Регламент Европейского Парламента и Совета Европейского Союза 2018/1725 от 23.10.2018 о защите физических лиц при обработке персональных данных, осуществляемой учреждениями, органами, службами и агентствами Союза, и о свободном обращении таких данных, а также об отмене Регламента (ЕС) 45/2001 и Решения 1247/2002/EC

Регламент Европейского Парламента и Совета Европейского Союза 2018/1725 от 23 октября 2018 г.
о защите физических лиц при обработке персональных данных, осуществляемой учреждениями, органами, службами и агентствами Союза, и о свободном обращении таких данных, а также об отмене Регламента (ЕС) 45/2001 и Решения 1247/2002/EC*(1)

(Действие Регламента распространяется на Европейское экономическое пространство)

Европейский Парламент и Совет Европейского Союза,

Руководствуясь Договором о функционировании Европейского Союза, и, в частности, Статьей 16(2) указанного Договора;

Принимая во внимание предложение Европейской Комиссии;

После передачи проекта законодательного акта национальным парламентам;

Принимая во внимание заключение Европейского комитета по социальным и экономическим вопросам*(2);

Действуя в соответствии с обычной законодательной процедурой*(3),

Принимая во внимание следующие обстоятельства:

(1) Защита физических лиц при обработке персональных данных является основным правом. Статья 8(1) Хартии Европейского Союза об основных правах ("Хартия") и Статья 16(1) Договора о функционировании Европейского Союза (TFEU) предусматривают, что каждый человек имеет право на защиту персональных данных, относящихся к нему или к ней. Данное право также гарантируется Статьей 8 Европейской конвенции о защите прав человека и основных свобод.

(2) Регламент (ЕС) 45/2001 Европейского Парламента и Совета ЕС*(4) предоставляет физическим лицам юридически действительные права, конкретизирует обязательства контролеров в отношении обработки данных институтами и органами Сообщества, а также создает независимый надзорный орган - Европейского инспектора по защите данных - ответственный за мониторинг обработки персональных данных институтами и органами Союза. Однако он не применяется к обработке персональных данных в ходе деятельности институтов и органов Союза, которая выходит за пределы сферы действия законодательства Союза.

(3) Регламент (ЕС) 2016/679 Европейского Парламента и Совета ЕС*(5) и Директива (ЕС) 2016/680 Европейского Парламента и Совета ЕС*(6) были приняты 27 апреля 2016 г. В то время как Регламент устанавливает общие правила для защиты физических лиц в отношении обработки персональных данных и для обеспечения свободного обращения персональных данных в Союзе, Директива устанавливает специальные правила для защиты физических лиц в отношении обработки персональных данных и для обеспечения свободного обращения персональных данных в Союзе в сферах судебного сотрудничества по уголовным делам и полицейского сотрудничества.

(4) Регламент (ЕС) 2016/679 предусматривает адаптацию Регламента (ЕС) 45/2001 в целях обеспечения создания прочных и согласованных правовых рамок для защиты персональных данных в Союзе и возможности его применения параллельно с Регламентом (ЕС) 2016/679.

(5) В целях обеспечения согласованного подхода к защите персональных данных на территории Союза и свободного обращения персональных данных в пределах Союза необходимо, насколько это возможно, привести правила защиты данных для учреждений, органов, служб и агентств Союза в соответствие с правилами защиты данных, принятыми для государственного сектора в государствах-членах ЕС. Когда положения настоящего Регламента следуют тем же принципам, что и положения Регламента (ЕС) 2016/679, обе совокупности положений должны в соответствии с судебной практикой Суда Европейского Союза ("Суд") толковаться единообразно, в частности, вследствие того, что структура настоящего Регламента должна пониматься как эквивалент структуры Регламента (ЕС) 2016/679.

(6) Лица, чьи персональные данные обрабатываются учреждениями и органами Союза независимо от контекста, к примеру, вследствие того, что они являются служащими указанных учреждений и органов, должны быть защищены. Настоящий Регламент не должен применяться для обработки персональных данных умерших лиц. Настоящий Регламент не регулирует обработку персональных данных юридических лиц и, в частности, предприятий, учрежденных как юридические лица, включая наименование и правовую форму юридического лица, а также контактные данные юридического лица.

(7) Для предотвращения серьезного риска обхода положений защита физических лиц должна быть технологически нейтральной и не должна зависеть от используемых технических средств.

(8) Настоящий Регламент следует применять при обработке персональных данных учреждениями, органами, службами и агентствами Союза. Его следует полностью или частично применять при обработке персональных данных автоматизированными средствами, а также при обработке иными средствами, кроме автоматизированных, персональных данных, которые формируют часть файловой системы или предназначены для формирования части файловой системы. Файлы или группы файлов, а также их титульные страницы, которые не структурированы в соответствии со специальными критериями, не должны подпадать под сферу применения настоящего Регламента.

(9) В Декларации N 21 о защите персональных данных в сферах судебного сотрудничества по уголовным делам и полицейского сотрудничества, являющейся приложением к заключительному акту межправительственной конференции, которая приняла Лиссабонский договор, конференция признала, что специальные правила о защите персональных данных и о свободном обращении таких данных в сферах судебного сотрудничества по уголовным делам и полицейского сотрудничества, основанные на Статье 16 TFEU, могут оказаться необходимыми в силу особого характера данных сфер. Следовательно, отдельную Главу настоящего Регламента, содержащую общие правила, следует применять при обработке оперативных персональных данных, таких как персональные данные, обрабатываемые для целей уголовного расследования органами, службами и агентствами Союза при осуществлении деятельности в сферах судебного сотрудничества в уголовных вопросах и полицейского сотрудничества.

(10) Директива (ЕС) 2016/680 устанавливает гармонизированные правила для защиты и свободного обращения персональных данных при их обработке в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение таких угроз. В целях обеспечения единого уровня защиты для физических лиц посредством юридически действительных прав на всей территории Союза и предотвращения расхождений, препятствующих обмену персональными данными между органами, службами или агентствами Союза при осуществлении ими деятельности, подпадающей под сферу действия Главы 4 или Главы 5 Раздела V Части Третьей TFEU, и компетентными органами, правила для защиты и для свободного обращения оперативных персональных данных, обрабатываемых указанными органами, службами и агентствами Союза, должны соответствовать Директиве (ЕС) 2016/680.

(11) Общие правила Главы об обработке оперативных персональных данных настоящего Регламента следует применять без ущерба действию специальных правил, применяемых к обработке оперативных персональных данных органами, службами и агентствами Союза при осуществлении ими деятельности, подпадающей под сферу действия Главы 4 или Главы 5 Раздела V Части Третьей TFEU. Данные специальные правила следует рассматривать как lex specialis в отношении положений Главы об обработке персональных данных настоящего Регламента (lex specialis derogat legi generali). В целях уменьшения правовой фрагментации специальные правила по защите данных, применяемые при обработке оперативных персональных данных органами, службами или агентствами Союза при осуществлении деятельности, подпадающей под сферу действия Главы 4 или Главы 5 Раздела V Части Третьей TFEU, должны соответствовать принципам, лежащим в основе Главы об обработке оперативных персональных данных настоящего Регламента, а также положениям настоящего Регламента, относящимся к независимому надзору, средствам защиты, ответственности и санкциям.

(12) Главу об обработке оперативных персональных данных настоящего Регламента следует применять к органам, службам и агентствам Союза при осуществлении ими деятельности, подпадающей под сферу действия Главы 4 или Главы 5 Раздела V Части Третьей TFEU, независимо от того, является ли осуществление данной деятельности их основной или вспомогательной задачей для целей предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний. Однако ее не следует применять к Европолу или к Европейской прокуратуре до тех пор, пока правовые акты, учреждающие Европол и Европейскую прокуратуру, не будут изменены таким образом, чтобы адаптированная Глава об обработке оперативных персональных данных настоящего Регламента могла к ним применяться.

(13) Европейской Комиссии следует провести пересмотр настоящего Регламента, в частности, в отношении Главы об обработке оперативных персональных данных настоящего Регламента. Европейской Комиссии следует также провести пересмотр других правовых актов, принятых на основании Договоров, которые регулируют обработку оперативных персональных данных органами, службами или агентствами Союза при осуществлении деятельности, подпадающей под сферу действия Главы 4 или Главы 5 Раздела V Части Третьей TFEU. После данного пересмотра в целях обеспечения единообразной и согласованной защиты физических лиц в отношении обработки персональных данных Европейской Комиссии следует иметь возможность вносить любые целесообразные законодательные предложения, включая любые необходимые адаптации Главы об обработке оперативных персональных данных настоящего Регламента, с тем чтобы она могла применяться к Европолу и к Европейской прокуратуре. При осуществлении адаптаций следует принимать во внимание положения, относящиеся к независимому надзору, средствам защиты, ответственности и санкциям.

(14) Обработка органами, службами и агентствами Союза, осуществляющими деятельность, которая подпадает под сферу действия Главы 4 или Главы 5 Раздела V Части Третьей TFEU, административных персональных данных, таких как данные о персонале, должна регулироваться настоящим Регламентом.

(15) Настоящий Регламент следует применять при обработке персональных данных органами, службами и агентствами Союза, осуществляющими деятельность, которая подпадает под сферу действия Главы 2 Раздела V Договора о Европейском Союзе (TEU). Настоящий Регламент не следует применять при обработке персональных данных миссиями, указанными в Статьях 42(1), 43 и 44 TEU, которые осуществляют общую политику безопасности и обороны. Когда это целесообразно, должны быть выдвинуты соответствующие предложения для дальнейшего регулирования обработки персональных данных в сфере общей политики безопасности и обороны.

(16) Принципы защиты данных должны применяться в отношении любой информации, касающейся идентифицированного или идентифицируемого физического лица. Персональные данные, которые подверглись псевдонимизации и которые могут быть связаны с физическим лицом посредством дополнительной информации, следует рассматривать как информацию об идентифицируемом физическом лице. В целях установления того, является ли физическое лицо идентифицируемым, следует принять во внимание все средства, с высокой степенью вероятности используемые контролером или иным лицом, для того чтобы прямо или косвенно идентифицировать физическое лицо, например, установить личность. При определении того, используются ли средства с достаточной степенью вероятности для идентификации физического лица, следует принять во внимание все объективные факторы, такие как расходы на идентификацию и количество времени, необходимое для идентификации, с учетом имеющихся на момент обработки технологий и технологических разработок. Вследствие этого принципы защиты данных не следует применять в отношении анонимной информации, а именно информации, которая не относится к идентифицированному или идентифицируемому физическому лицу, или в отношении персональных данных, предоставленных анонимно таким образом, что субъект данных более не идентифицируется. Следовательно, настоящий Регламент не относится к обработке данной анонимной информации, в том числе для статистических и поисковых целей.

(17) Применение псевдонимизации к персональным данным может снизить риски для заинтересованных субъектов данных и может содействовать контролерам и лицам, обрабатывающим данные, в выполнении их обязательств по защите данных. Непосредственное введение термина "псевдонимизация" в настоящем Регламенте не имеет целью создавать препятствия каким-либо иным мерам по защите данных.

(18) Физические лица могут быть связаны с сетевыми идентификаторами, предусмотренными их устройствами, приложениями, программными средствами и протоколами, как например, IP-адреса, идентификаторы типа cookie-файлы или иные идентификаторы, такие как метки радиочастотной идентификации. Они могут оставлять следы, которые, в частности, в сочетании с уникальными идентификаторами и другой полученной серверами информацией, могут использоваться для создания профилей физических лиц и для их идентификации.

(19) Согласие должно быть дано посредством четкого утвердительного действия, демонстрирующего добровольное, определенное, основанное на полученной информации и однозначное указание субъекта данных на согласие на обработку относящихся к нему или к ней персональных данных, к примеру, посредством письменного заявления, в том числе поданного электронным способом, или устного заявления. Согласием может считаться проставление нужных отметок при посещении страницы в Интернете, выбор технических настроек для услуг информационного общества или иное заявление или способ поведения, который четко указывает на то, что субъект данных в указанном контексте согласен на предлагаемую обработку его или ее персональных данных. Следовательно, молчание, заранее проставленные отметки или бездействие не должны подразумевать согласие. Согласие должно распространяться на все действия по обработке, осуществляемые для одной и той же цели или целей. Если обработка служит нескольким целям, согласие должно быть дано для каждой из них. Если согласие субъекта данных должно быть дано после запроса, сделанного электронным способом, запрос должен быть сделан в четкой и лаконичной форме, без неоправданного прекращения использования услуги, для которой предоставляется согласие. В то же время субъект данных должен иметь право отозвать согласие в любой момент, не оказывая влияния на правомерность обработки, основанной на согласии, данном до отзыва согласия. В целях обеспечения того, чтобы согласие давалось свободно, согласие не должно предоставлять действительного правового основания для обработки персональных данных в особом случае, если существует видимый дисбаланс между субъектом данных и контролером, и, следовательно, маловероятно, что согласие было дано свободно во всех обстоятельствах данной конкретной ситуации. Во многих случаях невозможно до конца идентифицировать цель обработки персональных данных для задач научных исследований в момент сбора данных. Следовательно, субъекты данных должны иметь возможность дать свое согласие для определенных областей научных исследований в соответствии с признанными этическими стандартами для научных исследований. Субъекты данных должны иметь возможность дать свое согласие только для определенных областей научных исследований или частей исследовательских проектов, насколько это допускает предполагаемая цель.

(20) Любая обработка персональных данных должна быть законной и справедливой. Физическим лицам должно быть ясно то, что персональные данные, относящиеся к ним, собираются, используются, проверяются или иным образом обрабатываются, а также то, в какой степени персональные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любая информация и сообщения, относящиеся к обработке персональных данных, были легкодоступны и понятны, а также чтобы использовался ясный и простой язык. Данный принцип относится, в частности, к информированию субъектов данных о личности контролера и о целях обработки, а также к дальнейшему информированию в целях обеспечения справедливой и прозрачной обработки в отношении заинтересованных физических лиц и их права на получение подтверждения и сообщений о персональных данных о них, которые обрабатываются. Физические лица должны быть оповещены о рисках, правилах, мерах защиты и правах в отношении обработки персональных данных, а также о том, как использовать свои права в отношении данной обработки. В частности, специальные цели, для которых обрабатываются данные, должны быть однозначными и легитимными и должны быть определены на момент сбора персональных данных. Персональные данные должны быть точными, релевантными и должны быть ограничены тем, что необходимо для целей, для которых они обрабатываются. Это требует, в частности, обеспечения того, чтобы период хранения персональных данных был ограничен строгим минимумом. Персональные данные должны обрабатываться, только если цель обработки не может быть в достаточной степени достигнута другими средствами. В целях обеспечения того, чтобы персональные данные не хранились дольше, чем это необходимо, контролерами должны быть установлены сроки для удаления данных или для их периодического пересмотра. Все разумные шаги должны быть предприняты для исправления или удаления неточных данных. Персональные данные должны обрабатываться таким образом, который обеспечивает надлежащую безопасность и конфиденциальность персональных данных, включая предотвращение неавторизованного доступа к персональным данным или предотвращение неавторизованного использования персональных данных и оборудования, используемого для обработки, а также предотвращение неавторизованного раскрытия данных при их передаче.

(21) В соответствии с принципом подотчетности, если учреждения и органы Союза передают персональные данные в пределах одного учреждения или органа и получатель не является контролером или передают другим учреждениям и органам Союза, они должны провести проверку того, требуются ли персональные данные для правомерного выполнения задач, находящихся в компетенции получателя. В частности, после получения запроса получателя о передаче персональных данных, контролеру следует проверить существование надлежащего основания для обработки персональных данных на законных основаниях и полномочия получателя. Контролеру также следует выполнить предварительную оценку необходимости передачи данных. Если возникают сомнения в необходимости их передачи, контролеру следует запросить дополнительную информацию у получателя. Получатель должен обеспечить возможность последовательной проверки необходимости передачи информации.

(22) Чтобы обработка была законной, персональные данные следует обрабатывать на основании необходимости для выполнения учреждениями и органами Союза задачи в интересах общества или при осуществлении ими официальных полномочий, на основании необходимости выполнения правовых обязательств, возложенных на контролера, или на основании иных легитимных оснований, регулируемых настоящим Регламентом, включая согласие заинтересованного субъекта данных, необходимость выполнения договора, стороной которого является субъект данных, или с целью принятия мер по запросу субъекта данных перед заключением договора. Обработка персональных данных для выполнения учреждениями и органами Союза задач в общественных интересах включает обработку персональных данных, необходимую для управления и функционирования данных учреждений и органов. Также обработка персональных данных должна считаться законной, если существует необходимость защищать интересы, жизненно важные для субъекта данных или для другого физического лица. Обработка персональных данных, основанная на жизненно важных интересах другого физического лица, может в принципе иметь место, только если обработка заведомо не может базироваться на ином правовом основании. Некоторые виды обработки могут служить важным основанием для общественных интересов и для жизненных интересов субъекта данных, к примеру, если обработка необходима для гуманитарных целей, включая мониторинг эпидемий и их распространение, или при чрезвычайных ситуациях, в частности, в ситуациях природных и техногенных катастроф.

(23) Законодательство Союза, указанное в настоящем Регламенте, должно быть ясным и точным, и его применение должно быть предсказуемо для лиц, на которых распространяется его действие, в соответствии с требованиями, установленными в Хартии и в Европейской конвенции о защите прав человека и основных свобод.

(24) Внутренние правила, указанные в настоящем Регламенте, должны быть ясными и точными актами общего назначения, порождающими юридические последствия в отношении субъектов данных. Они должны приниматься на высочайшем уровне руководства учреждений и органов Союза, в пределах их компетенции и по вопросам, относящимся к их деятельности. Они должны быть опубликованы в Официальном Журнале Европейского Союза. Применение данных правил должно быть предсказуемо для лиц, на которых распространяется его действие, в соответствии с требованиями, установленными в Хартии и в Европейской конвенции о защите прав человека и основных свобод. Внутренние правила могут иметь форму решений, в частности, когда они принимаются учреждениями Союза.

(25) Обработка персональных данных для целей, отличных от тех, для которых персональные данные были первоначально собраны, должна допускаться, только если обработка сопоставима с целями, для которых персональные данные были первоначально собраны. В данном случае не требуется специальной правовой основы, кроме той, которая допустила сбор персональных данных. Если обработка необходима для осуществления задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера, в законодательстве Союза могут быть определены и конкретизированы задачи и цели, для которых дальнейшая обработка может считаться сопоставимой и законной. Дальнейшая обработка для целей архивирования в общественных интересах, для целей научных и исторических исследований или для целей статистики должна считаться сопоставимой с законными операциями по обработке. Правовая основа, предусмотренная законодательством Союза для обработки персональных данных, может также обеспечить правовую основу для дальнейшей обработки. Чтобы удостовериться, сопоставима ли цель дальнейшей обработки с целью, для которой персональные данные были первоначально собраны, контролер после выполнения всех требований для правомерности первичной обработки должен принять во внимание inter alia: любое связующее звено между данными целями и целями, для которых предназначена дальнейшая обработка; контекст, в котором первоначально были собраны данные, в частности, разумные предположения субъектов данных, основанные на их взаимоотношениях с контролером, относительно их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки персональных данных для субъектов данных; и существование надлежащих мер защиты для операций по первичной обработке и для операций по предполагаемой дальнейшей обработке.

(26) Если обработка основывается на согласии субъекта данных, контролер должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операции по обработке. В частности, в контексте письменного заявления по другому вопросу гарантии должны обеспечивать, что субъект данных осознает факт того, что он дает свое согласие и в каком объеме указанное согласие дается. В соответствии с Директивой 93/13/ЕЭС Совета ЕС*(7) заявление о согласии, предварительно сформулированное контролером, должно предоставляться в разборчивой и легкодоступной форме, с использованием ясного и простого языка, оно не должно содержать несправедливых условий. Чтобы согласие считалось информированным, субъект данных должен знать как минимум идентификационные данные контролера и цели обработки персональных данных. Согласие не должно считаться свободно данным, если у субъекта данных нет подлинного или свободного выбора или если он не в состоянии отказаться от дачи согласия или отозвать его без ущерба для себя.

(27) Дети нуждаются в особой защите своих персональных данных, так как они в меньшей степени осознают риски, последствия, соответствующие гарантии и права при обработке персональных данных. Указанная особая защита должна, в частности, применяться для создания личностных профилей и сбора персональных данных детей, если услуги, такие как услуги межличностной коммуникации или электронная продажа билетов, предлагаются непосредственно ребенку на сайтах в Интернете учреждений и органов Союза, и обработка персональных данных основывается на согласии.

(28) Если получателям, учрежденным в Союзе, отличным от учреждений и органов Союза, хотелось бы, чтобы учреждения и органы Союза передали им персональные данные, указанным получателям следует продемонстрировать, что передача данных указанным получателям необходима либо для осуществления ими задач, выполняемых в общественных интересах, либо в целях осуществления официальных полномочий, возложенных на них. В качестве альтернативного варианта указанным получателям следует продемонстрировать, что передача данных необходима для специальной цели в общественных интересах, и контролеру следует установить, существует ли какая-либо причина полагать, что легитимным интересам субъекта данных может быть нанесен ущерб. В таких случаях контролеру следует объективно взвесить различные конкурирующие интересы в целях оценки рациональности запрошенной передачи персональных данных. Конкретная цель в общественных интересах может иметь отношение к прозрачности учреждений и органов Союза. Кроме того, учреждениям и органам Союза следует продемонстрировать необходимость, когда они сами инициируют передачу в соответствии с принципом прозрачности и эффективного администрирования. Требования, установленные в настоящем Регламенте для передачи получателям, учрежденным в Союзе, отличным от учреждений и органов Союза, должны пониматься как дополнительные к условиям для законной обработки.

(29) Персональные данные, которые по своему характеру чрезвычайно уязвимы в отношении основных прав и свобод, заслуживают специальной защиты, поскольку контекст их обработки может создать значительные риски для основных прав и свобод. Указанные персональные данные не должны обрабатываться, кроме случаев, когда соблюдаются конкретные условия, установленные в настоящем Регламенте. К указанным персональным данным должны относиться персональные данные, раскрывающие расовую принадлежность или этническое происхождение, при этом использование термина "расовая принадлежность" в настоящем Регламенте не подразумевает признание Союзом теорий, которые пытаются определить существование отдельных человеческих рас. Обработка фотографий не должна систематически рассматриваться как обработка специальных категорий персональных данных, так как они подпадают под определение биометрических данных, только если обрабатываются посредством специальных технических средств, допускающих индивидуальную идентификацию или опознавание физического лица. В дополнение к специальным требованиям обработки уязвимых данных следует применять общие принципы и иные правила настоящего Регламента, в частности, в отношении условий для законной обработки. Должны быть предусмотрены частичные отступления от общего запрета на обработку указанных специальных категорий персональных данных, inter alia, если субъект данных дает свое однозначное согласие, или в отношении специальных нужд, в частности, если обработка осуществляется в ходе легитимной деятельности некоторыми ассоциациями или фондами, целью которых является обеспечение осуществления основных свобод.

(30) Специальные категории персональных данных, которые заслуживают более высокого уровня защиты, должны обрабатываться для целей, относящихся к здравоохранению, только если необходимо достичь указанных целей для блага физических лиц и общества в целом, в частности, в контексте управления здравоохранением или услугами и системами социальной помощи. Следовательно, настоящий Регламент должен предусмотреть гармонизированные условия для обработки специальных категорий персональных данных, касающихся здравоохранения, в отношении специальных нужд, в частности, если обработка указанных данных выполняется для определенных целей, относящихся к здравоохранению, лицами, имеющими правовые обязательства, связанные со служебной тайной. Законодательство Союза должно предусмотреть специальные и достаточные меры для защиты основных прав и персональных данных физических лиц.

(31) Обработка специальных категорий персональных данных может быть необходима по причинам общественного интереса в сферах общественного здравоохранения без согласия субъекта данных. Такая обработка должна осуществляться посредством применения достаточных и особых мер для защиты прав и свобод физических лиц. В данном контексте "общественное здравоохранение" должно толковаться, как определено в Регламенте (ЕС) 1338/2008 Европейского Парламента и Совета ЕС*(8), а именно: все элементы, относящиеся к здоровью, в частности, к состоянию здоровья, включая заболеваемость и инвалидность, детерминанты, влияющие на данное состояние здоровья, нужды здравоохранения, ресурсы, выделенные для здравоохранения, снабжение здравоохранения, всеобщий доступ к здравоохранению, а также бюджет здравоохранения и финансирование, а также смертельные случаи. Такая обработка данных в отношении здоровья по причинам общественного интереса не должна приводить к обработке персональных данных для иных целей.

(32) Если персональные данные, обрабатываемые контролером, не позволяют контролеру идентифицировать физическое лицо, контролер данных не обязан запрашивать дополнительную информацию в целях идентификации субъекта данных для единственной цели - соответствовать любым положениям настоящего Регламента. Однако контролер не должен отказывать в принятии дополнительной информации, предоставленной субъектом данных в целях поддержки осуществления его или ее прав. Идентификация должна включать цифровую идентификацию субъекта данных, к примеру, посредством механизма проверки подлинности, такого как параметры доступа, используемые субъектом данных для подключения к электронной услуге, предложенной контролером данных.

(33) Обработка персональных данных в целях архивирования для общественных интересов, для целей научного и исторического исследований или для целей статистики должна сопровождаться надлежащими гарантиями для прав и свобод субъектов данных на основании настоящего Регламента. Данные гарантии должны обеспечивать принятие технических и организационных мер в целях обеспечения, в частности, принципа минимизации данных. Дальнейшая обработка персональных данных в целях архивирования для общественных интересов, для целей научного и исторического исследований или для целей статистики должна выполняться, когда контролер оценил осуществимость достижения указанных целей посредством обработки данных, которые не позволяют или более не позволяют идентифицировать субъектов данных при условии наличия надлежащей защиты (к примеру, псевдонимизация данных). Учреждения и органы Союза должны предусмотреть надлежащую защиту при обработке персональных данных в целях архивирования для общественных интересов, для целей научного и исторического исследований или для целей статистики в законодательстве Союза, которое может включать внутренние правила, принятые учреждениями и органами Союза по вопросам, относящимся к их деятельности.

(34) Должны быть предусмотрены методы для содействия при осуществлении прав субъекта данных в соответствии с настоящим Регламентом, включая механизмы запроса и, если это применимо, получения на бесплатной основе, в частности, доступа к персональным данным и исправления или удаления персональных данных, а также осуществления права на отказ. Контролеру следует также обеспечить электронные средства для запросов, особенно если персональные данные обрабатываются электронными средствами. Контролер обязан отвечать на запросы от субъектов данных без необоснованного промедления и не позднее чем в течение одного месяца, а также приводить причины, если контролер не намерен удовлетворять какие-либо из данных запросов.

(35) Принципы справедливой и прозрачной обработки требуют, чтобы субъект данных был проинформирован о существовании процесса обработки и его целей. Контролеру следует предоставлять субъекту данных любую информацию, необходимую в дальнейшем для обеспечения справедливой и прозрачной обработки, принимая во внимание особые обстоятельства и контекст, в котором обрабатываются персональные данные. Кроме того, субъект данных должен быть проинформирован о существовании формирования профиля и о последствиях такого формирования. Если персональные данные получены от субъекта данных, субъект данных также должен быть проинформирован о том, обязаны ли он или она предоставлять персональные данные, и о последствиях, если он или она не предоставят такие данные. Указанная информация может предоставляться в сочетании со стандартизированными условными обозначениями, чтобы дать в ясно видимой, доступной и разборчивой форме полный обзор планируемой обработки. Если условные обозначения представлены в электронном виде, они должны быть пригодны для машинного считывания.

(36) Информация об обработке персональных данных, относящаяся к субъекту данных, должна предоставляться ему или ей во время получения информации от субъекта данных или, если персональные данные получены из другого источника, в течение приемлемого периода времени в зависимости от конкретных обстоятельств. Если персональные данные могут быть на законных основаниях раскрыты другому получателю, субъект данных должен быть проинформирован о том, когда персональные данные впервые раскрываются получателю. Если контролер намерен обрабатывать персональные данные для целей, отличных от тех, для которых они были получены, контролеру перед дальнейшей обработкой следует предоставлять субъекту данных информацию о другой цели и иную необходимую информацию. Если информация о происхождении персональных данных не может быть предоставлена субъекту данных вследствие использования различных источников, должна предоставляться общая информация.

(37) Субъект данных должен иметь право доступа к персональным данным, собранным в отношении него или нее, и осуществлять данное право с легкостью и через разумные интервалы времени в целях ознакомления и проверки правомерности обработки. Это включает право субъектов данных на доступ к данным об их здоровье, к примеру, к данным в их медицинских картах, содержащих такую информацию, как диагнозы, результаты обследований, выводы лечащих врачей и любые медицинские назначения или вмешательства. Следовательно, каждый субъект данных должен иметь право знать и получать сообщения, в частности, в отношении целей, для которых обрабатываются персональные данные, если это возможно, срока, в течение которого обрабатываются персональные данные, получателей персональных данных, закономерностей, применяемых в каких-либо автоматических обработках персональных данных, и по крайней мере в тех случаях, когда они основываются на формировании профиля, в отношении последствий таких обработок. Данное право не должно негативно отражаться на правах или свободах других, включая коммерческие секреты или интеллектуальную собственность, и, в частности, авторское право, защищающее программное обеспечение. Однако результатом данных соображений не должен быть отказ в предоставлении всей информации субъекту данных. Если контролер обрабатывает большое количество информации о субъекте данных, контролер должен иметь возможность запросить, чтобы до предоставления информации субъект данных конкретизировал информацию или действия по обработке, к которым относится запрос.

(38) Субъект данных должен иметь право на исправление персональных данных, относящихся к нему или к ней, а также "право на забвение", если хранение таких данных нарушает настоящий Регламент или законодательство Союза, субъектом которого является контролер. Субъект данных должен иметь право на то, чтобы его или ее персональные данные удалялись и более не обрабатывались, если персональные данные более не являются необходимыми в отношении целей, для которых они были получены или обрабатывались иным образом, если субъект данных отозвал его или ее согласие или возражает против обработки персональных данных, относящихся к нему или к ней, или если обработка его или ее персональных данных каким-либо иным образом не соответствует настоящему Регламенту. Данное право относится, в частности, к тем случаям, когда субъект данных дал его или ее согласие будучи ребенком, и не был в полной мере оповещен о рисках, связанных с обработкой, и позднее желает удалить такие персональные данные, особенно из Интернета. Субъект данных должен иметь возможность осуществлять данное право, несмотря на тот факт, что он или она более не является ребенком. Однако дальнейшее хранение персональных данных должно считаться законным, если это необходимо для осуществления права на свободу выражения и свободу информации, для выполнения юридических обязательств, для осуществления задачи, выполняемой в общественных интересах, или при исполнении официальных полномочий, возложенных на контролера, по основаниям общественного интереса в сфере общественного здравоохранения, для целей архивирования в общественных интересах, для целей научных или исторических исследований или для целей статистики, или для подачи и исполнения судебных исков или представления возражений по судебным искам.

(39) В целях укрепления права на забвение в сети Интернет право на удаление также должно быть распространено таким образом, чтобы контролер, который сделал персональные данные доступными для общественности, был обязан проинформировать контролеров, которые обрабатывают такие данные, об удалении любых связей с персональными данными или их копий, или дублирований. При этом данный контролер должен предпринять разумные шаги, принимая во внимание доступные технологии и средства, доступные контролеру, в том числе технические меры, чтобы проинформировать контролеров, которые обрабатывают персональные данные, о запросе субъекта данных.

(40) Методы ограничения обработки персональных данных могут включать, inter alia, временное перемещение отдельных данных в другую систему обработки, делая отдельные персональные данные недоступными для пользователей, или временное удаление опубликованных данных со страницы в Интернете. В автоматических файловых системах ограничение обработки должно в основном обеспечиваться техническими средствами таким образом, чтобы персональные данные не подлежали дальнейшему процессу обработки и не могли быть изменены. Факт ограничения обработки персональных данных должен быть ясно указан в системе.

(41) В целях дальнейшего усиления контроля над его или ее собственными данными, если обработка персональных данных осуществляется автоматизированными средствами, субъект данных должен иметь возможность получать относящиеся к нему или к ней персональные данные, которые он или она предоставили контролеру в структурированном, общеупотребительном, машиночитаемом и операционно-совместимом формате, и передавать их другому контролеру. Контролерам данных следует рекомендовать развивать операционно-совместимые форматы, обеспечивающие возможность переноса данных. Указанное право должно применяться, если субъект данных предоставил персональные данные на основании его или ее согласия или если обработка необходима в целях выполнения договора. Следовательно, оно не должно применяться, если обработка персональных данных необходима для соблюдения правового обязательства, субъектом которого является контролер, или для осуществления задачи, выполняемой в общественных интересах, или при осуществлении официальных полномочий, возложенных на контролера. Право субъекта данных передавать или получать относящиеся к нему или к ней персональные данные не должно создавать для контролера обязательство принимать или обслуживать технически совместимые системы по обработке. Если в определенной группе персональных данных заинтересованы более одного субъекта, право получать персональные данные должно действовать без ущерба для прав и свобод других субъектов данных в соответствии с настоящим Регламентом. Более того, данное право должно действовать без ущерба для права субъекта данных в отношении удаления персональных данных и ограничений указанного права, как установлено в настоящем Регламенте, и не должно приводить, в частности, к удалению персональных данных, относящихся к субъекту данных, предоставленных им или ею при выполнении договора, если и до тех пор, пока персональные данные необходимы для выполнения указанного договора. Когда это технически осуществимо, субъект данных должен иметь право на передачу персональных данных непосредственно от одного контролера другому.

(42) Если персональные данные могут обрабатываться на законных основаниях вследствие того, что обработка необходима для осуществления задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера, тем не менее субъект данных должен иметь право представлять возражения против обработки каких-либо персональных данных, относящихся к его или к ее конкретной ситуации. Контролеру следует принимать решение о демонстрации того, что его веские легитимные интересы перевешивают интересы или основные права и свободы субъекта данных.

(43) Субъект данных должен иметь право не подчиняться решению, которое может включать принятие мер, оценивающих личные аспекты, относящиеся к нему или к ней, которое основывается исключительно на автоматизированной обработке и результатом которого являются юридические последствия в отношении его или ее или которое сходным образом может значительно повлиять на него или на нее, такое как практики электронного подбора кадров без вмешательства человека. Такая обработка включает "формирование профиля", которое содержит какую-либо форму автоматизированной обработки персональных данных, оценивающую личные аспекты, относящиеся к физическому лицу, в частности, анализ или прогнозирование аспектов, относящихся к выполнению указанным лицом профессиональных обязанностей, экономической ситуации, здоровью, индивидуальным предпочтениям или интересам, надежности или поведению, местоположению или передвижениям, результатом которой являются юридические последствия в отношении него или нее или которая аналогичным образом может значительно повлиять на него или на нее.

Однако процесс принятия решений, основанный на такой обработке, включая формирование профиля, следует допускать, только если это однозначно разрешено законодательством Союза. В любом случае такая обработка должна иметь надлежащие средства защиты, которые должны включать конкретную информацию для субъекта данных и право на вмешательство человека в целях выражения его или ее точки зрения, получение объяснения решения, принятого после такой оценки и представление возражения против решения. Указанная мера не должна относиться к ребенку. В целях обеспечения справедливой и прозрачной обработки в отношении субъекта данных, учитывая особые обстоятельства и контекст, в котором обрабатываются данные, контролеру следует использовать соответствующие математические и статистические процедуры для профилирования, принимать технические и организационные меры, способствующие обеспечению, в частности, того, что факторы, приводящие к неточностям в персональных данных, нейтрализуются и риск ошибок минимизируется, обеспечивать защиту персональных данных с учетом вероятных потенциальных рисков для интересов и прав субъекта данных, а также предотвращать, inter alia, дискриминационные проявления в отношении физических лиц на основании расовой или этнической принадлежности, политических взглядов, религии или верований, членства в профессиональных союзах, генетических признаков или состояния здоровья, или сексуальной ориентации или предотвращать обработку, которая приводит к результатам, имеющим подобный эффект. Автоматизированный процесс принятия решений и формирование профиля, основанные на специальных категориях персональных данных, должны допускаться только на особых условиях.

(44) Правовые акты, принятые на основании Договоров, или внутренние правила, принятые учреждениями и органами Союза, по вопросам, относящимся к их функционированию, могут налагать ограничения в отношении специальных принципов и прав на информацию, доступ к персональным данным, их исправление и удаление, а также в отношении права на перенос данных, конфиденциальности данных в электронных сообщениях, а также оповещения субъекта данных об утечке персональных данных и определенных соответствующих обязательств контролеров, поскольку необходимо и рационально в демократическом обществе обеспечивать общественную безопасность, а также для предотвращения, расследования и преследования уголовных преступлений или исполнения уголовных наказаний. Настоящее положение включает защиту от угроз общественной безопасности и их предотвращение, охрану человеческой жизни, особенно в ответ на природные и техногенные катастрофы, внутреннюю безопасность учреждений и органов Союза, другие важные цели основных общественных интересов Союза или государства-члена ЕС, в частности, цели Общей внешней политики и политики безопасности Союза, или важный экономический или финансовый интерес Союза или государства-члена ЕС, а также ведение государственного реестра по причине широкого общественного интереса или защиту субъекта данных или прав и свобод других лиц, включая социальную защиту, общественное здравоохранение и гуманитарные цели.

(45) Должны быть установлены ответственность и обязательства контролера в отношении какой-либо обработки персональных данных, выполняемой контролером или от имени контролера. В частности, контролер обязан осуществлять надлежащие и эффективные меры, а также должен быть способен продемонстрировать соответствие деятельности по обработке настоящему Регламенту, включая результативность мер. Данные меры должны учитывать характер, масштаб, контекст и цели обработки, а также риски для прав и свобод физических лиц.

(46) Риски для прав и свобод физических лиц, различной вероятности и серьезности, могут возникать в результате обработки персональных данных, которая может привести к нанесению физического, материального или нематериального ущерба, в частности: если обработка может стать причиной дискриминации, кражи персональных данных или мошенничества, финансовых потерь, урона для репутации, нарушения конфиденциальности персональных данных, охраняемых профессиональной тайной, неавторизованной отмены псевдонимизации или другого значительного экономического или социального неблагоприятного фактора; если субъекты данных могут быть лишены своих прав и свобод или им могут препятствовать в осуществлении контроля над их персональными данными; в результате обработки персональных данных, которая раскрывает расовое или этническое происхождение, политические взгляды, религию или философские верования, членство в профессиональных союзах, а также в результате обработки генетических данных, данных о состоянии здоровья или данных о сексуальной жизни или уголовных судимостях и преступлениях или соответствующих мерах безопасности; если оцениваются персональные аспекты, в частности, анализ или прогнозирование аспектов, относящихся к выполнению профессиональных обязанностей, экономической ситуации, здоровью, индивидуальным предпочтениям или интересам, надежности или поведению, местоположению или передвижениям, в целях создания или использования личностных профилей; если обрабатываются персональные данные уязвимых физических лиц, в частности, детей; или если в обработку вовлечено большое количество персональных данных, что затрагивает большое число субъектов данных.

(47) Вероятность и серьезность риска для прав и свобод субъекта данных должна определяться, исходя из характера, масштаба, контекста и целей обработки. Риск должен оцениваться на основании объективного анализа, в процессе которого устанавливается, приводит ли процесс обработки данных к возникновению риска или риска высокой степени.

(48) Защита прав и свобод физических лиц в отношении обработки персональных данных требует, чтобы принимались надлежащие технические и организационные меры в целях обеспечения соблюдения требований настоящего Регламента. Чтобы иметь возможность продемонстрировать соблюдение настоящего Регламента, контролеру следует принимать внутренние практики и осуществлять меры, которые отвечают, в частности, принципам защиты данных намеренно и защиты данных по умолчанию. Такие меры могут включать, inter alia, минимизацию обработки персональных данных, псевдонимизацию персональных данных в предельно короткие сроки, прозрачность в отношении функций и обработки персональных данных, предоставляя субъекту данных возможность осуществлять мониторинг обработки данных, предоставляя контролеру возможность создавать и улучшать средства защиты. Принципы защиты данных намеренно и по умолчанию также должны приниматься во внимание в отношении открытых тендеров.

(49) Регламент (ЕС) 2016/679 предусматривает, что контролеры должны демонстрировать соответствие посредством строгого соблюдения одобренных сертификационных механизмов. Аналогичным образом учреждения и органы Союза должны иметь возможность продемонстрировать соблюдение настоящего Регламента посредством прохождения сертификации в соответствии со Статьей 42 Регламента (ЕС) 2016/679.

(50) Защита прав и свобод субъектов данных, а также ответственность и обязательства контролеров и лиц, обрабатывающих данные, требуют точного распределения ответственности в соответствии с настоящим Регламентом, включая случаи, когда контролер определяет цели и средства обработки совместно с другими контролерами или когда операции по обработке осуществляются от имени контролера.

(51) В целях обеспечения соответствия требованиям настоящего Регламента в отношении обработки, выполняемой лицом, обрабатывающим данные, от имени контролера при поручении деятельности по обработке лицу, обрабатывающему данные, контролеру следует использовать только лиц, которые предоставляют достаточные гарантии, в частности, относительно экспертных знаний, надежности и наличия ресурсов, для реализации технических и организационных мер, которые отвечают требованиям настоящего Регламента, включая безопасность обработки. Приверженность лиц, обрабатывающих данные, кроме учреждений и органов Союза, одобренным нормам поведения или одобренному сертификационному механизму может использоваться как одна из составляющих, демонстрирующих соблюдение обязательств контролером. Осуществление обработки лицом, обрабатывающим данные, кроме учреждений и органов Союза, должно регулироваться договором или в случае, когда учреждения и органы Союза действуют в качестве лиц, обрабатывающих данные, договором или иным правовым актом в соответствии с законодательством Союза, юридически связывающим лицо, обрабатывающее данные, с контролером, устанавливающим предмет договора и продолжительность обработки, характер и цели обработки, тип персональных данных и категории субъектов данных, учитывающим особые риски и ответственность лица, обрабатывающего данные, в контексте предполагаемой обработки, а также риски для прав и свобод субъекта данных. Контролер и лицо, обрабатывающее данные, должны иметь возможность выбора между использованием индивидуального договора или стандартных договорных условий, которые приняты либо непосредственно Европейской Комиссией, либо Европейским инспектором по защите данных, а после этого приняты Европейской Комиссией. По завершении обработки от имени контролера лицу, обрабатывающему данные, следует по выбору контролера вернуть или удалить персональные данные, кроме случаев, когда существует требование о хранении указанных персональных данных в соответствии с законодательством Союза или в соответствии с законодательством государства-члена ЕС, субъектом которого является лицо, обрабатывающее данные.

(52) В целях демонстрации соблюдения настоящего Регламента контролерам следует документировать деятельность по обработке, за которую они несут ответственность, а лицам, обрабатывающим данные, следует документировать категории деятельности по обработке, за которую они несут ответственность. Учреждения и органы Союза обязаны сотрудничать с Европейским инспектором по защите данных и предоставлять ему свою документацию по запросу, чтобы она могла служить для мониторинга данных операций по обработке. Кроме случаев, когда нецелесообразно принимать во внимание размер учреждения или органа Союза, учреждения и органы Союза должны иметь возможность учреждать центральный реестр документации по их деятельности по обработке. По причинам прозрачности они также должны иметь возможность сделать реестр общедоступным.

(53) В целях обеспечения безопасности и предотвращения обработки в нарушение настоящего Регламента контролеру или лицу, обрабатывающему данные, следует оценивать риски, присущие обработке, и реализовывать меры, снижающие данные риски, к примеру, использовать криптографическую защиту. Указанные меры должны обеспечивать надлежащий уровень безопасности, включая конфиденциальность, с учетом последних достижений техники и затрат на реализацию в отношении рисков и характера персональных данных, подлежащих защите. При оценке рисков безопасности данных следует принимать во внимание риски, связанные с обработкой персональных данных, такие как случайное или злоумышленное уничтожение, потеря, изменение, неавторизованное раскрытие или доступ к персональным данным при передаче, хранении или иной обработке, которая может, в частности, привести к физическому, материальному или нематериальному ущербу.

(54) Учреждения и органы Союза должны обеспечивать конфиденциальность электронной связи, предусмотренную Статьей 7 Хартии. В частности, учреждения и органы Союза должны обеспечивать безопасность своих сетей электронной связи. Они должны защищать информацию, относящуюся к терминальному оборудованию пользователей, имеющих доступ к их общедоступным сайтам в Интернете и мобильным приложениям, в соответствии с Директивой 2002/58/ЕС Европейского Парламента и Совета ЕС*(9). Они также должны защищать персональные данные, которые хранятся в файловых системах пользователей.

(55) Утечка персональных данных, если не приняты надлежащие и своевременные меры, может привести к физическому, материальному или нематериальному ущербу для физических лиц. Следовательно, как только контролеру становится известно о случае утечки персональных данных, контролеру следует безотлагательно оповестить об указанной утечке персональных данных Европейского инспектора по защите данных и, когда это практически осуществимо, не позднее чем через 72 часа после получения сведений об утечке, кроме случаев, когда в соответствии с принципом подотчетности контролер способен продемонстрировать, что утечка персональных данных едва ли может привести к риску для прав и свобод физических лиц. Если указанное уведомление не может быть сделано в течение 72 часов, оно должно сопровождаться причинами промедления, и информация может предоставляться поэтапно без дальнейшего необоснованного промедления. Если такое промедление обосновано, менее конфиденциальная или менее конкретная информация об утечке может быть предоставлена как можно раньше вместо того, чтобы полностью урегулировать лежащий в основе инцидент до оповещения.

(56) Контролеру следует без необоснованного промедления оповестить субъекта данных об утечке персональных данных, если существует вероятность того, что утечка персональных данных может привести к высокому риску для прав и свобод физического лица, с тем чтобы позволить ему или ей принять необходимые меры предосторожности. Оповещение должно описывать характер утечки персональных данных, а также должно содержать рекомендации для заинтересованного физического лица по снижению потенциальных негативных последствий. Такие оповещения субъекта данных должны делаться, как только это практически осуществимо и в тесном сотрудничестве с Европейским инспектором по защите данных, а также с учетом руководства, предоставленного им или другими соответствующими органами власти, такими как правоохранительные органы.

(57) Регламент (ЕС) 45/2001 предусматривает, что основным обязательством контролера является оповещение инспектора по защите данных об обработке персональных данных. Кроме случаев, когда нецелесообразно принимать во внимание размер учреждения или органа Союза, инспектор по защите данных должен вести реестр уведомлений об операциях по обработке. Кроме этого основного обязательства, должны быть установлены эффективные процедуры и механизмы в целях мониторинга операций по обработке, при которых велика вероятность возникновения риска для прав и свобод физических лиц из-за их характера, масштаба, контекста и целей. Указанные процедуры, в частности, также должны быть установлены, если типы операций по обработке подразумевают использование новых технологий или если они являются новаторскими в отношении выполненной ранее контролером оценки влияния на защиту данных, или если они становятся необходимыми, принимая во внимание время, прошедшее после начальной обработки. В таких случаях оценка влияния на защиту данных должна выполняться контролером перед началом обработки в целях оценки конкретной вероятности и серьезности высокого риска, принимая во внимание характер, масштаб, контекст и цели обработки, а также источники рисков. Указанная оценка влияния должна включать, в частности, меры, гарантии и механизмы, предусмотренные для снижения данного риска, обеспечивая защиту персональных данных и демонстрируя соответствие настоящему Регламенту.

(58) Если оценка влияния на защиту данных указывает, что обработка при отсутствии гарантий, мер безопасности и механизмов для снижения риска может привести к высокому риску для прав и свобод физических лиц, и если контролер считает, что риск не может быть снижен приемлемыми средствами с учетом доступных технологий и затрат на их реализацию, то следует проконсультироваться с Европейским инспектором по защите данных до начала деятельности по обработке. Такой высокий риск может возникнуть в результате определенных типов обработки, а также в результате обширности и частоты обработки, что также может привести к нанесению ущерба или вмешательству в права и свободы физического лица. Европейскому инспектору по защите данных следует отвечать на запрос о консультации в течение конкретного периода времени. Однако отсутствие реакции со стороны Европейского инспектора по защите данных в течение указанного периода времени не должно лишать права Европейского инспектора по защите данных на какое-либо вмешательство в соответствии с его или ее задачами и полномочиями, установленными в настоящем Регламенте, включая полномочия по запрету на операции по обработке. В качестве части данного консультационного процесса должна существовать возможность подачи результата оценки влияния на защиту данных, выполненной с учетом спорной обработки, на рассмотрение Европейского инспектора по защите данных, в частности, меры, предусмотренные для снижения риска для прав и свобод физических лиц.

(59) Европейского инспектора по защите данных следует информировать об административных мерах и проводить с ним консультации по внутренним правилам, принятым учреждениями и органами Союза по вопросам, относящимся к их деятельности, если они предусматривают обработку персональных данных, устанавливают условия для ограничения прав субъектов данных или предоставляют надлежащие гарантии для прав субъектов данных в целях обеспечения соответствия предполагаемой обработки настоящему Регламенту, в частности, в отношении снижения возможных рисков для субъекта данных.

(60) Регламент (ЕС) 2016/679 учредил Европейский совет по защите данных как независимый орган Союза, обладающий правосубъектностью. Совету следует содействовать в последовательном применении Регламента (ЕС) 2016/679 и Директивы (ЕС) 2016/680 на территории Союза, в том числе посредством рекомендаций для Европейской Комиссии. В то же время Европейскому инспектору по защите данных следует продолжить осуществление его или ее надзорных и консультационных функций в отношении учреждений и органов Союза по его или ее собственной инициативе или по запросу. В целях обеспечения согласования правил по защите данных на территории Союза при подготовке предложений или рекомендаций Европейской Комиссии следует по возможности проводить консультации с Европейским инспектором по защите данных. Консультация Европейской Комиссии становится обязательной после принятия законодательных актов или во время подготовки делегированных актов и имплементационных актов, как определено в Статьях 289, 290 и 291 TFEU, а также после принятия рекомендаций и предложений, относящихся к соглашениям с третьими странами и международными организациями, как предусмотрено в Статье 218 TFEU, которые влияют на право на защиту персональных данных. В таких случаях Европейская Комиссия обязана провести консультации с Европейским инспектором по защите данных, кроме случаев, когда Регламент (ЕС) 2016/679 предусматривает обязательную консультацию с Европейским советом по защите данных, к примеру, в отношении решения о достаточности принятых мер или делегированных актов о стандартизированных условных обозначениях и требованиях для сертификационных механизмов. Если акт, о котором идет речь, имеет особо важное значение для защиты прав и свобод физических лиц в отношении обработки персональных данных, Европейская Комиссия должна иметь дополнительную возможность проведения консультаций с Европейским советом по защите данных. В указанных случаях Европейскому инспектору по защите данных как члену Европейского совета по защите данных следует координировать свою работу с последним в целях выработки общего мнения. Европейский инспектор по защите данных и, если это применимо, Европейский совет по защите данных должны представить свои письменные рекомендации в течение восьми недель. Указанные временные рамки должны быть короче в срочных случаях или в других соответствующих случаях, к примеру, когда Европейская Комиссия готовит делегированные или имплементационные акты.

(61) В соответствии со Статьей 75 Регламента (ЕС) 2016/679 Европейский инспектор по защите данных должен обеспечить работу секретариата Европейского совета по защите данных.

(62) Во всех учреждениях и органах Союза инспектор по защите данных должен обеспечивать, чтобы применялись положения настоящего Регламента, и должен давать рекомендации контролерам и лицам, обрабатывающим данные, по выполнению их обязательств. Указанное должностное лицо должно обладать знаниями эксперта о законодательстве по защите данных и его практическом применении, которые должны определяться, в частности, в соответствии с операциями по обработке данных, выполненными контролером или лицом, обрабатывающим данные, и в соответствии с защитой, требуемой для используемых персональных данных. Указанные должностные лица по защите данных должны иметь возможность независимо выполнять свои обязанности и задачи.

(63) Если персональные данные передаются от учреждений и органов Союза контролерам, лицам, обрабатывающим данные, или иным получателям в третьих странах или международным организациям, должен