25 травня 2018 року GDPR вступає в силу. Для консультативної допомоги спільноті волонтери Київського відділення ISACA переклали документ українською.

1. General Data Privacy Regulation (GDPR)
Загальний регламент щодо захисту даних
Переклад українською
від ISACA Kyiv Chapter
Київ, 2018

2. 2
General Data Privacy Regulation (GDPR)
Загальний регламент щодо захисту даних
Переклад українською
Джерело:
REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of
natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive
95/46/EC (General Data Protection Regulation), OJ L 119, 04/05/2016, p. 1–88 (EN)
Редактори:
Ірина Івченко
Анастасія Конопльова
Ростислав Цейко
Андрій Рибальченко
Перекладачі:
Сергій Болдинюк
Ольга Вишатицька, Євгенія Пилипенко, Андрій Малярчук (з координацією Світлани Лазарєвої)
Олексій Мендрін
Наталія Валєєва
Юлія Драніщева
Обмеження відповідальності
Волонтери ISACA Kyiv Chapter переклали та опублікували документ в якості консультативного ресурсу щодо захисту
персональних даних для фахівців із надання впевненості, корпоративного управління, управління ризиками та безпеки.
Наведений переклад General Data Protection Regulation (GDPR) не є офіційним перекладом нормативного документу.
Термінологія та назви установ, органів та інституцій в Європейському Союзі, наведені в документі, були перекладені з
використанням нормативних актів України з питань захисту персональних даних та відкритих джерел на власне
судження перекладачів та редакторів документу. В статті 3 в дужках наданий англійський еквівалент використаних
термінів.
ISACA Kyiv Chapter, перекладачі та редактори не несуть відповідальність за наслідки використання документу.
Переклад не має під собою ніякої комерційної основи. Документ розміщений безкоштовно, у вільному доступі і для
загального користування.

3. 3
РЕГЛАМЕНТ (ЄС) 2016/679 ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ ТА РАДИ
від 27 квітня 2016 р.
Про захист фізичних осіб стосовно обробки персональних даних та щодо вільного
переміщення таких даних та скасування Директиви 95/46 / ЄС
(Загальний регламент щодо захисту даних)
(Текст релевантний для Європейської економічної зони)
Європейський Парламент та Рада Європейського Союзу,
Беручи до уваги Договір про функціонування Європейського Союзу, і зокрема його Статтю
16,
Беручи до уваги пропозицію Європейської Комісії,
Після передачі проекту законодавчого акту національним парламентам,
Беручи до уваги висновок Європейського економічного та соціального комітету1,
Беручи до уваги думку Комітету регіонів2,
Діючи відповідно до звичайної законодавчої процедури3),
Враховуючи, що:
(1) Захист фізичних осіб стосовно обробки персональних даних – це основоположне
право. Стаття 8 (1) Хартії основних прав Європейського Союзу ("Хартія") та Стаття
16 (1) Договору про функціонування Європейського Союзу (ДФЄС) передбачають,
що кожен має право на захист персональних даних, які його стосуються.
(2) Принципи та правила захисту фізичних осіб стосовно обробки їхніх персональних
даних призначені, незалежно від національності осіб чи місця проживання,
забезпечити дотримання їхніх основних прав та свобод, зокрема їхнього права на
захист персональних даних. Цей Регламент має на меті сприяти гарантуванню
свободи, безпеки та справедливості й економічної єдності, економічного та
соціального прогресу, зміцнення та конвергенції економік на внутрішньому ринку
та добробуту фізичних осіб.
(3) Директива 95/46/ЄС Європейського Парламенту та Ради4 спрямована на
гармонізацію захисту основоположних прав та свобод фізичних осіб в аспекті
діяльності з обробки, а також на забезпечення вільного переміщення персональних
даних між країнами Членами.
(4) Обробка персональних даних повинна бути спрямована на те, щоб служити
людству. Право на захист персональних даних не є абсолютним правом; його слід
1 OJ C 229, 31.7.2012, L 90
2 OJ C 391, 18.12.2012, L 127.
3 Положення Європейського парламенту від 12 березня 2014 року (ще не опубліковане в Офіційному журналі)
та положення Ради в першому читанні від 8 квітня 2016 року (ще не опубліковане в Офіційному журналі)
[прим. пер.OJ C 159, 3.5.2016, p. 1–82]. Положення Європейського парламенту від 14 квітня 2016 року.
4 Директива Європейського Парламенту та Ради 95/46/ЄС від 24 жовтня 1995 р. про захист фізичних осіб
стосовно обробки персональних даних та вільного переміщення таких даних (ОJ L 281, 23.11.1995, р.31).

4. 4
розглядати в аспекті його функцій у суспільстві і воно повинно бути збалансованим
з іншими основоположними правами за принципом пропорційності. Цей Регламент
поважає всі основні права та дотримується свобод і принципів, визнаних у Хартії,
закріплених у Договорі, зокрема права на повагу до приватного і сімейного життя,
житла та комунікацій, захист персональних даних, свободу думки, совісті та релігії,
свободу слова та інформації, свободу ведення бізнесу, права на ефективний засіб
правового захисту та справедливий судовий розгляд, а також культурне, релігійне
та мовне розмаїття.
(5) Економічна та соціальна інтеграція, викликана функціонуванням внутрішнього
ринку, привела до значного збільшення транскордонних потоків персональних
даних. Збільшено обмін персональними даними між державними та приватними
організаціями, включаючи фізичних осіб, асоціацій та підприємств у межах Союзу.
Законодавство Союзу закликає національні органи влади Країн Членів ЄС
співпрацювати та обмінюватися персональними даними, щоб вони могли
виконувати свої обов'язки, або виконувати завдання від імені органу влади в іншій
Країні Члені.
(6) Швидкі темпи технологічного розвитку та глобалізація породили нові проблеми у
сфері захисту персональних даних. Значно зросли масштаби збору та обміну
персональними даними. Технологія дозволяє і приватним компаніям, і державним
органам використовувати персональні дані у безпрецедентних масштабах для
ведення діяльності. Фізичні особи все частіше оприлюднюють персональну
інформацію в глобальних масштабах. Технології трансформували і економіку, і
суспільне життя, і повинні надалі сприяти вільному обігу персональних даних в
межах Союзу та передачі їх третім країнам та міжнародним організаціям, одночасно
забезпечуючи високий рівень захисту персональних даних.
(7) Такий розвиток вимагає надійної та краще узгодженої структури захисту даних у
Союзі, а також сильної структури забезпечення виконання, якщо врахувати
важливість формування довіри, яка дозволить розвивати цифрову економіку на
внутрішньому ринку. Фізичні особи повинні контролювати власні персональні
дані. Потрібно підсилити юридичну та практичну визначеність для фізичних осіб,
суб'єктів господарювання та органів державної влади.
(8) Якщо цей Регламент передбачає уточнення, або обмеження його правил
законодавством Країн Членів, то Країни Члени можуть, наскільки це необхідно для
забезпечення узгодженості та зрозумілості національних положень особам, до яких
вони застосовуються, включити елементи цього Регламенту до їхнього
національного законодавства.
(9) Цілі та принципи Директиви 95/46/ЄС залишаються обґрунтованими, однак це не
завадило фрагментації у здійсненні захисту даних у всьому Союзі, правовій
невизначеності, або поширенню громадської думки, що існують серйозні ризики
для захисту фізичних осіб, зокрема, стосовно діяльності в Інтернеті. Відмінності у
рівні захисту прав та свобод фізичних осіб, зокрема права на захист персональних
даних, стосовно обробки персональних даних у Країнах Членах, можуть
перешкоджати вільному обігу персональних даних у всьому Союзі. Таким чином, ці
відмінності можуть стати перешкодою для здійснення економічної діяльності на
рівні Союзу, спотворювати конкуренцію та перешкоджати владі виконувати свої
обов'язки відповідно до законодавства Союзу. Така різниця в рівнях захисту
зумовлена існуванням відмінностей у впровадженні та застосуванні Директиви
95/46/ЄС.

5. 5
(10) З метою забезпечення послідовного та високого рівня захисту фізичних осіб та
усунення перешкод на шляху потоків персональних даних в межах Союзу, рівень
захисту прав та свобод фізичних осіб стосовно обробки таких даних повинен бути
однаковим у всіх Країнах Членах. Слід забезпечити послідовне та однорідне
застосування правил захисту основних прав та свобод фізичних осіб стосовно
обробки персональних даних у всьому Союзі. Що стосується обробки персональних
даних для дотримання юридичного зобов'язання, для виконання завдання, що
здійснюється в інтересах суспільства, або для здійснення офіційних повноважень
контролера, то Країнам Членам слід дозволити зберігати, або вводити національні
положення, які би детальніше прописували правила застосування положень цього
Регламенту. У поєднанні із загальним і горизонтальним законодавством про захист
даних, впроваджуючи Директиву 95/46/ЄС, Країни Члени мають кілька галузевих
законів у тих сферах, де потрібні конкретніші положення. Цей Регламент також дає
змогу Країнам Членам конкретизувати свої правила, зокрема для обробки
особливих категорій персональних даних ("чутливі дані"). У цьому відношенні цей
Регламент не виключає законодавства Країн Членів, які визначають обставини для
конкретних ситуацій обробки, включаючи точніше визначення умов, за яких
обробка персональних даних є законною.
(11) Ефективний захист персональних даних у всьому Союзі вимагає посилення та
детального визначення прав суб'єктів даних та зобов'язань тих, хто обробляє та
визначає обробку персональних даних, а також еквівалентних повноважень для
здійснення моніторингу та забезпечення відповідності правилам захисту
персональних даних і застосування еквівалентних санкцій за порушення в Країнах
Членах.
(12) Стаття 16(2) ДФЄС уповноважує Європейський Парламент і Раду визначати
правила захисту фізичних осіб стосовно обробки персональних даних, а також
правила, що стосуються вільного переміщення персональних даних.
(13) З метою забезпечення узгодженості захисту фізичних осіб у всьому Союзі та
запобігання розбіжностям, що перешкоджають вільному переміщенню
персональних даних на внутрішньому ринку, необхідно забезпечити правову
визначеність та прозорість для економічних операторів, включаючи
мікропідприємства, малі та середні підприємства, а також надавати фізичним
особам у всіх Країнах Членах такий самий рівень юридично гарантованих прав та
обов'язків для контролерів та обробників, для забезпечення узгодженого
моніторингу обробки персональних даних та застосування еквівалентних санкцій у
всіх Країнах Членах, а також ефективне співробітництво між наглядовими
органами різних Країн Членів. Належне функціонування внутрішнього ринку
вимагає, щоб вільне переміщення персональних даних в межах Союзу не було
обмежено, або заборонено з причин, пов'язаних із захистом фізичних осіб стосовно
обробки персональних даних. Щоб враховувати специфічну ситуацію на мікро,
малих і середніх підприємствах, цей Регламент передбачає виключення для
організацій, які мають менше 250 працівників, стосовно ведення обліку. Крім того,
установам та органам Союзу, а також Країнам Членам та їхнім наглядовим органам
рекомендується враховувати специфічні потреби мікро, малих та середніх
підприємств при застосуванні цього Регламенту. Поняття мікро-, малих та середніх
підприємств повинно базуватися на статті 2 Додатку до Рекомендації Комісії
2003/361/ЄС1.
1 Рекомендація Комісії від 6 травня 2003 р. Щодо визначення мікро-, малих та середніх підприємств (C (2003)
1422) (ОJ L 124, 20.5.2003, стор. 36).

6. 6
(14) Захист, передбачений цим Регламентом, повинен застосовуватися до фізичних осіб,
незалежно від їхньої національності чи місця проживання, стосовно обробки їхніх
персональних даних. Цей Регламент не поширюється на обробку персональних
даних, що стосується юридичних осіб та, зокрема, підприємств, зареєстрованих як
юридичні особи, включаючи назву та форму юридичної особи, а також контактну
інформацію про юридичну особу.
(15) З метою запобігання серйозному ризику обходу норм, захист фізичних осіб має
бути технологічно нейтральним і не повинен залежати від методів, які
використовуються. Захист фізичних осіб повинен застосовуватися до обробки
персональних даних автоматизованими засобами, а також засобами ручної
обробки, якщо персональні дані містяться, або призначені для включення в
систему обліку. Файли або комплекти файлів, а також їхні титульні сторінки, які не
структуровані за певними критеріями, не підпадають під дію цього Регламенту.
(16) Цей Регламент не застосовується до питань захисту основоположних прав та
свобод, або вільного обігу персональних даних, пов'язаних з діяльністю, що не
підпадає під сферу дії законодавства Союзу, наприклад, діяльністю, що стосується
національної безпеки. Цей Регламент не застосовується до обробки персональних
даних країнами Членами при здійсненні заходів щодо спільної зовнішньої та
політики Союзу щодо безпеки.
(17) Постанова (ЄС) № 45/2001 Європейського Парламенту та Ради1 застосовується до
обробки персональних даних установами, органами, службами та установами
Союзу. Постанова (ЄС) № 45/2001 та інші законодавчі акти Союзу, що
застосовуються до такої обробки персональних даних, повинні бути адаптовані до
принципів та правил, встановлених цим Регламентом, і застосовуються у світлі
цього Регламенту. З метою забезпечення сильної та узгодженої структури захисту
даних у Союзі, після прийняття цього Регламенту необхідно внести потрібні зміни
до Постанови (ЄС) № 45/2001, щоб дозволити її застосування одночасно з цим
Регламентом.
(18) Цей Регламент не застосовується до обробки персональних даних фізичною особою
в ході суто особистої чи побутової діяльності, і, таким чином, не пов’язаної із
професійною чи комерційною діяльністю. Особиста або побутова діяльність може
включати листування та збереження адрес, або активність у соціальних мережах та
онлайн, що здійснюється в контексті такої діяльності. Проте цей Регламент
застосовується до контролерів або обробників, які забезпечують засоби для
обробки персональних даних для таких особистих, або побутових заходів.
(19) Захист фізичних осіб стосовно обробки персональних даних компетентними
органами з метою запобігання, розслідування, виявлення та переслідування
кримінальних злочинів, або виконання кримінальних покарань, включаючи захист
від загроз і попередження та запобігання загрозам громадській безпеці та вільному
переміщенню таких даних, є предметом окремого правового акту Європейського
Союзу. Тому цей Регламент не застосовується до діяльності з обробки для таких
цілей. Проте персональні дані, що обробляються державними органами відповідно
до цього Регламенту, повинні, коли вони використовуються для цих цілей,
регулюватися іншим окремим законодавчим актом Союзу, а саме Директивою (ЄС)
1 Постанова Європейського Парламенту та Ради від 18 грудня 2000 р. № 45/2001 про захист фізичних осіб
щодо обробки персональних даних установами та органами Співтовариства та про вільне переміщення таких
даних (ОJ L 8, 12.1.2001, Стор. 1).

7. 7
2016/680 Європейського Парламенту та Ради1. Країни Члени можуть довірити
компетентним органам у розумінні Директиви (ЄС) 2016/680 завдання, які не
обов'язково виконуються з метою запобігання, розслідування, виявлення та
переслідування кримінальних злочинів, або виконання кримінальних покарань,
включаючи захист від загроз і попередження та запобігання загрозам громадській
безпеці, для того, щоб обробка персональних даних для інших цілей, в тій мірі, в
якій вона знаходиться в межах сфери дії законодавства Союзу, належала до сфери
застосування цього Регламенту.
Стосовно обробки персональних даних цими компетентними органами для цілей,
що належать до сфери застосування цього Регламенту, Країни Члени повинні мати
можливість підтримувати, або вводити окремі положення для адаптації
застосування правил цього Регламенту. Такі положення можуть чіткіше визначати
конкретні вимоги щодо обробки персональних даних цими компетентними
органами для інших цілей з урахуванням конституційної, організаційної та
адміністративної структури відповідної Країни Члена. Коли обробка персональних
даних приватними органами підлягає застосуванню цього Регламенту, то цей
Регламент передбачає можливість для Країн Членів за деяких умов обмежувати
законом деякі зобов'язання та права, коли таке обмеження є необхідною та
пропорційною мірою в демократичному суспільстві для захисту окремих важливих
інтересів, включаючи громадську безпеку та запобігання, розслідування,
виявлення та переслідування кримінальних злочинів, або виконання кримінальних
покарань, включаючи захист від загроз та запобігання загрозам громадської
безпеки. Це актуально, наприклад, у сфері боротьби з відмиванням грошей, або
діяльністю криміналістичних лабораторій.
(20) Хоча цей Регламент застосовується, зокрема, до діяльності судів та інших судових
органів, законодавство Союзу або Країни Члена може встановлювати операційні
процедури обробки та процедури обробки даних, пов'язаних з обробкою
персональних даних судами та іншими судовими органами. Компетенція
наглядових органів не повинна включати обробку персональних даних, коли суди
діють у своїй судовій функції, з метою забезпечення незалежності судової влади
при виконанні своїх судових функцій, включаючи прийняття рішень. Повинна
існувати можливість доручити нагляд за такими операціями з обробки даних
окремим органам судової системи Країни Члена, які, зокрема, повинні забезпечити
дотримання правил цього Регламенту, посилити обізнаність членів судової влади з
їхніми зобов'язаннями відповідно до цього Регламенту та розглядати скарги щодо
таких операцій з обробки даних.
(21) Цей Регламент не обмежує застосування Директиви 2000/31/ЄС Європейського
Парламенту та Ради2, зокрема правил відповідальності постачальників послуг, які є
посередниками, що окреслені у статтях 12-15 Директиви. Ця Директива
спрямована на сприяння належному функціонуванню внутрішнього ринку шляхом
забезпечення вільного переміщення послуг інформаційного суспільства між
Країнами Членами.
1 Директива Європейського Парламенту та Ради (ЄС) 2016/680 від 27 квітня 2016 року про захист фізичних
осіб щодо обробки персональних даних компетентними органами з метою розслідування, запобігання,
виявлення та переслідування кримінальних правопорушень, або виконання кримінальних покарань та
вільне переміщення таких даних та скасування Рамкового рішення Ради 2008/977 / JHA (див. стор. 89 цього
Офіційного вісника).
2 Директива 2000/31 / ЄС Європейського Парламенту та Ради від 8 червня 2000 р. Про деякі правові аспекти
послуг інформаційного суспільства, зокрема електронної комерції, на внутрішньому ринку (Директива про
електронну торгівлю) (ОВ L 178, 17.7.2000, р. 1)

8. 8
(22) Будь-яка обробка персональних даних у контексті діяльності головного офісу
контролера, або обробника в Союзі, повинна здійснюватися відповідно до цього
Регламенту, незалежно від того, чи відбувається сам процес обробки в межах
Союзу. Створення головного офісу передбачає ефективне та реальне здійснення
діяльності шляхом сталих схем. Правова форма таких угод – чи через філію, чи
через дочірню компанію, яка має статус окремої юридичної особи, не є
визначальним фактором у цьому відношенні.
(23) З метою забезпечення того, щоб фізичні особи не були позбавлені захисту, на який
вони мають право відповідно до цього Регламенту, обробка персональних даних
суб'єктів даних, які перебувають у Союзі, контролерами або обробниками, які не
зареєстровані у Союзі, підпадає під дію цього Регламенту, коли діяльність з
обробки пов'язана із пропозицією товарів чи послуг таким суб'єктам даних
незалежно від того, чи вони пов'язані з оплатою. Щоб визначити, чи такий
контролер, або обробник пропонує товари, або послуги суб'єктам даних, які
знаходяться в Союзі, необхідно з'ясувати, чи є очевидним, що цей контролер або
обробник передбачає пропозицію надання послуг суб'єктам даних в одній, або
кількох Країнах Членах в Союзі. Самої лиш доступності веб-сайту контролера,
обробника, або посередника в Союзі, адреси електронної пошти, або інших
контактних даних, або використання мови чи валюти, яка в основному
використовується в тій країні, де зареєстровано контролера, недостатньо для
з'ясування таких намірів, але такі фактори, як використання мови, або валюти, що
звичайно використовуються в одній, або декількох Країнах Членах, з можливістю
замовлення товарів і послуг на тій чи іншій мові, або згадка про клієнтів або
користувачів, які знаходяться в Союзі, можуть доводити очевидність того, що
контролер передбачає можливість пропонувати товари чи послуги суб'єктам даних
в Союзі.
(24) Обробка персональних даних суб'єктів даних, що знаходяться у Союзі, контролером
або обробником, зареєстрованими не у Союзі, також має підпадати під дію цього
Регламенту, якщо це стосується здійснення моніторингу діяльності таких суб'єктів
даних настільки, наскільки їхня діяльність ведеться всередині Союзу. Щоб
визначити, чи можна розглядати процес обробки даних як такий, що здійснюється
для моніторингу діяльності суб'єктів даних, слід з’ясувати, чи відстежуються
фізичні особи в Інтернеті, включаючи можливість подальшого використання
методів обробки персональних даних, які полягають у профілюванні фізичної
особи, зокрема щоб прийняти рішення стосовно неї, або для аналізу чи
прогнозування її або його особистих уподобань, поведінки та ставлення.
(25) Якщо законодавство Країн Членів застосовується на підставі міжнародного
публічного права, цей Регламент також повинен застосовуватися до контролера,
зареєстрованого не в Союзі, наприклад, у дипломатичній місії або консульській
установі Країни Члена.
(26) Принципи захисту даних повинні застосовуватися до будь-якої інформації про
ідентифіковану фізичну особу чи фізичну особу, яку можна ідентифікувати.
Персональні дані, які пройшли псевдонімізацію, які можуть бути віднесені до
фізичної особи шляхом використання додаткової інформації, повинні розглядатися
як інформація про ідентифіковану фізичну особу. Щоб визначити, чи може фізична
особа бути ідентифікована, слід враховувати всі засоби, які обґрунтовано можуть
бути використані, наприклад, виділення чи то контролером, чи то іншою особою з
метою безпосередньої чи опосередкованої ідентифікації фізичної особи. Для того,
щоб з'ясувати, чи цілком можливо використовувати засоби для ідентифікації

9. 9
фізичної особи, слід враховувати всі об'єктивні фактори, такі як витрати та
кількість часу, необхідного для ідентифікації, з урахуванням наявних технологій на
момент проведення обробки та технологічних напрацювань. Тому принципи
захисту даних не повинні застосовуватися до анонімної інформації, а саме
інформації, яка не стосується ідентифікованої фізичної особи чи фізичної особи, яку
можна ідентифікувати, чи до персональних даних, наданих анонімним шляхом так,
що суб'єкт даних не може бути ідентифікований, або його більше не можна
ідентифікувати. Тому цей Регламент не стосується обробки такої анонімної
інформації, в тому числі для статистичних, або дослідницьких цілей.
(27) Цей Регламент не застосовується до персональних даних померлих осіб. Країни
Члени можуть встановлювати правила щодо обробки персональних даних
померлих осіб.
(28) Застосування псевдонімізації до персональних даних може зменшити ризик для
відповідних суб'єктів даних та допомогти контролерам і обробникам виконувати
свої зобов'язання щодо захисту даних. Чітке введення "псевдонімізації" у цей
Регламент не покликане перешкоджати будь-яким іншим заходам захисту даних.
(29) Для того, щоб створити стимули для застосування псевдонімізації при обробці
персональних даних, заходи псевдонімізації повинні, крім того, що дозволяють
загальний аналіз, бути доступними в межах одного контролера, коли цей
контролер вжив технічних та організаційних заходів, необхідних для забезпечення,
в рамках відповідної обробки, реалізації цього Регламенту і окремого збереження
додаткової інформації щодо віднесення персональних даних до конкретного
суб'єкта даних. Контролер, що обробляє персональні дані, повинен вказати
уповноважених осіб в межах одного контролера.
(30) Фізичні особи можуть асоціюватися з онлайн-ідентифікаторами, які надають їхні
пристрої, додатки, інструменти та протоколи, такі як адреси Інтернет-протоколу
(IP), ідентифікатори cookie, або інші ідентифікатори, наприклад теги визначення
радіочастот. Це може залишити сліди, які, зокрема, у поєднанні з унікальними
ідентифікаторами та іншою інформацією, отриманою серверами, можуть бути
використані для створення профілів фізичних осіб та їхньої ідентифікації.
(31) Органи державної влади, які розкривають персональні дані відповідно до
законного обов'язку для виконання своєї офіційної місії, такі як податкові та митні
органи, підрозділи фінансових розслідувань, незалежні адміністративні органи або
органи фінансового ринку, відповідальні за регулювання та нагляд за ринками
цінних паперів, не повинні розглядатися як одержувачі, якщо вони отримують
персональні дані, необхідні для виконання конкретного запиту в загальних
інтересах, відповідно до законодавства Союзу чи Країни Члена. Запити про
розголошення, що надсилаються державними органами, завжди повинні бути у
письмовому вигляді, бути обґрунтованими та нерегулярними, і не повинні
стосуватися всієї системи обліку документів, або вести до об’єднання систем обліку
документів. Обробка персональних даних цими органами повинна відповідати
чинним правилам захисту даних у відповідності до цілей обробки.
(32) Згода повинна надаватися у вигляді чітко стверджувальної заяви, що встановлює
вільно надану, конкретну, обґрунтовану та однозначну вказівку на згоду суб'єкта
даних на обробку персональних даних, пов'язаних з ним/нею, наприклад,
письмової заяви, в тому числі електронними засобами, або усної заяви. Це може
включати в себе проставлення „галочки” під час відвідування веб-сайту, вибір

10. 10
технічних налаштувань для послуг інформаційного суспільства чи інше
твердження чи поведінка, які чітко вказують у цьому контексті, що суб'єкт даних
приймає запропоновану обробку його або її персональних даних. Тож мовчання,
попередньо відзначені квадратики чи бездіяльність не повинні вважатися згодою.
Згода повинна стосуватися всієї діяльності з обробки, яка здійснюється з тією ж
ціллю, або цілями. Якщо обробка має декілька цілей, то для них всіх потрібно
надати згоду. Якщо згода суб'єкта даних надається за запитом, поданим
електронними засобами, то запит має бути чітким, лаконічним і таким, що без
необхідності не припиняє використання послуги, щодо якої він надається.
(33) Часто неможливо повністю визначити мету обробки персональних даних у
наукових цілях на момент збирання даних. Тому суб'єктам даних слід надати
можливість надавати згоду на певні напрямки наукових досліджень, якщо вони
відповідають визнаним етичним стандартам наукових досліджень. Суб'єкти даних
повинні мати можливість дати свою згоду лише для певних сфер досліджень або
окремих частин дослідницьких проектів у межах, дозволених за призначенням.
(34) Генетичні дані слід визначати як персональні дані, що стосуються успадкованих чи
набутих генетичних характеристик фізичної особи, які з’являються при аналізі
біологічного зразка відповідної фізичної особи, зокрема, хромосомної,
дезоксирибонуклеїнової кислоти (ДНК), або рибонуклеїнової кислоти (РНК), або
аналізу іншого елемента, що дозволяє отримати еквівалентну інформацію.
(35) Персональні дані стосовно охорони здоров'я повинні включати всі дані, що
стосуються стану здоров'я суб'єкта даних, який розкриває інформацію, що
стосується минулого, теперішнього чи майбутнього фізичного, або психічного
стану суб'єкта даних. Це включає в себе інформацію про фізичну особу, яку було
зібрано під час реєстрації для отримання медичних послуг чи під час надання
медичних послуг, як зазначено в Директиві 2011/24/ЄС Європейського Парламенту
та Ради1 , до цієї фізичної особи; номер, символ чи якась деталь, призначені
фізичній особі для її унікального визначення як фізичної особи в медичних цілях;
інформацію, отриману в результаті аналізу чи вивчення частини тіла, або тілесної
речовини, у тому числі від генетичних даних та біологічних зразків; і будь-яку
інформацію про хворобу, інвалідність, ризик захворювання, історію хвороби,
клінічне лікування або фізіологічний чи біомедичний стан суб'єкта даних,
незалежно від джерела, наприклад, чи це лікар, чи інший медичний працівник,
лікарня, медичний прилад чи діагностичний аналіз у пробірці.
(36) Головною організацією контролера в Союзі повинно бути місце його центрального
управління в Союзі, якщо рішення про цілі та засоби обробки персональних даних
не приймаються в іншій організації контролера в Союзі, оскільки в такому випадку
цю іншу організацію слід вважати головною організацією. Головна організація
контролера в Союзі повинна визначатися відповідно до об'єктивних критеріїв і має
включати ефективне та реальне здійснення управлінської діяльності, що визначає
основні рішення щодо цілей та засобів обробки шляхом сталих схем. Цей критерій
не повинен залежати від того, чи здійснюється обробка персональних даних у
цьому місці. Наявність та використання технічних засобів і технологій для обробки
персональних даних, або діяльність з обробки самі по собі не визначають головну
організацію і, отже, не визначають критерії головної організації. Головна
організація обробника повинна бути місцем його центрального управління в Союзі,
1 Директива 2011/24 / ЄС Європейського Парламенту та Ради від 9 березня 2011 р. про застосування права
пацієнтів на транскордонне медичне обслуговування (ОВ L 88, 4.4.2011, стор. 45).

11. 11
або якщо він не має центрального управління в Союзі, то місцем, де здійснюється
основна діяльність з обробки в Союзі. У випадках, пов'язаних і з контролером, і з
обробником, компетентним наглядовим органом повинен залишатися наглядовий
орган Країни Члена, в якому розташована головна організація контролера, але
наглядовим органом обробника повинен вважатися зацікавлений наглядовий
орган, і наглядовий орган повинен брати участь у процедурі співробітництва,
передбаченої цим Регламентом. У будь-якому випадку наглядові органи Країни
Члена або Країн Членів, де обробник має одну чи більше організацій, не слід
розглядати як зацікавлені наглядові органи, якщо проект рішення стосується лише
контролера. Якщо обробка здійснюється групою підприємств, головною
організацією контролюючого підприємства слід вважати головну організацію
групи підприємств, за винятком випадків, коли цілі та засоби обробки
визначаються іншою компанією.
(37) Група підприємств повинна охоплювати контролююче підприємство та його
контрольовані підприємства, згідно з якими контролююча компанія повинна бути
суб'єктом господарювання, який може здійснювати домінуючий вплив на інші
підприємства в силу, наприклад, власності, фінансової участі чи правил, які
керують нею, або права застосовувати правила захисту персональних даних.
Підприємство, яке контролює обробку персональних даних у підприємствах, що
входять до нього, слід розглядати разом з цими підприємствами як групу
підприємств.
(38) Діти заслуговують на особливий захист їхніх персональних даних, оскільки вони
можуть бути менш обізнаними з відповідними ризиками, наслідками та
гарантіями, а також своїми правами стосовно обробки персональних даних. Такий
особливий захист слід, зокрема, застосовувати до використання персональних
даних про дітей для цілей маркетингу чи створення профілів осіб чи користувачів
та збору персональних даних щодо дітей при використанні послуг, що
пропонуються безпосередньо дитині. Згода особи, що несе батьківську
відповідальність, не повинна бути необхідною в контексті профілактичних та
консультаційних послуг, що пропонуються безпосередньо дитині.
(39) Будь-яка обробка персональних даних має бути законною та справедливою. Для
фізичних осіб повинно бути прозорим те, що персональні дані щодо них
збираються, використовуються, беруться до уваги, або обробляються іншим
способом, і якою мірою їхні персональні дані вже обробляються, або будуть
оброблятися. Принцип прозорості вимагає, щоб будь-яка інформація та
повідомлення, пов'язані з обробкою цих персональних даних, були легко
доступними та легко зрозумілими, а також щоб використовувалася чітка та
зрозуміла мова. Цей принцип стосується, зокрема, інформації, яка надається
суб'єктам даних про особу контролера та цілі обробки, а також додаткової
інформації, спрямованої на забезпечення чесної та прозорої обробки стосовно
відповідних фізичних осіб та їхнього права на отримання підтвердження та
повідомлення про їхні персональні дані, які обробляються. Фізичні особи повинні
бути проінформовані про ризики, правила, гарантії та права щодо обробки
персональних даних та способів реалізації своїх прав щодо такої обробки. Зокрема,
конкретні цілі, для яких обробляються персональні дані, повинні бути чітко
визначеними, законними та визначатися під час збору персональних даних.
Персональні дані повинні бути адекватними, релевантними та обмежуватись тим,
що необхідно для цілей, для яких вони обробляються. Це вимагає, зокрема,
забезпечення того, щоб період зберігання персональних даних обмежувався строго

12. 12
мінімальним. Персональні дані слід обробляти лише в тому випадку, якщо ціль
обробки не може бути обґрунтовано досягнута іншими засобами. Для того, щоб
персональні дані не зберігалися довше, ніж це необхідно, контролер повинен
встановити граничні строки для їхнього видалення, або періодичного перегляду.
Слід докласти усіх розумних зусиль для того, щоб виправляти чи видаляти неточні
персональні дані. Персональні дані повинні оброблятися таким чином, щоб
гарантувати належну безпеку та конфіденційність персональних даних, у тому
числі для запобігання несанкціонованого доступу до персональних даних, або
використання персональних даних та обладнання, яке використовується для їхньої
обробки.
(40) Для того, щоб обробка була законною, персональні дані повинні оброблятися на
підставі згоди суб'єкта даних, або на іншій законній основі, встановленій законом,
чи цим Регламентом, або законодавством Союзу, або законодавством Країни Члена,
зазначеними в цьому Регламенті, включаючи необхідність дотримання
юридичного зобов'язання, під дію якого підпадає контролер, або необхідність
виконання договору, стороною якого є суб'єкт даних, або для вжиття заходів за
запитом суб'єкта даних до укладення договору.
(41) У випадках, коли цей Регламент посилається на правову основу, або законодавчу
мету, це не обов'язково вимагає законодавчого акту, прийнятого парламентом, без
шкоди для вимог, що відповідають конституційному порядку відповідної Країни
Члена. Проте, така правова основа або законодавчі заходи повинні бути ясними та
чіткими, а її застосування має бути передбачуваним для осіб, які їй підлягають,
відповідно до прецедентного права Суду Справедливості Європейського Союзу
("Суд Справедливості") та Європейського Суду з Прав Людини.
(42) У випадках, якщо обробка здійснюється на підставі згоди суб'єкта даних, контролер
повинен мати можливість продемонструвати, що суб'єкт даних дав згоду на
обробку даних. Зокрема, в контексті письмової декларації з іншого питання,
гарантії повинні забезпечити, щоб суб'єкт даних знав про те, на що і в якій мірі
дається згода. Відповідно до Директиви Ради 93/13 / ЄЕС1 декларація про згоду,
підготована контролером, повинна бути надана у зрозумілій та легкодоступній
формі, використовуючи чітку та зрозумілу мову, і не повинна містити
несправедливих умов. Для того щоб повідомити про згоду суб'єкт даних повинен
знати хто виступатиме контролером та цілі обробки персональних даних, для яких
ці дані призначені. Згода не повинна розглядатися як надана добровільно, якщо
суб'єкт даних не має справжнього, або вільного вибору, або не може баз шкоди
відмовитися або відкликати згоду.
(43) З метою забезпечення того, що згода надана добровільно, згода не повинна
надавати дійсних правових підстав для обробки персональних даних у випадку,
коли існує чіткий дисбаланс між суб'єктом даних та контролером, зокрема, якщо
контролер є державним органом, і тому навряд чи така згода була надана
добровільно у всіх обставинах цієї конкретної ситуації. Передбачається, що згода не
є добровільно наданою, якщо вона не дозволяє надавати окрему згоду на різні
операції з обробки персональних даних, незважаючи на те, що вона підходить у
конкретному випадку, або якщо виконання договору, включаючи надання послуги,
залежить від згоди, незважаючи на те, що така згода не є необхідною для такого
виконання.
1 Директива Ради 93/13/ЄС від 5 квітня 1993 р. Про несправедливі умови у споживчих договорах (OJ L 95,
21.4.1993, p.29 )

13. 13
(44) Обробка повинна бути законною, якщо це необхідно в контексті договору, або у
намірі укласти договір.
(45) Якщо обробка здійснюється відповідно до юридичного зобов'язання, якому
підпорядковується контролер, або якщо обробка необхідна для виконання
завдання, що здійснюється в інтересах суспільства, або в здійсненні державних
повноважень, обробка повинна базуватися на законі Союзу, або Країни Члена. Цей
Регламент не вимагає спеціального закону для кожної окремої обробки. Закон
може слугувати основою для виконання декількох операцій з обробки на підставі
юридичного зобов'язання, якому підпорядковується контролер, або якщо обробка
необхідна для виконання завдання, що виконується в інтересах суспільства, або в
здійсненні державних повноважень. Також закон Союзу, або Країни Члена має
визначити мету обробки. Крім того, цей закон міг би уточнювати загальні умови
цього Регламенту, визначаючи законність обробки персональних даних,
встановлювати функціональні вимоги для визначення контролера, тип
персональних даних, що підлягають обробці, суб'єкти даних, дані яких можуть бути
розкриті, організації, яким персональні дані можуть розкриватися, обмеження
мети, термін зберігання та інші заходи для забезпечення законної та справедливої
обробки. Слід також, щоб закон Союзу чи Країни Члена визначав, чи повинен
контролер, який виконує завдання, що здійснюється в інтересах громадськості, або
здійснює державні повноваження, бути державним органом, або іншою фізичною
чи юридичною особою, яка регулюється публічним правом, або, якщо робити це в
інтересах громадськості, в тому числі в цілях життєзабезпечення, таких як охорона
здоров’я, соціальний захист та медичні послуги, чи підпорядковуватися
приватному праву, так як професійна асоціація.
(46) Обробка персональних даних також повинна розглядатися як законна, коли це
необхідно для захисту інтересу, який є суттєвим для життя суб'єкта даних, або
інформації іншої фізичної особи. Обробка персональних даних на основі життєво
важливих інтересів іншої фізичної особи, в принципі, має місце лише тоді, коли
обробка не може бути явно заснована на іншій законодавчій основі. Деякі види
обробки можуть бути як важливими підставами суспільного інтересу, так і життєво
важливими інтересами суб'єкта даних, наприклад, коли обробка необхідна для
гуманітарних цілей, у тому числі для моніторингу епідемій та їх поширення, або в
ситуаціях гуманітарних надзвичайних ситуацій, зокрема в ситуаціях природніх та
техногенних катастроф.
(47) Законні інтереси контролера, у тому числі контролера, якому можуть бути розкриті
персональні дані, або третій стороні, можуть створювати законодавчу основу для
обробки, за умови, що вони не мають переважаючої сили над інтересами, або
основними правами та свободами суб'єкта даних, беручи до уваги розумні
очікування суб'єктів даних, виходячи з їх відносин з контролером. Такий законний
інтерес може існувати, наприклад, у випадку, коли між суб'єктом даних та
контролером існують відповідні відносини у ситуаціях, коли суб'єкт даних є
клієнтом, або працює для контролера. У будь-якому разі існування законного
інтересу потребує ретельної оцінки, в тому числі, чи може суб'єкт даних
обґрунтовано очікувати, що обробка персональних даних здійснюватиметься для
вказаної мети. Інтереси та основні права суб'єкта даних можуть, зокрема, мати
переважаючу силу над інтересом контролера даних, якщо персональні дані
обробляються в умовах, коли суб'єкти даних обґрунтовано не очікують подальшої
обробки. Враховуючи те, що законодавець зобов’язаний на рівні законодавчого
акту передбачити законодавчу базу для державних органів щодо обробки

14. 14
персональних даних, ця правова база не повинна застосовуватися по відношенню
до обробки державними органами при виконанні ними своїх завдань. Обробка
персональних даних, необхідна в цілях запобігання шахрайству, також є законним
інтересом відповідного контролера даних. Обробка персональних даних для цілей
адресного маркетингу може розглядатися як така, що відповідає законному
інтересу.
(48) Контролери, які є частиною групи підприємств, або установ, що входять до
центрального органу, можуть мати законний інтерес щодо передачі персональних
даних у рамках групи підприємств для внутрішніх адміністративних цілей,
включаючи обробку персональних даних клієнтів, або працівників. Загальні
принципи передачі персональних даних у межах групи підприємств до
підприємства, розташованого у третій країні, залишаються незмінними.
(49) Обробка персональних даних органами державної влади, центрами реагування на
комп’ютерні надзвичайні події (CERTs), центрами реагування на інциденти,
пов’язані з комп’ютерною безпекою (CSIRTs), постачальниками електронних
комунікаційних мереж і послуг, а також постачальниками технологій та послуг по
забезпеченню безпеки є законним інтересом відповідного контролера даних в тому
обсязі, необхідному та пропорційному для забезпечення безпеки мережі та
інформаційної безпеки, тобто спроможності мережі або інформаційної системи
протистояти, при певному рівні впевненості, випадковим подіям, незаконним, або
шкідливим діям, що компрометують доступність, автентичність, цілісність та
конфіденційність збережених, або переданих персональних даних, а також безпеку
відповідних служб, що надаються або доступні через ці мережі та системи.
(50) Обробка персональних даних для цілей, відмінних від тих, для яких спочатку були
зібрані персональні дані, повинна бути дозволена лише тоді, коли обробка є
сумісною з цілями, для яких спочатку збирались персональні дані. У такому
випадку правова база не відрізняється від тієї, що вимагає збір персональних
даних. Якщо обробка необхідна для виконання завдання, що виконується в
інтересах суспільства, або при здійсненні офіційних повноважень контролера, то
законодавство Союзу або Країни Члена може визначити завдання та цілі, для яких
слід розглядати подальшу обробку як сумісну та законну. Подальша обробка для
цілей архівації в інтересах суспільства, наукових чи історичних дослідницьких
цілей, або в статистичних цілях повинна розглядатися як сумісна законна обробка
операцій. Правова база, передбачена законодавством Союзу, або Країною Членом
для обробки персональних даних, також може бути правовою підставою для
подальшої обробки. Для того, щоб з'ясувати, чи цілі подальшої обробки є сумісними
з ціллю, для якої спочатку збираються персональні дані, контролер, відповідаючи
всім вимогам щодо законності первісної обробки, повинен враховувати, зокрема:
будь-який зв'язок між цими цілями та цілями передбачуваної подальшої обробки;
контекст, в якому були зібрані персональні дані, зокрема, розумні очікування
суб'єктів даних на основі їх стосунків з контролером щодо їхнього подальшого
використання; характер персональних даних; наслідки передбачуваної подальшої
обробки для суб'єктів даних; а також наявність належних гарантій як в
початковому, так і у планованому процесі подальшої обробки.
Коли суб'єкт даних дав згоду, або обробка здійснюється на основі законодавства
Союзу або Країни Члена, що є необхідною та пропорційною мірою в
демократичному суспільстві, для забезпечення, зокрема, важливих цілей, що
становлять загальні суспільні інтереси, контролеру слід дозволити подальший
процес обробки персональних даних незалежно від сумісності цілей. У будь-якому

15. 15
випадку слід забезпечити застосування принципів, викладених у цьому Регламенті,
зокрема інформування суб'єкта даних про вказані інші цілі, а також про його або її
права, включаючи право на заперечення. Вказівки контролера щодо можливих
злочинних дій, або загрози громадській безпеці та передача відповідних
персональних даних в окремих випадках, або у кількох випадках, пов'язаних із
одним і тим же злочинним діянням, або загрозами суспільній безпеці
компетентному органу, слід розглядати, як законний інтерес контролера. Проте
така передача в законних інтересах контролера, або подальша обробка
персональних даних повинна бути заборонена, якщо обробка несумісна з законним,
професійним чи іншим зобов'язанням збереження конфіденційності.
(51) Персональні дані, які за своєю природою особливо чутливі щодо основних прав та
свобод, заслуговують на особливий захист, оскільки контекст їх обробки може
створювати значні ризики для основних прав та свобод. Ці персональні дані
повинні включати в себе персональні дані, що розкривають расове чи етнічне
походження, при цьому використання терміну "расове походження" в цьому
Регламенті не означає, що Союз підтримує підходи, які намагаються визначити
існування окремих людських рас. Обробка фотографій не повинна систематично
розглядатися як обробка спеціальних категорій персональних даних, оскільки вони
охоплюються визначенням біометричних даних, лише якщо вони обробляються за
допомогою спеціальних технічних засобів, що дозволяють унікальну
ідентифікацію, або автентифікацію фізичної особи. Такі персональні дані не
повинні оброблятися за винятком випадків, якщо обробка дозволена у окремих
випадках, передбачених цим Регламентом, приймаючи до уваги, що законодавство
Країн Членів може встановлювати конкретні положення про захист даних, щоб
адаптувати застосування норм Регламенту по відношенню до дотримання
законодавчих зобов’язань чи виконання завдань, що здійснюються в інтересах
суспільства чи при здійсненні офіційних повноважень, покладених на контролера.
На додаток до конкретних вимог до такої обробки, повинні застосовуватися
загальні принципи та інші вимоги цього Регламенту, зокрема щодо умов
законності обробки. Вилучення із загальної заборони на обробку таких особливих
категорій персональних даних повинні бути чітко передбачені, в тому числі, якщо
суб'єкт даних дає свою явну згоду, або по відношенню до конкретних потреб,
зокрема, якщо обробка здійснюється в процесі законної діяльності конкретних
асоціацій чи фондів, метою яких є забезпечення виконання основних свобод.
(52) Виключення із заборони на обробку особливих категорій персональних даних
також повинні бути дозволені, якщо це передбачено законодавством Союзу, або
Країн Членів і володіють відповідними гарантіями захисту персональних даних та
інших основних прав, якщо це виправдано суспільними інтересами, зокрема,
обробка персональних даних у сфері трудового законодавства, закону про
соціальний захист, включаючи пенсії та охорону здоров'я, цілі моніторингу та
попередження, або боротьбу з інфекційними захворюваннями та іншими
серйозними загрозами здоров'ю. Таке виключення може бути зроблено з метою
охорони здоров'я, включаючи охорону здоров'я та управління медичними
послугами, особливо для забезпечення якості та економічної ефективності методів,
що використовуються для врегулювання претензій на пільги та послуги в системі
медичного страхування, або для цілей архівації у суспільних інтересах, для
наукових, або історичних досліджень, або для статистичних цілей. Виключення
може бути здійснено для обробки персональних даних, необхідної для
обґрунтування, виконання чи оскарження позовних вимог, в рамках судової
процедури чи в рамках адміністративних, чи позасудових процедур.

16. 16
(53) Особливі категорії персональних даних, які вимагають більш високого рівня
захисту, повинні оброблятися для цілей, пов'язаних з охороною здоров'я, лише там,
де це необхідно для досягнення цих цілей в інтересах фізичних осіб та суспільства в
цілому, в тому числі в контексті управління медичними та соціальними послугами
і, включно з обробкою таких даних з боку керівництва та центральних органів
охорони здоров'я з метою контролю якості, інформації про управління та
загальнодержавного, та місцевого нагляду за системою охорони здоров'я, або
соціальної допомоги, а також забезпечення безперервності медичного
обслуговування чи соціального забезпечення, а також транскордонного медичного
обслуговування чи з метою забезпечення безпеки, моніторингу та профілактики
захворювань, а також для цілей архівації в інтересах суспільства, наукових або
історичних дослідницьких цілей, або в статистичних цілях на основі законодавства
Союзу, або Країни Члена, що повинно відповідати цілям, що становлять суспільний
інтерес у сфері охорони здоров'я. Тому цей Регламент повинен передбачати
узгоджені умови для обробки спеціальних категорій персональних даних стосовно
здоров'я, осіб, що підпадають під юридичне зобов'язання щодо професійної
таємниці. Законодавство Союзу або Країни Члена повинно передбачати спеціальні
та прийнятні заходи для захисту основних прав та персональних даних фізичних
осіб. Країнам Членам слід дозволяти підтримувати, або запроваджувати додаткові
умови, включаючи обмеження щодо обробки генетичних даних, біометричних
даних чи даних стосовно здоров'я. Однак це не повинно перешкоджати вільному
потоку персональних даних в межах Союзу, коли ці умови застосовуються до
транскордонної обробки таких даних.
(54) З причин суспільного інтересу в сферах охорони здоров'я, обробка спеціальних
категорій персональних даних може бути необхідною без згоди суб'єкта даних.
Така обробка повинна здійснюватися у відповідності до прийнятних та конкретних
заходів для захисту прав та свобод фізичних осіб. У цьому контексті "суспільна
охорона здоров'я" повинна тлумачитися як визначена в Регламенті (ЄС) №
1338/2008 Європейського Парламенту та Ради1, а саме всі елементи, що стосуються
здоров'я, а саме стан здоров'я, включаючи захворювання та інвалідність, фактори,
що впливають на стан здоров'я, потреби в охороні здоров'я, ресурси, що
виділяються на охорону здоров'я, надання медичного обслуговування та загальний
доступ до них, а також витрати на охорону здоров'я та фінансування і причини
смертності. Така обробка даних, що стосується здоров'я, з причин суспільного
інтересу не повинна призводити до того, що персональні дані будуть оброблятися
для інших цілей третіми особами, такими як роботодавці або страхові та банківські
компанії.
(55) Разом з цим, обробка персональних даних офіційними органами з метою
досягнення цілей, встановлених конституційним, або міжнародним публічним
законодавством офіційно визнаних релігійних об'єднань, здійснюється на підставі
суспільних інтересів.
(56) У випадку якщо в ході передвиборчої діяльності функціонування демократичної
системи у Країні Члені вимагає, щоб політичні партії збирали персональні дані
щодо політичних поглядів людей, обробка таких даних може бути дозволена з
міркувань суспільного інтересу, за умови встановлення відповідних гарантій.
1 Постанова (ЄС) № 1338/2008 Європейського Парламенту та Ради від 16 грудня 2008 р. Про статистику
Співтовариства щодо здоров'я населення та охорони здоров'я та безпеки праці (OJ L 354, 31.12.2008, р. 70).

17. 17
(57) Якщо персональні дані, що обробляються контролером, не дозволяють
контролерові ідентифікувати фізичну особу, контролер даних не зобов'язаний
отримувати додаткову інформацію для визначення суб'єкта даних з єдиною метою
дотримання будь-якого положення цього Регламенту. Проте контролер не повинен
відмовлятись прийняти додаткову інформацію, надану суб'єктом даних, з метою
здійснення своїх прав. Ідентифікація повинна включати в себе цифрову
ідентифікацію суб'єкта даних, наприклад, через механізм автентифікації, таку ж як
ті облікові дані, що використовуються суб'єктом даних для входу в онлайновий
сервіс, запропонований контролером даних.
(58) Принцип прозорості вимагає, щоб будь-яка інформація, адресована громадськості,
або суб'єктам даних, була стислою, легко доступною та зрозумілою, а також
використовувалася чітка та зрозуміла мова та додатково, де це доречно,
використовувалася візуалізація. Така інформація може бути надана в електронній
формі, наприклад, якщо вона адресована громадськості, через веб-сайт. Це має
особливе значення в ситуаціях, коли внаслідок великої кількості учасників і
технологічна складність практики ускладнюють вивчення та розуміння суб'єктами
даних того, хто і для чого збирає персональні дані, що стосуються його/її, або
пов’язані з його/її особою, таких як у випадку інтернет-реклами. Враховуючи, що
діти заслуговують на особливий захист, будь-яка інформація та повідомлення, де
обробка адресована дитині, повинні бути такою чіткою та зрозумілою мовою, яку
дитина може легко зрозуміти.
(59) Необхідно передбачити умови для полегшення здійснення прав суб'єкта даних
відповідно до цього Регламенту, включаючи механізми для запиту та, якщо це
можливо, безкоштовно отримувати, зокрема, доступ, виправлення, або стирання
персональних даних та здійснення права на заперечення. Контролер повинен
також забезпечувати інструменти для надсилання запитів електронним способом,
особливо там, де персональні дані обробляються електронними засобами.
Контролер повинен бути зобов'язаним відповідати на запити суб'єкта даних без
зайвої затримки і не пізніше одного місяця, а також вказувати причини, коли
контролер не має наміру виконувати будь-які такі запити.
(60) Принципи чесної та прозорої обробки вимагають, щоб суб'єкт даних був
поінформований про наявність процесу з обробки та його цілі. Контролер повинен
надавати суб'єкту даних будь-яку додаткову інформацію, необхідну для
забезпечення чесної та прозорої обробки, з урахуванням конкретних обставин і
контексту, в якому обробляються персональні дані. Крім того, суб'єкт даних
повинен бути поінформований про складання профілю та про наслідки такого
профілювання. У випадках, коли персональні дані збираються у суб'єкта даних, сам
суб'єкт даних також повинен бути поінформований про те, чи зобов'язаний
він/вона надавати персональні дані та наслідки, у випадку їх ненадання. Ця
інформація може бути надана у поєднанні зі стандартизованими графічними
позначеннями, щоб дати у легко помітний, зрозумілий та чітко розбірливий спосіб,
загальне представлення передбачуваної обробки. Якщо графічні представлення
подаються в електронному вигляді, вони повинні бути машино зчитуваними.
(61) Інформація стосовно обробки персональних даних, що стосуються суб'єкта даних,
повинна надаватися йому/їй в момент збирання у суб'єкта даних або, якщо
персональні дані отримуються з іншого джерела, в межах розумного періоду,
залежно від обставин справи. Якщо персональні дані можуть бути законним чином
розкриті іншому одержувачу, суб'єкт даних повинен бути поінформований, коли
персональні дані вперше будуть розкриватися одержувачу. Якщо контролер має