Регламент Европейского Парламента и Совета Европейского Союза 2018/1725 от 23 октября 2018 г.
о защите физических лиц при обработке персональных данных, осуществляемой учреждениями, органами, службами и агентствами Союза, и о свободном обращении таких данных, а также об отмене Регламента (ЕС) 45/2001 и Решения 1247/2002/EC*(1)
(Действие Регламента распространяется на Европейское экономическое пространство)
Европейский Парламент и Совет Европейского Союза,
Руководствуясь Договором о функционировании Европейского Союза, и, в частности, Статьей 16(2) указанного Договора;
Принимая во внимание предложение Европейской Комиссии;
После передачи проекта законодательного акта национальным парламентам;
Принимая во внимание заключение Европейского комитета по социальным и экономическим вопросам*(2);
Действуя в соответствии с обычной законодательной процедурой*(3),
Принимая во внимание следующие обстоятельства:
(1) Защита физических лиц при обработке персональных данных является основным правом. Статья 8(1) Хартии Европейского Союза об основных правах ("Хартия") и Статья 16(1) Договора о функционировании Европейского Союза (TFEU) предусматривают, что каждый человек имеет право на защиту персональных данных, относящихся к нему или к ней. Данное право также гарантируется Статьей 8 Европейской конвенции о защите прав человека и основных свобод.
(2) Регламент (ЕС) 45/2001 Европейского Парламента и Совета ЕС*(4) предоставляет физическим лицам юридически действительные права, конкретизирует обязательства контролеров в отношении обработки данных институтами и органами Сообщества, а также создает независимый надзорный орган - Европейского инспектора по защите данных - ответственный за мониторинг обработки персональных данных институтами и органами Союза. Однако он не применяется к обработке персональных данных в ходе деятельности институтов и органов Союза, которая выходит за пределы сферы действия законодательства Союза.
(3) Регламент (ЕС) 2016/679 Европейского Парламента и Совета ЕС*(5) и Директива (ЕС) 2016/680 Европейского Парламента и Совета ЕС*(6) были приняты 27 апреля 2016 г. В то время как Регламент устанавливает общие правила для защиты физических лиц в отношении обработки персональных данных и для обеспечения свободного обращения персональных данных в Союзе, Директива устанавливает специальные правила для защиты физических лиц в отношении обработки персональных данных и для обеспечения свободного обращения персональных данных в Союзе в сферах судебного сотрудничества по уголовным делам и полицейского сотрудничества.
(4) Регламент (ЕС) 2016/679 предусматривает адаптацию Регламента (ЕС) 45/2001 в целях обеспечения создания прочных и согласованных правовых рамок для защиты персональных данных в Союзе и возможности его применения параллельно с Регламентом (ЕС) 2016/679.
(5) В целях обеспечения согласованного подхода к защите персональных данных на территории Союза и свободного обращения персональных данных в пределах Союза необходимо, насколько это возможно, привести правила защиты данных для учреждений, органов, служб и агентств Союза в соответствие с правилами защиты данных, принятыми для государственного сектора в государствах-членах ЕС. Когда положения настоящего Регламента следуют тем же принципам, что и положения Регламента (ЕС) 2016/679, обе совокупности положений должны в соответствии с судебной практикой Суда Европейского Союза ("Суд") толковаться единообразно, в частности, вследствие того, что структура настоящего Регламента должна пониматься как эквивалент структуры Регламента (ЕС) 2016/679.
(6) Лица, чьи персональные данные обрабатываются учреждениями и органами Союза независимо от контекста, к примеру, вследствие того, что они являются служащими указанных учреждений и органов, должны быть защищены. Настоящий Регламент не должен применяться для обработки персональных данных умерших лиц. Настоящий Регламент не регулирует обработку персональных данных юридических лиц и, в частности, предприятий, учрежденных как юридические лица, включая наименование и правовую форму юридического лица, а также контактные данные юридического лица.
(7) Для предотвращения серьезного риска обхода положений защита физических лиц должна быть технологически нейтральной и не должна зависеть от используемых технических средств.
(8) Настоящий Регламент следует применять при обработке персональных данных учреждениями, органами, службами и агентствами Союза. Его следует полностью или частично применять при обработке персональных данных автоматизированными средствами, а также при обработке иными средствами, кроме автоматизированных, персональных данных, которые формируют часть файловой системы или предназначены для формирования части файловой системы. Файлы или группы файлов, а также их титульные страницы, которые не структурированы в соответствии со специальными критериями, не должны подпадать под сферу применения настоящего Регламента.
(9) В Декларации N 21 о защите персональных данных в сферах судебного сотрудничества по уголовным делам и полицейского сотрудничества, являющейся приложением к заключительному акту межправительственной конференции, которая приняла Лиссабонский договор, конференция признала, что специальные правила о защите персональных данных и о свободном обращении таких данных в сферах судебного сотрудничества по уголовным делам и полицейского сотрудничества, основанные на Статье 16 TFEU, могут оказаться необходимыми в силу особого характера данных сфер. Следовательно, отдельную Главу настоящего Регламента, содержащую общие правила, следует применять при обработке оперативных персональных данных, таких как персональные данные, обрабатываемые для целей уголовного расследования органами, службами и агентствами Союза при осуществлении деятельности в сферах судебного сотрудничества в уголовных вопросах и полицейского сотрудничества.
(10) Директива (ЕС) 2016/680 устанавливает гармонизированные правила для защиты и свободного обращения персональных данных при их обработке в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение таких угроз. В целях обеспечения единого уровня защиты для физических лиц посредством юридически действительных прав на всей территории Союза и предотвращения расхождений, препятствующих обмену персональными данными между органами, службами или агентствами Союза при осуществлении ими деятельности, подпадающей под сферу действия Главы 4 или Главы 5 Раздела V Части Третьей TFEU, и компетентными органами, правила для защиты и для свободного обращения оперативных персональных данных, обрабатываемых указанными органами, службами и агентствами Союза, должны соответствовать Директиве (ЕС) 2016/680.
(11) Общие правила Главы об обработке оперативных персональных данных настоящего Регламента следует применять без ущерба действию специальных правил, применяемых к обработке оперативных персональных данных органами, службами и агентствами Союза при осуществлении ими деятельности, подпадающей под сферу действия Главы 4 или Главы 5 Раздела V Части Третьей TFEU. Данные специальные правила следует рассматривать как lex specialis в отношении положений Главы об обработке персональных данных настоящего Регламента (lex specialis derogat legi generali). В целях уменьшения правовой фрагментации специальные правила по защите данных, применяемые при обработке оперативных персональных данных органами, службами или агентствами Союза при осуществлении деятельности, подпадающей под сферу действия Главы 4 или Главы 5 Раздела V Части Третьей TFEU, должны соответствовать принципам, лежащим в основе Главы об обработке оперативных персональных данных настоящего Регламента, а также положениям настоящего Регламента, относящимся к независимому надзору, средствам защиты, ответственности и санкциям.
(12) Главу об обработке оперативных персональных данных настоящего Регламента следует применять к органам, службам и агентствам Союза при осуществлении ими деятельности, подпадающей под сферу действия Главы 4 или Главы 5 Раздела V Части Третьей TFEU, независимо от того, является ли осуществление данной деятельности их основной или вспомогательной задачей для целей предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний. Однако ее не следует применять к Европолу или к Европейской прокуратуре до тех пор, пока правовые акты, учреждающие Европол и Европейскую прокуратуру, не будут изменены таким образом, чтобы адаптированная Глава об обработке оперативных персональных данных настоящего Регламента могла к ним применяться.
(13) Европейской Комиссии следует провести пересмотр настоящего Регламента, в частности, в отношении Главы об обработке оперативных персональных данных настоящего Регламента. Европейской Комиссии следует также провести пересмотр других правовых актов, принятых на основании Договоров, которые регулируют обработку оперативных персональных данных органами, службами или агентствами Союза при осуществлении деятельности, подпадающей под сферу действия Главы 4 или Главы 5 Раздела V Части Третьей TFEU. После данного пересмотра в целях обеспечения единообразной и согласованной защиты физических лиц в отношении обработки персональных данных Европейской Комиссии следует иметь возможность вносить любые целесообразные законодательные предложения, включая любые необходимые адаптации Главы об обработке оперативных персональных данных настоящего Регламента, с тем чтобы она могла применяться к Европолу и к Европейской прокуратуре. При осуществлении адаптаций следует принимать во внимание положения, относящиеся к независимому надзору, средствам защиты, ответственности и санкциям.
(14) Обработка органами, службами и агентствами Союза, осуществляющими деятельность, которая подпадает под сферу действия Главы 4 или Главы 5 Раздела V Части Третьей TFEU, административных персональных данных, таких как данные о персонале, должна регулироваться настоящим Регламентом.
(15) Настоящий Регламент следует применять при обработке персональных данных органами, службами и агентствами Союза, осуществляющими деятельность, которая подпадает под сферу действия Главы 2 Раздела V Договора о Европейском Союзе (TEU). Настоящий Регламент не следует применять при обработке персональных данных миссиями, указанными в Статьях 42(1), 43 и 44 TEU, которые осуществляют общую политику безопасности и обороны. Когда это целесообразно, должны быть выдвинуты соответствующие предложения для дальнейшего регулирования обработки персональных данных в сфере общей политики безопасности и обороны.
(16) Принципы защиты данных должны применяться в отношении любой информации, касающейся идентифицированного или идентифицируемого физического лица. Персональные данные, которые подверглись псевдонимизации и которые могут быть связаны с физическим лицом посредством дополнительной информации, следует рассматривать как информацию об идентифицируемом физическом лице. В целях установления того, является ли физическое лицо идентифицируемым, следует принять во внимание все средства, с высокой степенью вероятности используемые контролером или иным лицом, для того чтобы прямо или косвенно идентифицировать физическое лицо, например, установить личность. При определении того, используются ли средства с достаточной степенью вероятности для идентификации физического лица, следует принять во внимание все объективные факторы, такие как расходы на идентификацию и количество времени, необходимое для идентификации, с учетом имеющихся на момент обработки технологий и технологических разработок. Вследствие этого принципы защиты данных не следует применять в отношении анонимной информации, а именно информации, которая не относится к идентифицированному или идентифицируемому физическому лицу, или в отношении персональных данных, предоставленных анонимно таким образом, что субъект данных более не идентифицируется. Следовательно, настоящий Регламент не относится к обработке данной анонимной информации, в том числе для статистических и поисковых целей.
(17) Применение псевдонимизации к персональным данным может снизить риски для заинтересованных субъектов данных и может содействовать контролерам и лицам, обрабатывающим данные, в выполнении их обязательств по защите данных. Непосредственное введение термина "псевдонимизация" в настоящем Регламенте не имеет целью создавать препятствия каким-либо иным мерам по защите данных.
(18) Физические лица могут быть связаны с сетевыми идентификаторами, предусмотренными их устройствами, приложениями, программными средствами и протоколами, как например, IP-адреса, идентификаторы типа cookie-файлы или иные идентификаторы, такие как метки радиочастотной идентификации. Они могут оставлять следы, которые, в частности, в сочетании с уникальными идентификаторами и другой полученной серверами информацией, могут использоваться для создания профилей физических лиц и для их идентификации.
(19) Согласие должно быть дано посредством четкого утвердительного действия, демонстрирующего добровольное, определенное, основанное на полученной информации и однозначное указание субъекта данных на согласие на обработку относящихся к нему или к ней персональных данных, к примеру, посредством письменного заявления, в том числе поданного электронным способом, или устного заявления. Согласием может считаться проставление нужных отметок при посещении страницы в Интернете, выбор технических настроек для услуг информационного общества или иное заявление или способ поведения, который четко указывает на то, что субъект данных в указанном контексте согласен на предлагаемую обработку его или ее персональных данных. Следовательно, молчание, заранее проставленные отметки или бездействие не должны подразумевать согласие. Согласие должно распространяться на все действия по обработке, осуществляемые для одной и той же цели или целей. Если обработка служит нескольким целям, согласие должно быть дано для каждой из них. Если согласие субъекта данных должно быть дано после запроса, сделанного электронным способом, запрос должен быть сделан в четкой и лаконичной форме, без неоправданного прекращения использования услуги, для которой предоставляется согласие. В то же время субъект данных должен иметь право отозвать согласие в любой момент, не оказывая влияния на правомерность обработки, основанной на согласии, данном до отзыва согласия. В целях обеспечения того, чтобы согласие давалось свободно, согласие не должно предоставлять действительного правового основания для обработки персональных данных в особом случае, если существует видимый дисбаланс между субъектом данных и контролером, и, следовательно, маловероятно, что согласие было дано свободно во всех обстоятельствах данной конкретной ситуации. Во многих случаях невозможно до конца идентифицировать цель обработки персональных данных для задач научных исследований в момент сбора данных. Следовательно, субъекты данных должны иметь возможность дать свое согласие для определенных областей научных исследований в соответствии с признанными этическими стандартами для научных исследований. Субъекты данных должны иметь возможность дать свое согласие только для определенных областей научных исследований или частей исследовательских проектов, насколько это допускает предполагаемая цель.
(20) Любая обработка персональных данных должна быть законной и справедливой. Физическим лицам должно быть ясно то, что персональные данные, относящиеся к ним, собираются, используются, проверяются или иным образом обрабатываются, а также то, в какой степени персональные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любая информация и сообщения, относящиеся к обработке персональных данных, были легкодоступны и понятны, а также чтобы использовался ясный и простой язык. Данный принцип относится, в частности, к информированию субъектов данных о личности контролера и о целях обработки, а также к дальнейшему информированию в целях обеспечения справедливой и прозрачной обработки в отношении заинтересованных физических лиц и их права на получение подтверждения и сообщений о персональных данных о них, которые обрабатываются. Физические лица должны быть оповещены о рисках, правилах, мерах защиты и правах в отношении обработки персональных данных, а также о том, как использовать свои права в отношении данной обработки. В частности, специальные цели, для которых обрабатываются данные, должны быть однозначными и легитимными и должны быть определены на момент сбора персональных данных. Персональные данные должны быть точными, релевантными и должны быть ограничены тем, что необходимо для целей, для которых они обрабатываются. Это требует, в частности, обеспечения того, чтобы период хранения персональных данных был ограничен строгим минимумом. Персональные данные должны обрабатываться, только если цель обработки не может быть в достаточной степени достигнута другими средствами. В целях обеспечения того, чтобы персональные данные не хранились дольше, чем это необходимо, контролерами должны быть установлены сроки для удаления данных или для их периодического пересмотра. Все разумные шаги должны быть предприняты для исправления или удаления неточных данных. Персональные данные должны обрабатываться таким образом, который обеспечивает надлежащую безопасность и конфиденциальность персональных данных, включая предотвращение неавторизованного доступа к персональным данным или предотвращение неавторизованного использования персональных данных и оборудования, используемого для обработки, а также предотвращение неавторизованного раскрытия данных при их передаче.
(21) В соответствии с принципом подотчетности, если учреждения и органы Союза передают персональные данные в пределах одного учреждения или органа и получатель не является контролером или передают другим учреждениям и органам Союза, они должны провести проверку того, требуются ли персональные данные для правомерного выполнения задач, находящихся в компетенции получателя. В частности, после получения запроса получателя о передаче персональных данных, контролеру следует проверить существование надлежащего основания для обработки персональных данных на законных основаниях и полномочия получателя. Контролеру также следует выполнить предварительную оценку необходимости передачи данных. Если возникают сомнения в необходимости их передачи, контролеру следует запросить дополнительную информацию у получателя. Получатель должен обеспечить возможность последовательной проверки необходимости передачи информации.
(22) Чтобы обработка была законной, персональные данные следует обрабатывать на основании необходимости для выполнения учреждениями и органами Союза задачи в интересах общества или при осуществлении ими официальных полномочий, на основании необходимости выполнения правовых обязательств, возложенных на контролера, или на основании иных легитимных оснований, регулируемых настоящим Регламентом, включая согласие заинтересованного субъекта данных, необходимость выполнения договора, стороной которого является субъект данных, или с целью принятия мер по запросу субъекта данных перед заключением договора. Обработка персональных данных для выполнения учреждениями и органами Союза задач в общественных интересах включает обработку персональных данных, необходимую для управления и функционирования данных учреждений и органов. Также обработка персональных данных должна считаться законной, если существует необходимость защищать интересы, жизненно важные для субъекта данных или для другого физического лица. Обработка персональных данных, основанная на жизненно важных интересах другого физического лица, может в принципе иметь место, только если обработка заведомо не может базироваться на ином правовом основании. Некоторые виды обработки могут служить важным основанием для общественных интересов и для жизненных интересов субъекта данных, к примеру, если обработка необходима для гуманитарных целей, включая мониторинг эпидемий и их распространение, или при чрезвычайных ситуациях, в частности, в ситуациях природных и техногенных катастроф.
(23) Законодательство Союза, указанное в настоящем Регламенте, должно быть ясным и точным, и его применение должно быть предсказуемо для лиц, на которых распространяется его действие, в соответствии с требованиями, установленными в Хартии и в Европейской конвенции о защите прав человека и основных свобод.
(24) Внутренние правила, указанные в настоящем Регламенте, должны быть ясными и точными актами общего назначения, порождающими юридические последствия в отношении субъектов данных. Они должны приниматься на высочайшем уровне руководства учреждений и органов Союза, в пределах их компетенции и по вопросам, относящимся к их деятельности. Они должны быть опубликованы в Официальном Журнале Европейского Союза. Применение данных правил должно быть предсказуемо для лиц, на которых распространяется его действие, в соответствии с требованиями, установленными в Хартии и в Европейской конвенции о защите прав человека и основных свобод. Внутренние правила могут иметь форму решений, в частности, когда они принимаются учреждениями Союза.
(25) Обработка персональных данных для целей, отличных от тех, для которых персональные данные были первоначально собраны, должна допускаться, только если обработка сопоставима с целями, для которых персональные данные были первоначально собраны. В данном случае не требуется специальной правовой основы, кроме той, которая допустила сбор персональных данных. Если обработка необходима для осуществления задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера, в законодательстве Союза могут быть определены и конкретизированы задачи и цели, для которых дальнейшая обработка может считаться сопоставимой и законной. Дальнейшая обработка для целей архивирования в общественных интересах, для целей научных и исторических исследований или для целей статистики должна считаться сопоставимой с законными операциями по обработке. Правовая основа, предусмотренная законодательством Союза для обработки персональных данных, может также обеспечить правовую основу для дальнейшей обработки. Чтобы удостовериться, сопоставима ли цель дальнейшей обработки с целью, для которой персональные данные были первоначально собраны, контролер после выполнения всех требований для правомерности первичной обработки должен принять во внимание inter alia: любое связующее звено между данными целями и целями, для которых предназначена дальнейшая обработка; контекст, в котором первоначально были собраны данные, в частности, разумные предположения субъектов данных, основанные на их взаимоотношениях с контролером, относительно их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки персональных данных для субъектов данных; и существование надлежащих мер защиты для операций по первичной обработке и для операций по предполагаемой дальнейшей обработке.
(26) Если обработка основывается на согласии субъекта данных, контролер должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операции по обработке. В частности, в контексте письменного заявления по другому вопросу гарантии должны обеспечивать, что субъект данных осознает факт того, что он дает свое согласие и в каком объеме указанное согласие дается. В соответствии с Директивой 93/13/ЕЭС Совета ЕС*(7) заявление о согласии, предварительно сформулированное контролером, должно предоставляться в разборчивой и легкодоступной форме, с использованием ясного и простого языка, оно не должно содержать несправедливых условий. Чтобы согласие считалось информированным, субъект данных должен знать как минимум идентификационные данные контролера и цели обработки персональных данных. Согласие не должно считаться свободно данным, если у субъекта данных нет подлинного или свободного выбора или если он не в состоянии отказаться от дачи согласия или отозвать его без ущерба для себя.
(27) Дети нуждаются в особой защите своих персональных данных, так как они в меньшей степени осознают риски, последствия, соответствующие гарантии и права при обработке персональных данных. Указанная особая защита должна, в частности, применяться для создания личностных профилей и сбора персональных данных детей, если услуги, такие как услуги межличностной коммуникации или электронная продажа билетов, предлагаются непосредственно ребенку на сайтах в Интернете учреждений и органов Союза, и обработка персональных данных основывается на согласии.
(28) Если получателям, учрежденным в Союзе, отличным от учреждений и органов Союза, хотелось бы, чтобы учреждения и органы Союза передали им персональные данные, указанным получателям следует продемонстрировать, что передача данных указанным получателям необходима либо для осуществления ими задач, выполняемых в общественных интересах, либо в целях осуществления официальных полномочий, возложенных на них. В качестве альтернативного варианта указанным получателям следует продемонстрировать, что передача данных необходима для специальной цели в общественных интересах, и контролеру следует установить, существует ли какая-либо причина полагать, что легитимным интересам субъекта данных может быть нанесен ущерб. В таких случаях контролеру следует объективно взвесить различные конкурирующие интересы в целях оценки рациональности запрошенной передачи персональных данных. Конкретная цель в общественных интересах может иметь отношение к прозрачности учреждений и органов Союза. Кроме того, учреждениям и органам Союза следует продемонстрировать необходимость, когда они сами инициируют передачу в соответствии с принципом прозрачности и эффективного администрирования. Требования, установленные в настоящем Регламенте для передачи получателям, учрежденным в Союзе, отличным от учреждений и органов Союза, должны пониматься как дополнительные к условиям для законной обработки.
(29) Персональные данные, которые по своему характеру чрезвычайно уязвимы в отношении основных прав и свобод, заслуживают специальной защиты, поскольку контекст их обработки может создать значительные риски для основных прав и свобод. Указанные персональные данные не должны обрабатываться, кроме случаев, когда соблюдаются конкретные условия, установленные в настоящем Регламенте. К указанным персональным данным должны относиться персональные данные, раскрывающие расовую принадлежность или этническое происхождение, при этом использование термина "расовая принадлежность" в настоящем Регламенте не подразумевает признание Союзом теорий, которые пытаются определить существование отдельных человеческих рас. Обработка фотографий не должна систематически рассматриваться как обработка специальных категорий персональных данных, так как они подпадают под определение биометрических данных, только если обрабатываются посредством специальных технических средств, допускающих индивидуальную идентификацию или опознавание физического лица. В дополнение к специальным требованиям обработки уязвимых данных следует применять общие принципы и иные правила настоящего Регламента, в частности, в отношении условий для законной обработки. Должны быть предусмотрены частичные отступления от общего запрета на обработку указанных специальных категорий персональных данных, inter alia, если субъект данных дает свое однозначное согласие, или в отношении специальных нужд, в частности, если обработка осуществляется в ходе легитимной деятельности некоторыми ассоциациями или фондами, целью которых является обеспечение осуществления основных свобод.
(30) Специальные категории персональных данных, которые заслуживают более высокого уровня защиты, должны обрабатываться для целей, относящихся к здравоохранению, только если необходимо достичь указанных целей для блага физических лиц и общества в целом, в частности, в контексте управления здравоохранением или услугами и системами социальной помощи. Следовательно, настоящий Регламент должен предусмотреть гармонизированные условия для обработки специальных категорий персональных данных, касающихся здравоохранения, в отношении специальных нужд, в частности, если обработка указанных данных выполняется для определенных целей, относящихся к здравоохранению, лицами, имеющими правовые обязательства, связанные со служебной тайной. Законодательство Союза должно предусмотреть специальные и достаточные меры для защиты основных прав и персональных данных физических лиц.
(31) Обработка специальных категорий персональных данных может быть необходима по причинам общественного интереса в сферах общественного здравоохранения без согласия субъекта данных. Такая обработка должна осуществляться посредством применения достаточных и особых мер для защиты прав и свобод физических лиц. В данном контексте "общественное здравоохранение" должно толковаться, как определено в Регламенте (ЕС) 1338/2008 Европейского Парламента и Совета ЕС*(8), а именно: все элементы, относящиеся к здоровью, в частности, к состоянию здоровья, включая заболеваемость и инвалидность, детерминанты, влияющие на данное состояние здоровья, нужды здравоохранения, ресурсы, выделенные для здравоохранения, снабжение здравоохранения, всеобщий доступ к здравоохранению, а также бюджет здравоохранения и финансирование, а также смертельные случаи. Такая обработка данных в отношении здоровья по причинам общественного интереса не должна приводить к обработке персональных данных для иных целей.
(32) Если персональные данные, обрабатываемые контролером, не позволяют контролеру идентифицировать физическое лицо, контролер данных не обязан запрашивать дополнительную информацию в целях идентификации субъекта данных для единственной цели - соответствовать любым положениям настоящего Регламента. Однако контролер не должен отказывать в принятии дополнительной информации, предоставленной субъектом данных в целях поддержки осуществления его или ее прав. Идентификация должна включать цифровую идентификацию субъекта данных, к примеру, посредством механизма проверки подлинности, такого как параметры доступа, используемые субъектом данных для подключения к электронной услуге, предложенной контролером данных.
(33) Обработка персональных данных в целях архивирования для общественных интересов, для целей научного и исторического исследований или для целей статистики должна сопровождаться надлежащими гарантиями для прав и свобод субъектов данных на основании настоящего Регламента. Данные гарантии должны обеспечивать принятие технических и организационных мер в целях обеспечения, в частности, принципа минимизации данных. Дальнейшая обработка персональных данных в целях архивирования для общественных интересов, для целей научного и исторического исследований или для целей статистики должна выполняться, когда контролер оценил осуществимость достижения указанных целей посредством обработки данных, которые не позволяют или более не позволяют идентифицировать субъектов данных при условии наличия надлежащей защиты (к примеру, псевдонимизация данных). Учреждения и органы Союза должны предусмотреть надлежащую защиту при обработке персональных данных в целях архивирования для общественных интересов, для целей научного и исторического исследований или для целей статистики в законодательстве Союза, которое может включать внутренние правила, принятые учреждениями и органами Союза по вопросам, относящимся к их деятельности.
(34) Должны быть предусмотрены методы для содействия при осуществлении прав субъекта данных в соответствии с настоящим Регламентом, включая механизмы запроса и, если это применимо, получения на бесплатной основе, в частности, доступа к персональным данным и исправления или удаления персональных данных, а также осуществления права на отказ. Контролеру следует также обеспечить электронные средства для запросов, особенно если персональные данные обрабатываются электронными средствами. Контролер обязан отвечать на запросы от субъектов данных без необоснованного промедления и не позднее чем в течение одного месяца, а также приводить причины, если контролер не намерен удовлетворять какие-либо из данных запросов.
(35) Принципы справедливой и прозрачной обработки требуют, чтобы субъект данных был проинформирован о существовании процесса обработки и его целей. Контролеру следует предоставлять субъекту данных любую информацию, необходимую в дальнейшем для обеспечения справедливой и прозрачной обработки, принимая во внимание особые обстоятельства и контекст, в котором обрабатываются персональные данные. Кроме того, субъект данных должен быть проинформирован о существовании формирования профиля и о последствиях такого формирования. Если персональные данные получены от субъекта данных, субъект данных также должен быть проинформирован о том, обязаны ли он или она предоставлять персональные данные, и о последствиях, если он или она не предоставят такие данные. Указанная информация может предоставляться в сочетании со стандартизированными условными обозначениями, чтобы дать в ясно видимой, доступной и разборчивой форме полный обзор планируемой обработки. Если условные обозначения представлены в электронном виде, они должны быть пригодны для машинного считывания.
(36) Информация об обработке персональных данных, относящаяся к субъекту данных, должна предоставляться ему или ей во время получения информации от субъекта данных или, если персональные данные получены из другого источника, в течение приемлемого периода времени в зависимости от конкретных обстоятельств. Если персональные данные могут быть на законных основаниях раскрыты другому получателю, субъект данных должен быть проинформирован о том, когда персональные данные впервые раскрываются получателю. Если контролер намерен обрабатывать персональные данные для целей, отличных от тех, для которых они были получены, контролеру перед дальнейшей обработкой следует предоставлять субъекту данных информацию о другой цели и иную необходимую информацию. Если информация о происхождении персональных данных не может быть предоставлена субъекту данных вследствие использования различных источников, должна предоставляться общая информация.
(37) Субъект данных должен иметь право доступа к персональным данным, собранным в отношении него или нее, и осуществлять данное право с легкостью и через разумные интервалы времени в целях ознакомления и проверки правомерности обработки. Это включает право субъектов данных на доступ к данным об их здоровье, к примеру, к данным в их медицинских картах, содержащих такую информацию, как диагнозы, результаты обследований, выводы лечащих врачей и любые медицинские назначения или вмешательства. Следовательно, каждый субъект данных должен иметь право знать и получать сообщения, в частности, в отношении целей, для которых обрабатываются персональные данные, если это возможно, срока, в течение которого обрабатываются персональные данные, получателей персональных данных, закономерностей, применяемых в каких-либо автоматических обработках персональных данных, и по крайней мере в тех случаях, когда они основываются на формировании профиля, в отношении последствий таких обработок. Данное право не должно негативно отражаться на правах или свободах других, включая коммерческие секреты или интеллектуальную собственность, и, в частности, авторское право, защищающее программное обеспечение. Однако результатом данных соображений не должен быть отказ в предоставлении всей информации субъекту данных. Если контролер обрабатывает большое количество информации о субъекте данных, контролер должен иметь возможность запросить, чтобы до предоставления информации субъект данных конкретизировал информацию или действия по обработке, к которым относится запрос.
(38) Субъект данных должен иметь право на исправление персональных данных, относящихся к нему или к ней, а также "право на забвение", если хранение таких данных нарушает настоящий Регламент или законодательство Союза, субъектом которого является контролер. Субъект данных должен иметь право на то, чтобы его или ее персональные данные удалялись и более не обрабатывались, если персональные данные более не являются необходимыми в отношении целей, для которых они были получены или обрабатывались иным образом, если субъект данных отозвал его или ее согласие или возражает против обработки персональных данных, относящихся к нему или к ней, или если обработка его или ее персональных данных каким-либо иным образом не соответствует настоящему Регламенту. Данное право относится, в частности, к тем случаям, когда субъект данных дал его или ее согласие будучи ребенком, и не был в полной мере оповещен о рисках, связанных с обработкой, и позднее желает удалить такие персональные данные, особенно из Интернета. Субъект данных должен иметь возможность осуществлять данное право, несмотря на тот факт, что он или она более не является ребенком. Однако дальнейшее хранение персональных данных должно считаться законным, если это необходимо для осуществления права на свободу выражения и свободу информации, для выполнения юридических обязательств, для осуществления задачи, выполняемой в общественных интересах, или при исполнении официальных полномочий, возложенных на контролера, по основаниям общественного интереса в сфере общественного здравоохранения, для целей архивирования в общественных интересах, для целей научных или исторических исследований или для целей статистики, или для подачи и исполнения судебных исков или представления возражений по судебным искам.
(39) В целях укрепления права на забвение в сети Интернет право на удаление также должно быть распространено таким образом, чтобы контролер, который сделал персональные данные доступными для общественности, был обязан проинформировать контролеров, которые обрабатывают такие данные, об удалении любых связей с персональными данными или их копий, или дублирований. При этом данный контролер должен предпринять разумные шаги, принимая во внимание доступные технологии и средства, доступные контролеру, в том числе технические меры, чтобы проинформировать контролеров, которые обрабатывают персональные данные, о запросе субъекта данных.
(40) Методы ограничения обработки персональных данных могут включать, inter alia, временное перемещение отдельных данных в другую систему обработки, делая отдельные персональные данные недоступными для пользователей, или временное удаление опубликованных данных со страницы в Интернете. В автоматических файловых системах ограничение обработки должно в основном обеспечиваться техническими средствами таким образом, чтобы персональные данные не подлежали дальнейшему процессу обработки и не могли быть изменены. Факт ограничения обработки персональных данных должен быть ясно указан в системе.
(41) В целях дальнейшего усиления контроля над его или ее собственными данными, если обработка персональных данных осуществляется автоматизированными средствами, субъект данных должен иметь возможность получать относящиеся к нему или к ней персональные данные, которые он или она предоставили контролеру в структурированном, общеупотребительном, машиночитаемом и операционно-совместимом формате, и передавать их другому контролеру. Контролерам данных следует рекомендовать развивать операционно-совместимые форматы, обеспечивающие возможность переноса данных. Указанное право должно применяться, если субъект данных предоставил персональные данные на основании его или ее согласия или если обработка необходима в целях выполнения договора. Следовательно, оно не должно применяться, если обработка персональных данных необходима для соблюдения правового обязательства, субъектом которого является контролер, или для осуществления задачи, выполняемой в общественных интересах, или при осуществлении официальных полномочий, возложенных на контролера. Право субъекта данных передавать или получать относящиеся к нему или к ней персональные данные не должно создавать для контролера обязательство принимать или обслуживать технически совместимые системы по обработке. Если в определенной группе персональных данных заинтересованы более одного субъекта, право получать персональные данные должно действовать без ущерба для прав и свобод других субъектов данных в соответствии с настоящим Регламентом. Более того, данное право должно действовать без ущерба для права субъекта данных в отношении удаления персональных данных и ограничений указанного права, как установлено в настоящем Регламенте, и не должно приводить, в частности, к удалению персональных данных, относящихся к субъекту данных, предоставленных им или ею при выполнении договора, если и до тех пор, пока персональные данные необходимы для выполнения указанного договора. Когда это технически осуществимо, субъект данных должен иметь право на передачу персональных данных непосредственно от одного контролера другому.
(42) Если персональные данные могут обрабатываться на законных основаниях вследствие того, что обработка необходима для осуществления задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера, тем не менее субъект данных должен иметь право представлять возражения против обработки каких-либо персональных данных, относящихся к его или к ее конкретной ситуации. Контролеру следует принимать решение о демонстрации того, что его веские легитимные интересы перевешивают интересы или основные права и свободы субъекта данных.
(43) Субъект данных должен иметь право не подчиняться решению, которое может включать принятие мер, оценивающих личные аспекты, относящиеся к нему или к ней, которое основывается исключительно на автоматизированной обработке и результатом которого являются юридические последствия в отношении его или ее или которое сходным образом может значительно повлиять на него или на нее, такое как практики электронного подбора кадров без вмешательства человека. Такая обработка включает "формирование профиля", которое содержит какую-либо форму автоматизированной обработки персональных данных, оценивающую личные аспекты, относящиеся к физическому лицу, в частности, анализ или прогнозирование аспектов, относящихся к выполнению указанным лицом профессиональных обязанностей, экономической ситуации, здоровью, индивидуальным предпочтениям или интересам, надежности или поведению, местоположению или передвижениям, результатом которой являются юридические последствия в отношении него или нее или которая аналогичным образом может значительно повлиять на него или на нее.
Однако процесс принятия решений, основанный на такой обработке, включая формирование профиля, следует допускать, только если это однозначно разрешено законодательством Союза. В любом случае такая обработка должна иметь надлежащие средства защиты, которые должны включать конкретную информацию для субъекта данных и право на вмешательство человека в целях выражения его или ее точки зрения, получение объяснения решения, принятого после такой оценки и представление возражения против решения. Указанная мера не должна относиться к ребенку. В целях обеспечения справедливой и прозрачной обработки в отношении субъекта данных, учитывая особые обстоятельства и контекст, в котором обрабатываются данные, контролеру следует использовать соответствующие математические и статистические процедуры для профилирования, принимать технические и организационные меры, способствующие обеспечению, в частности, того, что факторы, приводящие к неточностям в персональных данных, нейтрализуются и риск ошибок минимизируется, обеспечивать защиту персональных данных с учетом вероятных потенциальных рисков для интересов и прав субъекта данных, а также предотвращать, inter alia, дискриминационные проявления в отношении физических лиц на основании расовой или этнической принадлежности, политических взглядов, религии или верований, членства в профессиональных союзах, генетических признаков или состояния здоровья, или сексуальной ориентации или предотвращать обработку, которая приводит к результатам, имеющим подобный эффект. Автоматизированный процесс принятия решений и формирование профиля, основанные на специальных категориях персональных данных, должны допускаться только на особых условиях.
(44) Правовые акты, принятые на основании Договоров, или внутренние правила, принятые учреждениями и органами Союза, по вопросам, относящимся к их функционированию, могут налагать ограничения в отношении специальных принципов и прав на информацию, доступ к персональным данным, их исправление и удаление, а также в отношении права на перенос данных, конфиденциальности данных в электронных сообщениях, а также оповещения субъекта данных об утечке персональных данных и определенных соответствующих обязательств контролеров, поскольку необходимо и рационально в демократическом обществе обеспечивать общественную безопасность, а также для предотвращения, расследования и преследования уголовных преступлений или исполнения уголовных наказаний. Настоящее положение включает защиту от угроз общественной безопасности и их предотвращение, охрану человеческой жизни, особенно в ответ на природные и техногенные катастрофы, внутреннюю безопасность учреждений и органов Союза, другие важные цели основных общественных интересов Союза или государства-члена ЕС, в частности, цели Общей внешней политики и политики безопасности Союза, или важный экономический или финансовый интерес Союза или государства-члена ЕС, а также ведение государственного реестра по причине широкого общественного интереса или защиту субъекта данных или прав и свобод других лиц, включая социальную защиту, общественное здравоохранение и гуманитарные цели.
(45) Должны быть установлены ответственность и обязательства контролера в отношении какой-либо обработки персональных данных, выполняемой контролером или от имени контролера. В частности, контролер обязан осуществлять надлежащие и эффективные меры, а также должен быть способен продемонстрировать соответствие деятельности по обработке настоящему Регламенту, включая результативность мер. Данные меры должны учитывать характер, масштаб, контекст и цели обработки, а также риски для прав и свобод физических лиц.
(46) Риски для прав и свобод физических лиц, различной вероятности и серьезности, могут возникать в результате обработки персональных данных, которая может привести к нанесению физического, материального или нематериального ущерба, в частности: если обработка может стать причиной дискриминации, кражи персональных данных или мошенничества, финансовых потерь, урона для репутации, нарушения конфиденциальности персональных данных, охраняемых профессиональной тайной, неавторизованной отмены псевдонимизации или другого значительного экономического или социального неблагоприятного фактора; если субъекты данных могут быть лишены своих прав и свобод или им могут препятствовать в осуществлении контроля над их персональными данными; в результате обработки персональных данных, которая раскрывает расовое или этническое происхождение, политические взгляды, религию или философские верования, членство в профессиональных союзах, а также в результате обработки генетических данных, данных о состоянии здоровья или данных о сексуальной жизни или уголовных судимостях и преступлениях или соответствующих мерах безопасности; если оцениваются персональные аспекты, в частности, анализ или прогнозирование аспектов, относящихся к выполнению профессиональных обязанностей, экономической ситуации, здоровью, индивидуальным предпочтениям или интересам, надежности или поведению, местоположению или передвижениям, в целях создания или использования личностных профилей; если обрабатываются персональные данные уязвимых физических лиц, в частности, детей; или если в обработку вовлечено большое количество персональных данных, что затрагивает большое число субъектов данных.
(47) Вероятность и серьезность риска для прав и свобод субъекта данных должна определяться, исходя из характера, масштаба, контекста и целей обработки. Риск должен оцениваться на основании объективного анализа, в процессе которого устанавливается, приводит ли процесс обработки данных к возникновению риска или риска высокой степени.
(48) Защита прав и свобод физических лиц в отношении обработки персональных данных требует, чтобы принимались надлежащие технические и организационные меры в целях обеспечения соблюдения требований настоящего Регламента. Чтобы иметь возможность продемонстрировать соблюдение настоящего Регламента, контролеру следует принимать внутренние практики и осуществлять меры, которые отвечают, в частности, принципам защиты данных намеренно и защиты данных по умолчанию. Такие меры могут включать, inter alia, минимизацию обработки персональных данных, псевдонимизацию персональных данных в предельно короткие сроки, прозрачность в отношении функций и обработки персональных данных, предоставляя субъекту данных возможность осуществлять мониторинг обработки данных, предоставляя контролеру возможность создавать и улучшать средства защиты. Принципы защиты данных намеренно и по умолчанию также должны приниматься во внимание в отношении открытых тендеров.
(49) Регламент (ЕС) 2016/679 предусматривает, что контролеры должны демонстрировать соответствие посредством строгого соблюдения одобренных сертификационных механизмов. Аналогичным образом учреждения и органы Союза должны иметь возможность продемонстрировать соблюдение настоящего Регламента посредством прохождения сертификации в соответствии со Статьей 42 Регламента (ЕС) 2016/679.
(50) Защита прав и свобод субъектов данных, а также ответственность и обязательства контролеров и лиц, обрабатывающих данные, требуют точного распределения ответственности в соответствии с настоящим Регламентом, включая случаи, когда контролер определяет цели и средства обработки совместно с другими контролерами или когда операции по обработке осуществляются от имени контролера.
(51) В целях обеспечения соответствия требованиям настоящего Регламента в отношении обработки, выполняемой лицом, обрабатывающим данные, от имени контролера при поручении деятельности по обработке лицу, обрабатывающему данные, контролеру следует использовать только лиц, которые предоставляют достаточные гарантии, в частности, относительно экспертных знаний, надежности и наличия ресурсов, для реализации технических и организационных мер, которые отвечают требованиям настоящего Регламента, включая безопасность обработки. Приверженность лиц, обрабатывающих данные, кроме учреждений и органов Союза, одобренным нормам поведения или одобренному сертификационному механизму может использоваться как одна из составляющих, демонстрирующих соблюдение обязательств контролером. Осуществление обработки лицом, обрабатывающим данные, кроме учреждений и органов Союза, должно регулироваться договором или в случае, когда учреждения и органы Союза действуют в качестве лиц, обрабатывающих данные, договором или иным правовым актом в соответствии с законодательством Союза, юридически связывающим лицо, обрабатывающее данные, с контролером, устанавливающим предмет договора и продолжительность обработки, характер и цели обработки, тип персональных данных и категории субъектов данных, учитывающим особые риски и ответственность лица, обрабатывающего данные, в контексте предполагаемой обработки, а также риски для прав и свобод субъекта данных. Контролер и лицо, обрабатывающее данные, должны иметь возможность выбора между использованием индивидуального договора или стандартных договорных условий, которые приняты либо непосредственно Европейской Комиссией, либо Европейским инспектором по защите данных, а после этого приняты Европейской Комиссией. По завершении обработки от имени контролера лицу, обрабатывающему данные, следует по выбору контролера вернуть или удалить персональные данные, кроме случаев, когда существует требование о хранении указанных персональных данных в соответствии с законодательством Союза или в соответствии с законодательством государства-члена ЕС, субъектом которого является лицо, обрабатывающее данные.
(52) В целях демонстрации соблюдения настоящего Регламента контролерам следует документировать деятельность по обработке, за которую они несут ответственность, а лицам, обрабатывающим данные, следует документировать категории деятельности по обработке, за которую они несут ответственность. Учреждения и органы Союза обязаны сотрудничать с Европейским инспектором по защите данных и предоставлять ему свою документацию по запросу, чтобы она могла служить для мониторинга данных операций по обработке. Кроме случаев, когда нецелесообразно принимать во внимание размер учреждения или органа Союза, учреждения и органы Союза должны иметь возможность учреждать центральный реестр документации по их деятельности по обработке. По причинам прозрачности они также должны иметь возможность сделать реестр общедоступным.
(53) В целях обеспечения безопасности и предотвращения обработки в нарушение настоящего Регламента контролеру или лицу, обрабатывающему данные, следует оценивать риски, присущие обработке, и реализовывать меры, снижающие данные риски, к примеру, использовать криптографическую защиту. Указанные меры должны обеспечивать надлежащий уровень безопасности, включая конфиденциальность, с учетом последних достижений техники и затрат на реализацию в отношении рисков и характера персональных данных, подлежащих защите. При оценке рисков безопасности данных следует принимать во внимание риски, связанные с обработкой персональных данных, такие как случайное или злоумышленное уничтожение, потеря, изменение, неавторизованное раскрытие или доступ к персональным данным при передаче, хранении или иной обработке, которая может, в частности, привести к физическому, материальному или нематериальному ущербу.
(54) Учреждения и органы Союза должны обеспечивать конфиденциальность электронной связи, предусмотренную Статьей 7 Хартии. В частности, учреждения и органы Союза должны обеспечивать безопасность своих сетей электронной связи. Они должны защищать информацию, относящуюся к терминальному оборудованию пользователей, имеющих доступ к их общедоступным сайтам в Интернете и мобильным приложениям, в соответствии с Директивой 2002/58/ЕС Европейского Парламента и Совета ЕС*(9). Они также должны защищать персональные данные, которые хранятся в файловых системах пользователей.
(55) Утечка персональных данных, если не приняты надлежащие и своевременные меры, может привести к физическому, материальному или нематериальному ущербу для физических лиц. Следовательно, как только контролеру становится известно о случае утечки персональных данных, контролеру следует безотлагательно оповестить об указанной утечке персональных данных Европейского инспектора по защите данных и, когда это практически осуществимо, не позднее чем через 72 часа после получения сведений об утечке, кроме случаев, когда в соответствии с принципом подотчетности контролер способен продемонстрировать, что утечка персональных данных едва ли может привести к риску для прав и свобод физических лиц. Если указанное уведомление не может быть сделано в течение 72 часов, оно должно сопровождаться причинами промедления, и информация может предоставляться поэтапно без дальнейшего необоснованного промедления. Если такое промедление обосновано, менее конфиденциальная или менее конкретная информация об утечке может быть предоставлена как можно раньше вместо того, чтобы полностью урегулировать лежащий в основе инцидент до оповещения.
(56) Контролеру следует без необоснованного промедления оповестить субъекта данных об утечке персональных данных, если существует вероятность того, что утечка персональных данных может привести к высокому риску для прав и свобод физического лица, с тем чтобы позволить ему или ей принять необходимые меры предосторожности. Оповещение должно описывать характер утечки персональных данных, а также должно содержать рекомендации для заинтересованного физического лица по снижению потенциальных негативных последствий. Такие оповещения субъекта данных должны делаться, как только это практически осуществимо и в тесном сотрудничестве с Европейским инспектором по защите данных, а также с учетом руководства, предоставленного им или другими соответствующими органами власти, такими как правоохранительные органы.
(57) Регламент (ЕС) 45/2001 предусматривает, что основным обязательством контролера является оповещение инспектора по защите данных об обработке персональных данных. Кроме случаев, когда нецелесообразно принимать во внимание размер учреждения или органа Союза, инспектор по защите данных должен вести реестр уведомлений об операциях по обработке. Кроме этого основного обязательства, должны быть установлены эффективные процедуры и механизмы в целях мониторинга операций по обработке, при которых велика вероятность возникновения риска для прав и свобод физических лиц из-за их характера, масштаба, контекста и целей. Указанные процедуры, в частности, также должны быть установлены, если типы операций по обработке подразумевают использование новых технологий или если они являются новаторскими в отношении выполненной ранее контролером оценки влияния на защиту данных, или если они становятся необходимыми, принимая во внимание время, прошедшее после начальной обработки. В таких случаях оценка влияния на защиту данных должна выполняться контролером перед началом обработки в целях оценки конкретной вероятности и серьезности высокого риска, принимая во внимание характер, масштаб, контекст и цели обработки, а также источники рисков. Указанная оценка влияния должна включать, в частности, меры, гарантии и механизмы, предусмотренные для снижения данного риска, обеспечивая защиту персональных данных и демонстрируя соответствие настоящему Регламенту.
(58) Если оценка влияния на защиту данных указывает, что обработка при отсутствии гарантий, мер безопасности и механизмов для снижения риска может привести к высокому риску для прав и свобод физических лиц, и если контролер считает, что риск не может быть снижен приемлемыми средствами с учетом доступных технологий и затрат на их реализацию, то следует проконсультироваться с Европейским инспектором по защите данных до начала деятельности по обработке. Такой высокий риск может возникнуть в результате определенных типов обработки, а также в результате обширности и частоты обработки, что также может привести к нанесению ущерба или вмешательству в права и свободы физического лица. Европейскому инспектору по защите данных следует отвечать на запрос о консультации в течение конкретного периода времени. Однако отсутствие реакции со стороны Европейского инспектора по защите данных в течение указанного периода времени не должно лишать права Европейского инспектора по защите данных на какое-либо вмешательство в соответствии с его или ее задачами и полномочиями, установленными в настоящем Регламенте, включая полномочия по запрету на операции по обработке. В качестве части данного консультационного процесса должна существовать возможность подачи результата оценки влияния на защиту данных, выполненной с учетом спорной обработки, на рассмотрение Европейского инспектора по защите данных, в частности, меры, предусмотренные для снижения риска для прав и свобод физических лиц.
(59) Европейского инспектора по защите данных следует информировать об административных мерах и проводить с ним консультации по внутренним правилам, принятым учреждениями и органами Союза по вопросам, относящимся к их деятельности, если они предусматривают обработку персональных данных, устанавливают условия для ограничения прав субъектов данных или предоставляют надлежащие гарантии для прав субъектов данных в целях обеспечения соответствия предполагаемой обработки настоящему Регламенту, в частности, в отношении снижения возможных рисков для субъекта данных.
(60) Регламент (ЕС) 2016/679 учредил Европейский совет по защите данных как независимый орган Союза, обладающий правосубъектностью. Совету следует содействовать в последовательном применении Регламента (ЕС) 2016/679 и Директивы (ЕС) 2016/680 на территории Союза, в том числе посредством рекомендаций для Европейской Комиссии. В то же время Европейскому инспектору по защите данных следует продолжить осуществление его или ее надзорных и консультационных функций в отношении учреждений и органов Союза по его или ее собственной инициативе или по запросу. В целях обеспечения согласования правил по защите данных на территории Союза при подготовке предложений или рекомендаций Европейской Комиссии следует по возможности проводить консультации с Европейским инспектором по защите данных. Консультация Европейской Комиссии становится обязательной после принятия законодательных актов или во время подготовки делегированных актов и имплементационных актов, как определено в Статьях 289, 290 и 291 TFEU, а также после принятия рекомендаций и предложений, относящихся к соглашениям с третьими странами и международными организациями, как предусмотрено в Статье 218 TFEU, которые влияют на право на защиту персональных данных. В таких случаях Европейская Комиссия обязана провести консультации с Европейским инспектором по защите данных, кроме случаев, когда Регламент (ЕС) 2016/679 предусматривает обязательную консультацию с Европейским советом по защите данных, к примеру, в отношении решения о достаточности принятых мер или делегированных актов о стандартизированных условных обозначениях и требованиях для сертификационных механизмов. Если акт, о котором идет речь, имеет особо важное значение для защиты прав и свобод физических лиц в отношении обработки персональных данных, Европейская Комиссия должна иметь дополнительную возможность проведения консультаций с Европейским советом по защите данных. В указанных случаях Европейскому инспектору по защите данных как члену Европейского совета по защите данных следует координировать свою работу с последним в целях выработки общего мнения. Европейский инспектор по защите данных и, если это применимо, Европейский совет по защите данных должны представить свои письменные рекомендации в течение восьми недель. Указанные временные рамки должны быть короче в срочных случаях или в других соответствующих случаях, к примеру, когда Европейская Комиссия готовит делегированные или имплементационные акты.
(61) В соответствии со Статьей 75 Регламента (ЕС) 2016/679 Европейский инспектор по защите данных должен обеспечить работу секретариата Европейского совета по защите данных.
(62) Во всех учреждениях и органах Союза инспектор по защите данных должен обеспечивать, чтобы применялись положения настоящего Регламента, и должен давать рекомендации контролерам и лицам, обрабатывающим данные, по выполнению их обязательств. Указанное должностное лицо должно обладать знаниями эксперта о законодательстве по защите данных и его практическом применении, которые должны определяться, в частности, в соответствии с операциями по обработке данных, выполненными контролером или лицом, обрабатывающим данные, и в соответствии с защитой, требуемой для используемых персональных данных. Указанные должностные лица по защите данных должны иметь возможность независимо выполнять свои обязанности и задачи.
(63) Если персональные данные передаются от учреждений и органов Союза контролерам, лицам, обрабатывающим данные, или иным получателям в третьих странах или международным организациям, должен быть гарантирован уровень защиты физических лиц, обеспеченный в Союзе настоящим Регламентом. Аналогичные гарантии должны применяться в случаях последующих передач персональных данных от третьих стран или международных организаций контролерам, лицам, обрабатывающим данные, в той же или в другой третьей стране или в международной организации. В любом случае передачи третьим странам и международным организациям могут осуществляться только в полном соответствии с настоящим Регламентом и с учетом основных прав и свобод, закрепленных в Хартии. Передача может осуществляться, только если условия, установленные в положениях настоящего Регламента, относящиеся к передаче персональных данных третьим странам или международным организациям, с учетом других положений настоящего Регламента, соблюдаются контролером или лицом, обрабатывающим данные.
(64) Европейская Комиссия вправе принять решение в соответствии со Статьей 45 Регламента (ЕС) 2016/679 или в соответствии со Статьей 36 Директивы (ЕС) 2016/680, что третья страна, территория или конкретный сектор на территории третьей страны или международная организация предоставляют надлежащий уровень защиты данных. В таких случаях передачи персональных данных указанной третьей стране или международной организации учреждениями и органами Союза могут осуществляться без необходимости получения какой-либо дополнительной авторизации.
(65) При отсутствии решения о достаточности принятых мер для защиты данных контролеру или лицу, обрабатывающему данные, следует принять меры для компенсации недостаточности защиты данных в третьей стране посредством надлежащих мер защиты для субъекта данных. Указанные надлежащие меры защиты могут включать использование стандартных положений по защите данных, принятых Европейской Комиссией, стандартных положений по защите данных, принятых Европейским инспектором по защите данных, или договорных положений, авторизованных Европейским инспектором по защите данных. Если лицо, обрабатывающее данные, не является учреждением или органом Союза, указанные надлежащие меры защиты могут также включать юридически обязательные корпоративные правила, принятые нормы поведения и сертификационные механизмы, используемые для международных передач в соответствии с Регламентом (ЕС) 2016/679. Указанные меры защиты должны обеспечивать соблюдение требований по защите данных и прав субъектов данных, применяемых при обработке на территории Союза, включая доступность юридически действительных прав субъектов данных и эффективную правовую защиту, в том числе обеспечение восстановления нарушенных прав в административном или судебном порядке и возмещение убытков в Союзе или в третьей стране. Они должны, в частности, относиться к соблюдению основных принципов, касающихся обработки персональных данных, принципов защиты данных намеренно и по умолчанию. Учреждения и должностные лица Союза также могут осуществлять передачи органам государственной власти или должностным лицам в третьих странах или международным организациям с соответствующими обязанностями и функциями, в том числе на основании положений, которые должны быть включены в административные положения, такие как меморандум о взаимопонимании, предусмотренные для юридически действительных и действующих прав субъектов данных. Должна быть получена авторизация Европейского инспектора по защите данных, если меры защиты предусмотрены для административных положений, которые не являются юридически обязательными.
(66) Возможность использования контролером или лицом, обрабатывающим данные, стандартных положений по защите данных, принятых Европейской Комиссией или Европейским инспектором по защите данных, не должна препятствовать контролерам или лицам, обрабатывающим данные, ни включать стандартные положения по защите данных в более развернутый договор, такой как договор между лицом, обрабатывающим данные, и другим лицом, обрабатывающим данные, ни дополнять другие положения или включать дополнительные гарантии при условии, что они не противоречат прямо или косвенно стандартным положениям договоров, принятых Европейской Комиссией или Европейским инспектором по защите данных, и не ущемляют основных прав и свобод субъектов данных. Следует поощрять контролеров и лиц, обрабатывающих данные, предоставлять дополнительные гарантии посредством договорных обязательств, которые дополняют стандартные положения договоров по защите данных.
(67) Некоторые третьи страны принимают законодательные, регламентарные и иные правовые акты, направленные на непосредственное регулирование деятельности учреждений и органов Союза по обработке. Это может включать решения судов общей или специальной юрисдикции, или решения административных органов в третьих странах, требующих от контролеров или от лиц, обрабатывающих данные, передать или раскрыть персональные данные, которые не основываются на действующих международных соглашениях между запрашивающей третьей страной и Союзом. Экстерриториальное применение данных законодательных, регламентарных и иных правовых актов может противоречить международному законодательству и может воспрепятствовать получению защиты, гарантированной в Союзе настоящим Регламентом, для физических лиц. Передачи могут осуществляться, только если соблюдаются условия настоящего Регламента для передачи третьим странам. Это может происходить в случае, inter alia, когда раскрытие необходимо в общественных интересах, признанных в законодательстве Союза.
(68) В особых ситуациях должна быть предусмотрена возможность передачи при определенных обстоятельствах, если субъект данных дает его или ее четкое согласие, если передача осуществляется как единичный случай и необходима в отношении договора или судебного иска, независимо от того, осуществляется ли она в рамках судебной процедуры, административной или какой-либо несудебной процедуры, включая процедуры регулятивных органов. Также должна быть предусмотрена возможность для передач, если того требуют общественные интересы, установленные законодательством Союза, или если передача осуществляется из реестра, учрежденного законодательством и предназначенного для консультаций общественности или лиц, имеющих законный интерес. В последнем случае указанная передача не должна включать всю полноту персональных данных или все категории данных, содержащихся в реестре, кроме случаев, когда она авторизована законодательством Союза, и, если реестр предназначен для консультаций лиц, имеющих законный интерес, передача должна осуществляться только по запросу указанных лиц или если они будут получателями, полностью принимая во внимание интересы и основные права субъекта данных.
(69) Указанные частичные отступления должны, в частности, применяться к передачам данных, требуемых и необходимых по важным причинам, касающимся общественных интересов, к примеру, в случаях международного обмена данными между учреждениями и органами Союза и антимонопольными органами, налоговыми или таможенными службами, органами финансового надзора, а также службами, компетентными в вопросах социального обеспечения или общественного здравоохранения, к примеру, в случае выявления контактов при инфекционных заболеваниях или в целях уменьшения и/или уничтожения допинга в спорте. Передача персональных данных также должна считаться законной, если она необходима для защиты интересов, являющихся жизненно важными для субъекта данных или для другого лица, включая физическую целостность или жизнь, если субъект данных неспособен дать согласие. При отсутствии решения о достаточности принятых мер в законодательстве Союза по важным причинам, касающимся общественных интересов, могут быть установлены четкие ограничения для передачи специальных категорий данных третьей стране или международной организации. Какая-либо передача международной гуманитарной организации персональных данных субъекта данных, который физически или юридически не в состоянии дать согласие, с учетом выполнения задачи, возложенной Женевскими конвенциями, или с учетом соблюдения международного гуманитарного права, применяемого в зонах вооруженных конфликтов, может считаться необходимой по важным причинам, касающимся общественных интересов, или вследствие того, что она является жизненно важной для субъекта данных.
(70) В любом случае если Европейская Комиссия не принимает решения о надлежащем уровне защиты персональных данных в третьей стране, контролеру или лицу, обрабатывающему данные, следует принимать решения, которые обеспечивают субъекту данных юридически действительные и действующие права в отношении обработки их данных в Союзе, когда осуществляется передача их данных, с тем, чтобы они продолжали пользоваться основными правами и гарантиями.
(71) Если персональные данные обращаются за внешними границами Союза, это может подвергнуть повышенному риску способность физических лиц осуществлять права в отношении защиты данных, в частности, защищаться от незаконного использования или раскрытия данной информации. В то же время национальные надзорные органы и Европейский инспектор по защите данных могут быть не в состоянии рассматривать жалобы или проводить расследования, относящиеся к деятельности за пределами их юрисдикции. Их усилия, направленные на совместную работу в трансграничном контексте, также могут затрудняться недостаточными превентивными или корректирующими полномочиями, непоследовательными правовыми режимами и практическими препятствиями, такими как ограниченные ресурсы. Следовательно, должно поощряться более тесное сотрудничество между Европейским инспектором по защите данных и национальными надзорными органами в целях содействия обмену информацией с их международными аналогами.
(72) Учреждение в Регламенте (ЕС) 45/2001 Европейского инспектора по защите данных, обладающего полномочиями по выполнению его или ее задач и осуществлению его или ее полномочий совершенно независимо, является существенным элементом защиты физических лиц в отношении обработки их персональных данных. Настоящий Регламент должен продолжать укреплять и прояснять его или ее роль и независимость. Европейский инспектор по защите данных должен быть лицом, чья независимость не подлежит сомнению, которое признано как обладающее опытом и знаниями, требуемыми для исполнения обязанностей Европейского инспектора по защите данных, к примеру, вследствие того, что он или она является частью одного из надзорных органов, учрежденных в соответствии со Статьей 51 Регламента (ЕС) 2016/679.
(73) В целях обеспечения последовательного мониторинга и обязательного исполнения правил по защите данных на территории Союза Европейскому инспектору по защите данных следует иметь те же задачи и действующие полномочия, что и национальным надзорным органам, включая полномочия по расследованию, полномочия по корректировке и применению санкций, полномочия по авторизации и предоставлению рекомендаций, в частности, в случаях получения жалоб от физических лиц, полномочия по представлению нарушений настоящего Регламента вниманию Суда Европейских сообществ, а также полномочия участвовать в судебных разбирательствах в соответствии с основным законодательством. Указанные полномочия также должны включать полномочия по наложению временных или окончательных ограничений, в том числе наложение запрета, на обработку. Во избежание чрезмерных затрат и излишних неудобств для заинтересованных лиц, на которых может быть оказано негативное воздействие, каждая мера, принятая Европейским инспектором по защите данных, должна быть целесообразной, необходимой и пропорциональной в отношении соблюдения настоящего Регламента, должна принимать во внимание обстоятельства каждого конкретного случая и признавать право каждого человека быть заслушанным до принятия какой-либо конкретной меры. Каждая юридически обязывающая мера, принятая Европейским инспектором по защите данных, должна иметь письменную форму, должна быть ясной, однозначной, должна иметь указание на дату принятия меры и подпись Европейского инспектора по защите данных, должна приводить причины для принятия меры и иметь ссылку на право на эффективные корректирующие меры.
(74) Компетенция по надзору Европейского инспектора по защите данных не должна распространяться на обработку персональных данных Судом Европейского Союза при его деятельности в качестве судебной инстанции в целях обеспечения независимости Суда при исполнении его судебных полномочий, включая вынесение решений. Для таких операций по обработке Суду следует учредить независимый надзорный орган в соответствии со Статьей 8(3) Хартии, к примеру, посредством внутреннего механизма.
(75) Решения Европейского инспектора по защите данных в отношении освобождений, гарантий, авторизаций и условий, относящихся к процессу обработки, как определено в настоящем Регламенте, должны быть опубликованы в отчете о проделанной работе. Независимо от публикации в ежегодных отчетах о проделанной работе Европейский инспектор по защите данных может публиковать отчеты по конкретным вопросам.
(76) Европейский инспектор по защите данных должен соблюдать Регламент (ЕС) 1049/2001 Европейского Парламента и Совета ЕС*(10).
(77) Национальные органы по надзору осуществляют мониторинг применения Регламента (ЕС) 2016/679 и содействуют его последовательному применению на территории Союза в целях обеспечения защиты физических лиц в отношении обработки их персональных данных и облегчения свободного обращения персональных данных на внутреннем рынке. В целях поощрения согласованности при применении правил по защите данных, применяемых в государствах-членах ЕС, и правил по защите данных, применяемых к учреждениям и органам Союза, Европейскому инспектору по защите данных следует эффективно сотрудничать с национальными надзорными органами.
(78) В некоторых случаях законодательство Союза предусматривает модель координированного надзора, распределенного между Европейским инспектором по защите данных и национальными надзорными органами. Европейский инспектор по защите данных также является надзорным органом для Европола, и в данных целях была установлена специальная модель сотрудничества с национальными надзорными органами посредством совета по сотрудничеству с надзорными функциями. В целях улучшения эффективности надзора и обязательного исполнения главных правил по защите данных в Союзе должна быть введена единственная, согласованная модель координированного надзора. Следовательно, Европейская Комиссия должна представить законодательные предложения, если это целесообразно, с намерением изменить правовые акты Союза, предусмотрев модель координированного надзора, в целях приведения их в соответствие с моделью координированного надзора настоящего Регламента. Европейский совет по защите данных должен служить как единый форум для обеспечения эффективного координированного надзора во всех сферах.
(79) Каждый субъект данных должен иметь право подать жалобу Европейскому инспектору по защите данных, а также право на эффективную защиту в судебном порядке в Суде Европейского Союза в соответствии с Договорами, если субъект данных считает, что его или ее права в отношении настоящего Регламента нарушены, или если Европейский инспектор по защите данных не принимает мер в отношении жалобы, частично или полностью отказывает в рассмотрении жалобы или отклоняет ее, или не совершает действия, если такие действия необходимы для защиты прав субъекта данных. По каждой жалобе должно проводиться расследование с учетом пересмотра в судебном порядке в той степени, которая необходима в конкретном случае. Европейский инспектор по защите данных должен проинформировать субъекта данных о прогрессе и результатах рассмотрения жалобы в течение разумного периода времени. В случае если требуется дальнейшее координирование действий с национальным надзорным органом, субъекту данных должна предоставляться промежуточная информация. В целях облегчения подачи жалоб Европейскому инспектору по защите данных следует принять меры, такие как предоставление формы подачи жалобы, которая может заполняться также и в электронном виде, не исключая других средств коммуникации.
(80) Любое лицо, понесшее материальный или нематериальный ущерб в результате нарушения настоящего Регламента, должно иметь право на получение компенсации от контролера или от лица, обрабатывающего данные, за нанесенный ущерб с учетом условий, предусмотренных в Договорах.
(81) В целях укрепления надзорной роли Европейского инспектора по защите данных и эффективного исполнения настоящего Регламента Европейскому инспектору по защите данных следует в качестве крайней меры наказания обладать полномочиями по наложению административных штрафов. Штрафы должны быть направлены на применение санкций против учреждений и органов Союза, а не против физических лиц, за несоблюдение настоящего Регламента в целях предупреждения будущих нарушений настоящего Регламента и развития культуры защиты персональных данных в учреждениях и органах Союза. Настоящий Регламент должен указывать на нарушения, за которые должны быть наложены административные штрафы, а также верхние границы и критерии для установления соответствующих штрафов. Европейский инспектор по защите данных должен определять сумму штрафа в каждом конкретном случае, принимая во внимание все релевантные обстоятельства конкретной ситуации, надлежащим образом учитывая характер, серьезность и продолжительность нарушения, его последствия и меры, принятые для обеспечения соблюдения обязательств в отношении настоящего Регламента и для предотвращения или уменьшения последствий нарушения. При наложении административного штрафа на учреждение или орган Союза Европейский инспектор по защите данных должен учитывать пропорциональность размера штрафа. Административная процедура для наложения штрафных санкций на учреждения и органы Союза должна признавать основные принципы законодательства Союза в толковании Суда Европейского Союза.
(82) Если субъект данных полагает, что его права в отношении настоящего Регламента нарушены, он или она должны иметь право уполномочить некоммерческий орган, организацию или ассоциацию, учрежденные в соответствии с законодательством Союза или в соответствии с законодательством государства-члена ЕС, имеющие уставные задачи в общественных интересах и ведущие деятельность в сфере защиты персональных данных, подать жалобу от его или от ее имени Европейскому инспектору по защите данных. Такой орган, организация или ассоциация также должны иметь возможность осуществлять право на судебную защиту от имени субъектов данных или осуществлять право на получение компенсации от имени субъектов данных.
(83) Должностное лицо или другой служащий Союза, который не выполняет обязательства настоящего Регламента, должен подлежать применению дисциплинарного или иного взыскания в соответствии с правилами и процедурами, установленными в Регламенте о персонале в отношении назначения должностных лиц Европейского Союза и в Условиях трудоустройства других категорий служащих Союза, как установлено в Регламенте (ЕЭС, Евратом, ECB) 259/68 Совета ЕС*(11) ("Регламент о персонале").
(84) В целях обеспечения единых условий для имплементации настоящего Регламента имплементационные полномочия должны быть возложены на Европейскую Комиссию. Данные полномочия должны осуществляться в соответствии с Регламентом (ЕС) 182/2011 Европейского Парламента и Совета ЕС*(12). Процедура проверки должна применяться при принятии стандартных положений договора между контролерами и лицами, обрабатывающими данные, и между лицами, обрабатывающими данные, при принятии перечня операций по обработке, требующих предварительной консультации с Европейским инспектором по защите данных, контролерами, обрабатывающими персональные данные в целях решения задачи, выполняемой в общественных интересах, а также при принятии стандартных положений договора, обеспечивающих надлежащие меры защиты для международных передач.
(85) Конфиденциальная информация, которую статистические органы Союза и национальные статистические органы собирают для составления официальных европейских и официальных национальных статистических отчетов, должна быть защищена. Европейские статистические отчеты должны разрабатываться, составляться и распространяться в соответствии с принципами статистики, установленными в Статье 338(2) TFEU. Регламент 223/2009 Европейского Парламента и Совета ЕС*(13) обеспечивает дальнейшие требования по конфиденциальности для европейской статистики.
(86) Регламент (ЕС) 45/2001 и Решение 1247/2002/ЕС Европейского Парламента, Совета ЕС и Европейской Комиссии*(14) должны быть отменены. Ссылки на отмененный Регламент и Решение должны толковаться как ссылки на настоящий Регламент.
(87) В целях обеспечения полной независимости членов независимого надзорного органа на сроки пребывания в должности действующего Европейского инспектора по защите данных и действующего помощника инспектора не должен оказывать влияние настоящий Регламент. Действующий помощник инспектора должен продолжать действовать до окончания его срока пребывания в должности, кроме случаев, когда выполняется одно из условий для преждевременного окончания срока пребывания в должности Европейского инспектора по защите данных, установленное в настоящем Регламенте. Релевантные положения настоящего Регламента должны применяться к помощнику инспектора до окончания его срока пребывания в должности.
(88) В соответствии с принципом пропорциональности необходимо и целесообразно для достижения основной цели обеспечения надлежащего уровня защиты физических лиц в отношении обработки персональных данных и свободного обращения персональных данных на территории Союза установить правила по обработке персональных данных в учреждениях и органах Союза. Настоящий Регламент не выходит за пределы того, что необходимо для достижения целей, установленных в соответствии со Статьей 5(4) TEU.
(89) В соответствии со Статьей 28(2) Регламента (ЕС) 45/2001 была проведена консультация с Европейским инспектором по защите данных, и 15 марта 2017 г. он выдал свое заключение*(15),
приняли настоящий Регламент:
Настоящий Регламент является обязательным в полном объеме и подлежит прямому применению в государствах-членах ЕС.
Совершено в Страсбурге 23 октября 2018 г.
За Европейский Парламент
Председатель
A. TAJANI
За Совет ЕС
Председатель
K. EDTSTADLER
------------------------------
*(1) Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of N atural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (Text with EEA relevance). Опубликован в Официальном Журнале (далее - ОЖ) N L 295, 21.11.2018, стр. 39.
*(2) ОЖ N C 288, 31.08.2017, стр. 107.
*(3) Позиция Европейского Парламента от 13 сентября 2018 г. (еще не опубликована в ОЖ) и Решение Совета ЕС от 11 октября 2018 г.
*(4) Регламент (ЕС) 45/2001 Европейского Парламента и Совета ЕС от 18 декабря 2000 г. о защите физических лиц при обработке персональных данных, осуществляемой учреждениями и органами Сообщества, и о свободном обращении таких данных (ОЖ N L 8, 12.01.2001, стр. 1).
*(5) Регламент (ЕС) 2016/679 Европейского Парламента и Совета ЕС от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/EC (Общий Регламент о защите персональных данных) (ОЖ N L 119, 04.05.2016, стр. 1).
*(6) Директива (ЕС) 2016/680 Европейского Парламента и Совета ЕС от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, о свободном обращении таких данных, а также об отмене Рамочного Решения 2008/977/ПВД Совета ЕС (ОЖ N L 119, 04.05.2016, стр. 89).
*(7) Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (ОЖ N L 95, 21.04.1993, стр. 29).
*(8) Регламент (ЕС) 1338/2008 Европейского Парламента и Совета ЕС от 16 декабря 2008 г. о статистике Сообщества в отношении общественного здравоохранения и безопасности на рабочих местах (ОЖ N L 354, 31.12.2008, стр. 70).
*(9) Директива 2002/58/ЕС Европейского Парламента и Совета ЕС от 12 июля 2002 г. в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи) (ОЖ N L 201, 31.7.2002, стр. 37).
*(10) Регламент (ЕС) 1049/2001 Европейского Парламента и Совета ЕС от 30 мая 2001 г. о доступе общественности к документам Европейского Парламента, Совета ЕС и Европейской Комиссии (ОЖ N L 145, 31.05.2001, стр. 43).
*(11) ОЖ N L 56, 4.3.1968, стр. 1.
*(12) Регламент (ЕС) 182/2011 Европейского Парламента и Совета ЕС от 16 февраля 2011 г., устанавливающий правила и общие принципы относительно механизмов контроля государствами-членами ЕС выполнения Европейской Комиссией имплементационных полномочий (ОЖ N L 55, 28.02.2011, стр. 13).
*(13) Регламент (ЕС) 223/2009 Европейского Парламента и Совета ЕС от 11 мая 2009 г. о европейской статистике и об отмене Регламента (ЕС, Евратом) 1101/2008 Европейского Парламента и Совета ЕС о передаче данных при условии соблюдения их конфиденциальности Статистическому бюро Европейских сообществ, Регламента (ЕС) 322/97 Совета ЕС о статистике Сообщества, а также Решения 89/382/EЭC Совета ЕС, Евратом об учреждении Комитета по статистическим программам Европейских сообществ (ОЖ N L 87, 31.3.2009, стр. 164).
*(14) Решение 1247/2002/ЕС Европейского Парламента, Совета ЕС и Европейской Комиссии от 1 июля 2002 г. о регламентарных положениях и основных условиях, регулирующих исполнение обязанностей Европейским инспектором по защите данных (ОЖ N L 183, 12.7.2002, стр. 1).
*(15) ОЖ N C 164, 24.5.2017, стр. 2.
*(16) Регламент (ЕС) 2016/794 Европейского Парламента и Совета ЕС от 11 мая 2016 г. об Агентстве Европейского Союза по сотрудничеству правоохранительных органов (Европол), о замене и об отмене Решений 2009/371/ПВД, 2009/934/ПВД, 2009/935/ПВД, 2009/936/ПВД и 2009/968/ПВД Совета ЕС (ОЖ N L 135, 24.5.2016, стр. 53).
*(17) Регламент (ЕС) 2017/1939 Совета ЕС от 12 октября 2017 г. об осуществлении расширенного сотрудничества при учреждении Европейской Прокуратуры ("EPPO") (ОЖ N L 283, 31.10.2017, стр. 1).
*(18) Директива (ЕС) 2015/1535 Европейского Парламента и Совета ЕС от 9 сентября 2015 г. о процедуре предоставления информации в области технических регламентов, а также правил оказания услуг в информационном обществе (ОЖ N L 241, 17.9.2015, стр. 1).
*(19) Директива 2008/63/ЕС Европейской Комиссии от 20 июня 2008 г. о конкуренции на рынках телекоммуникационного терминального оборудования (ОЖ N L 162, 21.06.2008, стр. 20).
*(20) Решение 2009/917/ПВД Совета ЕС от 30 ноября 2009 г. об использовании информационных технологий для таможенных целей (ОЖ N L 323, 10.12.2009, стр. 20).
*(21) Решение 2014/886/ЕС Европейского Парламента и Совета ЕС от 4 декабря 2014 г. о назначении Европейского инспектора по защите данных и помощника инспектора (ОЖ N L 351, 9.12.2014, стр. 9).
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Регламент Европейского Парламента и Совета Европейского Союза 2018/1725 от 23 октября 2018 г. о защите физических лиц при обработке персональных данных, осуществляемой учреждениями, органами, службами и агентствами Союза, и о свободном обращении таких данных, а также об отмене Регламента (ЕС) 45/2001 и Решения 1247/2002/EC
Регламент адресован государствам-членам Европейского Союза. Российская Федерация членом ЕС не является.
Переводчик - Каулько И.А.
Настоящий Регламент вступает в силу на двадцатый день, следующий за днем его публикации в Официальном Журнале Европейского Союза
Текст перевода официально опубликован не был; текст Регламента на английском языке опубликован в официальном Журнале N L 295, 21.11.2018 г., с. 39.