органи можуть визнати, що вони не
можуть продовжувати розгляд скарг чи проведення розслідувань, пов'язаних з
діяльністю за межами кордонів Країн Членів. Їхнім зусиллям працювати разом у
транскордонному контексті можуть також заважати недостатні профілактичні, або
корекційні зусилля, суперечливі правові режими та практичні перешкоди, такі як
обмеження ресурсів. Відтак, існує потреба сприяти тіснішому співробітництву між
наглядовими органами, що займаються захистом даних, щоб вони могли
обмінюватися інформацією та проводити розслідування зі своїми міжнародними
колегами. З метою розвитку механізмів міжнародного співробітництва задля
сприяння та надання міжнародної взаємної допомоги, для забезпечення виконання

32. 32
законодавства про захист персональних даних, Комісія та наглядові органи повинні
обмінюватися інформацією та співпрацювати в діяльності, пов'язаній з
виконанням своїх повноважень компетентними органами в третіх країнах, за
принципом взаємності та відповідно до цього Регламенту.
(117) Створення наглядових органів у Країнах Членах, уповноважених виконувати свої
завдання та повноваження повністю незалежно – важливий компонент захисту
фізичних осіб відносно обробки їхніх персональних даних. Країни Члени повинні
мати можливість створювати більше, ніж один наглядовий орган, щоб відобразити
свою конституційну, організаційну та адміністративну структуру.
(118) Незалежність наглядових органів не повинна означати, що наглядові органи не
можуть ставати об’єктом контролю чи моніторингу стосовно фінансових витрат чи
судових процесів.
(119) Якщо Країна Член створює декілька наглядових органів, вона повинна встановити
законні механізми для забезпечення дієвої участі цих наглядових органів у роботі
узгодженого механізму. Ця Країна Член повинна, зокрема, призначити наглядовий
орган, який функціонує як єдиний контактний пункт для дієвої участі цих органів у
роботі цього механізму, щоб забезпечити швидку і плавну роботу у співпраці з
іншими наглядовими органами, Радою та Комісією.
(120) Кожен наглядовий орган повинен мати фінансові та людські ресурси, приміщення
та інфраструктуру, необхідну для ефективного виконання його завдань, в тому
числі пов'язаних із взаємною допомогою та співробітництвом з іншими
наглядовими органами у всьому Союзі. Кожен наглядовий орган повинен мати
окремий державний річний бюджет, який може бути частиною загального
державного чи національного бюджету.
(121) Загальні умови для члена або членів наглядового органу повинні бути встановлені
законом у кожній Країні Члені і, зокрема, передбачати, що ці члени повинні бути
призначені за допомогою прозорої процедури, або парламентом, або урядом, або
главою Країни Члена ЄС на основі рекомендації уряду, члена уряду, парламенту, або
палати парламенту, або незалежним органом, делегованим для цього відповідно до
законодавства Країн Членів. Для забезпечення незалежності наглядового органу
цей член або члени повинні діяти чесно, утримуватися від будь-яких дій, які є
несумісними з їхніми обов'язками і не повинні, протягом строку дії їхніх
повноважень, займатися будь-якою несумісною діяльністю, чи то прибутковою, чи
ні. Наглядовий орган повинен мати власний персонал, який обирається
наглядовим органом або незалежним органом, створеним за законодавством Країн
Членів, який діє виключно на основі вказівок члена, або членів наглядового органу.
(122) Кожен наглядовий орган має бути компетентним на території своєї Країни Члена
для здійснення повноважень і виконувати завдання, покладені на нього відповідно
до цього Регламенту. Це включає, зокрема, обробку в контексті діяльності установи
контролера або обробника на території його власної Країни Члена, обробку
персональних даних, що здійснюється державними органами або приватними
органами, які діють в суспільних інтересах, обробку, що стосується суб'єктів даних
на його території, або обробку, яку здійснює контролер або обробник, який не
зареєстрований на території Союзу, коли їхні операції стосуються даних суб'єктів
даних, які проживають на території Союзу. Це повинно включати роботу зі
скаргами, поданими суб'єктом даних, проведення розслідувань щодо застосування

33. 33
цього Регламенту та сприяння поінформованості громадськості про ризики,
правила, гарантії та права щодо обробки персональних даних.
(123) Наглядові органи повинні контролювати застосування положень відповідно до
цього Регламенту та сприяти послідовному їх застосуванню в усьому Союзі з метою
захисту фізичних осіб у зв'язку з обробкою їх персональних даних та сприяти
вільному потоку персональних даних на внутрішньому ринку. З цією метою
наглядові органи повинні співпрацювати один з одним та з Комісією без
необхідності будь-якої угоди між Країнами Членами щодо надання взаємної
допомоги або такої співпраці.
(124) Якщо обробка персональних даних відбувається в контексті діяльності установи
контролера або обробника в Союзі, та контролер або обробник знаходиться в більш
ніж одній Країні Члені, або де обробка, що відбувається в контексті діяльності
єдиної установи контролера або обробника в Союзі, істотно впливає або може
вплинути на суб'єктів даних у більш ніж одній Країні Члені, наглядовий орган для
головної установи контролера або обробника або для єдиної установи контролера
або обробника повинен виступати як провідний орган. Він повинен співпрацювати
з іншими зацікавленими органами, коли контролер чи обробник має установу на
території своєї Країни Члена, коли суб'єкти даних, які проживають на цій території,
суттєво постраждали або коли ними було подано скаргу. Також, якщо суб'єкт даних,
який не проживає в цій Країні Члені, подав скаргу, наглядовий орган, якому було
подано таку скаргу, також повинен бути зацікавленим наглядовим органом. У
межах своїх завдань, щоб видати керівні принципи для будь-якого питання, що
охоплює застосування цього Регламенту, Рада повинна мати можливість видати
керівні принципи, зокрема, щодо критеріїв, які слід враховувати, щоб з'ясувати, чи
має така обробка суттєво вплинути на суб'єктів даних у більш ніж одній Країні
Члені та про те, що становить відповідне та обґрунтоване заперечення.
(125) Провідний орган повинен бути компетентним для того, щоб приймати обов'язкові
рішення щодо заходів з використанням повноважень, наданих йому відповідно до
цього Регламенту. В якості провідного органу наглядовий орган повинен залучати
та координувати відповідні наглядові органи у процесі прийняття рішень. Якщо
рішення полягає в тому, щоб повністю або частково відхилити скаргу суб'єкта
даних, це рішення має бути прийняте наглядовим органом, через який було подано
скаргу.
(126) Рішення повинно бути узгоджено спільно провідним наглядовим органом та
зацікавленими наглядовими органами та має бути спрямоване на головну чи єдину
установу контролера або обробника та бути обов'язковим для контролера та
обробника. Контролер або обробник повинні вжити необхідні заходи для
забезпечення дотримання цього Регламенту та виконання рішення, яке провідний
наглядовий орган повідомив головній установі контролера або обробника стосовно
діяльності в Союзі.
(127) Кожен наглядовий орган, який не є провідним наглядовим органом, має бути
компетентним для розгляду місцевих випадків, коли контролер або обробник
знаходиться в більш ніж одній Країні Члені, але предмет конкретної обробки
стосується лише обробки, здійсненої в єдиній Країні Члені та включає тільки
суб'єктів даних в цій єдиній Країні Члені, наприклад, якщо предмет стосується
обробки персональних даних працівників у конкретному контексті
працевлаштування в Країні Члені. У таких випадках наглядовий орган повинен
негайно повідомити провідний наглядовий орган про це питання. Після

34. 34
інформування провідний наглядовий орган повинен вирішити, чи буде він
розглядати справу згідно з положенням про співпрацю між провідним наглядовим
органом та іншими зацікавленими наглядовими органами (механізм «єдине
вікно»), чи наглядовий орган, який повідомив, має розглянути справу на місцевому
рівні. Вирішуючи, чи буде він розглядати справу, провідний наглядовий орган
повинен враховувати, чи існує контролер чи обробник у Країні Члені наглядового
органу, який повідомив про це, з тим щоб забезпечити ефективне виконання
рішення щодо контролера або обробника. Якщо головний наглядовий орган
вирішить розглянути справу, наглядовий орган, який повідомив про це, повинен
мати можливість подати проект рішення, інформацію з якого провідний
наглядовий орган повинен максимально враховувати під час підготовки свого
проекту рішення в цьому «єдиному вікні».
(128) Правила, що стосуються провідного наглядового органу та механізму "єдиного
вікна", не повинні застосовуватися, коли обробка здійснюється органами
державної влади або приватними органами, які представляють державний інтерес.
У таких випадках єдиний наглядовий орган, який має право на здійснення
повноважень, наданих йому відповідно до цього Регламенту, повинен бути
наглядовим органом Країни Члена, в якій заснований державний чи приватний
орган.
(129) З метою забезпечення послідовного моніторингу та виконання цього Регламенту в
усьому Союзі, наглядові органи повинні мати в кожній Країні Члені ті ж самі
завдання та діючі повноваження, включаючи слідчі повноваження, виправні
повноваження та повноваження щодо санкцій, а також повноваження щодо
надання дорадчих повноважень, зокрема у випадках подання скарг від фізичних
осіб та без обмеження повноважень органів прокуратури в законодавстві Країн
Членів, привертати увагу судових органів до порушень цього Регламента та брати
учать у судових процедурах. Такі повноваження також повинні включати
повноваження встановлювати тимчасове або остаточне обмеження, включаючи
заборону на обробку. Країни Члени можуть вказувати інші завдання, пов'язані з
захистом персональних даних відповідно до цього Регламенту. Повноваження
наглядових органів слід здійснювати відповідно до належних процесуальних
гарантій, встановлених законодавством Союзу та Країнами Членами,
неупереджено, справедливо та протягом розумного строку. Зокрема, кожний захід
повинен бути відповідним, необхідним та пропорційним для забезпечення
дотримання цього Регламенту, беручи до уваги обставини кожної конкретної
справи, поважати право кожної особи бути вислуханою до застосування будь-яких
індивідуальних заходів, які можуть негативно позначитися на особі, і уникати
зайвих витрат та надмірних незручностей для зацікавлених осіб. Слідчі
повноваження щодо доступу до приміщень повинні здійснюватися відповідно до
конкретних вимог процесуального законодавства Країн Членів, наприклад,
вимогою отримати попередній юридичний дозвіл. Кожен юридично зобов'язуючий
захід наглядового органу має бути представлений у письмовій формі, чітко та
однозначно, зазначаючи, який наглядовий орган призначив захід, дату видачі
заходу, мати підпис керівника або члена наглядового органу, містити підстави для
заходу та посилатися на право ефективного засобу правового захисту. Це не
повинно перешкоджати додатковим вимогам відповідно до процесуального
законодавства Країн Членів. Прийняття юридично зобов'язуючого рішення
передбачає, що це може призвести до судового перегляду в Країні Члені
наглядового органу, який прийняв рішення.

35. 35
(130) Якщо наглядовий орган, з яким подано скаргу, не є провідним наглядовим органом,
провідний наглядовий орган повинен тісно співпрацювати з наглядовим органом,
до якого було подано скаргу, відповідно до положень про співпрацю та
узгодженість в цьому Регламенті. У таких випадках провідний наглядовий орган
повинен, застосовуючи заходи, які передбачають правові наслідки, включаючи
накладення адміністративних штрафів, максимально враховувати думку
наглядового органу, до якого було подано скаргу, і який повинен залишатись
компетентним для виконання будь-якого розслідування на території своєї Країни
Члена у взаємодії з компетентним наглядовим органом.
(131) Якщо інший наглядовий орган повинен виступати як провідний наглядовий орган
для діяльності з обробки контролера або обробника, але конкретний предмет
скарги або можливе порушення стосується лише діяльності з обробки контролера
або обробника в Країні Члені, де було подано скаргу або виявлено можливе
порушення, і це питання суттєво не впливає або не може суттєво вплинути на
суб'єктів даних в інших Країнах Членах, наглядовий орган, який одержує скаргу,
або виявляє або інформує про ситуацію, яка спричиняє можливі порушення цього
Регламенту повинен вимагати мирного врегулювання з контролером і, якщо це
виявиться невдалим, застосовувати повний спектр повноважень. Це повинно
включати: конкретну обробку, здійснену на території Країни Члена наглядового
органу або щодо суб'єктів даних на території цієї Країни Члена; обробку, яка
здійснюється в контексті пропозиції товарів або послуг, спеціально спрямованих на
суб'єктів даних на території Країни Члена наглядового органу; або обробку, яка
повинна оцінюватися з урахуванням відповідних юридичних зобов'язань
відповідно до законодавства Країн Членів.
(132) Діяльність наглядових органів з підвищення інформованості громадськості,
повинна включати в себе спеціальні заходи, спрямовані на контролерів та
обробників, включаючи мікро, малі та середні підприємства, а також фізичних осіб,
зокрема, в навчальному контексті.
(133) Наглядові органи повинні допомагати один одному у виконанні своїх завдань та
надавати взаємну допомогу, з тим щоб забезпечити послідовне застосування та
виконання цього Регламенту на внутрішньому ринку. Наглядовий орган, який
вимагає надання взаємної допомоги, може прийняти тимчасове рішення, якщо він
не отримає відповіді на запит про взаємну допомогу протягом одного місяця з
моменту одержання цього запиту іншим наглядовим органом.
(134) Кожен наглядовий орган, у відповідних випадках, повинен брати участь у спільних
операціях з іншими наглядовими органами. Наглядовий орган, до якого надходить
запит, зобов'язаний відповісти на запит протягом встановленого періоду часу.
(135) З метою забезпечення послідовного застосування цього Регламенту по всьому
Союзу, слід встановити механізм узгодженості співпраці між наглядовими
органами. Цей механізм, зокрема, повинен застосовуватися, якщо наглядовий орган
має намір застосувати заходи, які передбачають правові наслідки щодо операцій з
обробки, які суттєво впливають на значну кількість суб'єктів даних у кількох
Країнах Членах. Це також повинно застосовуватися, якщо будь-який наглядовий
орган або Комісія вимагають, щоб таке питання розглядалось в механізмі
узгодженості. Цей механізм повинен не обмежувати будь-які заходи, які Комісія
може вживати при здійсненні своїх повноважень згідно з Договорами.

36. 36
(136) При застосуванні механізму узгодженості, Рада повинна протягом визначеного
періоду часу зробити висновок, якщо більшість її членів прийме таке рішення, або
на вимогу відповідного наглядового органу або Комісії. Рада також повинна мати
повноваження приймати юридично зобов'язуючі рішення, у випадках, коли
існують спори між наглядовими органами. З цією метою, має бути прийняте більш
ніж двома третинами голосів її членів, юридично зобов'язуюче рішення у чітко
визначених випадках, коли між наглядовими органами існує суперечлива думка,
зокрема, у механізмі співпраці між провідним наглядовим органом та
зацікавленими наглядовими органами, зокрема, щодо наявності порушення цього
Регламенту.
(137) Може існувати нагальна необхідність діяти з метою захисту прав та свобод
суб'єктів даних, зокрема, коли існує небезпека, яка може суттєво заважати
здійсненню права суб'єкта даних. Тому наглядовий орган повинен мати
можливість прийняти належним чином обґрунтовані тимчасові заходи на своїй
території з визначеним терміном дії, який не повинен перевищувати трьох місяців.
(138) Застосування такого механізму повинно стати умовою законності заходу, який
передбачає правові наслідки наглядовим органом у тих випадках, коли його
застосування є обов'язковим. В інших випадках транскордонної застосовності слід
використовувати механізм співпраці між провідним наглядовим органом та
зацікавленими наглядовими органами, а взаємодопомога та спільні операції
можуть здійснюватися між відповідними наглядовими органами на двосторонній
або багатосторонній основі без запуску механізму узгодженості.
(139) Для сприяння послідовному застосуванню цього Регламенту Рада повинна бути
створена як незалежний орган Союзу. Для виконання своїх цілей Рада має бути
юридичною особою. Рада повинна бути представлена її Головою. Рада повинна
замінити Робочу групу з захисту фізичних осіб стосовно обробки персональних
даних, засновану Директивою 95/46/ЄС. Він повинен складатися з керівника
наглядового органу кожної Країни Члена та Європейського інспектора захисту
даних або їх відповідних представників. Комісія повинна брати участь у діяльності
Ради без права голосу, а Європейський інспектор з захисту даних повинен мати
спеціальні права голосу. Рада повинна сприяти послідовному застосуванню цього
Регламенту по всьому Союзу, зокрема, надаючи поради Комісії, зокрема про рівень
захисту в третіх країнах або міжнародних організаціях та сприяти співпраці
наглядових органів у всьому Союзі. Рада повинна діяти самостійно, виконуючи свої
завдання.
(140) Секретаріат, який надає Європейський інспектор з захисту даних, повинен
надавати допомогу Раді. Персонал Європейського інспектору з захисту даних, який
бере участь у виконанні завдань, покладених на Раду цим Регламентом, повинен
виконувати свої завдання виключно за дорученням Голови Ради та звітувати перед
Головою Ради.
(141) Кожний суб'єкт даних повинен мати право подати скаргу до одного наглядового
органу, зокрема, у Країні Члені, в якій має постійне місце проживання, та право на
ефективний судовий захист відповідно до статті 47 Статуту, якщо суб'єкт даних
вважає, що його права за цим Регламентом порушені або якщо наглядовий орган не
опрацьовує скаргу, частково або повністю скасовує або відхиляє скаргу або не
виконує дії необхідні для захисту прав даних суб'єкта. Розслідування, яке повинно
бути здійснене за скаргою, підлягає судовому розгляду, в тій мірі, в якій це є
прийнятним у конкретній справі. Наглядовий орган повинен повідомити суб'єкта

37. 37
даних про прогрес та результати скарги протягом встановленого періоду. Якщо
справа вимагає подальшого розслідування або узгодження з іншим наглядовим
органом, суб'єкту даних повинна бути надана проміжна інформація. Для
полегшення подання скарг кожен наглядовий орган повинен вжити такі заходи, як
надання форми для подання скарги, яка також може бути заповнена електронним
способом, не виключаючи інших засобів зв'язку.
(142) Якщо суб'єкт даних вважає, що його права за цим Регламентом порушені, він
повинен мати право надати мандат неприбутковій організації, органу чи
об'єднанню, якщо воно створене відповідно до законодавства Країни Члена та має
статутні цілі, які відповідають суспільним інтересам, та діє у сфері захисту
персональних даних, на подачу скарги до наглядового органу від свого імені, а
також здійснення права на судовий захист від імені суб'єктів даних або, якщо це
передбачено законодавством Країни Члена, здійснення права на отримання
компенсації від імені суб'єктів даних. Країна Член може передбачити, що такий
орган, організація чи об’єднання матимуть право подати скаргу в цій Країні Члені
незалежно від мандату суб'єкта даних та право на ефективний засіб правового
захисту, якщо воно має підстави вважати, що права суб'єкта даних були порушені в
результаті обробки персональних даних, яка порушує цей Регламент. Цей орган,
організація чи об’єднання можуть не мати права вимагати компенсації від імені
суб'єкта даних незалежно від мандату суб'єкта даних.
(143) Будь-яка фізична чи юридична особа має право подати позов про скасування
рішень Ради у Суді на умовах, передбачених статтею 263 ДФЄС. Як адресати таких
рішень, відповідні наглядові органи, які хочуть оскаржити їх, мають подати позов
протягом двох місяців з моменту повідомлення про них відповідно до статті 263
ДФЄС. У випадках, коли рішення Ради є безпосереднім та індивідуальним відносно
контролера, обробника або позивача, останній може подати позов про скасування
цих рішень протягом двох місяців з моменту їх публікації на веб-сайті Ради
відповідно до статті 263 ДФЄС. Без порушення цього права згідно зі статтею 263
ДФЄС кожна фізична або юридична особа повинна мати ефективний судовий
захист у компетентному національному суді проти рішення наглядового органу,
яке передбачає правові наслідки стосовно цієї особи. Таке рішення стосується,
зокрема, здійснення слідчих, коригувальних та дозвільних повноважень
наглядового органу або скасування чи відхилення скарг. Проте право на
ефективний судовий захист не включає заходів, що вживаються наглядовими
органами, які не є юридично зобов’язуючими, наприклад, висновки або поради,
надані наглядовим органом. Справа проти наглядового органу повинна бути
подана до судів Країни Члена, в якій заснований наглядовий орган, і повинна
провадитись відповідно до процесуального законодавства цієї Країни Члена. Ці
суди повинні мати повну юрисдикцію, яка має включати юрисдикцію для розгляду
всіх фактів і закону, що мають відношення до суперечки.
Якщо скарга скасована або відхилена наглядовим органом, заявник може порушити
розгляд справи в судах тієї ж Країни Члена. У контексті засобів судового захисту,
пов'язаних із застосуванням цього Регламенту, національні суди, які розглядають
справу щодо необхідності отримання право вирішувати, можуть, або у випадку,
передбаченому статтею 267 ДФЄС, повинні вимагати від Європейського суду
винести попереднє рішення щодо тлумачення союзного права, у тому числі цього
Регламенту. Крім того, якщо рішення наглядового органу, який впроваджує
рішення Ради, оскаржується національному суду, і чинність рішення Ради є
суперечливою, цей національний суд не має повноважень визнати рішення Ради

38. 38
недійсним, але повинен направити питання щодо чинності до Європейського суду
відповідно до статті 267 ДФЄС, чи вважає Європейський суд це рішення недійсним.
Проте національний суд не може поставити питання щодо чинності рішення Ради
на вимогу фізичної або юридичної особи, яка мала можливість подати позов про
скасування цього рішення, зокрема, якщо особа була безпосередньо та персонально
пов’язана з цим рішенням, але не зробила цього протягом періоду, встановленого в
статті 263 ДФЄС.
(144) Якщо суд, який розглядав справу проти рішення наглядового органу, має підстави
вважати, що провадження відноситься того ж предмету, що стосується обробки
того ж контролера або обробника, або цей самий позов поданий до компетентного
суду в іншій Країні Члені, він повинен звернутися до цього суду для підтвердження
наявності такого судочинства. Якщо судове провадження розглядається в суді
іншої Країни Члена, будь-який суд, крім суду, який перший розглядав справу, може
припинити свою справу або, на прохання однієї із сторін, може відмовитись від
юрисдикції на користь суду, який був першим задіяний в даній справі, якщо цей суд
має юрисдикцію над цим провадженням та його законодавство дозволяє
консолідацію подібного судочинства. Справи вважаються пов'язаними, якщо вони
настільки тісно пов'язані, що доцільно їх почути і визначити разом, щоб уникнути
ризику несумісних судових рішень, що виникають в результаті окремого розгляду
справи.
(145) У процесі провадження у справі проти контролера або обробника, позивач повинен
мати можливість подати позов до судів Країн Членів, в яких контролер або
обробник володіє установою або де проживає суб'єкт даних, якщо контролер не є
представником державного органу Країни Члена, який здійснює свої
повноваження.
(146) Контролер або обробник повинен компенсувати будь-яку шкоду, якої може зазнати
особа в результаті обробки, яка порушує цей Регламент. Контролер або обробник
повинен бути звільнений від відповідальності, якщо він доведе, що ні в який спосіб
не причетний до завдання шкоди. Поняття шкоди має бути широко інтерпретоване
в світлі прецедентного права у спосіб, який повністю відповідає цілям цього
Регламенту. Без упереджень до будь-яких претензій на шкоду, заподіяну внаслідок
порушення інших правил в законах Союзу або Країни Члена. Обробка, яка порушує
цей Регламент, також включає в себе обробку, яка порушує делеговані та
реалізовані акти, прийняті відповідно до цього Регламенту та законодавства Країн
Членів, що визначають правила цього Регламенту. Суб'єкти даних повинні
отримувати повну та ефективну компенсацію за шкоду, якої вони зазнали. Якщо
контролери або обробники беруть участь у тій же обробці, кожен контролер або
обробник повинен нести відповідальність за шкоду у повному обсязі. Проте, якщо
вони залучені в один і той же судовий процес, відповідно до законодавства Країн
Членів, компенсація може бути розподілена відповідно до відповідальності
кожного контролера або обробника за шкоду, спричинену в процесі обробки, за
умови повної та ефективної компенсації суб'єкту даних, який постраждав від
заподіяної шкоди. Будь-який контролер або обробник, який сплатив повну
компенсацію, може потім встановити звернення до інших контролерів або
обробників, які беруть участь у тій же обробці.
(147) Якщо в цьому Регламенті містяться спеціальні правила юрисдикції, зокрема
стосовно розгляду справ, включаючи компенсацію, проти контролера або
обробника, загальні юрисдикційні правила, такі як Постанови (ЄС) № 1215/2012

39. 39
Європейського Парламенту та Ради1 не повинні перешкоджати застосуванню таких
спеціальних правил.
(148) З метою посилення виконання правил цього Регламенту, штрафи, включаючи
адміністративні штрафи повинні бути накладені за будь-яке порушення цього
Регламенту, крім або замість відповідних заходів, накладених наглядовим органом
відповідно до цього Регламенту. У випадку незначного порушення або якщо штраф,
що може бути накладено, стане непропорційним тягарем для фізичної особи, може
бути видана догана замість штрафу. Однак слід приділяти увагу характеру,
тяжкості та тривалості порушення, навмисному характеру порушення, діям,
вжитим для пом'якшення нанесеної шкоди, ступені відповідальності або будь-яким
відповідним попереднім порушенням, тому, яким чином про порушення стало
відомо наглядовому органу, повноваженням, дотриманню заходів, запроваджених
проти контролера або обробника, дотриманню кодексу поведінки та будь-якому
іншому обтяжуючому або пом'якшувальному чиннику. Накладення штрафів,
включаючи адміністративні штрафи, повинно підлягати відповідним
процесуальним гарантіям відповідно до загальних принципів права Союзу та
Статуту, включаючи ефективний судовий захист та належний процес.
(149) Держави Члени повинні мати можливість встановлювати правила кримінальної
відповідальності за порушення цього Регламенту, в тому числі за порушення
національних правил, прийнятих відповідно до та в межах цього Регламенту. Такі
кримінальні покарання також можуть передбачати позбавлення прибутку,
отриманого шляхом порушення цього Регламенту. Однак, накладення
кримінальних покарань за порушення таких національних правил та
адміністративні покарання не повинні призвести до порушення принципу ne bis in
idem, як це інтерпретується Європейським судом.
(150) З метою посилення та гармонізації адміністративних санкцій за порушення цього
Регламенту кожен наглядовий орган повинен мати повноваження накладати
адміністративні штрафи. Цей Регламент повинне містити вказівки щодо порушень,
верхньої межі та критеріїв для накладення відповідних адміністративних штрафів,
які повинні бути визначені компетентним наглядовим органом у кожному
конкретному випадку з урахуванням всіх відповідних обставин конкретної
ситуації, з належним врахуванням, зокрема, характеру, тяжкості та тривалості
порушення, а також його наслідків та заходів, вжитих для забезпечення виконання
зобов'язань за ними, відповідно до цього Регламенту, а також для запобігання чи
пом'якшення наслідків порушення. У випадку коли адміністративні штрафи, що
накладаються на підприємство, підприємство слід розуміти як підприємство
відповідно до Статей 101 та 102 ДФЄС. Коли адміністративні штрафи
застосовуються до осіб, які не є підприємствами, наглядовий орган повинен брати
до уваги загальний рівень доходів у Країні Члені, а також економічний стан особи у
розгляді відповідної суми штрафу. Країни Члени повинні визначати чи і в якій мірі
державні органи повинні підлягати адміністративному штрафуванню. Накладення
адміністративного штрафу чи попередження не впливає на застосування інших
повноважень наглядових органів або інших штрафних санкцій за цим Регламентом.
(151) Правові системи Данії та Естонії не передбачають адміністративних штрафів, як
зазначено в цьому Регламенті. Правила адміністративних штрафів можуть бути
застосовані таким чином, що в Данії штраф призначається компетентним
1 Постанова (ЄС) № 1215/2012 Європейського Парламенту та Ради від 12 грудня 2012 р. Про юрисдикцію та
визнання та виконання рішень у цивільних та господарських справах (ОJ L 351, 20.12.2012, p.1).

40. 40
національним судом, як кримінальне покарання, а в Естонії штраф накладається
наглядовим органом в рамках процедури правопорушення, за умови, що таке
застосування правил в цих Країнах Членах має еквівалентний ефект від
адміністративних штрафів, що накладаються наглядовими органами. Тому
компетентні національні суди повинні враховувати рекомендації наглядових
органів, які накладають штраф. В будь-якому разі, штрафи повинні бути
ефективними, пропорційними та переконливими.
(152) Якщо цей Регламент не гармонізує адміністративні стягнення або, якщо це
необхідно, в інших випадках, для наприклад, у випадках серйозних порушень цього
Регламенту, Країни Члени повинні запровадити систему, яка передбачає ефективні,
пропорційні та переконливі покарання. Характер таких покарань, кримінальних чи
адміністративних, повинен визначатися законодавством Країн Членів.
(153) Законодавство Країн Членів повинно узгоджувати правила, що регулюють свободу
слова та інформації, в тому числі публіцистичний, академічний, художній та / або
літературний її вираз з правом на захист персональних даних, відповідно до цього
Регламенту. Обробка персональних даних виключно для журналістських цілей або
для цілей академічного, художнього або літературного вираження, повинні
відноситися до винятків із певних складових цього Регламенту, якщо це необхідно
для узгодження права на захист персональних даних з правом свободи вираження
поглядів та інформації, як це передбачено статтею 11 Статуту. Це слід застосувати
зокрема до обробки персональних даних у аудіовізуальному полі, в архіві новин та
бібліотеках преси. Тому Країни Члени повинні прийняти законодавчі заходи, які
передбачають виключення та відступ, що необхідні для збалансування цих
основних прав. Країни Члени повинні прийняти такі виключення і відступи від
загальних принципів, прав суб'єкта даних, контролера та обробника, передачі
персональних даних третім країнам або міжнародним організаціям, незалежним
наглядовим органам, а також конкретні ситуації обробки даних. Коли такі
виключення або відступи відрізняються в Кранах Членах, застосовується
законодавство тієї Країни Члена, до якого підпорядковується контролер. З метою
врахування важливості права на свободу вираження поглядів у кожній
демократичній державі, суспільству необхідно широко тлумачити поняття,
пов'язані зі свободою, такою як журналістика.
(154) Цей Регламент дозволяє враховувати принцип публічного доступу до офіційних
документів відповідно до цього Регламенту. Доступ громадськості до офіційних
документів може розглядатися, як загальна вигода. Персональні дані в документах,
що належать державним органам чи державним особам, можуть бути розкриті цим
органом або особою, якщо розголошення передбачено законодавством Союзу або
Країною Членом, до якого належить особа чи державний орган. Такі закони
повинні узгоджувати публічний доступ до офіційних документів та повторне
використання інформації державного сектору з правом на захист персональних
даних і, таким чином, може передбачати необхідне узгодження з правом на захист
персональних даних відповідно до цього Регламенту. Посилання на державні
органи та осіб повинні, в цьому контексті, включати в себе всі органи влади або
інших осіб, що підпорядковуються законодавству Країн Членів стосовно доступу
громадськості до документів. Директива 2003/98 / ЄС Європейського Парламенту
та Європейського Парламенту та Ради 1(1) залишає незмінним і ніяким чином не
впливає на рівень захисту фізичних осіб стосовно обробки персональних даних,
1 Директива 2003/98/ЄС Європейського Парламенту та Ради від 17 листопада 2003 р. щодо повторного
використання інформації державного сектора (ОJ L 345, 31.12.2003, p. 90).

41. 41
відповідно до положень законодавства Союзу та Країн Членів, і зокрема не змінює
зобов'язання та права, встановлені цим Регламентом. Зокрема, ця Директива не
повинна застосовуватися до документів, до яких доступ виключається або
обмежується в силу режимів доступу на підставі захисту персональних даних та
частин документів, доступних на підставі таких режимів, що містять персональні
дані, повторне використання яких передбачене законом, таким, що є несумісним з
законом про захист фізичних осіб стосовно обробки персональних даних.
(155) Законодавство Країн Членів або колективні договори, включаючи "угоди про
виконання робіт", можуть передбачати спеціальні правила щодо обробки
персональних даних працівників у контексті зайнятості, зокрема, щодо умов, за
яких персональні дані у контексті зайнятості можуть бути оброблені на підставі
згоди працівника, цілі набору, виконання договору зайнятості, включаючи
виконання зобов'язань, встановлених законом або колективними договорами,
управління, планування та організації роботи, рівноправності та різноманітності на
робочих місцях, охорони здоров'я та безпеки на виробництві, а також для цілей
навчання та заохочення, на індивідуальній чи колективній основі, прав та пільг,
пов'язаних з працевлаштуванням, і з метою припинення трудових правовідносин.
(156) Обробка персональних даних для архівування в інтересах суспільства, наукових чи
історичних досліджень, статистичних цілях повинні бути предметом відповідних
гарантій прав і свобод суб'єкту даних відповідно до цього Регламенту. Ці гарантії
повинні забезпечувати вжиття технічних та організаційних заходів для
забезпечення, зокрема, принципу мінімізації даних. Подальша обробка
персональних даних для архівування в інтересах суспільства, наукових чи
історичних досліджень, статистичних цілях повинна здійснюватися, коли
контролер оцінив можливість здійснення цих цілей шляхом обробки даних, які не
дозволяють або більше не дозволяють ідентифікації суб'єктів даних, за умови, що
існують відповідні гарантії (такі як, наприклад, псевдонімізація даних). Країни
Члени повинні забезпечити відповідні гарантії щодо обробки персональних даних
для архівування в інтересах суспільства, наукових чи історичних досліджень,
статистичних цілях. Країни Члени повинні мати право надавати, за певних умов і з
дотриманням відповідних гарантій для суб'єктів даних, спеціальні умови та
винятки, з огляду на інформаційні вимоги та права на виправлення, стирання,
забуття, обмеження обробки, портативність даних, а також під час обробки
персональних даних для цілей архівації в інтересах суспільства, наукових чи
історичних досліджень, статистичних цілях. Умови і гарантії можуть спричинити
особливі процедури для суб'єктів даних для здійснення цих прав, якщо це є
оправданим в залежності від цілей, що досягаються шляхом спеціальної обробки, а
також технічних та організаційних заходів, спрямованих на мінімізацію обробки
персональних даних, дотримуючись принципів пропорційності та необхідності.
Обробка персональних даних у наукових цілях також повинна відповідати іншому
відповідному законодавству, такому як щодо клінічних випробувань.
(157) З'єднавши інформацію з реєстрів, дослідники можуть отримати нові знання, що
мають велике значення для лікування широко поширених захворювань, таких як
серцево-судинні захворювання, рак і депресія. На підставі реєстрів, результати
дослідження можуть бути покращені, оскільки вони застосовуються до більшої
кількості населення. В рамках соціальних наук, дослідження на основі реєстрів дає
змогу дослідникам отримати основні знання про довгострокову кореляцію значної
кількості соціальних умов, таких як безробіття та освіта з іншими умовами життя.
Результати досліджень, отримані через реєстри забезпечують надійні, якісні

42. 42
знання, які можуть слугувати основою формулювання та впровадження політики,
що базується на знаннях, покращення якості життя ряду людей та підвищення
ефективності соціальних послуг. Для полегшення наукових досліджень
персональні дані можуть бути оброблені для науково-дослідницьких цілей, за
умови дотримання належних умов та гарантій, встановлених законодавством
Союзу або Країнами Членами.
(158) Якщо персональні дані обробляються для цілей архівування, цей Регламент також
повинен застосовуватися до такої обробки, пам'ятаючи, що Регламент не повинен
застосовуватися до померлих осіб. Державна влада, державні чи приватні особи, які
мають записи що стосуються громадського інтересу, повинні бути службами, які,
відповідно до законодавства Союзу або держав Членів, мають юридичне
зобов'язання отримувати, зберігати, оцінювати, організовувати, описувати,
повідомляти, просувати, поширювати та забезпечувати доступ до записів, що
мають цінність тривалого характеру для суспільства. Країнам Членам також має
бути дозволено забезпечувати подальшу обробку персональних даних для цілей
архівації, наприклад, з метою надання конкретної інформації, пов'язаної з
політичною поведінкою колишніх тоталітарних державних режимів, геноциду,
злочини проти людства, зокрема Голокосту, або військові злочини.
(159) Якщо персональні дані обробляються для наукових досліджень, цей Регламент
також повинен застосовуватися до такої обробки. Для цілей цього Регламенту
обробку персональних даних у наукових цілях слід тлумачити широко, включаючи,
наприклад, технологічний розвиток та демонстрацію, фундаментальні
дослідження, прикладні та приватні дослідження. Крім того для таких цілей, слід
враховувати рекомендації Союзу за статтею 179(1) ДФЄС про створення
Європейського дослідницького простору. До науково-дослідних цілей слід також
включати дослідження, що проводяться в інтересах громадськості у сфері охорони
здоров'я. Для задоволення специфіки обробки персональних даних для наукових
досліджень, повинні застосовуватися особливі умови, зокрема, публікація чи інше
розголошення персональних даних у контексті наукових досліджень. Якщо
результат наукових досліджень, зокрема в контексті здоров'я, дає підстави для
подальших заходів в інтересах суб'єкта даних, загальні правила цього Регламенту
повинні застосовуватися з урахуванням цих заходів.
(160) Якщо персональні дані обробляються для наукових досліджень, цей Регламент
також повинен застосовуватися до такої обробки Це також повинно включати в
себе історичні дослідження та дослідження для генеалогічних цілей, з огляду на те,
що цей Регламент не повинен застосовуватися до померлих осіб.
(161) З метою отримання згоди на участь у науково-дослідній діяльності в клінічних
випробуваннях, відповідні положення Регламенту (ЄС) № 536/2014 Європейського
Парламенту та Ради 1 повинні братися до уваги.
(162) Якщо персональні дані обробляються в статистичних цілях, цей Регламент також
повинен застосовуватися до такої обробки. Союз або законодавство Країн Членів
повинні, в межах цього Регламенту, визначати статистичний зміст, контроль
доступу, технічні умови для обробки персональних даних у статистичних цілях та
відповідні заходи щодо захисту права та свободи суб'єкта даних і забезпечення
1 Постанова (ЄС) № 536/2014 Європейського Парламенту та Ради від 16 квітня 2014 року щодо клінічних
випробувань лікарських засобів для використання людиною та скасування Директиви 2001/20 / ЄС (ОJ L 158,
27.5.2014 р., стор 1).

43. 43
статистичної конфіденційності. Статистичні цілі мають на увазі будь-яку операцію
зі збору та обробки персональних даних, необхідних для статистичних обстежень
або для отримання статистичних результатів. Ці статистичні результати можуть
також використовуватися для різних цілей, включаючи науково-дослідницькі. В
статистичних цілях мається на увазі, що результатом обробки для статистичних
цілей є не персональні дані, а сукупні дані, і що цей результат або персональні дані
не використовуються для підтримки заходів чи рішення щодо будь-якої конкретної
фізичної особи.
(163) Конфіденційна інформація, яку збирають Союз та національні статистичні органи
для підготовки офіційної європейської та офіційної національної статистики
повинна бути захищена. Європейська статистика повинна бути розроблена,
підготовлена та поширена відповідно до статистичних принципів, зазначених у
статті 338(2) ДФЄС, в той час як національна статистика також повинна
відповідати законодавству Країн Членів. Регламент (ЄС) № 223/2009
Європейського Парламенту та Ради1 надає додаткові специфікації для статистичної
конфіденційності для європейської статистики.
(164) В частині повноважень наглядових органів отримувати від контролера або
обробника доступ до персональних даних та доступу до операцій з ними, Країни
Члени можуть ухвалити законом, в межах цього Регламенту, спеціальні правила
для захисту професійних або інших рівноцінних зобов'язань щодо секретності,
наскільки це необхідно для того, щоб узгодити право на захист персональних даних
з обов'язком професійної таємниці. Це не перешкоджає існуючим зобов'язанням
Країн Членів щодо прийняття правил про професійну таємницю, якщо це
вимагається законом Союзу.
(165) Цей Регламент поважає та не зачіпає статус за чинним конституційним правом
церков і церковно-релігійних об'єднань або громад в Країнах Членах, як це
визначено в статті 17 ДФЄС.
(166) З метою досягнення цілей цього Регламенту, а саме захисту основних прав та
свобод фізичних осіб та, зокрема, їхнього права на захист персональних даних та
забезпечення вільного пересування персональних даних в межах Союзу,
повноваження приймати акти відповідно до статті 290 ДФЄС повинні бути
делеговані Комісії. Зокрема, делеговані акти повинні бути прийняті за критеріями
та вимогами до механізмів сертифікації, інформація повинна бути представлена
стандартизованими піктограмами та процедурами для надання таких піктограм.
Особливо важливо, щоб Комісія проводила відповідні консультації під час
підготовчої роботи, у тому числі на експертному рівні. Комісія, під час підготовки
та складання делегованих актів повинна забезпечити одночасну, своєчасну та
належну передачу відповідних документів до Європейського Парламенту та Ради.
(167) З метою забезпечення єдиних умов для реалізації цього Регламенту, Комісія
повинна отримати виконавчі повноваження, якщо це передбачено цим
Регламентом. Ці повноваження повинні здійснюватися відповідно до Постанови
1 Постанова (ЄС) № 223/2009 Європейського Парламенту та Ради від 11 березня 2009 р. Про європейську
статистику та скасування Регламенту (ЄК, Євратом) № 1101/2008 Європейського Парламенту та Ради щодо
передачі даних, що підлягають статистичній конфіденційності до Статистичного управління Європейських
Співтовариств, Регламент Ради (ЄС) № 322/97 щодо статистики Співтовариства та Рішення Ради 89/382 /
ЄЕС, Євратом, що засновує Комітет зі статистичних програм Європейських Співтовариств (ОJ L 87,31.3.2009,
стор. 164).

44. 44
(ЄС) № 182/2011. У цьому контексті Комісія повинна розглянути конкретні заходи
для мікро-, малих та середніх підприємств.
(168) Процедура розгляду має використовуватися для прийняття виконавчих актів щодо
стандартних договірних положень між контролерами та обробниками, а також між
обробниками; кодексів поведінки; технічних стандартів та механізмів сертифікації;
адекватного рівня захисту, надання даних третьою країною, територією або
певним сектором у межах цієї третьої країни або міжнародної організації;
стандартних статей про захист; форматів та процедур обміну інформацією та
електронними засобами між контролерами, обробниками та наглядовими
органами для обов'язкових корпоративних правил; взаємодопомоги; а також
механізмів обміну інформацією та електронними засобами між наглядовими
органами, між наглядовими органами та Радою.
(169) Комісія повинна прийняти негайно діючі виконавчі акти, якщо наявні докази
показують, що третя країна, територія або певний сектор у межах цієї третьої
країни, або міжнародна організація не має можливості забезпечити належний
рівень захисту, і це вимагає нагальних умов терміновості.
(170) Оскільки мета цього Регламенту а саме забезпечення рівноцінного захисту
фізичних осіб та вільного переміщення персональних даних у межах Союзу, не
може бути у повній мірі бути досягнутою Країнами Членами та скоріше за все,
внаслідок масштабу чи наслідків дії, може бути краще досягнута на рівні Союзу,
який може прийняти всесоюзні заходи, відповідно до принципу субсидіарності,
викладеного у статті 5 ДФЄС. Згідно принципу пропорційності, викладеному у цій
статті, цей Регламент не йде в обхід того, що є необхідним для досягнення цієї
мети.
(171) Директива 95/46/ЄС повинна бути скасована цим Регламентом. Процес вже
ведеться і на дату застосування цього Регламенту повинно бути приведене у
відповідність із цим Регламентом протягом двох років після набрання чинності
цим Регламентом. Якщо обробка здійснюється на підставі згоди відповідно до
Директиви 95/46 / ЄС, суб'єкт даних не повинен надавати свою згоду знову, якщо
спосіб, яким згода була надана відповідає умовам цього Регламенту, таким чином,
дозволяючи контролеру продовжувати таку обробка після дати застосування цього
Регламенту. Прийняті рішення Комісії та дозволи наглядових органів на підставі
Директиви 95/46/ЄС залишаються чинними, доки вони не будуть змінені, замінені
або скасовані.
(172) Європейський інспектор з захисту даних був про консультований відповідно до
статті 28 (2) Регламенту (ЄС) № 45/2001 і рішення було винесено 7 березня 2012
року.1
(173) Цей Регламент повинен застосовуватися до всіх питань, що стосуються захисту
основних прав та свобод людини, що стосуються обробки персональних даних, які
не підпадають під конкретні зобов'язання з тією ж метою, яка викладена в
Директиві 2002/58/ЄС Європейського Парламенту та Ради2, включаючи
зобов'язання контролера та права фізичних осіб. Для уточнення зв'язку між цим
Регламентом та Директивою 2002/58/ЄС, ця Директива повинна бути відповідно
1 OJ C 192, 30.6.2012, с. 7
2 Директива Європейського Парламенту та Ради 2002/58/ЄС від 12 липня 2002 р. щодо обробки персональних
даних та інформації та захисту приватності в секторі електронних комунікацій (Директива про приватне
життя та електронні повідомлення) (ОJ L 201,31.7.2002, стор. 37).

45. 45
змінена. Після прийняття цього Регламенту, Директива 2002/58/ЄС повинна бути
переглянута, зокрема, для забезпечення відповідності цьому Регламенту.

46. 46
ПРИЙНЯТО ЦЕЙ РЕГЛАМЕНТ:
РОЗДІЛ I
Загальні положення
Стаття 1
Предмет і завдання
1. Цей Регламент встановлює правила щодо захисту фізичних осіб стосовно обробки
персональних даних та правил, що стосуються вільного переміщення персональних даних.
2. Цей Регламент захищає основні права та свободи фізичних осіб та, зокрема, їхнє право
на захист персональних даних.
3. Вільний рух персональних даних в межах Союзу не може бути обмежений або
заборонений з причин, що пов'язані з захистом фізичних осіб стосовно обробки
персональних даних.
Стаття 2
Сфера застосування
1. Цей Регламент застосовується до обробки персональних даних, яка здійснюється
повністю або частково автоматизованими засобами обробки даних, крім тих автоматичних
засобів обробки персоанльних даних, які є частиною системи подання документів або
призначені для формування частин податкової системи.
2. Цей Регламент не застосовується до обробки персональних даних, що здійснюється:
(а) в процесі діяльності, що виходить за рамки законодавства Союзу;
(b) при здійсненні діяльності Країнами Членами, що підпадає під дію розділу 2 розділу V
ДФЄС;
(c) виконується фізичною особою під час чисто особистої чи домашньої діяльності;
(d) компетентними органами для запобігання, розслідування, виявлення та
переслідування кримінальних справ, правопорушення або виконання кримінальних
покарань, включаючи запобігання загрозам громадської безпеки.
3. Для обробки персональних даних установами, органами, службами та агенціями Союзу
застосовується Положення (ЄС) № 45/2001. Положення (ЄС) № 45/2001 та інші законодавчі
актами Союзу, що застосовуються до такої обробки персональних даних повинні бути
адаптовані до принципів та правил цього Регламенту відповідно до статті 98.
4. Цей Регламент не обмежує застосування Директиви 2000/31/ЄС, зокрема зобов'язань
щодо правил посередницьких послуг у Статтях 12-15 цієї Директиви.

47. 47
Стаття 3
Територіальна сфера застосування
1. Цей Регламент застосовується до обробки персональних даних в контексті діяльності
установи контролера або обробника в Союзі, незалежно від того, чи проводиться обробка в
Союзі чи ні.
2. Цей Регламент застосовується до обробки персональних даних суб'єктами даних, які є в
Союзі контролером або обробником, але не заснованим у Союзі, коли обробка пов'язана з:
(а) пропозицією товарів чи послуг, незалежно від того, чи потрібна оплата від суб'єкта
даних, до такого суб’єкта даних в Союзі; або
(b) моніторингом їх поведінки, коли їхня поведінка відбувається всередині Союзу.
3. Цей Регламент застосовується до обробки персональних даних контролером, не
заснованим в Союзі, але в місці, де виконується закон Країни Члена на підставі
міжнародного публічного права.
Стаття 4
Визначення
Для цілей цього Регламенту:
(1) "персональні дані (personal data)" - будь-яка інформація, що стосується
ідентифікованої чи придатної до ідентифікації фізичної особи ("суб'єкта даних");
ідентифікована фізична особа - це той, хто може бути визначений безпосередньо
чи опосередковано, зокрема, за посиланням на такий ідентифікатор, як ім'я,
ідентифікаційний номер, дані про місцезнаходження, онлайн ідентифікатор або
один чи більше факторів специфічної для фізичної, фізіологічної, генетичної,
психічної, економічної, культурної або соціальної ідентичності цієї фізичної особи;
(2) "обробка (processing)" означає будь-яку операцію або сукупність операцій, які
виконуються з персональними даними або наборами персональних даних,
незалежно від того, чи використовуються автоматичні засоби, така як збір, запис,
організація, структурування, зберігання, адаптація або зміна, пошук, узгодження,
використання, розголошення шляхом передачі, розповсюдження або іншим чином
– забезпечення доступності, систематизація або поєднання, обмеження, стирання
або знищення;
(3) "обмеження обробки (restriction of processing)" означає маркування збережених
персональних даних з метою обмеження їх обробки в майбутньому;
(4) "профілювання (profiling)" означає будь-яку автоматичну обробку персональних
даних, що складається з використання персональних даних для оцінки певних
особистих аспектів, пов'язаних з фізичною особою, зокрема для аналізу або
прогнозування аспектів, що стосуються продуктивності фізичної особи на роботі,
економічної ситуації, здоров'я, особистих уподобань, інтересів, надійності,
поведінки, місцезнаходження або пересувань;
(5) "псевдонімізація (pseudonymisation)" означає обробку персональних даних таким
чином, що персональні дані більше не можна віднести до певного суб'єкта даних

48. 48
без використання додаткової інформації, за умови, що така додаткова інформація
зберігається окремо і підлягає технічним та організаційним заходам для
забезпечення того, щоб персональні дані не відносилися до ідентифікованої чи
придатної до ідентифікації фізичної особи;
(6) "реєстраційна система (filing system)" означає будь-який структурований набір
персональних даних, доступ до яких залежить від конкретних критеріїв,
централізованих, нецентралізованих або розосереджених на функціональній або
географічній основі;
(7) "контролер (controller)" - це фізична або юридична особа, державний орган,
агентство чи інший орган, який, самостійно або спільно з іншими, визначає цілі та
засоби обробки персональних даних; коли цілі та засоби такої обробки
визначаються законом Союзу або Країни Члена, контролер або конкретні критерії
його визначення можуть бути передбачені законодавством Союзу чи Країни
Члена;
(8) "обробник (processor’)" - це фізична або юридична особа, державний орган,
агентство чи інший орган, який обробляє персональні дані від імені контролера;
(9) "одержувач (recipient)" - це фізична або юридична особа, державний орган, агенція
чи інший орган, якому розкриті персональні дані, незалежно від того, чи є вона
третьою стороною. Проте органи державної влади, які можуть отримати
персональні дані в рамках конкретного запиту відповідно до законодавства Союзу
або Країни Члена, не розглядаються як одержувачі; обробка цих даних такими
державними органами повинна відповідати застосовним правилам захисту даних
відповідно до цілей обробки;
(10) "третя особа (third party)" - це фізична чи юридична особа, державний орган,
агентство чи орган, відмінний від суб'єкта даних, контролера, обробника та особи,
яка під безпосереднім керівництвом контролера або обробника має дозвіл
обробляти персональні дані;
(11) "згода (consent)" суб'єкта даних означає будь-яке вільно надане, конкретне,
обґрунтоване та недвозначне зазначення, побажання суб'єкта даних, за яким він
або вона, заявою або чіткою підтверджуючою дією, позначає угоду на обробку
персональних даних, пов'язаних з ним або з нею;
(12) "порушення персональних даних (personal data breach)" означає порушення
безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни,
несанкціонованого розголошення або доступу до персональних даних, що
передаються, зберігаються або обробляються іншим чином;
(13) "генетичні дані (genetic data)" означають персональні дані, що стосуються
успадкованих або набутих генетичних характеристик фізичної особи, які дають
унікальну інформацію про фізіологію або здоров'я цієї фізичної особи і які є
результатом, зокрема, аналізу біологічного зразка цієї фізичної особи;
(14) "біометричні дані (biometric data)" - це персональні дані, отримані внаслідок
конкретної технічної обробки, що стосуються фізичної, фізіологічної або
поведінкової характеристики фізичної особи, які дозволяють або підтверджують
унікальну ідентифікацію цієї фізичної особи, такі як особисті зображення або
дактилоскопічні дані;

49. 49
(15) "дані стосовно здоров'я (data concerning health)" означають персональні дані, що
стосуються фізичного або психічного здоров'я фізичної особи, в тому числі про
надання медичних послуг, які розкривають інформацію про його стан здоров'я;
(16) "головна установа (main establishment)" означає:
(a) стосовно контролера з установами в більш ніж одній Країні Члені - місце його
центральної адміністрації у Союзі, в разі якщо рішення щодо цілей та засобів
обробки персональних даних, приймаються в іншій установі контролера в
Союзі, і остання установа має повноваження для таких рішень, в такому
випадку установа, яка прийняла такі рішення, повинна вважається “головною
установою”;
(b) стосовно обробника з установами в більш, ніж одній Країні Члені, місце його
центральної адміністрації в Союзі, або, якщо обробник не має центральної
адміністрації в Союзі, то “головна установа” є там, де зосереджена основна
обробна діяльність в контексті діяльності установи обробника, тоді обробник
підпорядковується особливим зобов'язанням за цим Регламентом;
(17) "представник (representative)" - це фізична або юридична особа, що зареєстрована
в Союзі, яка призначена контролером або обробником у письмовій формі згідно зі
статтею 27, і представляє контролера або обробника щодо їх відповідних
зобов'язань за цим Регламентом;
(18) "підприємство (enterprise)" - це фізична або юридична особа, що здійснює
господарську діяльність, незалежно від її правової форми, в тому числі товариства
чи асоціації, які систематично ведуть господарську діяльність;
(19) "група суб’єктів господарювання (group of undertakings) " означає контролюючу
компанію та її контрольованих суб’єктів господарювання;
(20) "обов'язкові корпоративні правила (binding corporate rules)" означають політику
захисту персональних даних, якої дотримуються контролер або обробник, котрі
здійснюють діяльність на території Країни Члена для передачі або налагодження
передачі персональних даних контролером або обробником в одну або декілька
третіх країн в межах групи суб’єктів господарювання або групи підприємств, які
беруть участь в спільній економічній діяльності;
(21) "наглядовий орган (supervisory authority)" - це незалежний державний орган, який
створюється Країною Членом відповідно до Статті 51;
(22) "зацікавлений наглядовий орган (supervisory authority concerned)" це наглядовий
орган, який зацікавлений у обробці персональних даних, оскільки:
(a) контролер або обробник здійснюють діяльність на території Країни Члена
цього наглядового органу;
(b) суб'єкти даних, що проживають у Країні Члені цього наглядового органу,
істотно постраждають або можуть бути суттєво постраждалими від обробки;
або
(c) скарга була подана до такого наглядового органу;
(23) "транскордонна обробка (cross-border processing)" - це:

50. 50
(a) обробка персональних даних, яка має місце в контексті діяльності установ
більше ніж у одній Країні Члені в Союзі, коли контролером або обробником
здійснюється діяльність у більш ніж одній Країні Члені; або
(b) обробка персональних даних, яка відбувається в контексті діяльності єдиної
установи контролером або обробником в Союзі, але якасуттєво впливає або
може вплинути на суб’єкти даних в більш ніж одній Країні Члені.
(24) "відповідне та обґрунтоване заперечення (relevant and reasoned objection)" це
заперечення проекту рішення про порушення, якщо це передбачено діями
стосовно контролера або обробника, і чітко демонструє важливість ризиків, що
виникають у проекті рішення стосовно основних прав та свобод суб'єктів даних та,
де це можливо, вільного переміщення персональних даних в межах Союзу;
(25) "послуга інформаційного суспільства (information society service)" означає послугу,
визначену в пункті (b) статті 1(1) Директиви (ЄС) 2015/1535 - Європейського
Парламенту та Ради ЄС1;
(26) "міжнародна організація (international organisation)" це організація та
підпорядковані їй органи, що регулюються міжнародним публічним правом, або
будь-який інший орган, який створено на підставі договору між двома та більше
країнами.
РОЗДІЛ II
Принципи
Стаття 5
Принципи, що стосуються обробки персональних даних
1. Персональні дані повинні бути:
(a) оброблені законно, справедливо та прозоро, стосовно суб'єкта даних ("законність,
справедливість і прозорість ");
(b) збиратися у визначених, явних та законних цілях, і не оброблятися в подальшому
способом, несумісним з цими цілями; подальша обробка для цілей архівування в інтересах
суспільства, наукових чи історичних досліджень або статистичних цілях, відповідно до
статті 89(1), не вважається несумісною з початковими цілями ("обмеження мети");
(c) адекватними, релевантними та обмеженими за необхідністю для цілей, для яких вони
обробляються ("мінімізація даних");
(d) точними і, якщо необхідно, актуальними; необхідно вжити усіх необхідних заходів для
забезпечення того, щоб персональні дані були точними, з огляду на цілі, для яких вони
обробляються, стираються або виправляються без затримки ("точність");
1
Директива Європейського Парламенту та Ради (2015/1535) - Європейського Парламенту
та Ради від 2015 року №1535, що встановлює процедуру надання інформації у сфері
технічного регулювання та правил надання послуг інформаційного суспільства (ОВ L 241,
17.9.2015 р., стор 1).

51. 51
(e) зберігатися у формі, яка дозволяє ідентифікувати суб'єктів даних не більше, ніж це
необхідно для цілей, для яких обробляються персональні дані; персональні дані можуть
зберігатися на такий за тривалістю термін, наскільки це стосується персональних даних,
що обробляються виключно для цілей архівації в інтересах суспільства, наукових або
історичних досліджень або статистичних цілях відповідно до статті 89(1) з урахуванням
впровадження відповідних технічних та організаційних заходів, що передбачені цим
Регламентом, для захисту прав та свобод суб'єкта даних ("Обмеження на зберігання");
(f) оброблятися таким чином, що забезпечує належну безпеку персональних даних,
включаючи захист від несанкціонованої або незаконної обробки та випадкової втрати,
знищення або пошкодження, використовуючи відповідні технічні або організаційні заходи
("цілісність та конфіденційність").
2. Контролер має нести відповідальність і бути здатним продемонструвати відповідність
пункту 1 ("підзвітність").
Стаття 6
Законність обробки персональних даних
1. Обробка персональних даних є законною тільки в тому випадку і в тій мірі, коли
виконується щонайменше одна з таких умов:
(a) суб’єкт персональних даних дав згоду на обробку своїх персональних даних для однієї
чи кількох конкретних цілей;
(b) обробка персональних даних є необхідною для виконання договору, в якому суб’єкт
даних є стороною, або з метою вжиття заходів на прохання суб’єкта даних перед
укладенням договору;
(c) обробка персональних даних є необхідною для відповідності юридичним
зобов’язанням, покладеним на контролера;
(d) обробка персональних даних є необхідною для захисту важливих інтересів суб’єкта,
його даних або іншої фізичної особи;
(e) обробка персональних даних є необхідною для виконання завдання в інтересах
суспільства або під час виконання державних повноважень, покладених на контролера;
(f) обробка персональних даних є необхідною для цілей захисту законних інтересів, які
переслідує контролер або третя сторона, за винятком випадків, коли такі інтереси
перекриваються інтересами або основоположними правами і свободами суб’єкта даних,
який потребує захисту персональних даних, зокрема, коли суб’єктом даних є дитина.
Підпункт (f) пункту 1 статті 6 не застосовується у випадку, якщо обробка персональних
даних проводиться органами державної влади при виконанні покладених на них завдань.
2. Країни Члени можуть застосовувати або вводити більш конкретні положення, щоб
адаптувати запровадження правил цього Регламенту стосовно обробки для дотримання
підпунктів (с) та (е) пункту 1, більш точно визначаючи конкретні вимоги до обробки та
інші заходи щодо забезпечення законної та справедливої обробки, в тому числі для інших
специфічних ситуацій обробки, як це передбачено у Розділі IX.
3. Підстави для обробки, згаданої в підпунктах (с) та (е) пункту 1, мають бути визначені у:

52. 52
(a) законодавстві Союзу; або
(b) законодавстві Країн Членів, яким підпорядковується контролер.
Мета обробки повинна визначатися на цій правовій базі або, якщо мова йде про обробку,
зазначену в підпункті (е) пункту 1, має бути необхідною для виконання завдання, яке
виконується в інтересах суспільства або під час виконання державних повноважень,
покладених на контролера. Ця правова база може містити спеціальні положення щодо
адаптації застосування правил цього Регламенту, зокрема: загальні умови, що регулюють
законність обробки персональних даних контролером; типи даних, які підлягають обробці;
суб'єктів даних; сутності та цілі, для яких персональні дані можуть бути розкриті;
обмеження мети обробки; періоди зберігання даних; процеси і процедури проведення
обробки персональних даних, включаючи заходи для забезпечення законної та
справедливої обробки, наприклад такі, що стосуються інших специфічних ситуацій
обробки, як це передбачено в Розділі IX. Законодавство Союзу або законодавство Країни
Члена повинні відповідати цілям суспільних інтересів і досягненню законної мети.
4. У разі, якщо обробка персональних даних є необхідною для інших цілей, крім тих, для
яких персональні дані були зібрані, та не має в основі згоди суб’єкта даних, законодавства
ЄС або законодавства Країни Члена, контролер повинен, з метою встановлення, чи є
обробка для іншої мети сумісною з цілями, для яких первинно були зібрані персональні
дані, брати до уваги наступні фактори:
(a) будь-який зв’язок між метою, для якої персональні дані були зібрані, та метою їх
передбачуваної подальшої обробки;
(b) контекст, у якому були зібрані персональні дані, зокрема, щодо взаємозв’язку між
суб’єктами даних і контролером;
(c) характер персональних даних, зокрема, чи обробляються спеціальні категорії
персональних даних, відповідно до статті 9, або персональні дані, пов’язані з судимістю і
правопорушеннями, відповідно до статті 10;
(d) можливі наслідки передбачуваної подальшої обробки персональних даних для
суб’єктів таких даних;
(e) наявність відповідних гарантій чи заходів захисту, які можуть включати шифрування
або використання псевдонімів.
Стаття 7
Умови надання згоди
1. У разі, якщо обробка персональних даних базується на згоді, контролер повинен мати
можливість продемонструвати, що суб'єкт даних дав згоду на обробку його або її
персональних даних.
2. Якщо згода суб'єкта даних надана в контексті письмової декларації, яка також
стосується інших питань, запит на згоду має бути представлений таким чином, який
дозволяє чітко відрізнити його від інших питань у зрозумілій і легкодоступній формі,
використовуючи чіткі і зрозумілі формулювання. Будь-яка частина такої заяви, яка є
порушенням цього Регламенту, не має бути обов'язковою.

53. 53
3. Суб'єкт даних має право відкликати свою згоду будь-коли. Відкликання згоди не
впливає на законність обробки на підставі згоди до її відкликання. Перед тим, як давати
згоду, суб'єкт даних повинен бути проінформований про таку можливість. Відкликати
згоду має бути так само легко, як і надати її.
4. При оцінці того, чи згода надана вільно, слід максимально враховувати, зокрема, чи
виконання контракту, включаючи надання послуги, залежить від згоди на обробку
персональних даних, яка не є необхідною для виконання цього контракту.
Стаття 8
Умови, що застосовуються до згоди дитини
у зв'язку із послугами інформаційного суспільства
1. Коли застосовується підпункт (а) статті 6(1) стосовно пропозиції послуг
інформаційного суспільства безпосередньо дитині, обробка персональних даних дитини є
законною, якщо дитина не молодше 16 років. Якщо дитина не досягла віку 16 років, така
обробка є законною лише у тому випадку і в тій мірі, коли така згода була надана або
санкціонована власником батьківської відповідальності за дитину.
Країни Члени можуть передбачати законом нижчий вік для цих цілей за умови, що такий
нижчий вік не нижче 13 років.
2. Контролер має докласти достатніх зусиль, щоб перевірити в таких випадках, що згода
була надана або санкціонована власником батьківської відповідальності за дитину з
урахуванням наявних технологій.
3. Пункт 1 не впливає на загальне договірне законодавство Країн Членів, таке як правила
щодо дійсності, формування або дії договору щодо дитини.
Стаття 9
Обробка окремих категорій персональних даних
1. Обробка персональних даних, про расове чи етнічне походження, політичні погляди,
релігійні чи філософські переконання, членство в профспілках, обробка генетичних,
біометричних даних з метою однозначної ідентифікації фізичної особи, даних стосовно
здоров'я, статевого життя або сексуальної орієнтації фізичної особи, забороняється.
2. Пункт 1 не має застосовуватись якщо виконується щонайменше одна з наступних умов:
(a) суб’єкт персональних даних надав явну згоду на обробку цих даних для однієї чи
кількох зазначених цілей, за винятком випадків, коли законодавство Союзу чи Країни
Члена передбачає, що суб'єкт даних не може скасувати заборону, зазначену в пункті 1;
(b) обробка персональних даних є необхідною для виконання зобов'язань та здійснення
конкретних прав контролера або суб'єкта даних у сфері зайнятості та соціального
забезпечення та закону про соціальний захист, якщо це дозволено законодавством Союзу
чи Країни Члена або колективним договором, відповідно до законодавства Країн Членів,
що передбачає відповідні гарантії щодо основних прав та інтересів суб'єкта даних;
(c) обробка є необхідною для захисту важливих інтересів суб’єкта персональних даних або
іншої фізичної особи, коли суб’єкт персональних даних фізично чи юридично не в змозі
надати згоду;

54. 54
(d) обробка здійснюється в процесі законної діяльності з наданням відповідних гарантій
фондом, асоціацією чи будь-якою іншою неприбутковою організацією з політичною,
філософською, релігійною або професійною метою і за умови, що обробка стосується
виключно членів або колишніх її членів або осіб, які регулярно контактують з нею у зв'язку
з досягненням її цілей, і за умови, що персональні дані не виходять за межі цієї організації
без згоди суб'єктів даних;
(e) обробка стосується даних, які були явно оприлюднені суб’єктом персональних даних;
(f) обробка необхідна для встановлення, здійснення або захисту у судових позовах або у
випадках, коли суди діють у межах своїх повноважень;
(g) обробка необхідна з міркувань суттєвих суспільних інтересів на основі законодавства
Союзу або Країни Члена, що має відповідати меті, поважати сутність права на захист даних
та забезпечувати відповідні та конкретні заходи для захисту основних прав та інтересів
суб'єкта даних;
(h) обробка необхідна з огляду на профілактичні або професійні медичні цілі, для оцінки
працездатності працівника, медичної діагностики, надання медичного або соціального
обслуговування або лікування, управління системою охорони здоров'я або соціальної
допомоги, надання медичних послуг на підставі закону Союзу чи країни Члена або
відповідно до договору з працівником охорони здоров'я та за умови надання гарантій,
зазначених у пункті 3;
(i) обробка необхідна з причин, що становлять суспільний інтерес в галузі охорони
здоров'я, наприклад, захисту від серйозних транскордонних загроз здоров'ю або
забезпечення високих стандартів якості та безпеки охорони здоров'я та лікарських засобів
або медичних виробів на основі законодавства Союзу або Країн Членів, яке передбачає
відповідні та конкретні заходи щодо захисту прав та свобод суб'єкта даних, зокрема,
дотримання професійної таємниці;
(j) обробка необхідна для архівації в інтересах суспільства, наукових чи історичних
дослідницьких цілей або в статистичних цілях відповідно до статті 89(1), базується на
законодавстві Союзу або Країн Членів, що відповідає досягнутій меті, поважає сутність
права на захист даних та передбачає відповідні та конкретні заходи для захисту основних
прав та інтересів суб'єкта даних.
3. Персональні дані, згадані в пункті 1, можуть оброблятися для цілей, зазначених у
підпункті (h) пункту 2, коли ці дані обробляються професійним працівником або є сферою
його відповідальності, відповідно до його зобов'язань про професійну таємницю згідно до
законодавства Союзу або Країни Члена, чи правил національних компетентних органів; або
іншою особою, що також підпадає під дію зобов'язання про таємницю відповідно до
законодавства або правил Союзу або Країн Членів, встановлених національними
компетентними органами.
4. Країни Члени можуть залишити або встановити додаткові умови, включаючи
обмеження, щодо обробки генетичних даних, біометричних даних або даних про здоров'я.
Стаття 10
Обробка персональних даних, пов'язаних із судимістю і правопорушеннями
Обробка персональних даних, що стосуються кримінальних карних вироків та
правопорушень, або відповідних заходів безпеки, зазначених у статті 6(1), здійснюється

55. 55
тільки під контролем офіційних органів влади або коли обробка дозволена законодавством
Союзу або Країни Члена, що передбачає належні гарантії прав та свобод суб'єктів даних.
Будь-який комплексний реєстр кримінальних вироків повинен зберігатись лише під
контролем офіційних органів влади.
Стаття 11
Обробка персональних даних, що не передбачає ідентифікації
1. Якщо цілі, для яких контролер обробляє персональні дані, не потребують або більше не
вимагають ідентифікації суб'єкта даних контролером, контролер не зобов'язаний
зберігати, отримувати або обробляти додаткову інформацію для ідентифікації суб'єкта
даних лише з метою виконання цього Регламенту.
2. Якщо у випадках, зазначених у пункті 1 цієї статті, контролер може продемонструвати,
що він не в змозі ідентифікувати суб'єкта даних, контролер повинен, якщо це можливо,
поінформувати про це суб'єкта даних. У таких випадках положення статей 15-20 не
застосовуються, крім випадків, коли суб'єкт даних з метою здійснення своїх прав згідно з
цими статтями, надає додаткову інформацію, що дозволяє його ідентифікувати.
РОЗДІЛ ІІІ
Права суб’єкта персональних даних
Частина 1
Прозорість та умови
Стаття 12
Прозорість інформації, комунікацій та умови забезпечення прав суб'єкта даних
1. Контролер має вжити належних заходів для надання будь-якої інформації, зазначеної в
статтях 13 і 14, та організації будь-якої комунікації відповідно до статей 15-22 та 34
стосовно обробки даних у стислій, прозорій, зрозумілій і легкодоступній формі,
використовуючи чітку та зрозумілу мову, особливо звертаючись до дитини. Інформація
повинна бути надана в письмовій формі або іншими засобами, включаючи, якщо це
доречно, електронні засоби. За запитом суб'єкта даних інформація може бути надана усно,
за умови, що ідентичність суб'єкта даних доведена іншими способами.
2. Контролер повинен сприяти дотриманню прав суб'єктів даних відповідно до статей 15-
22. У випадках, зазначених у частині 2 статті 11, контролер не має відмовлятись діяти на
вимогу суб'єкта даних для задовольняння його або її прав відповідно до статей з 15 по 22,
за винятком випадків, коли контролер може продемонструвати, що він не в змозі
ідентифікувати суб'єкт даних.
3. Контролер повинен надавати інформацію суб'єкту даних стосовно дій, виконаних за
запитом згідно статей 15-22, без затримки та в будь-якому випадку протягом місяця від
дати отримання запиту. Якщо необхідно, цей період може бути подовжений ще на два
місяці з урахуванням складності та кількості запитів. Контролер має проінформувати
суб’єкта персональних даних щодо будь-якої затримки надання інформації протягом
одного місяця з моменту отримання запиту, повідомляючи також причини затримки. Якщо
суб'єкт даних робить запит за допомогою електронних комунікацій, інформація, де це

56. 56
можливо, також надається електронними засобами, якщо інше не вимагається суб'єктом
даних.
4. Якщо контролер не вживає заходів за запитом суб'єкта даних він повинен повідомити
суб'єкта без затримки і не пізніше, ніж протягом одного місяця з моменту отримання
запиту щодо причин бездіяльності та про можливість подання скарги до наглядового
органу та звернення щодо надання судового захисту.
5. Інформація, надана відповідно до статей 13 і 14, та будь-яке повідомлення та будь-які
заходи, вжиті відповідно до статей 15-22 та 34, надаються безкоштовно. Якщо запити
суб'єкта даних є явно необґрунтованими або надмірними, зокрема через їх повторюваність,
контролер може:
(a) стягувати обґрунтовану оплату, беручи до уваги адміністративні витрати на надання
інформації, комунікацію або виконання витребуваних дій; або
(b) відмовитися діяти за запитом.
Контролер має продемонструвати необґрунтованість або надмірний характер запиту.
6. Не порушуючи положень статті 11, якщо контролер має розумні сумніви стосовно
ідентичності фізичної особи, яка подала запит, відповідно до статей 15-21, контролер може
вимагати надання додаткової інформації, необхідної для підтвердження особи суб’єкта
персональних даних.
7. Інформація, яка повинна надаватися суб'єктам даних відповідно до статей 13 та 14,
може бути надана у поєднанні зі стандартизованими зображеннями, з тим щоб мати легко
помітний, зрозумілий та чіткий спосіб пояснення подальшої обробки. Там, де зображення
представлені в електронному вигляді, вони повинні бути машиночитаними.
8. Комісія має бути наділена повноваженнями приймати делеговані акти відповідно до
статті 92 з метою визначення інформації, яка повинна бути представлена зображеннями,
та процедур представлення стандартизованих зображень.
Частина 2
Інформація та доступ до персональних даних
Стаття 13
Інформація, яка надається, якщо персональні дані отримуються від суб’єкта даних
1. У випадку, коли персональні дані отримуються безпосередньо від суб'єкта даних, під
час цієї процедури, контролер має надати суб’єкту персональних даних усю наступну
інформацію:
(a) дані про власну ідентифікацію та контактні дані контролера та, коли це можливо,
відомості про організацію, яку він представляє;
(b) коли це можливо, контактні дані працівника з питань захисту даних;
(c) мету збору та обробки персональних даних, а також юридичні підстави для цього;
(d) у випадку, коли збір даних відбувається на підставі підпункту (f) статті 6 (1), відомості
про законні інтереси контролера або третьої сторони;

57. 57
(e) відомості про отримувачів або категорії отримувачів персональних даних, якщо такі є;
(f) коли це можливо, інформацію про наміри подальшої передачі персональних даних у
треті країни або до міжнародних організацій, а також про наявність або відсутність
рішення Комісії. У випадку, коли передача відбувається відповідно до положень статей 46
та 47, або другого підпупункту статті 49(1), посилання на відповідні гарантії та засоби
отримання їхньої копії або посилання до місця, де вони доступні.
2. На додаток до положень, зазначених у пункті 1, контролер мусить під час збору
персональних даних надати суб’єкту персональних даних наступні відомості, необхідні для
забезпечення чесного та прозорого процесу обробки персональних даних:
(a) період, протягом якого персональні дані зберігатимуться або, якщо це не можливо,
критерій, що використовується для визначення такого періоду;
(b) наявність права вимагати від контролера доступу до виправлення чи стирання
персональних даних або обмеження обробки щодо суб'єкта даних або заперечення щодо
обробки, а також права на переносимість даних;
(c) коли обробка персональних даних заснована на підпункті (а) статті 6(1) або підпункті
(а) статті 9(2), наявність права відкликати свою згоду в будь-який час, не впливаючи на
законність обробки персональних даних, яка виконувалась на підставі згоди, наданої до
відкликання;
(d) право подати скаргу до наглядового органу;
(e) чи є надання персональних даних законодавчою або договірною вимогою або вимогою,
необхідною для укладення договору, а також того, чи суб'єкт даних зобов'язаний надавати
персональні дані та можливі наслідки ненадання таких даних;
(f) наявність автоматизованої системи прийняття рішень, включаючи профілювання,
згадані в пунктах 1 і 4 статті 22, і, принаймні, у цих випадках змістовну інформацію про
залучену логіку, а також про значимість та передбачувані наслідки такої обробки для
суб'єкта даних.
3. Якщо контролер має намір додатково обробляти персональні дані для цілей, відмінних
від тієї, для якої були зібрані персональні дані, контролер повинен надавати суб'єкту даних
до такої подальшої обробки інформацію з викладом цієї іншої мети та будь-яку іншу
відповідну додаткову інформацією, як зазначено у пункті 2.
4. Пункти 1, 2 та 3 не застосовуються там, де і як суб'єкт даних вже має інформацію.
Стаття 14
Інформація, яка повинна бути надана, якщо персональних дані не були отримані від
суб'єкта даних
1. Коли персональні дані не були отримані від суб'єкта даних, контролер має надати
суб’єкту персональних даних наступну інформацію:
(a) дані про власну ідентифікацію та контактні дані контролера та, коли це можливо,
відомості про організацію, яку він представляє;
(b) коли це можливо, контактні дані працівника з питань захисту даних;

58. 58
(c) мету збору та обробки персональних даних, а також юридичні підстави для цього;
(d) категорії відповідних персональних даних;
(e) відомості про отримувачів або категорії отримувачів персональних даних, якщо такі є;
(f) коли це можливо, інформацію про наміри контролера щодо подальшої передачі
персональних даних у треті країни або до міжнародних організацій, а також про наявність
або відсутність рішення Комісії. У випадку, коли передача відбувається відповідно до
положень статей 46 та 47, або другого підпараграфу статті 49(1), посилання на відповідні
гарантії та засоби отримання їхньої копії або посилання до місця, де вони доступні.
2. На додаток до інформації, зазначеної в пункті 1, контролер має надати суб’єкту
персональних даних наступну інформацію для забезпечення чесної та прозорої обробки
персональних даних суб'єкта даних:
(a) період, протягом якого персональні дані зберігатимуться або, якщо це не можливо,
критерій, що використовується для визначення такого періоду;
(b) у випадку, коли збір даних відбувається на підставі підпункту (f) статті 6(1), відомості
про законні інтереси контролера або третьої сторони;
(c) наявність права вимагати від контролера доступу до виправлення чи стирання
персональних даних або обмеження обробки щодо суб'єкта даних та заперечення щодо
обробки, а також права на портативність даних;
(d) коли обробка персональних даних заснована на підпункті (а) статті 6(1) або підпункті
(а) статті 9(2), наявність права відкликати свою згоду у будь-який час, що не впливає на
законність обробки на підставі згоди до її відкликання;
(e) право подати скаргу до наглядового органу;
(f) з якого джерела походять персональні дані та, якщо це можливо, чи походять вони із
загальнодоступних джерел;
(g) наявність автоматизованої системи прийняття рішень, включаючи профілювання,
згадані в пунктах 1 і 4 статті 22, і, принаймні, у цих випадках змістовну інформацію про
залучену логіку, а також про значимість та передбачувані наслідки такої обробки для
суб'єкта даних.
3. Контролер має надати інформацію, зазначену у пунктах 1 та 2:
(a) протягом прийнятного періоду після отримання персональних даних, але не пізніше
одного місяця, з огляду на особливі обставини, за яких обробляються персональні дані;
(b) якщо персональні дані повинні використовуватися для зв'язку з суб'єктом даних, не
пізніше, ніж на момент першого повідомлення суб'єкта даних; або
(c) якщо передбачено інформування іншого одержувача, не пізніше першого розкриття
персональних даних.
4. Якщо контролер має намір додатково обробляти персональні дані для цілей, відмінних
від тієї, для якої були отримані персональні дані, контролер повинен надавати суб'єкту

59. 59
даних до такої подальшої обробки інформацію з викладом цієї іншої мети та будь-яку іншу
відповідну додаткову інформацію, як зазначено в пункті 2.
5. Пункти з 1 по 4 не мають застосовуватись там, де і як:
(a) суб’єкт персональних даних вже отримав інформацію;
(b) надання такої інформації виявиться неможливим або призведе до неспівмірних зусиль,
зокрема у випадках обробки для архівації в інтересах суспільства, наукових чи історичних
дослідницьких цілей або в статистичних цілях зазначених у статті 89(1), або коли
зобов'язання, зазначене у пункті 1 цієї статті, може призвести до неможливості або
серйозно погіршити досягнення цілей такої обробки. У таких випадках контролер має
вжити належних заходів для захисту прав та свобод суб'єкта даних та законних інтересів, у
тому числі шляхом відкриття інформації для загалу;
(c) оприлюднення або розкриття інформації прямо встановлюється законодавством
Союзу або країн Членів, якому підпорядковується контролер, і який передбачає відповідні
заходи для захисту законних інтересів суб'єкта даних; або
(d) коли персональні дані не мають підлягати розголошенню через зобов'язання зберігати
конфіденційність, встановлене згідно з законодавством Союзу чи Країни Члена,
включаючи законодавчі зобов'язання щодо конфіденційності.
Стаття 15
Права доступу до інформації суб’єкта персональних даних
1. Суб’єкт персональних даних має право отримати від контролера підтвердження щодо
того, чи обробляються персональні дані стосовно нього та, якщо це так, доступ до цих
персональних даних та таку інформацію:
(a) мета обробки;
(b) відповідні категорії персональних даних;
(f) одержувачі або категорії одержувачів, яким персональні дані були або будуть розкриті,
зокрема отримувачі у третіх країнах або міжнародних організаціях;
(g) де це можливо, передбачений період, протягом якого персональні дані зберігатимуться
або, якщо це не можливо, критерій, що використовується для визначення такого періоду;
(h) наявність права вимагати від контролера виправлення чи стирання персональних
даних або обмеження обробки персональних даних щодо суб'єкта даних або заперечення
щодо такої обробки;
(i) право подати скаргу до наглядового органу;
(j) у разі, якщо персональні дані отримані не від суб’єкту персональних даних, будь-яка
наявна інформація щодо їх джерела;
(k) наявність автоматизованої системи прийняття рішень, включаючи профілювання,
згадані в частинах 1 і 4 статті 22, і, принаймні, у цих випадках змістовну інформацію про
залучену логіку, а також про значимість та передбачувані наслідки такої обробки для
суб'єкта даних.

60. 60
2. Якщо персональні дані передаються до третьої країни або до міжнародної організації,
суб’єкт персональних даних має право бути поінформованим щодо відповідних гарантій
відповідно до статті 46, стосовно передачі.
3. Контролер має надати копію персональних даних, що підлягають обробці. За будь-які
додаткові копії, що вимагаються суб'єктом даних, контролер може стягувати розумну
плату з урахуванням адміністративних витрат. Якщо суб'єкт даних робить запит за
допомогою електронних комунікацій і якщо інше не вимагається суб'єктом даних,
інформація має бути надана у загальновживаній формі електронних комунікацій.
4. Право на отримання копії, зазначене в пункті 3, не повинно негативно впливати на
права та свободи інших осіб.
Частина 3
Усунення помилок та виправлення
Стаття 16
Право на усунення помилок
Суб'єкт даних має право отримати від контролера без необґрунтованої затримки
виправлення неточних персональних даних стосовно нього або неї. З огляду на цілі
обробки, суб'єкт даних має право на заповнення неповних персональних даних, у тому
числі шляхом надання додаткової заяви.
Стаття 17
Право на стирання даних ("право на забуття")
1. Суб'єкт даних має право на стирання контролером персональних даних, що стосуються
суб'єкта, без невиправданої затримки, а контролер зобов'язаний видаляти персональні
дані без зайвої затримки, якщо виконується щонайменше одна з таких умов:
(a) персональні дані більше не є необхідними щодо цілей, для яких вони були зібрані чи
оброблялись іншим чином;
(b) суб'єкт даних відкликає згоду, на підставі якої здійснюється обробка відповідно до
підпункту (а) статті 6(1) або підпункту (а) статті 9(2), і якщо немає інших правових підстав
для обробки;
(c) суб’єкт персональних даних висуває заперечення щодо обробки персональних даних
відповідно до Статті 21(1), і немає переважаючих законних підстав для обробки, або
суб’єкт персональних даних висуває заперечення щодо обробки персональних даних
відповідно до Статті 21(2);
(d) персональні дані оброблялись незаконно;
(e) персональні дані повинні бути стерті з метою дотримання юридичного зобов'язання у
законодавстві Союзу або Країн Членів, яким підпорядковується контролер;
(f) персональні дані були зібрані у зв'язку із пропозицією послуг інформаційного
суспільства, зазначених у статті 8(1).

61. 61
2. Якщо контролер зробив персональні дані публічними і зобов'язаний, відповідно до
пункту 1, видалити персональні дані, контролер, враховуючи наявні технології та витрати
на виконання, повинен вжити належних заходів, включаючи технічні заходи, для
інформування контролерів, які обробляють персональні дані, що суб'єкт даних подав запит
стерти будь-які посилання на ці персональні дані або їх копії чи репліки.
3. Пункти 1 та 2 не застосовуються в тій мірі, в якій обробка є необхідною:
(a) для задовольняння права на свободу вираження та інформації;
(b) для дотримання юридичного зобов'язання, яке вимагає обробки відповідно до
законодавства Союзу або Країни Члена, якому підпорядковується контролер, або для
виконання завдання, що здійснюється в інтересах суспільства, або під час виконання
державних повноважень, що покладені на контролера;
(c) з міркувань суспільного інтересу в галузі громадського здоров'я відповідно до
підпунктів (h) та (i) Статті 9(2), а також Статті 9(3);
(d) для архівації в інтересах суспільства, наукових чи історичних дослідницьких цілей або
в статистичних цілях зазначених у Статті 89(1), або коли право, згадане в пункті 1, може
зробити неможливим або серйозно погіршити досягнення цілей обробки; або
(e) для встановлення, задоволення або захисту правових позовів.
Стаття 18
Право на обмеження обробки
1. Суб'єкт даних має право домогтися від контролера обмеження обробки, якщо
виконується щонайменше одна з таких умов:
(a) точність персональних даних оскаржується суб'єктом даних - протягом періоду, що
дозволяє контролеру перевірити точність персональних даних;
(b) обробка персональних даних є незаконною, а суб'єкт даних виступає проти стирання
персональних даних і вимагає замість цього обмеження їх використання;
(c) контролер більше не потребує персональних даних для цілей обробки, але вони
потрібні суб’єкту персональних даних для встановлення, задоволення або захисту
правових позовів;
(d) суб’єкт персональних даних заперечував проти обробки відповідно до статті 21(1),
доки не буде перевірено, чи законні підстави контролера перевищують підстави суб'єкта
даних.
2. Якщо обробка була обмежена згідно з пунктом 1, такі персональні дані, за винятком
зберігання, обробляються лише з дозволу суб'єкта даних або для встановлення,
задоволення або захисту правових позовів або для захисту прав іншої фізичної або
юридичної особи або з причин важливих суспільних інтересів Союзу або Країни Члена.
3. Суб’єкт персональних даних, який домігся обмеження обробки відповідно до пункту 1,
має бути поінформованим контролером перед тим, як обмеження обробки скасовується.

62. 62
Стаття 19
Зобов'язання про повідомлення щодо виправлення чи стирання персональних даних
або обмеження обробки
Контролер має повідомити про кожне виправлення або стирання персональних даних або
обмеження обробки, проведене відповідно до статті 16, статті 17 (1) та статті 18, кожного
одержувача, якому було розкрито персональні дані, якщо це не виявляється неможливим
або непропорційним зусиллям. Контролер повинен повідомити суб'єкта даних про цих
одержувачів, якщо суб'єкт даних вимагає цього.
Стаття 20
Право на портативність даних
1. Суб'єкт даних має право отримувати персональні дані, що стосуються суб'єкта, які він
або вона надали контролерові, у структурованому, загальновживаному та
машиночитаному форматі та має право передавати ці дані іншому контролеру без
перешкод від контролера, якому були надані персональні дані, якщо:
(a) обробка здійснюється на підставі згоди відповідно до підпункту (а) Статті 6(1) або
підпункту (а) Статті 9(2) або за договором відповідно до підпункту (b) Статті 6 (1); і
(b) обробка персональних даних виконується автоматизованими засобами.
2. Використовуючи своє право на переносимість даних відповідно до пункту 1, суб'єкт
даних має право передавати персональні дані безпосередньо від одного контролера до
іншого, якщо це є технічно здійсненним.
3. Задовольняння права, зазначеного в пункті 1 цієї Статті, не повинно суперечити Статті
17. Це право не має застосовуватись, коли обробка персональних даних є необхідною для
виконання завдання в інтересах суспільства або під час виконання державних
повноважень, покладених на контролера.
4. Право, зазначене в пункті 1, не повинно негативно впливати на права та свободи інших
осіб.
Частина 4
Право висувати заперечення та автоматизація індивідуального прийняття рішень
Стаття 21
Право висувати заперечення
1. У суб’єкта персональних даних є право в будь-який час на засадах, пов'язаних з його або
її конкретною ситуацією, заперечувати обробку персональних даних, що стосуються нього
або неї, на підставі підпункту (е) або (f) статті 6(1), включаючи профілювання на основі цих
положень. Контролер не має надалі обробляти ці персональні дані, якщо не продемонструє
обґрунтовані законні підстави для обробки, які перевищують інтереси, права та свободи
суб'єкта даних, а також для встановлення, задовольняння або захисту правових позовів.
2. Якщо персональні дані обробляються для прямих маркетингових цілей, суб'єкт даних
має право в будь-який час заперечувати обробку персональних даних, що стосуються

63. 63
суб'єкта, для таких маркетингових цілей, включаючи профілювання в тій мірі, в якій це
пов'язано з таким безпосереднім маркетингом.
3. Якщо суб'єкт даних заперечує обробку даних для прямих маркетингових цілей,
персональні дані не мають надалі оброблятись для таких цілей.
4. Не пізніше, ніж під час першого зв'язку з суб'єктом даних, право, зазначене у пунктах 1 і
2, повинно бути явним чином доведено до відома суб’єкта персональних даних, і воно
повинно бути представлено чітко та окремо від будь-якої іншої інформації.
5. У контексті використання послуг інформаційного суспільства та незважаючи на
Директиву 2002/58/ЄС суб’єкт персональних даних може задовільнити своє право на
заперечення автоматизованими засобами використовуючи технічні можливості.
6. Якщо персональні дані обробляються для наукових чи історичних дослідницьких цілей
або в статистичних цілях зазначених у Статті 89(1), суб’єкт персональних даних з причин,
пов'язаних із його або її конкретною ситуацією, повинен мати право заперечувати обробку
персональних даних, що стосуються нього або неї, за винятком випадків, коли обробка
персональних даних є необхідною для виконання завдання, що проводиться з міркувань
суспільного інтересу.
Стаття 22
Автоматизоване індивідуальне прийняття рішень, включаючи профілювання
1. Суб'єкт даних має право не бути предметом рішення, яке базується виключно на
автоматизованій обробці, включаючи профілювання, що створює правові наслідки, які
стосуються його чи її або аналогічно значно впливає на нього або неї.
2. Пункт 1 не має застосовуватись якщо рішення:
(a) необхідне для укладання або виконання договору між суб'єктом даних та контролером
даних;
(b) санкціоновано законодавством Союзу або Країни Члена, якому підпорядковується
контролер, і яке також встановлює відповідні заходи для гарантування прав та свобод
суб’єкта персональних даних і законних інтересів; або
(c) базується на явній згоді суб’єкта персональних даних.
3. У випадках, зазначених у підпунктах (а) та (с) пункту 2, контролер даних має
здійснювати відповідні заходи для захисту прав та свобод суб’єкта персональних даних та
законних інтересів, принаймні права на отримання людського втручання з боку
контролера, висловлювання своєї точки зору та оскарження рішення.
4. Рішення, зазначені в пункті 2, не повинні ґрунтуватися на спеціальних категоріях
персональних даних, зазначених у Статті 9(1), якщо не застосовуються підпункти (a) або
(g) Статті 9(2) та відповідні заходи щодо захисту прав і свобод та законних інтересів
суб’єкта персональних даних.

64. 64
Частина 5
Обмеження
Стаття 23
Обмеження
1. Законодавство Союзу чи Країни Члена, якому підпорядковується контролер, чи
обробник даних, може обмежувати законодавчим чином обсяг зобов'язань та прав,
передбачених Статтями 12-22 та Статтею 34, а також Статтею 5, якщо її положення
відповідають правам і зобов'язанням, передбаченим Статтями 12-22, коли таке обмеження
поважає сутність основних прав і свобод і є необхідною та пропорційною мірою в
демократичному суспільстві для забезпечення:
(a) національної безпеки;
(b) оборони;
(c) громадської безпеки;
(d) запобігання, розслідування, виявлення та судового переслідування за кримінальні
правопорушення або виконання кримінальних покарань, в тому числі, захисту та
запобігання загрозам громадської безпеки;
(e) інших важливих цілей, що становлять суспільний інтерес для Союзу або Країни Члена,
зокрема важливі економічні або фінансові інтереси Союзу або Країни Члена, включаючи
грошові, бюджетні та податкові питання, охорону здоров'я та соціальне забезпечення;
(f) захисту незалежності суддів та судових розглядів;
(g) запобігання, розслідування, виявлення та переслідування порушень етики для
регульованих професій;
(h) контроля, інспекції або регулювання, пов'язаних, навіть випадково, зі здійсненням
офіційних повноважень у випадках, зазначених у підпунктах (a) - (e) та (g);
(i) захисту суб’єкта персональних даних або прав та свобод інших осіб;
(j) виконання цивільно-правових позовів.
2. Зокрема, будь-який законодавчий захід, згаданий в пункті 1, повинен містити, при
необхідності, конкретні положення щодо:
(a) мети обробки або категорії обробки;
(b) категорій персональних даних;
(c) сфери введення обмежень;
(d) гарантій запобігання зловживанням або незаконному доступу або передачі;
(e) специфікації контролера або категорій контролерів;

65. 65
(f) термінів зберігання та відповідних гарантій з урахуванням характеру, обсягу та цілей
обробки або категорій обробки;
(g) ризиків для прав і свобод суб’єктів персональних даних; і
(h) права суб'єктів даних отримувати інформацію про обмеження, якщо це не суперечить
меті обмеження.
Розділ IV
Контролер і обробник
Частина 1
Загальні зобов'язання
Стаття 24
Відповідальність контролера
1. Беручи до уваги характер, масштаб, контекст та цілі обробки, а також ризики різної
ймовірності та ступеня тяжкості для прав та свобод фізичних осіб, контролер повинен
здійснити відповідні технічні та організаційні заходи, щоб забезпечити і бути в змозі
продемонструвати, що обробка здійснюється відповідно до цього Регламенту. Зазначені
заходи мають бути переглянуті та оновлені, коли це необхідно.
2. У випадках, коли вони відповідають заходам обробки персональних даних, заходи,
згадані в пункті 1, мають включати в себе здійснення відповідної політики захисту даних
контролером.
3. Дотримання затверджених кодексів поведінки, як зазначено у Статті 40, або механізмів
сертифікації, як зазначено у Статті 42, може бути використане як елемент, який дозволяє
продемонструвати дотримання зобов'язань контролером.
Стаття 25
Захист даних при проектуванні та за замовчуванням
1. З огляду на сучасний рівень технологій, вартість реалізації та характер, обсяг, контекст і
цілі обробки, а також ризики різної ймовірності та ступеня тяжкості для прав та свобод
фізичних осіб, спричинені обробкою персональних даних, контролер повинен, як під час
визначення засобів обробки, так і на час самої обробки, вживати належних технічних та
організаційних заходів (наприклад, використання псевдонімів), для реалізації принципів
захисту даних, таких як мінімізація даних, ефективним чином, а також інтегрувати
необхідні гарантії у процес обробки, аби відповідати вимогам цього Регламенту та
захищаіти права суб’єктів персональних даних.
2. Контролер повинен вжити відповідні технічні та організаційні заходи для забезпечення
того, щоб за замовчуванням оброблялися лише персональні дані, необхідні для кожної
конкретної мети обробки персональних даних. Це зобов'язання стосується кількості
зібраних персональних даних, міри їх обробки, строку їх зберігання та доступності.
Зокрема, такі заходи повинні забезпечити, щоб за замовчуванням персональні дані не
стали доступними, без втручання особи, для невизначеної кількості фізичних осіб.

66. 66
3. Затверджений механізм сертифікації відповідно до Статті 42 може бути використаний
як елемент для демонстрації відповідності вимогам, викладеним у пунктах 1 і 2 цієї Статті.
Стаття 26
Спільні контролери
1. Якщо два або більше контролери спільно визначають цілі та засоби обробки
персональних даних, вони повинні бути спільними контролерами. Вони повинні прозоро
визначати свої відповідні обов'язки у дотриманні зобов'язань за цим Регламентом, зокрема
щодо здійснення прав суб’єкта персональних даних та їх відповідних обов'язків щодо
надання інформації, зазначеної у Статтях 13 та 14, шляхом угоди між ними, за винятком
випадків, коли відповідні обов'язки контролерів визначаються законодавством Союзу або
Країни Члена, якому підпорядковані контролери. Угода може встановлювати точку
контакту для суб’єктів персональних даних.
2. Угода, згадана в пункті 1, повинна належним чином відображати відповідні ролі та
стосунки спільних контролерів щодо суб’єктів персональних даних. Сутність угоди має
бути доступною для суб'єкта даних.
3. Незалежно від умов договору, зазначеного в пункті 1, суб'єкт персональних даних може
задовольняти свої права відповідно до цього Регламенту по відношенню до та проти
кожного контролера.
Стаття 27
Представники контролерів або обробників, не затверджених в Союзі
1. У випадку, коли застосовується Стаття 3(2), контролер або обробник письмово
призначає представника в Союзі.
2. Обов'язок, зазначений у пункті 1 цієї Статті, не має застосовуватись до:
(a) обробки, яка є випадковою, не включає у великому масштабі обробку спеціальних
категорій персональних даних, зазначених у пункті 1 Cтатті 9, або обробки персональних
даних, пов'язаних із судимістю і правопорушеннями, зазначеними у Статті 10, і навряд чи
призведе до ризику порушення прав і свобод фізичних осіб, враховуючи характер,
контекст, обсяг та мету обробки; або
(b) державної влади або її органу.
3. Представник засновується в одній з Країн Членів, де є суб’єкти персональних даних, чиї
персональні дані обробляються у зв'язку з пропозицією товарів чи послуг для них або
контролем їхньої поведінки.
4. Представник повинен бути вповноваженим контролером або обробником, на те, аби
приймати звернення замість контролера або обробника, зокрема, з боку наглядових
органів та суб'єктів персональних даних, по всіх питаннях, пов'язаних з обробкою
персональних даних, з метою дотримання цього Регламенту.
5. Призначення представника контролером або обробником не повинно суперечити
судовим діям, які можуть бути ініційовані проти самого контролера або обробника.

67. 67
Стаття 28
Обробник даних
1. Якщо обробка здійснюється від імені контролера, контролер повинен використовувати
тільки обробників, які надають достатні гарантії для здійснення відповідних технічних та
організаційних заходів таким чином, що обробка персональних даних відповідатиме
вимогам цього Регламенту та забезпечить захист прав суб’єкта персональних даних.
2. Обробник не повинен задіювати іншого обробника без попереднього конкретного або
загального письмового дозволу контролера. У випадку загального письмового дозволу
обробник інформує контролера про будь-які передбачені зміни, що стосуються додавання
або заміни інших обробників, тим самим надаючи контролерові можливість заперечувати
щодо таких змін.
3. Обробка персональних даних обробником регулюється договором або іншим
законодавчим актом відповідно до законодавства Союзу або Країни Члена, що є
обов'язковим для обробника відносно контролера, і який визначає предмет та тривалість
обробки, характер та мету обробки, тип персональних даних і категорій суб’єктів
персональних даних, а також зобов'язання та права контролера. Цей договір або інший
правовий акт має передбачати, зокрема, що обробник:
(a) обробляє персональні дані лише за документованими інструкціями контролера, в тому
числі стосовно передачі персональних даних третій країні або міжнародній організації, за
винятком випадків, коли це вимагається законодавством Союзу або Країни Члена, якому
підпорядковується обробник; у такому випадку обробник інформує контролера про таку
юридичну вимогу перед обробкою, якщо цей закон не забороняє таке інформування з
важливих причин суспільного інтересу;
(b) гарантує, що особи, які мають право обробляти персональні дані, взяли на себе
зобов'язання щодо конфіденційності або підпадають під дію відповідного статутного
зобов'язання щодо конфіденційності;
(c) вживає всіх заходів, необхідних відповідно до Статті 32;
(d) дотримується умов, зазначених у пунктах 2 та 4 для залучення іншого обробника;
(e) беручи до уваги характер обробки персональних даних, допомагає контролерові у
відповідних технічних та організаційних заходах, наскільки це можливо, для виконання
зобов'язання контролера щодо відповіді на запити щодо задовольняння прав суб’єкта
персональних даних, зазначених у Розділі III;
(f) допомагає контролеру у забезпеченні дотримання зобов'язань відповідно до Статей
32-36 з урахуванням характеру обробки та інформації, доступної обробнику;
(g) за вибором контролера, видаляє або повертає всі персональні дані контролеру після
закінчення надання послуг, пов'язаних з обробкою, і видаляє існуючі копії, якщо тільки
законодавство Союзу або Країни Члена не вимагає зберігання персональних даних;
(h) надає контролеру всю інформацію, необхідну для демонстрації відповідності
зобов'язанням, викладеним у цій статті, і дозволяє та сприяє проведенню перевірок,
включаючи перевірки контролером або іншим аудитором, вповноваженим контролером.

68. 68
Стосовно підпункту (h) пункту 1, обробник негайно інформує контролера, якщо, на його
думку, інструкція порушує цей Регламент або інші положення про захист даних Союзу або
Країни Члена.
4. Якщо обробник залучає іншого обробника для здійснення окремих процесів обробки
персональних даних від імені контролера, до нього застосовуються ті самі зобов'язання
щодо захисту даних, які встановлені в контракті або іншому правовому акті між
контролером та обробником, як зазначено у пункті 3, шляхом укладання договору чи
іншого правового акту відповідно до законодавства Союзу або Країни Члена, зокрема, для
надання достатніх гарантій щодо здійснення відповідних технічних та організаційних
заходів таким чином, аби обробка відповідала вимогам цього Регламенту. Якщо інший
обробник не виконує своїх зобов'язань щодо захисту даних, первинний обробник
залишається повністю відповідальним перед контролером за виконання зобов'язань
іншого обробника.
5. Дотримання обробником затверджених кодексів поведінки, як зазначено у Статті 40,
або затвердженого механізму сертифікації, як зазначено у Статті 42, може бути
використане як елемент, який дозволяє продемонструвати достатні гарантії, які зазначені
у пунктах 1 - 4 цієї Статті.
6. Без упереджень щодо індивідуального контракту між контролером та обробником,
договір або інший правовий акт, зазначений у пунктах 3 і 4 цієї Статті, можуть повністю
або частково ґрунтуватися на стандартних договірних положеннях, зазначених у пунктах 7
та 8 цієї Статті, в тому числі, коли вони є частиною сертифікації, наданої контролеру або
обробнику відповідно до Статей 42 та 43.
7. Комісія може встановлювати стандартні договірні положення щодо питань, зазначених
у пунктах 3 і 4 цієї Статті, та відповідно до процедури розгляду, зазначеної у пунктіі 2
Статті 93.
8. Наглядовий орган може приймати стандартні договірні положення щодо питань,
зазначених у пунктах 3 і 4 цієї Статті, та відповідно до механізму узгодженості, зазначеного
у Статті 63.
9. Контракт чи інший правовий акт, зазначений у пунктах 3 та 4, повинен бути укладений
письмово, у тому числі в електронній формі.
10. Без шкоди для Статей 82, 83 та 84, якщо обробник порушує цей Регламент, визначаючи
цілі та способи обробки, обробник вважається контролером щодо такої обробки
персональних даних.
Стаття 29
Обробка персональних даних під керівництвом контролера або обробника
Обробник та будь-яка особа, що діє під керівництвом контролера або обробника, яка має
доступ до персональних даних, не повинні обробляти ці дані, інакше як за інструкціями від
контролера, за винятком випадків, коли таке вимагається законодавством Союзу чи Країни
Члена.

69. 69
Стаття 30
Облік обробки персональних даних
1. Кожний контролер і, якщо доречно, представник контролера, повинен вести облік
виконаних операцій, у сфері його відповідальності. Цей запис повинен містити всю
наступну інформацію:
(a) ім'я та контактні дані контролера та, де це доречно, спільного контролера,
представника контролера та працівника з питань захисту даних;
(b) мету обробки;
(c) опис категорій суб'єктів персональних даних та категорій персональних даних;
(d) категорії одержувачів, яким персональні дані були або будуть розкриті, зокрема
отримувачів у третіх країнах або міжнародних організаціях;
(e) коли це можливо, дані щодо передачі персональних даних третій країні або
міжнародній організації, включаючи ідентифікацію цієї третьої країни чи міжнародної
організації, а у випадку передачі, зазначеної у пункті 2 Статті 49(1), документи з
відповідними гарантіями;
(f) де це можливо, передбачені строки стирання різних категорій даних;
(g) де це можливо, загальний опис технічних та організаційних заходів безпеки,
зазначених у Статті 32(1).
2. Кожний обробник і, де доречно, представник обробника повинен вести облік усіх
категорій операцій обробки персональних даних, здійснених від імені контролера, що
містить:
(a) ім'я та контактні дані обробника або обробників та кожного контролера, від імені
якого діє обробник, а також, якщо це можливо, представника контролера або представника
обробника та працівника з питань захисту даних;
(b) категорії обробки, виконані від імені кожного контролера;
(c) коли це можливо, дані щодо передачі персональних даних третій країні або
міжнародній організації, включаючи ідентифікацію цієї третьої країни чи міжнародної
організації, а у випадку передачі, зазначеної у другому підпункті Статті 49(1), документи з
відповідними гарантіями;
(d) де це можливо, загальний опис технічних та організаційних заходів безпеки,
зазначених у Статті 32(1).
3. Записи, зазначені в пунктах 1 і 2, повинні бути письмовими, в тому числі в електронній
формі.
4. Контролер або обробник і, де це можливо, представник контролера або представника
обробника має зробити запис доступним наглядовому органу за його запитом.
5. Обов'язки, зазначені в пунктах 1 і 2, не мають застосовуватись до підприємств чи
організацій, на яких працює менше 250 осіб, за винятком випадків, коли обробка, яку вони
виконують, може призвести до ризику щодо прав та свобод суб’єктів персональних даних,

70. 70
коли обробка не випадкова, або обробка включає спеціальні категорії даних, зазначені у
Статті 9(1), або персональні дані, що пов’язані з судимістю і правопорушеннями, відповідно
до Статті 10;
Стаття 31
Співпраця з наглядовим органом
Контролер та обробник, а також, де доречно, їх представники, мають співпрацювати з
наглядовим органом, на його вимогу, при виконанні його завдань.
Частина 2
Безпека персональних даних
Стаття 32
Безпека обробки персональних даних
1. З огляду на сучасний стан технологій, витрати на реалізацію та характер, масштаб,
контекст та мету обробки, а також ризики різної ймовірності та ступеня тяжкості правам
та свободам фізичних осіб, контролер та обробник повинні вжити відповідні технічні та
організаційні заходи для забезпечення рівня безпеки, відповідного ризику, включаючи, в
тому числі, в залежності від обставин:
(a) використання псевдонімів та шифрування персональних даних;
(b) здатність забезпечувати постійну конфіденційність, цілісність, доступність та стійкість
систем та сервісів обробки персональних даних;
(c) можливість своєчасного відновлення доступності та доступу до персональних даних у
разі фізичного або технічного інциденту;
(d) процес регулярного тестування, оцінки та атестації дієвості технічних та
організаційних заходів для забезпечення безпеки обробки персональних даних.
2. При оцінюванні відповідного рівня безпеки слід особливо брати до уваги ризики, що
виникають при обробці, зокрема від випадкового або незаконного знищення, втрати,
зміни, несанкціонованого розкриття або доступу до переданих, збережених або іншим
чином оброблених персональних даних.
3. Дотримання затверджених кодексів поведінки, як зазначено у Статті 40, або
затверджених механізмів сертифікації, як зазначено у Статті 42, може бути використане як
елемент, який дозволяє продемонструвати дотримання вимог, викладених у пункті 1 цієї
Статті.
4. Контролер та обробник мають вжити заходів для забезпечення того, щоб будь-яка
фізична особа, яка діє під наглядом контролера або обробника, який має доступ до
персональних даних, не обробляла їх, крім як за інструкціями контролера, за винятком
випадків, коли він або вона зобов'язана це робити законодавством Союзу або Країни Члена.

71. 71
Стаття 33
Повідомлення наглядового органу про порушення персональних даних
1. У випадку порушення персональних даних контролер повинен без неправомірної
затримки та, якщо це можливо, не пізніше ніж через 72 години після того, як він дізнався
про це, повідомити про порушення персональних даних наглядовий орган, правочинний
відповідно до Статті 55, за винятком випадків, коли порушення персональних даних
навряд чи призведе до ризику порушення прав та свобод фізичних осіб. У разі, якщо
повідомлення наглядового органу не здійснюється протягом 72 годин, воно повинно
супроводжуватись поясненням підстави для затримки.
2. Обробник повинен повідомити контролера без неправомірної затримки, після того, як
дізнається про порушення персональних даних.
3. Повідомлення, зазначене в пункті 1, має, щонайменше:
(a) містити опис характеру порушення персональних даних, включаючи, де це можливо,
також, категорії та приблизну кількість зачеплених суб’єктів персональних даних, а також
категорії та приблизну кількість зачеплених записів з персональними даними;
(b) повідомляти ім'я та контактні дані працівника з питань захисту даних або іншої точки
контакту, де можна отримати більше інформації;
(c) описувати можливі наслідки порушення персональних даних;
(d) описувати заходи, прийняті або запропоновані для прийняття контролером для
вирішення порушення персональних даних, включаючи, де це доречно, заходи щодо
пом'якшення можливих негативних наслідків.
4. Там, де і якщо неможливо надати інформацію одночасно, вона може бути надана
поетапно без неправомірної подальшої затримки.
5. Контролер повинен документувати будь-які витоки персональних даних, включаючи
факти, пов'язані з порушенням персональних даних, його наслідками та прийнятими
виправними діями. Ця документація повинна дозволити наглядовому органу перевірити
дотримання цієї Статті.
Стаття 34
Повідомлення щодо витоку персональних даних суб’єкту персональних даних
1. Якщо є ймовірність, що порушення персональних даних призведе до високого ризику
порушення прав та свобод фізичних осіб, контролер повинен повідомити про витік
персональних даних суб’єкта персональних даних без неправомірної затримки.
2. Звернення до суб'єкта даних, зазначене в пункті 1 цієї Статті, повинно чітко та
зрозуміло пояснювати характер порушення персональних даних та містити щонайменше
інформацію та заходи, зазначені у підпунктах (b), (c) та (d) Статті 33(3).
3. Повідомлення суб’єкта персональних даних, згадане в пункті 1, не є обов'язковим, якщо
виконуються будь-які з наступних умов:

72. 72
(a) контролер вжив відповідні технічні та організаційні заходи щодо захисту, і ці заходи
стосувались персональних даних, які постраждали від порушення персональних даних,
зокрема таких, що роблять персональні дані не зрозумілими для будь-якої особи, яка не
має дозвіл на доступ до них, наприклад, шифрування;
(b) контролер вжив подальші заходи, які гарантують, що високий ризик для дотримання
прав і свобод суб’єктів персональних даних, зазначених у пункті 1, більше не буде
реалізовуватися;
(c) це потребуватиме неспівмірних зусиль. У такому випадку замість цього має бути
зроблене публічне повідомлення або аналогічний захід, за допомогою якого суб’єкти
персональних даних будуть проінформовані так само ефективно.
4. Якщо контролер ще не повідомив про порушення персональних даних суб'єкта даних,
наглядовий орган, усвідомлюючи високу ймовірність порушення персональних даних,
може вимагати від нього це зробити або може вирішити, що має місце будь-яка з умов,
зазначених у пункті 3.
Частина 3
Оцінка впливу на захист даних та попередня консультація
Стаття 35
Оцінка впливу на захист даних
1. Якщо тип обробки персональних даних, особливо використовуючи нові технології та
враховуючи характер, обсяг, контекст та мету обробки, може призвести до високого ризику
порушення прав та свобод фізичних осіб, контролер перед обробкою повинен здійснити
оцінку впливу передбачених операцій обробки на захист персональних даних. Одинична
оцінка може застосовуватись до комплексу подібних операцій обробки персональних
даних, які мають схожі високі ризики.
2. Контролер повинен консультуватись із працівником з питань захисту даних, якщо
такого призначено, під час проведення оцінки впливу на захист даних.
3. Оцінка впливу на захист даних, зазначена в пункті 1, зокрема, потрібна у випадку:
(a) систематичної та масштабної оцінки персональних аспектів, що стосуються фізичних
осіб, яка базується на автоматизованій обробці, включаючи профілювання, і на якій
базуються рішення, що обумовлюють юридичні наслідки для фізичної особи або схожим
чином істотно впливають на фізичну особу;
(b) обробки у великих масштабах спеціальних категорій даних, зазначених у Статті 9(1),
або персональних даних, що пов’язані з судимістю і правопорушеннями, відповідно до
Статті 10; або
(c) систематичного моніторингу широко доступної території.
4. Наглядовий орган повинен встановити та оприлюднити перелік видів операцій з
обробки персональних даних, на які поширюється вимога оцінки впливу на захист даних
відповідно до пункту 1. Наглядовий орган має надати цей перелік Раді, відповідно до
Статті 68.

73. 73
5. Наглядовий орган також може встановити та оприлюднити перелік видів операцій
обробки персональних даних, для яких не потрібно проводити оцінку впливу на захист
даних. Наглядовий орган має надати цей перелік Раді.
6. До прийняття переліків, зазначених у пунктах 4 та 5, компетентний наглядовий орган
застосовує механізм узгодження, відповідно до Статті 63, у випадку, коли такі переліки
включають опис діяльності з обробки, яка пов'язана з пропозицією товарів або послуг
суб’єктам персональних даних або моніторингом їх поведінки в кількох Країнах Членах, або
може суттєво вплинути на вільне пересування персональних даних всередині Союзу.
7. Оцінка повинна містити щонайменше:
(a) систематичний опис передбачених операцій обробки персональних даних та мети
обробки, включаючи, коли це можливо, законні інтереси контролера;
(b) оцінку необхідності та пропорційності щодо цілей операцій з обробки персональних
даних;
(c) оцінку ризиків для прав та свобод суб’єктів персональних даних, зазначених у пункті 1;
і
(d) заходи, передбачені для усунення ризиків, включаючи гарантії, заходи безпеки та
механізми, що забезпечують захист персональних даних та демонструють дотримання
цього Регламенту з урахуванням прав та законних інтересів суб'єктів персональних даних
та інших зацікавлених осіб.
8. Дотримання затверджених кодексів поведінки, зазначених у Статті 40, контролерами
або обробниками, мають враховуватися при оцінці впливу операцій оброби персональних
даних, виконаних такими контролерами чи обробниками, зокрема з метою оцінки впливу
на захист даних.
9. У разі необхідності, контролер повинен запитати думку суб’єктів персональних даних
або їх представників щодо передбачуваної обробки, не порушуючи захист комерційних чи
суспільних інтересів або безпеку операцій з обробки персональних даних.
10. У випадку, коли обробка персональних даних відповідно до підпункту (с) чи (е) Статті
6(1) базується на законодавстві Союзу або Країни Члена, якому підпорядковується
контролер, це законодавство регулює конкретні операцію обробки або сукупність
операцій, а оцінка впливу на захист даних вже була проведена як частина загальної оцінки
впливу в контексті прийняття цієї правової бази, пункти 1-7 не застосовуються, якщо
тільки Країни Члени не вважають за необхідне провести таку оцінку до процесу обробки.
11. У разі необхідності, контролер повинен провести огляд, щоб оцінити, чи здійснюється
обробка персональних даних відповідно до оцінки впливу на захист даних, щонайменше
при зміні ризиків, що виявилась в процесі обробки персональних даних.

74. 74
Стаття 36
Попередня консультація
1. Контролер повинен проконсультуватися з наглядовим органом перед початком
обробки, якщо оцінка впливу на захист даних, виконана відповідно до Статті 35, вказує на
те, що обробка призведе до високого ризику в разі відсутності заходів, вжитих
контролером для зниження його рівня.
2. Якщо наглядовий орган вважає, що передбачена обробка персональних даних, про яку
йдеться в пункті 1, порушує цей Регламент, зокрема, якщо контролер недостатньо
визначив або знизив ризики, контрольний орган протягом восьми тижнів після отримання
запиту щодо консультації має надати письмові консультації контролерові та, якщо це
доречно, обробнику, і може застосовувати будь-які свої повноваження, зазначені у Статті
58. Цей період може бути подовжений на шість тижнів з огляду на складність
передбачуваної обробки персональних даних. Наглядовий орган має проінформувати
контролера і, якщо це доречно, обробника щодо будь-якої затримки надання інформації
протягом одного місяця з моменту отримання запиту щодо консультації, повідомляючи
також причини затримки. Зазначені періоди можуть бути призупинені, доки наглядовий
органу не отримав інформацію, яку він вимагав для цілей консультації.
3. При консультації з наглядовим органом відповідно до пункту 1 контролер повинен
надати наглядовому органу:
(a) коли це можливо, опис відповідних обов'язків контролера, спільних контролерів та
обробників, залучених до обробки персональних даних, зокрема для обробки в межах
групи підприємств;
(b) мету та засоби передбачуваної обробки;
(c) заходи та гарантії, що надаються для захисту прав та свобод суб'єктів персональних
даних відповідно до цього Регламенту;
(d) коли це можливо, контактні дані працівника з питань захисту даних;
(e) оцінку впливу на захист даних, передбачену Статтею 35; і
(f) будь-яку іншу інформацію, за запитом наглядового органу.
4. Країни Члени мають надати консультації наглядовому органу під час підготовки
пропозиції щодо законодавчих заходів, які повинні бути прийняті національним
парламентом, або регуляторних заходів, що ґрунтуються на законодавчій базі, що
стосується обробки.
5. Незважаючи на пункт 1, законодавство країн Членів може вимагати від контролерів
перевірки та отримання попереднього дозволу від наглядового органу у зв'язку із
обробкою персональних даних контролером для виконання завдання, здійснюваного ним у
суспільних інтересах, включаючи обробку у зв'язку зі питаннями соціального захисту та
громадського здоров'я.

75. 75
Частина 4
Працівник з питань захисту даних
Стаття 37
Призначення працівника з питань захисту даних
1. Контролер та обробник мають призначити працівника з питань захисту даних у будь-
якому випадку, коли:
(a) обробка персональних даних проводиться державною владою або її органом, за
винятком судів, що діють у межах своїх повноважень;
(b) основні види діяльності контролера або обробника складаються з операцій обробки
персональних даних, які в силу своєї природи, сфери їх застосування та / або цілей
вимагають регулярного та систематичного контролю суб’єктів персональних даних у
великих масштабах; або
(c) основні види діяльності контролера або обробника полягають у обробці великих
обсягів спеціальних категорій даних відповідно до Статті 9 та персональних даних, що
пов’язані з судимістю і правопорушеннями, відповідно до Статті 10.
2. Група суб’єктів господарювання може призначити єдиного працівника з питань захисту
даних, за умови, що працівник з питань захисту даних буде легко доступним для кожного
суб’єкта.
3. Коли контролер або обробник є представником державної влади або її органу, для
кількох таких органів може бути призначений єдиний працівник з питань захисту даних,
враховуючи їх організаційну структуру та розмір.
4. У випадках, відмінних від зазначених у пункті 1, контролер або обробник, або асоціації
та інші органи, що представляють різні категорії контролерів або обробників, можуть,
якщо це вимагається законодавством Союзу або Країни Члена, призначити працівника з
питань захисту даних. Працівник з питань захисту даних може діяти в інтересах таких
асоціацій та інших органів, що представляють контролерів або обробників.
5. Працівник з питань захисту даних призначається на основі професійних якостей та,
зокрема, експертного знання законодавства та практики захисту даних та здатності
виконувати обов'язки, зазначені у Статті 39.
6. Працівник з питань захисту даних може бути штатним співробітником контролера або
обробника або виконувати завдання на підставі договору про надання послуг.
7. Контролер або обробник мають оприлюднити контактні дані працівника з питань
захисту даних та надати їх наглядовому органу.

76. 76
Стаття 38
Посада працівника з питань захисту даних
1. Контролер та обробник повинні забезпечити, щоб працівник із захисту даних був
належним чином та своєчасно задіяний у всіх питаннях, що стосуються захисту
персональних даних.
2. Контролер та обробник мають допомагати працівнику з питань захисту даних у
виконанні завдань, зазначених у статті 39, шляхом надання ресурсів, необхідних для
виконання цих завдань, та доступу до персональних даних та операцій з обробки, а також у
підтримці своїх експертних знань.
3. Контролер та обробник повинні забезпечити, щоб працівник з питань захисту даних не
отримував жодних інструкцій стосовно виконання цих завдань. Він або вона не повинні
бути звільнені або покарані контролером або обробником за виконання своїх завдань.
Працівник з питань захисту даних повинен безпосередньо звітувати перед найвищим
керівництвом контролера або обробника.
4. Суб'єкти даних можуть звертатися до працівника з питань захисту даних у відношенні
всіх питань, пов'язаних із обробкою їх персональних даних та здійсненням їх прав
відповідно до цього Регламенту.
5. Працівник з питань захисту даних зобов'язаний зберігати таємницю або
конфіденційність стосовно виконання своїх завдань відповідно до законодавства Союзу чи
Країни Члена.
6. Працівник з питань захисту даних може виконувати інші завдання та обов'язки.
Контролер чи обробник повинен гарантувати, що будь-які такі завдання та обов'язки не
призведуть до конфлікту інтересів.
Стаття 39
Обов’язки працівника з питань захисту даних
1. Працівник з питань захисту даних має виконувати принаймні наступні обов’язки:
(a) Інформувати та консультувати контролера, обробника та працівників, які здійснюють
обробку у рамках своїх зобов'язань відповідно до цього Регламенту та інших положень про
захист даних Союзу або Країн Членів;
(b) Контролювати дотримання цього Регламенту та інших положень щодо захисту даних
Союзу або Країн Членів та політики контролера або обробника щодо захисту персональних
даних, включаючи розподіл обов'язків, підвищення обізнаності та навчання персоналу,
задіяного у процесі обробки, та супроводжувати відповідні аудити;
(c) Надавати рекомендації, за запитами, щодо оцінки впливу на захист даних та контролю
за їх виконанням відповідно до статті 35;
(d) Співпрацювати з наглядовим органом;
(e) Виступати в якості контакту для наглядового органу з питань, пов'язаних з обробкою,
включаючи попередні консультації, згадані у статті 36, та консультувати, де це необхідно, з
будь-яких інших питань.

77. 77
2. Працівник з питань захисту даних у виконанні своїх обов’язків має належним чином
враховувати ризик, пов'язаний з обробкою операцій, з урахуванням характеру, обсягу,
контексту та цілей обробки.
Частина 5
Кодекси поведінки та сертифікація
Стаття 40
Кодекси поведінки
1. Країни Члени, наглядові органи, Рада та Комісія заохочують розробку кодексів
поведінки, спрямованих на сприяння належному застосуванню цього Регламенту, з
урахуванням особливостей різних секторів обробки та особливих потреб мікро-, малих та
середніх підприємств.
2. Асоціації та інші органи, що представляють категорії контролерів або обробників,
можуть підготувати кодекси поведінки, або змінювати чи розширювати такі кодекси, з
метою визначення застосування цього Регламенту, зокрема стосовно:
(a) чесної та прозорої обробки;
(b) законних інтересів контролерів у конкретних контекстах;
(c) збору персональних даних;
(d) використання псевдонімів при обробці персональних даних;
(e) інформації, яка надається громадськості та суб'єктам даних;
(f) здійснення прав суб'єктів даних;
(g) інформації, яка надається дітям та охорону дітей, та способу отримання згоди
власників батьківської відповідальності над дітьми;
(h) заходів та процедур, зазначених у статтях 24 та 25, та заходів щодо забезпечення
безпеки обробки, зазначеної у статті 32;
(i) повідомлення про порушення персональних даних наглядовим органам та
повідомлення про порушення персональних даних суб'єктам даних;
(j) передачі персональних даних третім країнам або міжнародним організаціям; або
(k) позасудових процедур та інших процедур вирішення спорів для вирішення суперечок
між контролерами та суб'єктами даних щодо обробки, без шкоди для прав суб'єктів даних
відповідно до статей 77 та 79.
3. На додаток до дотримання контролерами чи обробниками, що підпадають під дію
цього Регламенту, кодекси поведінки, затверджені відповідно до пункту 5 цієї статті і які
мають загальну обґрунтованість відповідно до пункту 9 цієї статті, також можуть
дотримуватися контролерами або обробниками, які не підпадають під дію цього
Регламенту відповідно до статті 3, з тим, щоб забезпечити належні гарантії в рамках
передачі персональних даних третім країнам або міжнародним організаціям відповідно до
умов, зазначених у підпункті (е) статті 46 (2). Такі контролери чи обробники повинні

78. 78
розробити та прийняти обов’язкові для виконання зобов'язання, за допомогою контракту
або інших юридично зобов'язуючих документів, задля застосування відповідних гарантій, у
тому числі щодо прав суб'єктів даних.
4. Кодекс поведінки, зазначений у пункті 2 цієї статті, повинен містити механізми, які
дозволяють органу, зазначеному у статті 41(1), здійснювати обов'язковий контроль за
дотриманням його положень контролерами або обробниками, які зобов'язуються
застосовувати його, поміж іншого і для завдань та повноважень наглядових органів,
компетентних відповідно до статей 55 або 56.
5. Асоціації та інші органи, згадані в пункті 2 цієї статті, які мають намір підготувати
кодекс поведінки або вносити поправки чи продовжити чинний кодекс, подають проект
кодексу, зміни або доповнення до наглядового органу, який є компетентним відповідно до
статті 55. Наглядовий орган повинен надати висновок про те, чи проект кодексу, зміни чи
доповнення відповідає цьому Регламенту, і погоджує цей проект кодексу, зміну або
доповнення, якщо вважає, що він забезпечує достатній відповідний захист.
6. У випадках, коли проект кодексу, або поправка чи доповнення схвалено відповідно до
параграфу 5, і якщо відповідний кодекс поведінки не стосується обробки діяльності в
кількох країнах Членах, наглядовий орган реєструє та публікує цей кодекс.
7. У випадку, коли проект кодексу поведінки відноситься до процесу обробки в деяких
Країнах Членах, наглядовий орган, який є компетентним згідно зі статтею 55, повинен,
перш ніж схвалювати проект кодексу, зміну або доповнення, подати його згідно процедурі,
зазначеній у статті 63, до Ради, яка надає висновок про те, чи проект кодексу, зміни чи
доповнення відповідає цьому Регламенту, або в ситуації, про яку йдеться у пункті 3 цієї
статті, чи надає відповідні гарантії.
8. Якщо висновок, згаданий у пункті 7, підтверджує, що проект кодексу, зміни чи
доповнення відповідає цьому Регламенту або, у ситуації, про яку йдеться в пункті 3, чи
передбачена відповідна гарантія, Рада подає свою думку Комісії.
9. Комісія може, шляхом відповідних актів, приймати рішення про те, що схвалений
кодекс поведінки, поправки чи доповнення, поданий йому відповідно до пункту 8 цієї
статті, має загальну дійсність у межах Союзу. Ці виконавчі акти приймаються відповідно до
процедури розгляду, викладеної у статті 93 (2).
10. Комісія забезпечує відповідне оприлюднення затверджених кодів, які вирішені як такі,
що мають загальну дійсність відповідно до пункту 9.
11. Рада має збирати всі затверджені кодекси поведінки, зміни та доповнення у реєстрі та
робить їх доступними для громадськості за допомогою відповідних засобів.
Стаття 41
Моніторинг затверджених кодексів поведінки
1. Без виключення завдань та повноважень компетентного наглядового органу
відповідно до статей 57 та 58, моніторинг дотримання кодексу поведінки відповідно до
статті 40 може здійснюватися органом, який має належний рівень досвіду у відношенні
предмету кодексів та акредитований з цією метою компетентним наглядовим органом.
2. Орган, зазначений у пункті 1, може бути акредитований для контролю за дотриманням
кодексу поведінки, якщо цей орган:

79. 79
(a) продемонстрував свою незалежність та експертизу стосовно предмету кодексу,
задовільнивши компетентний наглядовий орган;
(b) встановив процедури, які дозволяють йому оцінювати право відповідних контролерів
та обробників застосовувати цей кодекс, контролювати їх відповідність його вимогам та
періодично переглядати його дотримання;
(c) встановив процедури та структури для розгляду скарг щодо порушень кодексу або
способу, яким цей кодекс був реалізований або наразі реалізується контролером або
обробником, і зробити ці процедури та структури прозорими для суб'єктів даних та
громадськості; і
(d) продемонстрував до задоволення компетентного наглядового органу. що його
завдання та обов'язки не призводять до конфлікту інтересів.
3. Компетентний наглядовий орган подає до Ради проект критеріїв для акредитації
органу, зазначеного в пункті 1 цієї статті, відповідно до механізму узгодженості, згаданого
у статті 63.
4. Без упереджень для завдань та повноважень компетентного наглядового органу та
положень глави VIII, орган, зазначений у пункті 1 цієї статті, з дотриманням відповідних
гарантій має вжити відповідних заходів у випадках порушення кодексу контролером або
обробником, включаючи призупинення або вилучення відповідного контролера або
обробника з кодексу. Він інформує компетентний наглядовий орган про такі дії та причини
їх здійснення.
5. Компетентний наглядовий орган скасовує акредитацію органу, як зазначено у пункті 1,
якщо умови для акредитації не виконані або більше не виконуються, або якщо дії, вчинені
органом, порушують цей Регламент.
6. Ця стаття не поширюється на обробку державною владою та її органами.
Стаття 42
Сертифікація
1. Країни Члени, наглядові органи, Рада та Комісія повинні заохочувати, зокрема на рівні
Союзу, створення механізмів сертифікації захисту даних та печаток і знаків захисту даних з
метою демонстрації відповідності цьому Регламенту обробки операції контролерів і
обробників. При цьому треба враховувати специфічні потреби мікро-, малих та середніх
підприємств.
2. Крім дотримання контролерами чи обробниками, що підпадають під дію цього
Регламенту, механізми сертифікації захисту даних, печатки або знаки, затверджені
відповідно до пункту 5 цієї статті, можуть бути встановлені з метою демонстрації
існування відповідних гарантій, наданих контролерами або обробниками, які не
підпадають під дію цього Регламенту відповідно до статті 3 в рамках передачі
персональних даних третім країнам або міжнародним організаціям відповідно до умов,
зазначених у підпункті (f) Статті 46 (2). Такі контролери чи обробники повинні розробити
та прийняти обов’язкові для виконання зобов'язання за допомогою контракту або інших
юридично зобов'язуючих документів, задля застосування відповідних гарантій, у тому
числі щодо прав суб'єктів даних.
3. Сертифікація має бути добровільною та доступною через прозорість процесу.

80. 80
4. Сертифікація відповідно до цієї статті не зменшує відповідальність контролера або
обробника за дотримання цього Регламенту, поміж іншого і для завдань та повноважень
наглядових органів, які є компетентними згідно зі статтею 55 або 56.
5. Сертифікація згідно з цією статтею надається органами сертифікації, зазначеними у
статті 43, або компетентним наглядовим органом на підставі критеріїв, затверджених цим
компетентним наглядовим органом відповідно до Статті 58 (3) або Радою відповідно до
статті 63. Якщо критерії затверджуються Радою, це може призвести до загальної
сертифікації, Європейської печатки захисту даних.
6. Контролер або обробник, який подає свою обробку до механізму сертифікації, повинен
надати органу сертифікації, зазначеному у статті 43 або, у разі необхідності,
компетентному наглядовому органу, повну інформацію та доступ до своєї діяльності з
обробки, які необхідні для проведення процедури сертифікації.
7. Сертифікація повинна бути видана контролеру або обробнику максимально на термін
три роки і може бути подовжена на тих самих умовах, якщо відповідні вимоги будуть
виконуватися. Сертифікація повинна бути відкликана відповідними органами сертифікації,
зазначеними в статті 43, або компетентним наглядовим органом, якщо вимоги щодо
сертифікації не виконувались або більше не виконуються.
8. Рада збирає всі механізми сертифікації та печатки та знаки захисту даних у реєстрі та
робить їх доступними для громадськості у будь-який відповідний спосіб.
Стаття 43
Органи сертифікації
1. Без виключення завдань та повноважень компетентного наглядового органу
відповідно до статей 57 та 58, органи сертифікації, які мають належний рівень досвіду у
галузі захисту даних, після інформування наглядового органу, з тим щоб він міг
виконувати свої повноваження відповідно до підпункту (h) статті 58 (2), де це необхідно,
видають та поновлюють сертифікацію. Країни Члени забезпечують, щоб ці органи
сертифікації були акредитовані одним або обома з наступних органів:
(a) наглядовим органом, який є компетентним відповідно до статей 55 або 56;
(b) національним органом з акредитації, визначеним відповідно до Регламенту (ЄС) №
765/2008 Європейського Парламенту та Ради1 відповідно до EN-ISO/IEC 17065/2012 та з
додатковими вимогами, встановленими наглядовим органом, який є компетентним
відповідно до статей 55 або 56.
2. Органи сертифікації, згадані в пункті 1, повинні бути акредитованими відповідно до
цього пункту лише у тому випадку, якщо вони:
(a) продемонстрували свою незалежність та експертизу стосовно предмета сертифікації
на задоволення компетентного наглядового органу;
1
Регламент (ЄС) № 765/2008 Європейського Парламенту та Ради від 9 липня 2008 р., Який
визначає вимоги щодо акредитації та нагляду за ринком щодо збуту продукції та
скасування Регламенту (ЄЕС) № 339/93 (ОJ L 218 , 13.8.2008, стор 30).

81. 81
(b) взяли на себе зобов'язання дотримуватись критеріїв, зазначених у Статті 42 (5), і
затверджених наглядовим органом, який є компетентним відповідно до Статті 55 або 56,
або Радою відповідно до статті 63;
(c) мають встановлені процедури видачі, періодичного перегляду та скасування
сертифікації захисту даних, печаток і знаків;
(d) мають встановлені процедури та структури для розгляду скарг щодо порушень
сертифікації або способів, в яких сертифікація була або здійснюється контролером або
обробником, а також зробили ці процедури та структури прозорими для суб'єктів даних та
громадськості; і
(e) на задоволення компетентного наглядового органу продемонстрували, що їхні
завдання та обов'язки не призводять до конфлікту інтересів.
3. Акредитація органів сертифікації, зазначених у пунктах 1 і 2 цієї статті, повинна мати
місце на підставі критеріїв, затверджених наглядовим органом, який є компетентним
згідно зі статтею 55 або 56, або Радою відповідно до статті 63. У випадку акредитації
відповідно до підпункту b) пункту 1 цієї статті, ці вимоги доповнюють ті, що передбачені в
Регламенті (ЄС) №765/2008 та технічні правила, що описують методи та процедури
органів сертифікації.
4. Органи сертифікації, зазначені в пункті 1, несуть відповідальність за належну оцінку,
яка призводить до сертифікації або відкликання такої сертифікації, не знімаючи
відповідальності контролера або процесора за дотримання цього Регламенту. Акредитація
видається на термін не більше п'яти років і може бути продовжена на тих самих умовах,
якщо орган сертифікації ще відповідає вимогам, викладеним у цій статті.
5. Органи сертифікації, зазначені в пункті 1, надають компетентним наглядовим органам
підстави для надання або відкликання запитуваної сертифікації.
6. Вимоги, зазначені в пункті 3 цієї статті, та критерії, зазначені у статті 42 (5), повинні
бути оприлюднені наглядовим органом у легкодоступній формі. Наглядові органи також
передають ці вимоги та критерії до Ради. Рада координує всі механізми сертифікації та
печатки захисту даних у реєстрі та робить їх доступними для громадськості будь-якими
відповідними засобами.
7. Без виключення розділу VIII, компетентний наглядовий орган або національний орган
з акредитації скасовує акредитацію органу з сертифікації відповідно до пункту 1 цієї статті,
якщо умови для акредитації не виконувались або більше не виконуються або якщо дії,
вчинені органом сертифікації, порушують цей Регламент.
8. Комісія має повноваження приймати делеговані акти відповідно до статті 92 з метою
визначення вимог, які необхідно враховувати для механізмів сертифікації захисту даних,
зазначених у статті 42 (1).
9. Комісія може ухвалити виконавчі акти, що визначають технічні стандарти для
механізмів сертифікації та печаток і знаків захисту даних, а також механізми сприяння та
визнання цих механізмів сертифікації, печаток і знаків захисту даних. Ці виконавчі акти
приймаються відповідно до процедури розгляду, зазначеної у статті 93 (2).

82. 82
РОЗДІЛ V
Передача персональних даних до третіх країн або міжнародних
організацій
Стаття 44
Загальний принцип передачі
Будь-яка передача персональних даних, що підлягають обробці або призначені для
обробки після передачі до третьої країни або міжнародної організації, має відбутися лише
тоді, коли, відповідно до інших положень цього Регламенту, умови, викладені в цьому
розділі, виконуються контролером та обробником, у тому числі для подальшої передачі
персональних даних з третьої країни або міжнародної організації в іншу третю країну або
іншу міжнародну організацію. Усі положення цієї глави застосовуються для забезпечення
того, щоб рівень захисту фізичних осіб, гарантований цим Регламентом, не знижувався.
Стаття 45
Передача даних на підставі рішення про адекватність
1. Передача персональних даних третій країні чи міжнародній організації може відбутися
там, де Комісія вирішила, що третя країна, територія або один або декілька визначених
секторів у межах цієї третьої країни, або відповідна міжнародна організація забезпечують
належний рівень захист. Така передача не вимагає спеціального дозволу.
2. При оцінці адекватності рівня захисту Комісія, зокрема, враховує наступні елементи:
(a) верховенство права, повага до прав людини та основних свобод, відповідне
законодавство, як загальне, так і галузеве, у тому числі стосовно громадської безпеки,
оборони, національної безпеки та кримінального права, доступ державних органів до
персональних даних, а також здійснення таких норм, правил захисту даних, професійних
правил та заходів безпеки, включаючи правила подальшої передачі персональних даних
іншій третій країні чи міжнародній організації, що дотримуються в цій країні або
міжнародній організації, прецедентне право, а також ефективні та обов’язкові для
дотримання права суб'єкта даних та ефективне адміністративне та судове відшкодування
суб'єктам даних, персональні дані яких передаються;
(b) існування та ефективне функціонування одного або декількох незалежних наглядових
органів у третій країні або країні, до якої підпорядкована міжнародна організація, які
відповідальні за забезпечення та дотримання правил захисту даних, включаючи адекватні
відповідні повноваження щодо надання допомоги та консультацій суб'єктам даних у
здійсненні своїх прав та співпраці з наглядовими органами Країн Членів; і
(c) міжнародні зобов'язання, укладені зацікавленою третьою країною або міжнародною
організацією, або інші зобов'язання, що випливають з юридично обов'язкових конвенцій
чи документів, а також з участі в багатосторонніх чи регіональних системах, зокрема щодо
захисту персональних даних.
3. Комісія, після оцінки адекватності рівня захисту, може прийняти рішення за
допомогою виконавчого акту про те, що третя країна, територія або один або декілька
визначених секторів у межах третьої країни або міжнародна організація забезпечують

83. 83
належний рівень захисту, в межах пункту 2 цієї статті. Виконавчий акт повинен
передбачати механізм періодичного перегляду, щонайменше кожні чотири роки, який
враховує всі відповідні події та зміни в третій країні або міжнародній організації. У
виконавчому акті зазначається його територіальне та галузеве застосування та, у разі
необхідності, визначено наглядовий орган чи органи, зазначені в підпункті b) пункту 2 цієї
статті. Виконавчий акт приймається відповідно до процедури розгляду, зазначеної у статті
93 (2).
4. Комісія постійно стежить за розвитком та подіями у третіх країнах та міжнародних
організаціях, які можуть вплинути на функціонування рішень, прийнятих відповідно до
пункту 3 цієї статті, та рішень, прийнятих на підставі статті 25 (6) Директиви 95/46/EC.
5. За наявною інформацією , зокрема, після перевірки, про яку йдеться в пункті 3 цієї
статті, Комісія повинна встановити, що третя країна, територія або один або декілька
зазначених секторів у межах третьої країни або міжнародна організація більше не
забезпечують адекватний рівень захисту у значенні пункту 2 цієї статті, та, в межах
необхідності, скасувати, змінити або призупинити прийняття рішення, згаданого в пункті
3 цієї статті, шляхом застосування виконавчих актів без зворотної сили. Ці виконавчі акти
повинні прийматися відповідно до процедури розгляду, зазначеної у статті 93(2).
За належним чином обґрунтованими вимогами, що виникають у терміновому порядку,
Комісія має негайно приймати діючі виконавчі акти відповідно до процедури, зазначеної у
частині 3 статті 93.
6. Комісія повинна проводити консультації з третіми країнами або міжнародною
організацією з метою виправлення ситуації, що є підставою для прийняття рішення
відповідно до пункту 5.
7. Рішення, прийняте відповідно до пункту 5 цієї статті, стосується також передачі
персональних даних третій країні, території або одному або кількома зазначеним секторам
у цій третій країні або міжнародній організації, про яку йде мова, відповідно до статей 46-
49.
8. Комісія публікує в Офіційному журналі Європейського союзу та на своєму веб-сайті
список третіх країн, територій та визначених секторів у межах третьої країни та
міжнародних організацій, щодо яких вона вирішила, що відповідний рівень захисту існує
або більше не забезпечується.
9. Рішення, прийняті Комісією на підставі статті 25 (6) Директиви 95/46/ЄС,
залишаються чинними, доки вони не будуть змінені або скасовані Рішенням Комісії,
прийнятими відповідно до пункту 3 або 5 цієї статті.
Стаття 46
Передача персональних даних за умови відповідних гарантій
1. У випадку відсутності рішення відповідно до статті 45 (3), контролер або обробник
може передавати персональні дані третій країні або міжнародній організації лише в тому
випадку, якщо контролер або обробник надали відповідні гарантії та засоби захисту даних,
та при умові існування підлягаючих дотриманню прав суб’єктів даних та доступних
ефективних засобів правового захисту суб'єктів даних.

84. 84
2. Відповідні гарантії, зазаначені в пункті 1, можуть бути передбачені, не вимагаючи
спеціального дозволу від наглядового органу:
(a) юридично зобов'язуючим та виконуваним інструментом від державної влади чи її
органів;
(b) закріпленими корпоративними правилами у відповідності зі статтею 47;
(c) стандартними положеннями щодо захисту даних, прийнятими Комісією відповідно до
процедури розгляду, зазначеної в статті 93 (2);
(d) стандартними положеннями щодо захисту даних, прийнятими наглядовим органом та
затвердженими Комісією відповідно до процедури розгляду, зазначеної в частині 2 статті
93;
(e) затвердженим кодексом поведінки відповідно до статті 40 разом із обов'язковими і
виконуваними зобов'язаннями контролера або обробника у третій країні щодо
застосування відповідних гарантій, у тому числі щодо прав суб'єктів даних; або
(f) затвердженим механізмом сертифікації згідно зі статтею 42 разом з обов'язковими і
виконуваними зобов'язаннями контролера або обробника у третій країні щодо
застосування відповідних гарантій, у тому числі щодо прав суб'єктів даних.
3. З урахуванням дозволу компетентного наглядового органу відповідні гарантії,
зазначені в пункті 1, також можуть бути передбачені, зокрема:
(a) договірними положеннями між контролером або обробником та контролером,
обробником або одержувачем персональних даних у третій країні або міжнародній
організації; або
(b) положеннями, які повинні бути внесені до адміністративних угод між державною
владою або її органами, які включають право на здійснення та ефективні права суб'єкта
даних.
4. Наглядовий орган застосовує механізм узгодження, згаданий у статті 63, у випадках,
зазначених у пункті 3 цієї статті.
5. Повноваження Країни Члена або наглядового органу на підставі пункту 2 статті 26
Директиви 95/46/ЄС залишаються чинними, доки вони не будуть змінені, замінені чи
скасовані, якщо це буде необхідно, цим наглядовим органом. Рішення, прийняті Комісією
на підставі статті 26 (4) Директиви 95/46 / ЄС, залишаються чинними доти, доки вони не
будуть змінені, замінені чи скасовані, якщо це необхідно, Рішенням Комісії, прийнятим
відповідно до пункту 2 цієї статті.
Стаття 47
Зобов’язуючі корпоративні правила
1. Компетентний наглядовий орган затверджує зобов’язуючі корпоративні правила
відповідно до механізму узгодженості, встановленого в статті 63, за умови, що вони:
(a) є юридично зобов’язуючими та застосовуються і є обов’язковими для виконання
кожним зацікавленим членом групи підприємств або групи суб’єктів господарювання, що
здійснюють спільну господарську діяльність, включаючи своїх працівників;

85. 85
(b) однозначно надають обов’язкові для виконання права суб'єктам даних щодо обробки їх
персональних даних; і
(c) відповідають вимогам, викладеним у пункті 2.
2. Зобов’язуючи корпоративні правила, зазначені в пункті 1, містять принаймні:
(a) структуру та контактну інформацію групи підприємств або групи суб’єктів
господарювання, що здійснюють спільну господарську діяльність, та кожного з її членів;
(b) передачу даних або сукупність передач, включаючи категорії персональних даних, тип
обробки та її цілі, тип суб'єктів даних, які зазнали впливу, а також ідентифікацію
відповідної третьої країни або країн;
(c) юридично обов'язковий характер, як всередині, так і зовні;
(d) застосування загальних принципів захисту даних, зокрема обмеження мети,
мінімізацію даних, обмежені терміни зберігання, якість даних, захист даних за проектом та
за замовчуванням, правову базу для обробки, обробку спеціальних категорій персональних
даних, заходи забезпечення безпеки даних та вимоги стосовно подальших передач
органам, не пов'язаним обов'язковими корпоративними правилами;
(e) права суб'єктів даних щодо обробки та засоби здійснення цих прав, включаючи право
не підлягати розгляду рішень, що базуються виключно на автоматизованій обробці,
включаючи профілювання відповідно до статті 22, право подати скаргу до компетентного
наглядового органу та компетентних судів Країн Членів відповідно до статті 79, а також
отримання відшкодування збитків та, у разі необхідності, компенсацію за порушення
корпоративних правил, що мають обов'язкову силу;
(f) прийняття контролером або обробником, зареєстрованим на території Країни Члена,
відповідальності за будь-які порушення корпоративних правил будь-якого члена групи,
який не був зареєстрований у Союзі; контролер або обробник звільняється від цієї
відповідальності повністю або частково , якщо він доводить, що цей інший учасник не несе
відповідальності за подію, що спричинила шкоду;
(g) механізми того, як суб'єктам даних, додатково до Статей 13 і 14, надаватиметься
інформація щодо обов'язкових корпоративних правил, зокрема положень, зазначених у
підпунктах d), (e) та (f) цього пункту;
(h) завдання будь-якого працівника з захисту даних, призначеного відповідно до статті 37,
або будь-якої іншої особи або організації, відповідальної за моніторинг відповідності
обов'язковим корпоративним правилам в рамках групи підприємців або групи
підприємств, що беруть участь у спільній економічній діяльності, а також за тренування з
моніторингу та обробку скарг;
(i) процедури скасування;
(j) механізми в межах групи підприємств або групи суб’єктів господарювання, які беруть
участь у спільній господарській діяльності, для забезпечення перевірки дотримання
корпоративних правил, що мають обов'язкову силу. Такі механізми включають аудит
захисту даних та методи забезпечення корегувальних дій для захисту прав суб'єкта даних.
Результати такої перевірки повинні бути повідомлені особі або установі, зазначеній у
підпункті (h), та правлінню контролюючого підприємства групи підприємств або групи

86. 86
суб’єктів господарювання, що здійснюють спільну господарську діяльність, і повинні бути
доступними на вимогу компетентного наглядового органу;
(k) механізми звітування та реєстрації змін до правил та повідомлення про ці зміни до
наглядової установи;
(l) механізм співпраці з наглядовим органом для забезпечення дотримання будь-яким
членом групи підприємств або групи суб’єктів господарювання, які беруть участь у
спільній економічній діяльності, зокрема, надаючи наглядовому органу результати
перевірок заходів, зазначених у підпункті (j);
(m) механізми звітування компетентному наглядовому органу будь-яких юридичних
вимог, яким член групи підприємств або групи суб’єктів господарювання, які здійснюють
спільну господарську діяльність, підпорядкований в третій країні, та які, ймовірно, мають
суттєвий негативний вплив на гарантії, надані корпоративними правилами, що мають
обов'язкову силу; і
(n) належну підготовку з питань захисту даних персоналу, який має постійний або
регулярний доступ до персональних даних.
3. Комісія може визначити формат та процедури обміну інформацією між контролерами,
обробниками та наглядовими органами щодо зобов’язуючих корпоративних правил у
значенні цієї статті. Ці виконавчі акти приймаються відповідно до процедури розгляду,
викладеної у статті 93 (2).
Стаття 48
Передача персональних даних чи розкриття інформації,
не дозволені законодавством Союзу
Будь-яке рішення суду або трибуналу та будь-яке рішення адміністративного органу
третьої країни, яким вимагається від контролера або обробника передавати або
розкривати персональні дані, можуть бути визнані або виконані будь-якими способами
лише тоді, коли вони базуються на міжнародній угоді, такій як договір взаємної правової
допомоги, що діє між запитуючою третьою країною та Союзом або Країною Членом, та з
урахуванням інших підстав для передачі відповідно до цієї глави.
Стаття 49
Винятки для конкретних ситуацій
1. За відсутності рішення про адекватність відповідно до статті 45(3) або відповідних
гарантій відповідно до статті 46, включаючи зобов’язуючі корпоративні правила, передача
або набір передач персональних даних третій країні або міжнародній організації має
відбуватися лише за однією з наступних умов:
(a) суб'єкт даних явно погодився на запропоновану передачу після того, як був
поінформований про можливі ризики таких передач для суб'єкта даних через відсутність
рішення про адекватність та відповідні гарантії;
(b) передача необхідна для виконання договору між суб'єктом даних та контролером або
здійснення перед-договірних заходів на запит суб'єкта даних;

87. 87
(c) передача необхідна для укладання чи виконання договору, укладеного в інтересах
суб'єкта даних між контролером та іншою фізичною або юридичною особою;
(d) передача необхідна з важливих причин в інтересах громадськості;
(e) передача необхідна для встановлення, здійснення або захисту судових позовів;
(f) передача необхідна для захисту життєвих інтересів суб'єкта даних або інших осіб, коли
суб'єкт даних фізично чи юридично не в змозі дати згоду;
(g) передача персональних даних здійснюється з реєстру, який відповідно до
законодавства Союзу або Країни Члена має на меті надавати інформацію для широкої
громадськості та відкритий для консультації як з громадськістю в цілому, так і з будь-якою
особою, яка може продемонструвати законний інтерес, але тільки у тій мірі, в якій в
конкретній справі виконуються умови, встановлені законодавством Союзу або Країнами
Членами для консультацій.
У випадках, коли передача не могла базуватись на положеннях статей 45 або 46,
включаючи положення про зобов’язуючи корпоративні правила, і не застосовується ніяких
відступів для конкретної ситуації, зазначеної в першому пункті цього пункту, передача до
третьої країни або міжнародній організації може мати місце лише в тому випадку, якщо
передача не повторюється, стосується лише обмеженої кількості суб'єктів даних, є
необхідною для досягення законних інтересів контролера, які не перекриті інтересами,
правами та свободами суб'єктів даних, а контролер оцінив усі обставини, пов'язані з
передачею даних, і на підставі цієї оцінки надав належні гарантії щодо захисту
персональних даних. Контролер інформує наглядовий орган про передачу. Контролер, крім
надання інформації, зазначеної у статтях 13 та 14, інформує суб'єкта даних про передачу та
про переконливі законні інтереси.
2. Передача відповідно до підпункту (g) першого пункту 1 не включає в себе всю
персональну інформацію або усі категорії персональних даних, що містяться в реєстрі.
Якщо реєстр призначений для консультування особами, які мають законний інтерес,
передача здійснюється лише на вимогу цих осіб або якщо вони є одержувачами.
3. Підпункти (a), (b) та (c) пункту 1 та його другий абзац не застосовуються до діяльності,
яку здійснюють державні органи при здійсненні ними своїх повноважень.
4. Громадські інтереси, зазначені у підпункті (d) пункту 1, мають бути визнані у
законодавстві Союзу або в законодавстві Країни Члена, до якої підпорядковується
контролер.
5. За відсутності рішення про адекватність, законодавство Союзу або Країни Члена може,
з важливих причин громадського інтересу, чітко встановити обмеження щодо передачі
окремих категорій персональних даних третій країні або міжнародній організації. Країни
Члени повідомляють ці положення Комісії.
6. Контролер або обробник документують оцінку, а також відповідні гарантії, зазначені у
другому абзаці пункту 1 цієї статті, у записах, зазначених у статті 30.

88. 88
Стаття 50
Міжнародне співробітництво з питань захисту персональних даних
По відношенню до третіх країн та міжнародних організацій Комісія та наглядові органи
мають вжити відповідних заходів для:
(a) розробки механізмів міжнародного співробітництва для сприяння ефективному
застосуванню законодавства щодо захисту персональних даних;
(b) надання міжнародної взаємної допомоги у забезпеченні виконання законодавства
щодо захисту персональних даних, в тому числі шляхом повідомлення, направлення
скарги, надання допомоги у справах розслідування та обміну інформацією, яка підлягає
відповідним гарантіям захисту персональних даних та інших основних прав та свобод;
(c) залучення відповідних зацікавлених сторін до обговорення та заходів, спрямованих на
сприяння міжнародному співробітництву у сфері забезпечення виконання законодавства
щодо захисту персональних даних;
(d) сприяння документуванню та обміну з питань законодавства та практики захисту
персональних даних, в тому числі щодо конфліктів у юрисдикції з третіми країнами.
РОЗДІЛ VI
Незалежні наглядові органи
Частина 1
Незалежний статус
Стаття 51
Наглядовий орган
1. Кожна Країна Член повинна запровадити один або більше незалежних державних
органів, що несуть відповідальність за моніторинг застосування цього Регламенту з метою
захисту основних прав та свобод фізичних осіб пов’язаних з обробкою та сприяють
вільному переміщенню персональних даних в межах Союзу ("наглядовий орган").
2. Кожен наглядовий орган повинен сприяти послідовному застосуванню цього
Регламенту по всьому Союзу. З цією метою наглядові органи співпрацюють між собою та
Комісією відповідно до розділу VII.
3. Якщо у Країні Члені створено більше одного наглядового органу, Країною Членом має
бути призначений наглядовий орган, який повинен представляти ці органи в Правлінні, і
повинен встановити механізм, який забезпечує дотримання іншими органами правил, що
стосуються механізму узгодженості, що згаданий у статті 63.
4. Кожна Країна Член повинна невідкладно повідомляти Комісії положення свого
законодавства, яке вона приймає відповідно до цієї глави, до 25 травня 2018 року та без
зволікання будь-які наступні поправки, що впливають на них.

89. 89
Стаття 52
Незалежність
1. Кожен наглядовий орган діє з повною незалежністю у виконанні своїх завдань та
здійсненні своїх повноважень відповідно до цього Регламенту.
2. Член або члени кожного наглядового органу при виконанні своїх завдань та здійсненні
своїх повноважень відповідно до цього Регламенту залишаються вільними від зовнішнього
впливу, прямого чи непрямого, і не вимагають і не приймають ніяких інструкцій.
3. Член або члени кожного наглядового органу утримуються від будь-яких дій,
несумісних з їх обов'язками, і не повинні, протягом терміну їх повноважень в органі,
займатися будь-якою несумісною діяльністю, незалежно від того, чи вона є платною чи ні.
4. Кожна Країна Член забезпечує, щоб кожен наглядовий орган забезпечувався
людськими, технічними та фінансовими ресурсами, приміщеннями та інфраструктурою,
необхідними для ефективного виконання своїх завдань та здійснення повноважень, в тому
числі тих, що будуть здійснюватися в контексті взаємної допомоги, співпраці та участі у
Раді.
5. Кожна Країна Член гарантує, що кожен наглядовий орган обирає та має власний
персонал, який підпорядковується виключно керівництву члена або членів відповідного
наглядового органу.
6. Кожна Країна Член забезпечує, щоб кожен наглядовий орган підлягав фінансовому
контролю, який не зачіпає його незалежність, і що він має окремі щорічні державні
бюджети, які можуть бути частиною загальнодержавного або державного бюджету.
Стаття 53
Загальні умови для членів наглядового органу
1. Країни Члени забезпечують, щоб кожен член наглядової установи був призначений за
допомогою прозорої процедури одним з:
 парламент;
 уряд;
 глава держави; або
 незалежний орган, доручений призначенню відповідно до законодавства Країни Члена.
2. Кожен член має кваліфікацію, досвід та навички, зокрема в галузі захисту
персональних даних, необхідні для виконання своїх обов'язків та здійснення своїх
повноважень.
3. Обов'язки члена закінчуються у випадку закінчення строку повноважень, відставки,
або примусового виходу на пенсію відповідно до законодавства відповідної Країни Члена.
4. Член звільняється лише у випадках серйозних порушень або якщо член більш не
відповідає умовам, необхідним для виконання своїх обов'язків.

90. 90
Стаття 54
Правила створення наглядового органу
1. Кожна Країна Член повинна передбачити за законом наступне:
(a) створення кожного наглядового органу;
(b) кваліфікаційні вимоги та умови прийнятності, необхідні для призначення членом
кожного наглядового органу;
(c) правила та процедури призначення члена або членів кожного наглядового органу;
(d) тривалість терміну повноважень члена або членів кожного наглядового органу не
менше чотирьох років, за винятком першого призначення після 24 травня 2016 року,
частина якого може відбутися на більш короткий термін, якщо це необхідно для захисту
незалежності наглядового органу шляхом процедури розподіленої посади;
(e) чи члени кожного наглядового органу мають право на повторне призначення та, якщо
так, то скільки термінів допускається;
(f) умови, що регулюють обов'язки члена або членів та працівників кожного наглядового
органу, заборони на дії, професії та пільги, несумісні з діяльністю у складі органу під час і
після закінчення строку повноважень, та правила, що регулюють звільнення членів.
2. Член або члени та працівники кожного наглядового органу, відповідно до
законодавства Союзу або Країни Члена, зобов’язуються зберігати професійну таємницю як
під час, так і після свого терміну повноважень щодо будь-якої конфіденційної інформації,
яка потрапила до них у процесі виконання ними своїх завдань або здійсненні їх
повноважень. Під час виконання своїх повноважень такий обов'язок щодо професійної
таємниці, зокрема, застосовується до повідомлення фізичними особами про порушення
цього Регламенту.
Частина 2
Компетенція, завдання та повноваження
Стаття 55
Компетенції
1. Кожен наглядовий орган повинен бути компетентним для виконання покладених на
нього завдань і здійснення повноважень, наданих йому відповідно до цього Регламенту на
території своєї Країни Члена.
2. Якщо обробка здійснюється державними органами або приватними органами, що
діють на підставі пунктів (с) або (е) статті 6 (1), наглядовий орган відповідної Країни Члена
має бути компетентним. У таких випадках стаття 56 не застосовується.
3. Наглядові органи не мають повноважень контролювати процеси обробки судів, що
діють у своїй суддівський дієздатності.

91. 91
Стаття 56
Компетенція головного наглядового органу.
1. Без винятку для статті 55, наглядовий орган головного підприємства або єдиної
установи контролера або обробника має право діяти як головний наглядовий орган за
транскордонною обробкою, здійснений цим контролером або обробником у порядку,
передбаченому в статті 60.
2. Відступаючи від пункту 1, кожен наглядовий орган має право розглядати подану до
нього скаргу або можливе порушення цього Регламенту, якщо предмет стосується лише
установи у державі-члені або суттєво впливає на суб'єктів даних лише в його Країні Члені.
3. У випадках, зазначених у пункті 2 цієї статті, наглядовий орган повинен негайно
повідомити головний наглядовий орган про це. Протягом трьох тижнів після
інформування головний наглядовий орган вирішує, чи буде він розглядати справу
відповідно до процедури, передбаченої в статті 60, з урахуванням того, чи існує контролер
чи обробник у Країні Члені, про яку повідомив цей наглядовий орган.
4. Якщо головний наглядовий орган вирішить розглянути справу, застосовується
процедура, передбачена статтею 60. Наглядовий орган, який інформував головний
наглядовий орган, може надати головному наглядовому органу проект рішення. Головний
наглядовий орган максимально враховує цей проект під час підготовки проекту рішення,
згаданого у статті 60(3).
5. Якщо головний наглядовий орган вирішує не розглядати справу, наглядовий орган,
який поінформував головний наглядовий орган, повинен розглядати її відповідно до
статей 61 та 62.
6. Головний наглядовий орган є єдиним посередником контролера або обробника для
транскордонної обробки, яка здійснюється цим контролером або обробником.
Стаття 57
Завдання
1. Без виключення для інших завдань, викладених у цьому Регламенті, кожен наглядовий
орган повинен на своїй території:
(a) контролювати та забезпечувати виконання положень цього Регламенту;
(b) підвищувати рівень обізнаності та розуміння громадськістю ризиків, правил, гарантій
та прав щодо обробки. Особлива увага приділяється діяльності, спрямованій саме на дітей;
(c) відповідно до законодавства Країни Члена консультувати національний парламент,
уряд та інші установи та органи щодо законодавчих та адміністративних заходів стосовно
захисту прав та свобод фізичних осіб щодо обробки персональних даних;
(d) сприяти обізнаності контролерів та обробників щодо зобов'язань за цим Регламентом;
(e) на вимогу надавати інформацію будь-якому суб'єкту даних щодо здійснення його прав
відповідно до цього Регламенту та, у відповідних випадках, співпрацювати з наглядовими
органами інших Країн Членів з цією метою;

92. 92
(f) розглядати скарги, подані суб'єктом даних, органом, організацією чи об'єднанням
відповідно до статті 80, та розслідувати, наскільки це доцільно, предмет скарги та
інформувати скаржника про хід та результати розслідування протягом розумного періоду,
зокрема, якщо необхідно провести подальше розслідування або координацію з іншим
наглядовим органом;
(g) співпрацювати з іншими наглядовими органами, включаючи обмін інформацією та
надання взаємної допомоги з метою забезпечення узгодженості застосування та
виконання цього Регламенту;
(h) проводити розслідування щодо застосування цього Регламенту, в тому числі на основі
інформації, отриманої від іншого наглядового органу чи іншого державного органу;
(i) здійснювати моніторинг відповідних змін, якщо вони впливають на захист
персональних даних, зокрема розвиток інформаційно-комунікаційних технологій та
комерційної практики;
(j) приймати стандартні договірні положення, згадані у статті 28 (8) та в підпункті (d)
статті 46 (2);
(k) створювати та підтримувати перелік вимог щодо оцінки впливу на захист даних
відповідно до статті 35 (4);
(l) надавати поради щодо операцій з обробки, зазначених у статті 36 (2);
(m) заохочувати розробку кодексів поведінки відповідно до статті 40 (1) та надавати
висновок та затверджувати такі кодекси поведінки, які забезпечують достатні гарантії ,
відповідно до статті 40 (5);
(n) заохочувати створення механізмів сертифікації захисту даних та печаток і знаків
захисту даних відповідно до статті 42 (1) та затверджувати критерії сертифікації
відповідно до статті 42 (5);
(o) у разі необхідності, проводити періодичний огляд сертифікатів, виданих відповідно до
статті 42 (7);
(p) розробляти та публікувати критерії акредитації органу з моніторингу кодексів
поведінки відповідно до статті 41 та органу з сертифікації відповідно до статті 43;
(q) здійснювати акредитацію органу з моніторингу кодексів поведінки відповідно до
статті 41 та органу з сертифікації відповідно до статті 43;
(r) уповноважувати договірні положення та положення, зазначені у статті 46 (3);
(s) затверджувати обов'язкові корпоративні правила відповідно до статті 47;
(t) сприяти діяльності Ради;
(u) вести внутрішні записи про порушення цього Регламенту та про заходи, вжиті
відповідно до Статті 58 (2); і
(v) виконувати будь-які інші завдання, пов'язані з захистом персональних даних.

93. 93
2. Кожен наглядовий орган повинен сприяти поданню скарг, згаданих у підпункті (f)
пункту 1, такими засобами, як форма подання скарги, яка також може бути заповнена в
електронному вигляді, не виключаючи інших засобів зв'язку.
3. Виконання завдань кожного наглядового органу є безкоштовним для суб'єкта даних та,
у разі необхідності, для працівника з захисту даних.
4. Якщо запити є явно необґрунтованими або надмірними, зокрема через їх
повторюваність, наглядовий орган може стягнути обґрунтовану плату з урахуванням
адміністративних витрат або відмовитися від виконання запиту. Наглядовий орган має
продемонструвати явно необґрунтований або надмірний характер запиту.
Стаття 58
Повноваження
1. Кожен наглядовий орган повинен мати всі наступні слідчі повноваження:
(a) наказувати контролерові та обробнику та, де це можливо, представнику контролера
або представнику обробника надавати будь-яку інформацію, необхідну йому для
виконання своїх завдань;
(b) проводити розслідування у формі перевірок захисту даних;
(c) проводити огляд сертифікатів, виданих відповідно до статті 42 (7);
(d) повідомляти контролера або обробника про ймовірне порушення цього Регламенту;
(e) отримати від контролера та обробника доступ до всіх персональних даних та всієї
інформації, необхідної для виконання його завдань;
(f) отримати доступ до будь-яких приміщень контролера та обробника, включаючи будь-
яке обладнання та засоби для обробки даних, відповідно до процесуального законодавства
Союзу або Країни Члена.
2. Кожен наглядовий орган повинен мати всі наступні коригувальні повноваження:
(a) видавати попередження контролеру або обробнику, що передбачені операції обробки,
ймовірно, порушують положення цього Регламенту;
(b) видавати доручення контролеру або обробнику, коли операції з обробки порушують
положення цього Регламенту;
(c) наказувати контролеру або обробнику виконувати запити суб'єкта даних для
здійснення своїх прав відповідно до цього Регламенту;
(d) наказувати контролеру або обробнику привести оброблювальні операції з обробки у
відповідність до положень цього Регламенту, де це доречно, у зазначений засіб та зазначені
строки;
(e) наказувати контролерові повідомляти про порушення персональних даних суб'єкта
даних;
(f) накладати тимчасове чи остаточне обмеження, включаючи заборону на обробку;

94. 94
(g) наказувати виправлення чи стирання персональних даних або обмеження обробки
відповідно до статей 16, 17 та 18 та повідомлення про такі дії одержувачам, яким
персональні дані були розкриті відповідно до статті 17(2) та статті 19;
(h) відкликати сертифікацію або наказувати органу сертифікації відкликати сертифікат,
виданий відповідно до статей 42 та 43, або наказати органу сертифікації не видавати
сертифікат, якщо вимоги щодо сертифікації не виконуються або більше не виконуються;
(i) накладати адміністративний штраф відповідно до статті 83, у доповнення до або
замість заходів, зазначених у цьому пункті, залежно від обставин кожної окремої справи;
(j) наказувати призупинити поток даних одержувачу в третій країні або міжнародній
організації.
3. Кожен наглядовий орган повинен мати всі наступні дозволи та дорадчі повноваження:
(a) консультувати контролера відповідно до процедури попередньої консультації,
зазначеної у статті 36;
(b) видавати за власною ініціативою або на вимогу висновки національному парламенту,
уряду Країни Члена або, відповідно до законодавства Країн Членів, іншим установам та
органам, а також громадськості з будь-якого питання, пов'язаного з захистом
персональних даних;
(c) дозволяти обробку, зазначену у статті 36 (5), якщо законодавство Країни Члена
вимагає такого попереднього дозволу;
(d) надавати висновок та затверджувати проекти кодексів поведінки відповідно до статті
40 (5);
(e) акредитувати органи сертифікації відповідно до статті 43;
(f) видавати сертифікати та затверджувати критерії сертифікації відповідно до статті 42
(5);
(g) приймати стандартні положення про захист даних, згадані у статті 28 (8) та в підпункті
(d) статті 46 (2);
(h) дозволяти договірні положення, згадані в підпункті а) статті 46 (3);
(i) дозволяти адміністративні процедури, зазначені у підпункті (b) статті 46 (3);
(j) затверджувати обов'язкові корпоративні правила відповідно до статті 47.
4. Використання повноважень, наданих наглядовому органу згідно з цією статтею,
підпадає під відповідні гарантії, включаючи ефективний засіб юридичного захисту та
належний процес, встановлений законодавством Союзу та Країнами Членами відповідно до
Статуту.
5. Кожна Країна Член має передбачити в законі, що її наглядовий орган має право довести
порушення цього Регламенту до відома судових органів і, де це доцільно, почати або
прийняти участь іншим чином в судовому розгляді, з метою забезпечення дотримання
положень цього Регламенту.

95. 95
6. Кожна Країна Член може передбачати за законом, що її наглядовий орган має додаткові
повноваження до тих, які зазначені у пунктах 1, 2 та 3. Використання цих повноважень не
повинно погіршувати ефективне функціонування Розділу VII.
Стаття 59
Звіти про діяльність
Кожен наглядовий орган складає щорічний звіт про свою діяльність, який може містити
перелік видів порушень, про які повідомлено, та типи заходів, вжиті відповідно до статті 58
(2). Ці звіти передаються національному парламенту, уряду та іншим органам влади, як це
зазначено в законодавстві Країн Членів. Вони повинні бути доступними для громадськості,
Комісії та Ради.
РОЗДІЛ VII
Співпраця та узгодженість
Частина 1
Співпраця
Стаття 60
Співпраця між головним наглядовим органом та
іншими зацікавленими наглядовими органами
1. Головний наглядовий орган співпрацює з іншими зацікавленими наглядовими
органами відповідно до цієї статті, прагнучі до досягнення консенсусу. Головний
наглядовий орган та зацікавлені наглядові органи обмінюються всією відповідною
інформацією між собою.
2. Головний наглядовий орган може в будь-який час вимагати від інших зацікавлених
наглядових органів надавати взаємну допомогу згідно зі статтею 61 та може проводити
спільні операції відповідно до статті 62, зокрема для проведення розслідувань або для
моніторингу виконання заходів щодо контролера або обробника, зареєстрованого в іншій
Країні Члені.
3. Головний наглядовий орган без зволікання передає відповідну інформацію з цього
питання іншим зацікавленим наглядовим органам. Він повинен без зволікання
представити проект рішення іншим наглядовим органам для їхнього висновку, і належним
чином враховувати їхні погляди.
4. Якщо будь-який з інших наглядових органів протягом чотирьох тижнів після
консультацій відповідно до пункту 3 цієї статті висловлює відповідне і обґрунтоване
заперечення щодо проекту рішення, головний наглядовий орган, якщо він не
дотримується відповідного та обґрунтованого заперечення, або вважає, що заперечення не
є відповідним або обґрунтованим, подає питання до механізму узгодженості згадані в
статті 63.
5. Якщо головний наглядовий орган має намір додержуватись відповідних та
обґрунтованих заперечень, він подає іншим зацікавленим наглядовим органам

96. 96
переглянутий проект рішення для отримання їх висновку. Цей переглянутий проект
рішення підлягає процедурі, згаданій у пункті 4, протягом двох тижнів.
6. Якщо жоден з інших зацікавлених наглядових органів не заперечує проти проекту
рішення, поданого головним наглядовим органом протягом періоду, зазначеного в пунктах
4 та 5, головний наглядовий орган та зацікавлені наглядові органи вважаються такими, що
узгоджуються з цим проектом рішення і він буде обов'язковим для виконання.
7. Головний наглядовий орган приймає та повідомляє рішення головній установі або
єдиній установі контролера або обробника залежно від обставин та інформує інші
зацікавлені наглядові органи та Раду про відповідне рішення, включаючи резюме
відповідних фактів та підстав. Наглядовий орган, з яким подано скаргу, інформує
скаржника про це рішення.
8. На відміну від пункту 7, якщо скарга не схвалена або відхилена, наглядовий орган, який
подав скаргу, приймає рішення та повідомляє його заявникові та інформує про це
контролера.
9. Якщо головний наглядовий орган та відповідні наглядові органи погоджуються
відхилити повністю або відхилити частини скарги і діяти за іншими частинами цієї скарги,
для кожної з цих частин скарги приймається окреме рішення. Головний наглядовий орган
приймає рішення щодо частини, що стосується дій стосовно контролера, повідомляє про це
головному підприємству або єдиній установі контролера або обробника на території своєї
Країни Члена та інформує про це скаржника, а наглядовий орган скаржника приймає
рішення щодо частини, що стосується звільнення чи відхилення цієї скарги, та повідомляє
про це скаржника і інформує про це контролер чи обробника.
10. Після повідомлення про рішення головного наглядового органу відповідно до пунктів
7 і 9 контролер або обробник вживає необхідних заходів для забезпечення дотримання
рішення стосовно діяльності з обробки в контексті усіх його установ в Союзі. Контролер
або обробник повідомляють про заходи, прийняті для виконання рішення, до головного
наглядового органу, який інформує інші зацікавлені наглядові органи.
11. Якщо у виняткових випадках зацікавлений наглядовий орган має підстави вважати, що
існує нагальна необхідність діяти з метою захисту інтересів суб'єктів даних, застосовується
процедура терміновості, зазначена у статті 66.
12. Головний наглядовий орган та інші зацікавлені наглядові органи надають один одному
інформацію, яка вимагається цією статтею між собою, електронним шляхом,
використовуючи стандартний формат.
Стаття 61
Взаємодопомога
1. Наглядові органи повинні надавати один одному відповідну інформацію та взаємну
допомогу з метою здійснення і застосування цього Регламенту в узгодженому порядку і
повинні вжити заходів для ефективної співпраці між собою. Взаємна допомога охоплює,
зокрема, запити на інформацію та наглядові заходи, такі як запити на проведення
попередніх дозволів та консультацій, перевірок та розслідування.
2. Кожен наглядовий орган повинен вжити всіх належних заходів, необхідних для
відповіді на запит іншого наглядового органу без невиправданої затримки і не пізніше, ніж

97. 97
за один місяць після отримання запиту. Такі заходи можуть включати в себе, зокрема,
передачу відповідної інформації про проведення розслідування.
3. Запити про допомогу повинні містити всю необхідну інформацію, включаючи мету та
причини запиту. Інформація, якою обмінюються, повинна використовуватись лише для тієї
мети, для якої вона була запрошена.
4. Запитуваний наглядовий орган не відмовляється виконувати прохання, крім випадків,
коли:
(a) він не є компетентним щодо предмета запиту або про заходи, які він просить
виконати; або
(b) відповідність вимогам порушуватиме цей Регламент або законодавство Союзу або
Країни Члена, до якого підпорядковується наглядовий орган, який приймає запит.
5. Запитаний наглядовий орган повинен інформувати запитуючий наглядовий орган про
результати або, у разі необхідності, про хід виконання заходів, зроблених для відповіді на
запит. Запитуваний наглядовий орган повинен подати підстави для будь-якої відмови
виконати вимогу відповідно до пункту 4.
6. Запитані наглядові органи, як правило, надають інформацію, що запитується іншими
наглядовими органами, електронними засобами, використовуючи стандартний формат.
7. Запитані наглядові органи не повинні стягувати плату за будь-які дії, вжиті ними
відповідно до запиту про взаємну допомогу. Наглядові органи можуть домовитися про
правила компенсації один одному за конкретні витрати, пов'язані з наданням
взаємодопомоги у виняткових обставинах.
8. Якщо наглядовий орган не надає інформацію, згадану в пункті 5 цієї статті, протягом
місяця з моменту отримання запиту іншого наглядового органу, запитуючий наглядовий
орган може прийняти тимчасовий захід на території своєї Країни Члена відповідно до
Стаття 55(1). У такому випадку нагальна необхідність діяти відповідно до статті 66(1)
вважається виконаною та вимагає термінового прийняття обов'язкового рішення від Ради
відповідно до статті 66(2).
9. Комісія може, шляхом прийняття актів, уточнювати формат і процедури взаємної
допомоги, згадані в цій статті, та механізми обміну інформацією електронними засобами
між наглядовими органами та між наглядовими органами та Радою, зокрема
стандартизований формат, зазначений у пункті 6 цієї статті. Ці виконавчі акти
приймаються відповідно до процедури розгляду, зазначеної у статті 93 (2).
Стаття 62
Спільні дії наглядових органів
1. Наглядові органи, у разі необхідності, проводять спільні операції, включаючи спільні
розслідування та спільні виконавчі заходи, в яких беруть участь члени або співробітники
наглядових органів інших Країн Членів.
2. Якщо контролер або обробник має установи в кількох Країнах Членах або якщо в
процесі обробки задіяна значна кількість суб'єктів даних у більш ніж одній Країні Члені,
наглядовий орган кожної з цих Країн Членів має право брати участь у спільних діях.
Наглядовий орган, який є компетентним згідно з пунктом 1 або 4 статті 56, запрошує

98. 98
наглядовий орган кожної із цих Країн Членів взяти участь у спільних діях та повинен
негайно реагувати на запит наглядового органу щодо участі.
3. Наглядовий орган може, відповідно до законодавства Країни Члена, а також з дозволу
запрошеного наглядового органу, надавати повноваження, включаючи право
розслідування, членам делегації наглядового органу або персоналу, який бере участь у
спільних діях, або, якщо законодавство Країни Члена наглядового органу приймаючої
сторони дозволить членам або персоналу наглядового органу здійснювати свої слідчі
повноваження відповідно до законодавства Країни Члена відрядженого наглядового
органу. Такі слідчі повноваження можуть здійснюватися лише під керівництвом та у
присутності членів або персоналу приймаючого наглядового органу. Члени або
співробітники запрошеного наглядового органу, підпадають під дію законодавства Країни
Члена приймаючого наглядового органу.
4. Якщо згідно з пугктом 1 працівники запрошеного органу працюють в іншій Країні
Члені, Країна Член наглядового органу приймаючої сторони бере на себе відповідальність
за їх дії, включаючи відповідальність за будь-який збиток, заподіяний ними під час їхньої
діяльності, у відповідності до законодавства Країни Члена, на території якої вони
працюють.
5. Країна Член, на території якої була заподіяна шкода, бере на себе відповідальність за
заподіяну шкоду відповідно до умов, що застосовуються до шкоди, завданої її власним
персоналом. Країна Член наглядового органу, чий персонал завдав шкоди будь-якій особі
на території іншої Країни Члена, повністю відшкодує цій іншій Країні Члену всі суми,
сплачені особам, які діяли від їхнього імені.
6. Без шкоди для здійснення своїх прав відносно третіх сторін і за винятком пункту 5,
кожна Країна Член утримується, у випадку, передбаченому в пункті 1, від прохання про
відшкодування збитків від іншої Країни Члена стосовно шкоди, зазначеної у пункті 4.
7. Якщо спільні дії призначені, а наглядовий орган протягом місяця не дотримується
зобов'язання, встановленого в другому реченні пункту 2 цієї статті, інші наглядові органи
можуть прийняти тимчасовий захід на території своєї Країни Члена у відповідності зі
статтею 55. У такому випадку передбачена термінова необхідність діяти відповідно до
статті 66 (1) і вимога від Комітету висновку чи термінового обов'язкового рішення
відповідно до статті 66 (2).
Частина 2
Узгодженість
Стаття 63
Механізм узгодженості
З метою сприяння послідовному застосуванню цього Регламенту у всьому Союзі наглядові
органи співпрацюють один з одним та, у відповідних випадках, з Комісією, за допомогою
механізму узгодженості, встановленому в цьому розділі.

99. 99
Стаття 64
Висновок Ради
1. Рада надає висновок, якщо компетентний наглядовий орган має намір вжити будь-
який з наведених нижче заходів. З цією метою компетентний наглядовий орган повідомляє
проект рішення Раді, коли він:
(a) має на меті прийняти перелік операцій з обробки, що підпадають під вимогу оцінки
впливу на захист даних відповідно до статті 35 (4);
(b) стосується питання відповідно до статті 40 (7), чи відповідає проект кодексу поведінки
або поправка чи продовження дії кодексу поведінки цьому Регламенту;
(c) має на меті затвердження критеріїв акредитації органу відповідно до статті 41 (3) або
сертифікації органу відповідно до статті 43 (3);
(d) має на меті визначити стандартні положення щодо захисту даних, згадані в пункті (d)
статті 46 (2) та у статті 28 (8);
(e) має на меті затвердження договірних положень, зазначених у пункті a) Статті 46 (3);
або
(f) має на меті затвердити корпоративні правила, що мають обов'язкову силу, у значенні
статті 47.
2. Будь-який наглядовий орган, Голова Ради або Комісія можуть вимагати, щоб будь-яке
питання загального застосування чи вплив наслідків в більш ніж одній Країні Члені було
розглянуто Радою з метою отримання висновку, зокрема, якщо компетентний наглядовий
орган не виконує обов'язки щодо взаємної допомоги відповідно до статті 61 або спільних
операцій відповідно до статті 62.
3. У випадках, про які йдеться в пунктах 1 і 2, Рада видає висновок з цього питання, за
умови, що воно ще не надало висновок з цього питання. Така думка приймається протягом
восьми тижнів простою більшістю голосів членів Ради. Цей період може бути подовжений
ще на шість тижнів з урахуванням складності предмета. Що стосується проекту рішення,
згаданого в пункті 1, розповсюдженого членам Ради у відповідності з пунктом 5, член, який
не заперечив протягом розумного строку, зазначеного Головою, вважається таким, що
погоджується з проектом рішення.
4. Наглядові органи та Комісія без необґрунтованої затримки повідомляють
електронними засобами Ради, використовуючи стандартний формат, будь-яку відповідну
інформацію, у тому числі, якщо це може бути суть фактів, проект рішення, підстави, які
встановлюють прийняття необхідного заходу та думки інших зацікавлених наглядових
органів.
5. Голова Ради без зайвих затримок повідомляє електронними засобами:
(a) членам Ради та Комісії будь-яку відповідну інформації, яка була повідомлена,
використовуючи стандартний формат. Секретаріат Рада, де це необхідно, забезпечує
переклад відповідної інформації; та
(b) наглядовий орган, про який йдеться, залежно від обставин про які йдеться в пунктах 1 і
2, а також Комісію щодо висновку та публікує його.
6. Компетентний наглядовий орган не повинен приймати свій проект рішення, про який
йдеться в пункті 1, протягом періоду, зазначеного в пункті 3.

100. 100
7. наглядовий орган, згаданий у пункті 1, максимально враховує висновок Ради та
протягом двох тижнів після отримання висновку повідомляє Голову Ради електронними
засобами, чи буде він підтримувати чи змінювати свій проект рішення і, якщо так,
змінений проект рішення, використовуючи стандартний формат.
8. Якщо відповідний наглядовий орган інформує Голову Ради протягом періоду,
зазначеного в пункті 7 цієї статті, що він не має наміру дотримуватися висновку Ради,
повністю або частково, надаючи відповідні обґрунтування, застосовується стаття 65 (1).
Стаття 65
Розгляд спірних питань Радою
1. Для забезпечення правильного та послідовного застосування цього Регламенту в
окремих випадках Рада приймає обов'язкове рішення у таких випадках:
(a) якщо у випадку, зазначеному у статті 60 (4), зацікавлений наглядовий орган висуває
відповідне та обґрунтоване заперечення щодо проекту рішення головного органу або
головний орган відхилив таке заперечення як невідповідне або аргументоване.
Обов'язкове рішення стосується всіх питань, що є предметом відповідного та
обґрунтованого заперечення, зокрема, чи є порушення цього Регламенту;
(b) коли існують суперечливі думки щодо того, який з зацікавлених наглядових органів є
компетентним для остаточного затвердження;
(c) коли компетентний наглядовий орган не вимагає висновку Ради у випадках,
зазначених у статті 64 (1), або не дотримується висновку Ради, виданого відповідно до
статті 64. У такому випадку будь-який наглядовий орган або Комісія може передавати це
питання Раді.
2. Рішення, викладене в пункті 1, приймається протягом одного місяця з моменту
подання питання більшістю у дві третини членів Ради. Цей період може бути подовжений
ще на місяць через складність питання. Рішення, викладене в пункті 1, обґрунтовується та
направляється головному наглядовому органу та усім зацікавленим наглядовим органам і
є обов'язковим для них.
3. Якщо Рада не змогла прийняти рішення протягом періодів, зазначених у пункті 2, вона
приймає своє рішення протягом двох тижнів після закінчення другого місяця, зазначеного
у пункті 2, простою більшістю голосів членів Ради. Коли члени Ради розділяються, рішення
приймається голосом його Голови.
4. Відповідні наглядові органи не приймають рішення щодо питання, поданого до Ради
відповідно до пункту 1, протягом періодів, зазначених у пунктах 2 та 3.
5. Голова Ради без зволікань повідомляє про рішення, згадане в пункті 1, відповідним
наглядовим органам. Він інформує про це Комісію. Рішення буде опубліковано на веб-сайті
Ради без зволікання після того, як наглядовий орган повідомить про остаточне рішення,
згадане в пункті 6.
6. Головний наглядовий орган або, залежно від ситуації, наглядовий орган, з яким було
подано скаргу, приймає своє остаточне рішення на підставі рішення, зазначеного в пункті 1
цієї статті, без необґрунтованої затримки та не пізніше одного місяця після того, як Рада
повідомить про своє рішення. Головний наглядовий орган або, залежно від ситуації,
наглядовий орган, з яким було подано скаргу, інформує Раду про дату, коли остаточне

101. 101
рішення про це повідомляється відповідно контролеру або обробнику та суб'єкту даних.
Остаточне рішення відповідних наглядових органів приймається відповідно до умов статті
60 (7), (8) та (9). Остаточне рішення має посилатися на рішення, згадане в пункті 1 цієї
статті, і зазначає, що рішення, згадане у цьому пункті, буде опубліковано на веб-сайті Ради
відповідно до пункту 5 цієї статті. Остаточне рішення додається до рішення, зазначеного у
пункті 1 цієї статті.
Стаття 66
Термінові заходи
1. У виняткових випадках, коли відповідний наглядовий орган вважає, що існує нагальна
необхідність діяти з метою захисту прав та свобод суб'єктів даних, він, шляхом відступу від
механізму узгодження, зазначеного у статтях 63, 64 і 65 або процедури, зазначеної у статті
60, негайно має ухвалити тимчасові заходи, спрямовані на створення правових наслідків на
своїй території, із встановленим терміном дії, який не повинен перевищувати трьох
місяців. Орган контролю повинен негайно повідомити про ці заходи та причини їх
прийняття іншим відповідним наглядовим органам, Раді та Комісії.
2. Якщо наглядовий орган вжив заходи згідно з пунктом 1 та вважає, що термінові заходи
необхідно терміново прийняти, він може вимагати терміновий висновок або термінове
рішення від Ради, вказавши причини для запиту такої думки чи рішення.
3. Будь-який наглядовий орган може вимагати терміновий висновок або термінове
обов'язкове рішення, залежно від випадку, від Ради, якщо компетентний наглядовий орган
не вжив відповідних заходів у ситуації, коли існує нагальна необхідність діяти для того,
щоб захищати права та свободи суб'єктів даних, надаючи підстави для запиту такої думки
чи рішення, в тому числі для термінових дій.
4. На відступ від статті 64 (3) та пункту 2 статті 65, термінова нарада або термінове
обов'язкове рішення, зазначене у пунктах 2 і 3 цієї статті, приймаються протягом двох
тижнів простою більшістю голосів членів Ради.
Стаття 67
Обмін інформацією
Комісія може ухвалити загальні акти впровадження, щоб визначити механізми обміну
інформацією електронними засобами між наглядовими органами та між наглядовими
органами та Радою, зокрема у стандартному форматі, зазначеному у статті 64.
Ці виконавчі акти приймаються відповідно до процедури розгляду, зазначеної в статті
93(2).
Частина 3
Європейська рада із захисту даних
Стаття 68
Європейська рада з захисту даних
1. Європейська рада з захисту даних (далі "Рада") створена як орган Союзу та має
юридичну силу.

102. 102
2. Раду представляє Голова.
3. Рада складається з керівника одного наглядового органу кожної Країни Члена та
Європейського інспектору з захисту даних або їх відповідних представників.
4. Якщо в Країні Члені більше одного наглядового органу, який несе відповідальність за
моніторинг застосування положень відповідно до цього Регламенту, спільний представник
призначається відповідно до законодавства цієї Країни Члена.
5. Комісія має право брати участь у діяльності та засіданнях Ради без права голосування.
Комісія призначає представника. Голова Ради повідомляє Комісію про діяльність Ради.
6. У випадках, про які йдеться у Статті 65, Європейський інспектор з захисту даних має
права голосу лише на рішення, що стосуються принципів та правил, що застосовуються до
інституцій, органів, установ та агенцій Союзу, які відповідають змісту цього Регламенту.
Стаття 69
Незалежність
1. Рада діє незалежно, виконуючи свої завдання або здійснюючи свої повноваження
відповідно до статей 70 та 71.
2. Без шкоди для запитів Комісії, зазначених у підпункті b) статті 70 (1) та статті 70 (2),
Рада, виконуючи свої завдання або здійснюючи свої повноваження, не вимагає та не
приймає інструкції не від кого.
Стаття 70
Завдання Ради
1. Рада забезпечує послідовне застосування цього Регламенту. З цією метою Рада з
власної ініціативи або, у відповідних випадках, на вимогу Комісії, має:
(a) контролювати та забезпечувати правильне застосування цього Регламенту у випадках,
передбачених статтями 64 і 65, без шкоди для завдань національних наглядових органів;
(b) консультувати Комісію з будь-якого питання, пов'язаного з захистом персональних
даних у Союзі, включаючи будь-яку запропоновану зміну цього Регламенту;
(c) консультувати Комісію щодо формату та процедур обміну інформацією між
контролерами, обробниками та наглядовими органами щодо обов'язкових корпоративних
правил;
(d) видавати керівні принципи, рекомендації та найкращі практики щодо процедур
видалення посилань, копій або повторень персональних даних із загальнодоступних
послуг зв'язку, як зазначено у Статті 17 (2);
(e) на власну ініціативу, на прохання одного з її членів або на вимогу Комісії, вивчати будь-
яке питання, яке охоплює застосування цього Регламенту, а також видавати керівні
принципи, рекомендації та найкращу практику з метою сприяння послідовному
застосуванню цього Регламенту;

103. 103
(f) видавати керівні принципи, рекомендації та найкращі практики відповідно до
підпункту (е) цього пункту для подальшого визначення критеріїв та умов прийняття
рішень на основі профілювання у відповідності зі статтею 22 (2);
(g) видавати керівні принципи, рекомендації та найкращі практики відповідно до
підпункту (e) цього пункту для встановлення порушень даних про персональних даних та
визначення невиправданих затримок, зазначених у частинах 1 та 2 статті 33, і за
конкретних обставин, за яких контролер або обробник зобов'язаний повідомити про
порушення персональних даних;
(h) видавати керівні принципи, рекомендації та найкращі практики відповідно до
підпункту (e) цього пункту щодо обставин, в яких порушення персональних даних може
призвести до високого ризику для прав та свобод фізичних осіб, зазначених у Стаття 34 (1).
(i) видавати керівні принципи, рекомендації та найкращі практики відповідно до
підпункту (е) цього пункту з метою подальшого визначення критеріїв та вимог щодо
передачі персональних даних на основі обов'язкових корпоративних правил,
дотримуваних контролерами та обов'язкових корпоративних правил, дотримуваних
обробниками та подальших необхідних вимог для забезпечення захисту персональних
даних суб'єктів даних, згаданих у статті 47;
(j) видавати керівні принципи, рекомендації та найкращі практики відповідно до пункту
(e) цього пункту з метою подальшого визначення критеріїв та вимог щодо передачі
персональних даних на підставі статті 49 (1);
(k) розробляти керівні принципи для наглядових органів стосовно застосування заходів,
зазначених у частинах 1, 2 та 3 статті 58, та встановлення адміністративних штрафів
відповідно до статті 83;
(l) розглядати практичне застосування керівних принципів, рекомендацій та передового
досвіду, згаданих у пунктах e) і f);
(m) видавати керівні принципи, рекомендації та найкращі практики відповідно до
підпункту (e) цього пункту для встановлення єдиних процедур для повідомлення
фізичними особами про порушення цього Регламенту відповідно до пункту 2 статті 54;
(n) заохочувати розробку кодексів поведінки та створення механізмів сертифікації захисту
даних та пломб та знаків захисту даних відповідно до статей 40 та 42;
(o) здійснювати акредитацію органів сертифікації та періодичний огляд відповідно до
статті 43 та підтримувати державний реєстр акредитованих органів відповідно до статті
43 (6) та акредитованих контролерів або обробників, заснованих у третіх країнах
відповідно до статті 42 (7 );
(p) визначати вимоги, зазначені у статті 43 (3), з метою акредитації органів сертифікації
відповідно до статті 42;
(q) надавати Комісії висновок щодо вимог щодо сертифікації, зазначених у Статті 43 (8);
(r) надавати Комісії висновок щодо знаків, зазначених у статті 12 (7);
(s) надавати Комісії висновок щодо оцінки адекватності рівня захисту в третій країні або
міжнародній організації, включаючи оцінку того, чи третя країна, територія або один або
декілька визначених секторів у межах цієї третьої країни, або міжнародна організація

104. 104
більше не забезпечує належного рівня захисту. З цією метою Комісія надає Раді всю
необхідну документацію, включаючи листування з урядом третьої країни стосовно цієї
третьої країни, території або визначеного сектора, або з міжнародною організацією.
(t) виносити висновки щодо проектів рішень наглядових органів відповідно до механізму
узгодженості, зазначеного у частині 1 статті 64, стосовно питань, поданих відповідно до
статті 64 (2), та прийняття обов'язкових рішень відповідно до статті 65, у тому числі у
випадках, передбачених в статті 66;
(u) сприяти співпраці та ефективному двосторонньому та багатосторонньому обміну
інформацією та передовим досвідом між наглядовими органами;
(v) заохочувати спільні навчальні програми та сприяти обміну кадрами між наглядовими
органами та, де це доречно, наглядовими органами третіх країн або міжнародними
організаціями;
(w) сприяти обміну знаннями та документацією стосовно законодавства та практики
захисту даних з наглядовими органами за захистом даних у всьому світі.
(x) видавати думки про кодекси поведінки, складені на рівні Союзу відповідно до статті 40
(9); і
(y) підтримувати публічно доступний електронний реєстр рішень, прийнятих
наглядовими органами та судами з питань, що розглядаються в механізмі узгодженості.
2. Якщо Комісія запитує пораду від Ради, вона може вказати термін, з огляду на
терміновість справи.
3. Комісія передає свої висновки, керівні принципи, рекомендації та найкращі практики
Комісії та комітету, зазначеному у статті 93, та публікує їх.
4. Рада, де це доречно, проводить консультації з зацікавленими сторонами та дає їм змогу
коментувати протягом доречного періоду. Рада, не порушуючи статті 76, повинна зробити
результати процедури консультацій доступними для громадськості.
Стаття 71
Звіти
1. Рада складає щорічну доповідь про захист фізичних осіб стосовно обробки в Союзі та, у
відповідних випадках, в третіх країнах та міжнародних організаціях. Звіт публікується та
передається до Європейського Парламенту, Ради та Комісії.
2. Річний звіт включає в себе огляд практичного застосування керівних принципів,
рекомендацій та кращих практик, згаданих у пункті (l) статті 70 (1), а також обов'язкових
рішень, зазначених у статті 65.
Стаття 72
Процедура
1. Рада приймає рішення простою більшістю голосів своїх членів, якщо інше не
передбачено цим Регламентом.

105. 105
2. Рада приймає свої власні правила процедури більшістю у дві третини її членів та
організовує власні оперативні заходи.
Стаття 73
Голова
1. Рада обирає голову та двох заступників голови з числа своїх членів простою більшістю
голосів.
2. Термін повноважень голови та заступників голови становить п'ять років і може бути
поновлений один раз.
Стаття 74
Задачі Голови
1. Голова має наступні завдання:
(a) скликання засідання Ради та підготовка порядку денного;
(b) сповіщати рішення, прийняті Радою відповідно до статті 65, до головного наглядового
органу та відповідних наглядових органів;
(c) забезпечити своєчасне виконання завдань Ради, зокрема щодо механізму узгодженості,
зазначеного у статті 63.
2. Рада встановлює розподіл завдань між Головою та заступниками Голови у своїх
правилах процедури.
Стаття 75
Секретаріат
1. Рада має секретаріат, який надається Європейським інспектором з захисту даних.
2. Секретаріат виконує свої завдання виключно за дорученням Голови Ради.
3. Співробітники Європейського інспектору з захисту даних, які беруть участь у
виконанні завдань, покладених на Раду цим Регламентом, звітують окремо від персоналу,
який бере участь у виконанні завдань, наданих Європейським інспектором з захисту даних.
4. У разі необхідності Рада та Європейський інспектор з захисту даних встановлюють та
публікують Меморандум про взаєморозуміння щодо реалізації цієї статті, визначаючи
умови співпраці, застосовні до персоналу Європейського інспектору з захисту даних, який
бере участь у виконанні поставлених завдань на Раду цим Регламентом.
5. Секретаріат забезпечує аналітичну, адміністративну та матеріально-технічну
підтримку Ради.
6. Секретаріат, зокрема, відповідає за:
(a) повсякденну діяльність Ради;
(b) комунікацію між членами Ради, її Головою та Комісією;

106. 106
(c) комунікацію з іншими установами та громадськістю;
(d) використання електронних засобів внутрішнього та зовнішнього зв'язку;
(e) переклад відповідної інформації;
(f) підготовку та подальші дії щодо засідань Ради;
(g) підготовку, розробку та оприлюднення думок, рішень щодо врегулювання спорів між
наглядовими органами та інших текстів, прийнятих Радою.
Стаття 76
Конфіденційність
1. Обговорення Ради є конфіденційним, якщо Рада вважає це необхідним, як передбачено
в її правилах процедури.
2. Доступ до документів, поданих членам Ради, експертам та представникам третіх осіб,
регулюється Регламентом (ЄС) № 1049/2001 Європейського Парламенту та Ради1.
РОЗДІЛ VIII
Засоби правового захисту, відповідальність та покарання
Стаття 77
Право подати скаргу до наглядового органу
1 Без упередження для будь-якого іншого адміністративного або судового засобу
захисту, кожен суб'єкт даних має право подати скаргу до наглядового органу, зокрема в
Країні Члені його чи її постійного проживання, місця роботи або місця передбачуваного
порушення якщо суб'єкт даних вважає, що обробка персональних даних, пов'язаних з ним,
порушує ці Правила.
2. Наглядовий орган, з яким було подано скаргу, інформує скаржника про хід та
результати скарги, включаючи можливість судового захисту за статтею 78.
Стаття 78
Право на ефективний судовий захист від наглядового органу
1. Без упередження до будь-якого іншого адміністративного або позасудового засобу
правового захисту кожна фізична чи юридична особа має право на ефективний судовий
засіб проти юридично обов'язкового рішення наглядового органу стосовно них.
2. Без упередження до будь-якого іншого адміністративного або позасудового засобу
захисту, кожен суб'єкт даних має право на ефективний засіб юридичного захисту, якщо
наглядовий орган, який є компетентним відповідно до статей 55 і 56, не розглядає скаргу
1
Регламент (ЄС) № 1049/2001 Європейського Парламенту та Ради від 30 травня 2001 року
щодо доступу громадськості до документів Європейського Парламенту, Ради та Комісії (OJ
L 145, 31.5.2001, стор 43).

107. 107
або не інформує суб'єкт даних протягом трьох місяців про хід або результат скарги, поданої
відповідно до статті 77.
3. Позов проти наглядового органу подається до судів Країни Члена, в якій
установлюється наглядовий орган.
4. Якщо судовий процес порушено за рішенням наглядового органу, який передував
думці або рішенням Ради у механізмі узгодженості, наглядовий орган надсилає таку думку
чи рішення до суду.
Стаття 79
Право на ефективний судовий захист від контролера або обробника
1. Без упередження до будь-якого доступного адміністративного або позасудового засобу
правового захисту, включаючи право подати скаргу до наглядового органу відповідно до
статті 77, кожен суб'єкт даних має право на ефективний судовий захист, якщо він вважає,
що його або її права згідно з цим Регламентом були порушені в результаті обробки його
або її персональних даних у разі недотримання цього Регламенту.
2. Провадження щодо контролера або обробника повинне бути подане до судів Країни
Члена, в якій контролер або обробник має заклади. Крім того, таке провадження може бути
подано до судів Країни Члена, в якій суб'єкт даних має своє звичайне місце проживання,
крім випадків, коли контролер або обробник є державним органом Країни Члена, яка
здійснює свої повноваження.
Стаття 80
Представлення суб'єктів даних
1. Суб'єкт даних має право доручити неприбутковому органу, організації чи асоціації, яка
була належним чином утворена відповідно до законодавства Країни Члена, має статутні
цілі, що відповідає суспільним інтересам та є активною у сфері захисту прав та свобод
суб'єктів даних щодо захисту їхніх персональних даних, щоб подати скаргу від свого імені,
використовувати права, зазначені у статтях 77, 78 та 79, від свого імені і використовувати
право на отримання компенсації, зазначеної у статті 82, від свого імені, якщо це
передбачено законодавством країн Членів.
2. Країни Члени можуть передбачити, що будь-який орган, організація чи асоціація,
зазначені у пункті 1 цієї статті, незалежно від мандату суб'єкта даних, має право подати в
цій Країні Члені скаргу до наглядового органу, який є компетентним відповідно до статті
77 та здійснення прав, зазначених у статтях 78 та 79, якщо вона вважає, що права суб'єкта
даних відповідно до цього Регламенту були порушені в результаті обробки.
Стаття 81
Призупинення провадження
1. Якщо компетентний суд Країни Члена має інформацію про провадження, що стосується
одного і того ж питання стосовно обробки тим самим контролером або обробником, які
розглядаються в суді іншої Країни Члена, вона звертається до цього суду в іншій Країні
Члені для підтвердження наявності такого провадження.

108. 108
2. Якщо судочинство, що стосується одного й того ж питання стосовно обробки тим
самим контролером або обробником, розглядається в суді в іншій Країні Члені, будь-який
компетентний суд, відмінний від першого, що розглядає справу, може зупинити своє
провадження.
3. Якщо судовий процес розглядається в першій інстанції, будь-який суд, крім суду,
призначеного першим, також може, за поданням однієї із сторін, відмовитись від
юрисдикції, якщо суд, призначений першим, має юрисдикцію щодо розглянутих справ, і
його закон дозволяє їх консолідацію.
Стаття 82
Право на компенсацію та відповідальність
1. Будь-яка особа, яка зазнала матеріальної чи нематеріальної шкоди в результаті
порушення цього Регламенту, має право отримати компенсацію від контролера або
обробника за заподіяну шкоду.
2. Будь-який контролер, залучений до обробки, несе відповідальність за шкоду, заподіяну
обробкою, яка порушує ці Правила. Обробник несе відповідальність за шкоду, заподіяну
обробкою, лише якщо він не виконав зобов'язань, передбачених цим Регламентом,
спеціально спрямованих на обробників або де він діяв за межами або суперечив законним
інструкціям контролера.
3. Контролер або обробник звільняються від відповідальності відповідно до пункту 2,
якщо він доводить, що він не є ні в якому разі відповідальним за подію, що спричиняє
шкоду.
4. Якщо в одній і тій же обробці беруть участь більше одного контролера або обробника
або як контролера, так і обробника, і якщо вони, відповідно до пунктів 2 і 3, відповідальні
за будь-який збиток, заподіяний обробкою, кожен контролер або обробник несе
зобов’язання за усім збитком, щоб забезпечити ефективну компенсацію суб'єкту даних.
5. Якщо контролер або обробник, відповідно до пункту 4, сплачують повну компенсацію
за заподіяну шкоду, цей контролер або обробник має право вимагати від інших
контролерів або обробників, залучених до такої ж обробки, таку частину компенсації, яка
відповідає частині відповідальності за шкоду відповідно до умов, викладених у пункті 2.
6. Судове провадження щодо здійснення права на отримання компенсації виноситься в
суди, компетентні відповідно до законодавства Країни Члена, зазначеної у статті 79 (2).
Стаття 83
Загальні умови введення адміністративних штрафів
1. Кожен наглядовий орган повинен забезпечити, щоб накладення адміністративних
штрафів відповідно до цієї статті за порушення цих Правил, згаданих у пунктах 4, 5 та 6, у
кожному окремому випадку було ефективним, пропорційним та переконливим.
2. Адміністративні штрафи, залежно від обставин кожної окремої справи, повинні бути
накладені додатково до або замість заходів, зазначених у підпунктах (а) - (h) та (j) статті 58
(2). Вирішуючи, чи накладати адміністративний штраф та визначаючи розмір
адміністративного штрафу у кожному конкретному випадку, слід враховувати наступне:

109. 109
(a) характер, тяжкість та тривалість порушення, беручи до уваги природу обсягу або цілі
відповідної обробки, а також кількість суб'єктів даних, які зазнали впливу, та рівень шкоди,
завданої їм;
(b) умисний або недбайливий характер порушення;
(c) будь-які дії контролера або обробника для пом'якшення шкоди, заподіяної суб'єктам
даних;
(d) ступінь відповідальності контролера або обробника з урахуванням впроваджених ними
технічних та організаційних заходів відповідно до статей 25 та 32;
(e) будь-які відповідні попередні порушення контролера чи обробника;
(f) ступінь співпраці з наглядовим органом з метою усунення порушення та зменшення
можливих негативних наслідків порушення;
(g) категорії персональних даних, які зазнали порушення;
(h) спосіб, у який порушення контролю було відоме наглядовому органу, зокрема, чи та,
якщо так, в якій мірі контролер або процесор повідомили про порушення;
(i) якщо заходи, згадані у пункті 2 статті 58, були попередньо винесені на розгляд
відповідного контролера або обробника щодо того ж самого питання, відповідності цим
заходам;
(j) дотримання схвалених кодексів поведінки відповідно до статті 40 або затверджених
механізмів сертифікації відповідно до статті 42; і
(k) будь-який інший обтяжувальний або пом'якшувальний чинник, що застосовується до
обставин справи, наприклад, отримані фінансові вигоди або непонесені втрати, прямо чи
опосередковано спричинені порушенням.
3. Якщо контролер або обробник навмисно або недбало, для тих самих або пов'язаних
операцій обробки, порушує декілька положень цього Регламенту, загальна сума
адміністративного штрафу не повинна перевищувати суми, зазначеної для
найжорсткішого порушення.
4. Порушення наступних положень, у відповідності до параграфа 2, є предметом
адміністративних штрафів у розмірі до 10 000 000 євро або, у випадку з підприємством, до
2% від загального світового річного обороту за попередній фінансовий рік, від того, що
вище:
(a) зобов'язання контролера та обробника відповідно до статей 8, 11, 25-39 та 42 та 43;
(b) зобов'язання органу сертифікації відповідно до статей 42 та 43;
(c) зобов'язання наглядового органу відповідно до статті 41 (4).
5. Порушення наступних положень, у відповідності до пункту 2, є предметом
адміністративних штрафів у розмірі до 20 000 000 євро або, у випадку з підприємством, до
4% від загального світового річного обороту за попередній фінансовий рік, залежно від
того, що вище:
(a) основні принципи обробки, включаючи умови згоди, відповідно до статей 5, 6, 7 та 9;

110. 110
(b) права суб'єктів даних відповідно до статей 12-22;
(c) передача персональних даних отримувачу в третій країні або міжнародній організації
відповідно до статей 44-49;
(d) будь-які зобов'язання відповідно до законодавства Країн Членів, прийнятих відповідно
до Розділу IX;
(e) невиконання вимоги наглядового органу до тимчасового або остаточного обмеження
щодо обробки або зупинення потоків даних відповідно до статті 58(2) або ненадання
доступу з порушенням статті 58 (1).
7. Недотримання вимоги наглядового органу, зазначеного в пункті 2 статті 58, відповідно
до пункту 2 цієї статті, є предметом адміністративних штрафів до 20 000 000 євро або у
випадку з підприємством, до 4% загального світового річного обороту попереднього
фінансового року, залежно від того, що вище.
8. Без упередження для виправних повноважень наглядових органів згідно зі Статтею 58
(2), кожна Країна Член може встановлювати правила щодо того, чи можуть адміністративні
штрафи застосовуватись до органів державної влади та установ, які створені в цій Країні
Члені та якою мірою.
9. Запровадження наглядовим органом своїх повноважень відповідно до цієї статті
підлягає відповідним процедурним гарантіям відповідно до законодавства Союзу та Країн
Членів, включаючи ефективні заходи юридичного захисту та належний процес.
10. Якщо правова система Країни Члена не передбачає адміністративних штрафів, ця
стаття може застосовуватися таким чином, щоб штраф був ініційований компетентним
наглядовим органом і призначений компетентними національними судами, одночасно
забезпечуючи, що ці засоби правового захисту ефективні та мають еквівалентний ефект від
адміністративних штрафів, що накладаються наглядовими органами. У будь-якому
випадку, накладені штрафи повинні бути ефективними, пропорційними та переконливими.
Ці Країни Члени повідомляють Комісії положення своїх законів, які вони приймають
відповідно до цього пункту, до 25 травня 2018 року та без зволікання, будь-якого
наступного закону чи поправки, що впливають на них.
Стаття 84
Штрафи
1. Країни Члени встановлюють правила щодо інших штрафних санкцій, що
застосовуються за порушення цього Регламенту, зокрема за порушення, на які не
поширюються адміністративні штрафи відповідно до статті 83, та вживає всіх необхідних
заходів для забезпечення їх здійснення. Такі санкції повинні бути ефективними,
пропорційними та переконливими.
2. Кожна Країна Член повідомляє Комісії положення свого законодавства, яке вона
приймає відповідно до пункту 1, до 25 травня 2018 року та без зволікань будь-які
поправки, що впливають на них.

111. 111
РОЗДІЛ IX
Положення, що стосуються конкретних ситуацій обробки
Стаття 85
Обробка та свобода слова та інформації
1. Країни Члени за законом узгоджують право на захист персональних даних відповідно
до цього Регламенту з правом на свободу вираження поглядів та інформації, включаючи
обробку в публічних цілях та цілі академічного, художнього або літературного виразу.
2. Для обробки, що здійснюється в журналістських цілях або з метою академічного
художнього чи літературного виразу, Країни Члени передбачають винятки або відступ від
Розділу II (принципи), Розділу III (права суб'єкта даних), Розділу IV (контролер і обробник),
Розділу V (передача персональних даних третім країнам або міжнародним організаціям),
Розділу VI (незалежні наглядові органи), Розділу VII (співпраця та узгодженість) та Розділу
IX (конкретні ситуації обробки даних), якщо вони необхідні для узгодження права на
захист персональних даних із свободою слова та інформації.
3. Кожна Країна Член повідомляє Комісії положення свого законодавства, яке вона
прийняла відповідно до пункту 2, та без зволікань будь-які поправки, що впливають на
них.
Стаття 86
Обробка та доступ громадськості до офіційних документів
Персональні дані в офіційних документах, які зберігаються державним органом або
установою або приватною установою для виконання завдання, що здійснюється в
інтересах суспільства, можуть бути розкриті органом або установою відповідно до
законодавства Союзу або Країни Члена, для якого державним органом або установою є
суб'єктом, для узгодження доступу громадськості до офіційних документів з правом на
захист персональних даних відповідно до цього Регламенту.
Стаття 87
Обробка національного ідентифікаційного номера
Країни Члени можуть додатково визначити конкретні умови для обробки національного
ідентифікаційного номера або будь-якого іншого ідентифікатора загального застосування.
У цьому випадку національний ідентифікаційний номер або будь-який інший
ідентифікатор загального застосування застосовуються лише за відповідних гарантій
щодо прав та свобод суб'єкта даних відповідно до цього Регламенту.

112. 112
Стаття 88
Обробка в контексті трудових відносин
1. Країни Члени можуть законом чи колективними угодами передбачати більш конкретні
правила щодо забезпечення захисту прав та свобод щодо обробки персональних даних
працівників у контексті зайнятості, зокрема для цілей набору персоналу, виконання
трудового договору, включаючи виконання зобов'язань, встановлених законом або
колективними договорами, управління, планування та організації роботи, рівності та
різноманітності на робочому місці, охорони здоров'я та безпеки на виробництві, захисту
майна роботодавця чи замовника та для цілей здійснення та реалізації на індивідуальній
або колективній основі прав та пільг, пов'язаних з працевлаштуванням, та з метою
припинення трудових правовідносин.
2. Ці правила включають в себе відповідні та конкретні заходи для захисту людської
гідності, законних інтересів та основних прав суб'єкта даних, з особливою увагою до
прозорості обробки, передачі персональних даних у групі підприємств або групі
підприємств, що беруть участь у спільній економічній діяльності та системах моніторингу
на робочому місці.
3. Кожна Країна Член повідомляє Комісії положення свого законодавства, яке вона
прийняла відповідно до пункту 1 до 25 травня 2018 року, та без зволікань будь-які
поправки, що впливають на них.
Стаття 89
Гарантії та відступи,
пов'язані з обробкою з метою архівації в інтересах суспільства, з метою наукових або
історичних досліджень або в статистичних цілях
1. Обробка даних з метою архівації в інтересах суспільства, наукових або історичних
досліджень або в статистичних цілях підлягає відповідним заходам згідно цього
Регламенту щодо прав та свобод суб'єкта даних. Ці гарантії повинні забезпечувати, щоб
технічні та організаційні заходи були встановлені, зокрема, для забезпечення дотримання
принципу мінімізації інформації. Ці заходи можуть включати псевдонімізацію за умови, що
ці цілі можуть бути досягнені таким чином. Якщо ці цілі можуть бути досягнені шляхом
подальшої обробки, яка не дозволяє або більше не дозволяє ідентифікувати суб'єктів
даних, ці цілі мають досягатися таким чином.
2. При обробці персональних даних з метою наукових або історичних досліджень або в
статистичних цілях законодавство Союзу або Країни Члена може передбачати відступи від
прав, згаданих у статтях 15, 16, 18 і 21 за умови дотримання умов і гарантій, зазначених в
пункті 1 цієї статті, тою мірою, якою такі права можуть унеможливити або суттєво
погіршити досягнення відповідних цілей, і такі відступи необхідні для досягнення цих
цілей.
3. При обробці персональних даних з метою архівації в інтересах суспільства,
законодавство Союзу або Країни Члена може передбачати відступи від прав, згаданих у
статтях 15, 16, 18, 19, 20 і 21 за умови дотримання умов і гарантій, зазначених в пункті 1
цієї статті, тою мірою, якою такі права можуть унеможливити або суттєво погіршити
досягнення відповідних цілей, і такі відступи необхідні для досягнення цих цілей.
Якщо обробка, про яку йдеться в пунктах 2 і 3, одночасно служить іншим цілям, відступи
застосовуються лише до обробки для цілей, зазначених у цих параграфах.

113. 113
Стаття 90
Зобов’язання таємності
1. Країни Члени можуть прийняти спеціальні правила для визначення повноважень
наглядових органів, викладених у підпунктах (e) та (f) статті 58 (1) стосовно контролерів
або обробників, які підпадають під дію законодавства ЄС або країн Членів або правил,
встановлених національними компетентними органами, щодо зобов'язань про професійну
таємницю або інших еквівалентних зобов'язань таємності, якщо це необхідно та відповідно
для узгодження права захисту персональних даних із зобов'язанням таємності. Ці правила
застосовуються лише до персональних даних, отриманих контролером або обробником у
результаті або у межах діяльності, яка охоплюється цим зобов'язанням таємності.
2. Кожна Країна Член повідомляє Комісії положення свого законодавства, яке вона
прийняла відповідно до пункту 1 до 25 травня 2018 року, та без зволікань будь-які
поправки, що впливають на них.
Стаття 91
Чинні правила захисту даних церков і релігійних об'єднань
1. Якщо в Країні Члені церкви та релігійні об'єднання чи громади під час набрання
чинності цим Регламентом застосовують належні правила, що стосуються захисту
фізичних осіб стосовно обробки, такі правила можуть і надалі застосовуватися, за умови,
що вони приведені у відповідність із цим Регламентом.
2. Церкви та релігійні об'єднання, які застосовують належні правила відповідно до
пункту 1 цієї статті, підлягають нагляду незалежного наглядового органу, який може бути
специфічним, за умови, що він відповідає умовам, викладеним у розділі VI цього
Регламенту.
РОЗДІЛ X
Делеговані акти та виконавчі акти
Стаття 92
Впровадження делегування
1. Повноваження приймати делеговані акти надається Комісії за умови, викладені в цій
статті.
2. Делегування повноважень, про яке йдеться в Статті 12 (8) та Статті 43 (8), надається
Комісії на невизначений період з 24 травня 2016 року.
3. Делегування повноважень, зазначене у статті 12 (8) та Статті 43 (8), може бути
скасоване будь-коли Європейським Парламентом або Радою. Рішення про анулювання
повинно припинити делегування повноважень, зазначених у цьому рішенні. Воно набирає
чинності на наступний день після його публікування в Офіційному віснику Європейського
Союзу або на більш пізній термін, зазначений у ньому. Це не впливає на дійсність будь-яких
делегованих актів, які вже діють.
4. Як тільки прийнятий делегований акт, Комісія одночасно повідомляє про це
Європейському Парламенту та Раді.

114. 114
5. Делегований акт, прийнятий відповідно до статті 12 (8) та статті 43 (8), набирає
чинності лише у тому випадку, якщо Європейський Парламент або Рада не висловлюють
заперечень протягом трьох місяців з моменту повідомлення про такий акт Європейський
Парламент та Рада або якщо до закінчення цього періоду Європейський Парламент та Рада
поінформували Комісію, що вони не будуть заперечувати. Цей період продовжується на три
місяці з ініціативи Європейського Парламенту або Ради.
Стаття 93.
Процедура комітету
1. Комісії допомагає комітет. Цей комітет є комітетом у розумінні Регламенту (ЄС) №
182/2011.
2. При посиланні на цей пункт застосовується стаття 5 Регламенту (ЄС) № 182/2011.
3. При посиланні на цей пункт, застосовується стаття 8 Регламенту (ЄС) № 182/2011 у
поєднанні зі статтею 5 цього Регламенту.
РОЗДІЛ XI
Прикінцеві положення
Стаття 94
Скасування Директиви 95/46/ ЄС
1. Директива 95/46/ЄС скасовується з 25 травня 2018 року.
2. Посилання на скасовану Директиву розуміються як посилання на цей Регламент.
Посилання на Робочу групу з захисту фізичних осіб стосовно обробки персональних даних,
встановлені статтею 29 Директиви 95/46/ ЄС, тлумачаться як посилання на Європейську
комісію з захисту даних, встановлену цим Регламентом.
Стаття 95
Зв'язок з Директивою 2002/58/ЄC
Цей Регламент не передбачає додаткових зобов'язань для фізичних або юридичних осіб
стосовно обробки у зв'язку з наданням послуг, які є загальнодоступними електронними
комунікаціями в публічних комунікаційних мережах в Союзі стосовно питань, щодо яких
вони підпадають під конкретні зобов'язання з тією ж метою, які викладені в Директиві
2002/58/EC.
Стаття 96
Зв'язок з раніше укладеними угодами
Міжнародні угоди, що передбачають передачу персональних даних третім країнам або
міжнародним організаціям, які були укладені Країнами Членами до 24 травня 2016 року та
які відповідають законодавству Союзу, що застосовуються до цієї дати, залишатимуться
чинними до моменту внесення змін, заміни або скасування.

115. 115
Стаття 97
Звіти Комісії
1. Починаючи з 25 травня 2020 року, а потім через кожні чотири роки Комісія подає до
Європейського Парламенту та Ради звіт про оцінку та перегляд цього Регламенту. Звіти
повинні бути опубліковані.
2. У контексті оцінок та оглядів, згаданих у пункті 1, Комісія розглядає, зокрема,
застосування та функціонування:
(a) розділу V про передачу персональних даних третім країнам або міжнародним
організаціям з особливою увагою до рішень, прийнятих відповідно до статті 45 (3) цього
Регламенту та рішень, прийнятих на підставі статті 25 (6) Директиви 95/46 / ЄС;
(b) розділу VII про співпрацю та узгодженість.
3. Для цілей пункту 1 Комісія може вимагати інформацію від Країн Членів та наглядових
органів.
4. При проведенні оцінок та оглядів, зазначених у пунктах 1 і 2, Комісія враховує позиції
та висновки Європейського Парламенту, Ради та інших відповідних органів або джерел.
5. Комісія, у разі потреби, подає відповідні пропозиції щодо внесення поправок до цього
Регламенту, зокрема з урахуванням розвитку інформаційних технологій та з урахуванням
стану прогресу в інформаційному суспільстві.
Стаття 98
Огляд інших правових актів Союзу з питань захисту даних
Комісія, у разі необхідності, подає законодавчі пропозиції з метою внесення змін до інших
законодавчих актів Союзу про захист персональних даних з метою забезпечення єдиного
та послідовного захисту фізичних осіб щодо обробки. Це, зокрема, стосується норм, які
стосуються захисту фізичних осіб стосовно обробки установами, органами, службами та
установами Союзу та вільного переміщення таких даних.
Стаття 99
Набрання чинності та застосування
1. Цей Регламент набирає чинності на двадцятий день після його опублікування в
Офіційному віснику Європейського Союзу.
2. Він застосовується з 25 травня 2018 року. Цей Регламент є обов'язковим у повному
обсязі та безпосередньо застосовується у всіх Країнах Членах.
Учинено в Брюсселі 27 квітня 2016 року.
За Європейський парламент
Президент
M. SCHULZ
За Раду
Президент
J.A. HENNIS-PLASSCHAERT