GDPR - General Data Protection Regulation (PDF)

Summary

This document details the General Data Protection Regulation (GDPR) of the European Union. It outlines the principles and rules for protecting individuals' personal data while ensuring free movement of such data across member states. The GDPR aims to harmonize fundamental rights and freedoms related to personal data processing.

Full Transcript

04.05.2016 UA Офіційний вісник Європейського Союзу L 119/1
I
(Законодавчі акти)

РЕГЛАМЕНТИ

РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2016/679
від 27 квітня 2016 року
про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух
таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист
даних)
(Текст стосується ЄЕП)

ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ І РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,
Беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 16,
Беручи до уваги пропозицію Європейської Комісії,
Після передавання проекту законодавчого акта національним парламентам,
Беручи до уваги висновок Європейського економічно-соціального комітету (1),
Беручи до уваги висновок Комітету регіонів (2),
Діючи згідно зі звичайною законодавчою процедурою (3),
Оскільки:
(1) Захист фізичних осіб під час опрацювання персональних даних є фундаментальним
правом. Статтею 8(1) Хартії фундаментальних прав Європейського Союзу («Хартія») і
статтею 16(1) Договору про функціонування Європейського Союзу (ДФЄС) встановлено,
що кожна особа має право на захист своїх персональних даних.
(2) Принципи і норми щодо захисту фізичних осіб у зв’язку з опрацюванням їхніх
персональних даних передбачають, незалежно від їхнього громадянства або місця
проживання, дотримання їхніх фундаментальних прав і свобод, зокрема їхнього права на
захист персональних даних. Цей Регламент спрямовано на сприяння формуванню
простору свободи, безпеки і правосуддя, економічного союзу, соціально-економічному
прогресові, зміцненню та конвергенції економік у межах внутрішнього ринку,
підтриманню добробуту фізичних осіб.
(3) Директиву Європейського Парламенту і Ради 95/46/ЄС (4) спрямовано на гармонізацію
захисту фундаментальних прав і свобод фізичних осіб під час опрацювання
персональних даних та забезпечення вільного руху персональних даних між державами-
членами.
(4) Опрацювання персональних даних призначено для служіння людству. Право на захист
персональних даних не є абсолютним правом; воно повинне розглядатися в зв’язку з
__________
(1) ОВ C 229, 31.07.2012, с. 90.
(2) ОВ C 391, 18.12.2012, с. 127.
(3) Позиція Європейського Парламенту від 12 березня 2014 року (ще не опубліковано в Офіційному віснику) і
позиція Ради в першому читанні від 8 квітня 2016 року (ще не опубліковано в Офіційному віснику). Позиція
Європейського Парламенту від 14 квітня 2016 року.
(4) Директива Європейського Парламенту і Ради 95/46/ЄС від 24 жовтня 1995 року про захист осіб у зв’язку з
опрацюванням персональних даних і про вільний рух таких даних (ОВ L 281, 23.11.1995, с. 31).
 його функцією в суспільстві та бути збалансованим з іншими фундаментальними
правами згідно з принципом пропорційності. У цьому Регламенті дотримано всі
фундаментальні права та свободи і принципи, визнані у Хартії, як це передбачено в
Договорах, зокрема щодо поваги до приватного та сімейного життя, житла та
спілкування, захисту персональних даних, свободи думки, совісті та віросповідання,
свободи вияву поглядів та свободи інформації, свободи підприємництва, права на дієвий
засіб правового захисту та справедливий суд, а також — культурного, релігійного та
мовного різноманіття.
(5) Економічна та соціальна інтеграція як результат функціонування внутрішнього ринку
спричинила істотне зростання транскордонних потоків персональних даних. Зріс обмін
персональними даними між публічними та приватними суб’єктами, в тому числі
фізичними особами, асоціаціями та підприємствами на рівні Союзу. Відповідно до
законодавства Союзу, національні органи держав-членів закликають до співпраці та
обміну персональними даними для надання їм можливості виконувати свої обов’язки або
завдання від імені органу в іншій державі-члені.
(6) Стрімкий технологічний розвиток і глобалізація призводять до виникнення нових
труднощів для захисту персональних даних. Масштаби збирання та спільного
використання персональних даних суттєво зросли. Технології дозволяють як приватним
компаніям, так і публічним органам користуватися персональними даними в
безпрецедентних масштабах з метою реалізації своєї діяльності. Фізичні особи дедалі
частіше надають доступ до персональної інформації для громадськості та в глобальному
масштабі. Технології змінили як економіку, так і суспільне життя і повинні надалі
стимулювати вільний рух персональних даних у межах Союзу та передавання їх до
третіх країн і міжнародних організацій, забезпечуючи при цьому високий рівень захисту
персональних даних.
(7) Такі зміни вимагають наявності міцних та більш узгоджених засад щодо захисту даних у
Союзі, із запровадженням належного механізму виконання, беручи до уваги важливість
формування довіри, що дозволить розвиток цифрової економіки на рівні внутрішнього
ринку. Фізичні особи повинні мати контроль щодо власних персональних даних.
Необхідно зміцнити правову та практичну визначеність для фізичних осіб, суб’єктів
господарювання і органів публічної влади.
(8) Якщо цим Регламентом передбачено уточнення або обмеження його норм
законодавством держав-членів, у такому разі останні можуть, мірою необхідності
узгодження і забезпечення розуміння положень національного законодавства особами, на
які вони поширюються, інкорпорувати елементи цього Регламенту у своє національне
законодавство.
(9) Цілі та принципи Директиви 95/46/ЄС зберігають свою силу, проте це не запобігає
фрагментації в процесі реалізації захисту даних у межах Союзу, правовій невизначеності
чи широкому розповсюдженню громадської думки про існування значних ризиків для
захисту фізичних осіб, зокрема у зв’язку з діяльністю онлайн. Відмінності в рівні захисту
прав і свобод фізичних осіб, зокрема права на захист персональних даних, у зв’язку з
опрацюванням персональних даних у державах-членах можуть перешкоджати вільному
потоку персональних даних всередині Союзу. Відповідно, такі відмінності можуть
перешкоджати веденню економічної діяльності на рівні Союзу, спотворювати
конкуренцію та заважати органам влади виконувати свої обов’язки відповідно до
законодавства Союзу. Така відмінність у рівнях захисту виникає внаслідок відмінностей
в ході імплементації та застосування Директиви 95/46/ЄС.
(10) Для забезпечення сталого та високого рівня захисту фізичних осіб і усунення перешкод
для потоків персональних даних у межах Союзу, у всіх державах-членах рівень захисту
прав і свобод фізичних осіб у зв’язку з опрацюванням таких даних повинен бути
однаковим. Необхідно забезпечити послідовне та однорідне застосування норм щодо
захисту фундаментальних прав і свобод фізичних осіб у зв’язку з опрацюванням
 персональних даних у всьому Союзі. Якщо опрацювання персональних даних
здійснюють для відповідності встановленим законом зобов’язанням, для виконання
завдання суспільних інтересів або для здійснення офіційних повноважень, покладених на
контролера, державам-членам необхідно дозволити мати або вводити положення
національного законодавства для більш детального уточнення застосування норм цього
Регламенту. Разом із загальним і горизонтальним законодавством, що регулює питання
захисту даних, за допомогою якого імплементують Директиву 95/46/ЄС, держави-члени
мають декілька секторальних законів у сферах, що потребують більш уточнених
положень. Цей Регламент також надає простір для маневру для держав-членів в
уточненні своїх норм, зокрема щодо опрацювання спеціальних категорій персональних
даних («чутливих даних»). Відповідно, цей Регламент не виключає законодавство
держави-члена у визначенні обставин особливих ситуацій опрацювання, зокрема в
уточненні умов, за яких опрацювання персональних даних є правомірним.
(11) Дієвий захист персональних даних у всьому Союзі вимагає зміцнення та детального
опису прав суб’єктів даних і обов’язків осіб, які здійснюють опрацювання і приймають
рішення щодо опрацювання персональних даних, а також надання рівнозначних
повноважень з моніторингу і забезпечення дотримання норм щодо захисту персональних
даних та застосування відповідних санкцій за порушення прав у державах-членах.
(12) Стаття 16(2) ДФЄС уповноважує Європейський Парламент і Раду встановити норми
щодо захисту фізичних осіб у зв’язку з опрацюванням персональних даних і норми про
вільний рух персональних даних.
(13) Для забезпечення послідовного рівня захисту фізичних осіб у всьому Союзі та
запобігання виникненню розбіжностей, що ускладнюють вільний рух персональних
даних у межах внутрішнього ринку, необхідно, щоб Регламент забезпечував правову
визначеність та прозорість для суб’єктів господарювання, у тому числі
мікропідприємств, малих і середніх підприємств, надавав фізичним особам у всіх
державах-членах однаковий рівень прав і зобов’язань, що мають юридичну силу, та
обов’язків для контролерів і операторів, забезпечував постійний моніторинг
опрацювання персональних даних, належні санкції у всіх державах-членах, а також дієву
співпрацю між наглядовими органами різних держав-членів. Належне функціонування
внутрішнього ринку вимагає, щоб вільний рух персональних даних у всьому Союзі не
було обмежено чи заборонено з причин, пов’язаних із захистом фізичних осіб у зв’язку з
опрацюванням персональних даних. Щоб врахувати особливу ситуацію
мікропідприємств, малих і середніх підприємств, для організацій з численністю штатних
працівників менше 250 осіб цим Регламентом передбачено відступ у частині ведення
обліку. Окрім того, установи та органи влади Союзу, держави-члени, а також їхні
наглядові органи закликають враховувати особливі потреби мікропідприємств, малих і
середніх підприємств у ході застосування цього Регламенту. Поняття мікропідприємтв,
малих і середніх підприємств повинно відповідати означенню, яке містять положення
статті 2 додатку до Рекомендації Комісії 2003/361/ЄС (1).
(14) Захист, передбачений цим Регламентом, поширюється на фізичних осіб, незалежно від
їхнього громадянства чи місця проживання, під час опрацювання їхніх персональних
даних. Цей Регламент не поширюється на опрацювання персональних даних юридичних
осіб та, зокрема, підприємств, заснованих як юридичні особи, які містять інформацію про
найменування, організаційно-правову форму юридичної особи і контактну інформацію
юридичної особи.
(15) Для запобігання виникненню серйозного ризику правопорушення, захист фізичних осіб
повинен бути технологічно нейтральним і незалежним від методів, які використовують.
Захист фізичних осіб застосовують до опрацювання персональних даних за допомогою
автоматизованих і ручних засобів, якщо персональні дані містяться або призначення для
__________
(1) Рекомендація Комісії від 6 травня 2003 року щодо означення мікропідприємств, малих і середніх підприємств
(C(2003) 1422) (OВ L 124, 20.05.2003, с. 36).
 внесення до картотеки. На файли або групи файлів, а також їхні титульні сторінки, які не
структуровано за спеціальними критеріями, дія цього Регламенту не поширюється.
(16) Цей Регламент не застосовують до питань захисту фундаментальних прав і свобод або
вільного потоку персональних даних, пов’язаних з діяльністю поза межами
законодавства Союзу, наприклад, діяльністю щодо національної безпеки. Цей Регламент
не застосовують до опрацювання персональних даних державами-членами у ході
діяльності щодо спільної зовнішньої та безпекової політики Союзу.
(17) Регламент Європейського Парламенту і Ради (ЄС) № 45/2001 (1) застосовують до
опрацювання персональних даних установами, органами, офісами та агентствами Союзу.
Регламент (ЄС) № 45/2001 та інші нормативно-правові акти Союзу, застосовні до такого
опрацювання персональних даних, необхідно адаптувати до принципів і норм,
встановлених цим Регламентом та застосовних у зв’язку з ним. Для забезпечення міцних
та узгоджених засад щодо захисту даних у Союзі, необхідно здійснити адаптацію
Регламенту (ЄС) № 45/2001 після адаптації цього Регламенту, що дозволяє його
застосування одночасно із застосуванням цього Регламенту.
(18) Цей Регламент не застосовують до опрацювання персональних даних фізичною особою у
ході суто особистої або побутової діяльності, а, отже, жодним чином не пов’язаної з
професійною або комерційною діяльністю. Особисту або побутову діяльність може
становити ведення кореспонденції та зберігання адрес, або ведення соціальних мереж і
онлайн-діяльності, розпочатої у контексті такої діяльності. Проте цей Регламент
застосовують до контролерів і операторів, які надають засоби для опрацювання
персональних даних для такої особистої або побутової діяльності.
(19) На захист фізичних осіб у зв’язку з опрацюванням персональних даних компетентними
органами для цілей запобігання, розслідування, виявлення або переслідування за скоєння
кримінальних злочинів або для виконання кримінальних покарань, у тому числі захисту
від або запобігання загрозам громадській безпеці та вільному руху таких даних,
поширюється застосування спеціального нормативно-правового акта Союзу. Відповідно,
цей Регламент не можна застосовувати до опрацювання даних для таких цілей. Проте
питання щодо опрацювання персональних даних, яке здійснюють органи публічної влади
згідно з цим Регламентом, у разі їх використання для таких цілей, підлягає
врегулюванню уточненим спеціальним нормативно-правовим актом Союзу, зокрема
Директивою Європейського Парламенту і Ради (ЄС) 2016/680 (2). Держави-члени можуть
доручити компетентним органам у значенні Директиви (ЄС) 2016/680 завдання, які
необов’язково виконують для цілей запобігання, розслідування, виявлення або
переслідування за скоєння кримінальних злочинів або для виконання кримінальних
покарань, у тому числі захисту від або запобігання загрозам громадській безпеці, тому на
опрацювання персональних даних для таких інших цілей, в частині, що стосується сфери
застосування законодавства Союзу, поширюється дія цього Регламенту.
У сфері опрацювання персональних даних такими компетентними органами для цілей, на
які поширюється сфера застосування цього Регламенту, державам-членам необхідно
дозволити мати або вводити більш уточнені положення для адаптації застосування норм
цього Регламенту. Такими положеннями можна більш чітко визначити спеціальні вимоги
до опрацювання персональних даних такими компетентними органами для зазначених
інших цілей з огляду на конституційну, організаційну та адміністративну структуру
відповідної держави-члени. Якщо на опрацювання персональних даних приватними
__________
(1) Регламент Європейського Парламенту і Ради (ЄС) № 45/2001 від 18 грудня 2000 року про захист осіб у зв’язку з
опрацюванням персональних даних установами та органами Співтовариства і про вільний рух таких даних (ОВ
L 8, 12.01.2001, с. 1).
(2) Директива Європейського Парламенту і Ради (ЄС) 2016/680 від 27 квітня 2016 року про захист фізичних осіб у
зв’язку з опрацюванням персональних даних компетентними органами для цілей запобігання, розслідування,
виявлення або переслідування за вчинення кримінальних злочинів або виконання кримінальних покарань і про
вільний рух таких даних, а також скасування Рамкового рішення Ради 2008/977/JHA (див. с. 89 цього
Офіційного вісника).
 органами поширюється сфера застосування цього Регламенту, у такому разі цей
Регламент повинен надавати державам-членам можливість за особливих обставин
вводити обмеження на законодавчому рівні щодо деяких обов’язків та прав у разі, якщо
таке обмеження є необхідним і пропорційним заходом для захисту особливих важливих
інтересів в демократичному суспільстві, зокрема для громадської безпеки та запобігання,
виявлення чи переслідування за скоєння кримінальних злочинів або виконання
кримінальних покарань, у тому числі захисту від або запобігання загрозам громадській
безпеці. Це є доцільним наприклад у контексті боротьби проти відмивання грошей або
діяльності лабораторій судових експертиз.
(20) Оскільки дія цього Регламенту поширюється, між іншим, на діяльність судів і інших
судових органів, у законодавстві Союзу або держав-членів можна чітко визначити
операції і процедури опрацювання, пов’язані з опрацюванням персональних даних
судами та іншими судовими органами. Компетенція наглядових органів не повинна
поширюватися на опрацювання персональних даних у ситуаціях, коли суди діють як
судові органи, для збереження їхньої незалежності у ході виконання ними судових
функцій, у тому числі в процесі вироблення й ухвалення рішень. Необхідно надати
можливість покладання обов’язків з нагляду за операціями опрацювання таких даних на
спеціальні органи в рамках судової системи держави-члена, які повинні, зокрема,
забезпечувати дотримання норм цього Регламенту, підвищувати інформованість
представників судових органів про їхні обов’язки за цим Регламентом і розглядати
скарги у зв’язку з операціями опрацювання таких даних.
(21) Цим Регламентом дотримано застосування Директиви Європейського Парламенту і Ради
2000/31/ЄС (1), зокрема норм статей 12–15 зазначеної Директиви про відповідальність
надавачів посередницьких послуг. Зазначену Директиву спрямовано на сприяння
належному функціонуванню внутрішнього ринку шляхом забезпечення вільного руху
надання послуг інформаційного суспільства між державами-членами.
(22) Будь-яке опрацювання персональних даних у контексті діяльності осідку контролера або
оператора в Союзі необхідно здійснювати відповідно до цього Регламенту, незалежно від
того, чи відбувається власне опрацювання в межах Союзу. Ефективна і реальна
діяльність осідку передбачає стабільну організацію. У контексті згаданого правова
форма такої організації, чи то через відділення, чи то через філію зі статусом юридичної
особи, не є у цьому зв’язку визначальним фактором.
(23) Для того, щоб забезпечити, що фізичних осіб не позбавлено захисту, на який вони мають
право за цим Регламентом, на опрацювання персональних даних суб’єктів даних, які
перебувають в Союзі, контролером або оператором, що не мають осідку в Союзі,
повинна поширюватися сфера застосування цього Регламенту, якщо діяльність з
опрацювання стосується надання товарів або постачання послуг таким суб’єктам даних,
незалежно від того, чи пов’язані вони з платежем. Для встановлення факту пропонування
товарів або постачання послуг таким контролером або оператором суб’єктам даних, що
перебувають в Союзі, необхідно переконатися у тому, чи є очевидним те, що контролер
або оператор передбачає постачання послуг суб’єктам даних в одній або декількох
державах-членах Союзу. Оскільки власне доступність у рамках Союзу веб-сайту
контролера, оператора або посередника, або електронної адреси чи іншої контактної
інформації, або використання мови, що є загальновживаною в третій країні, де має осідок
контролер, є недостатньою для встановлення такого наміру, такі фактори як
використання мови або валюти, що є загальноприйнятими в одній або декількох
державах-членах, із можливістю замовити товари чи послуги тією іншою мовою, або
згадування споживачів чи користувачів, що перебувають у Союзі, підтверджують те, що
контролер передбачає надання товарів або постачання послуг суб’єктам даних у Союзі.

__________
(1) Директива Європейського Парламенту і Ради 2000/31/ЄС від 8 червня 2000 року про деякі правові аспекти
послуг інформаційного суспільства, зокрема електронної комерції, на внутрішньому ринку («Директива про
електронну комерцію») (ОВ L 178, 17.07.2000, с. 1).
(24) Опрацювання персональних даних суб’єктів даних, які перебувають у Союзі,
контролером або оператором, що мають осідок поза межами Союзу, необхідно також
здійснювати з урахуванням цього Регламенту в частині моніторингу поведінки таких
суб’єктів даних тією мірою, якою їхня поведінка має місце в межах Союзу. Для того,
щоб визначити, чи можна вважати діяльність з опрацювання такою, яку здійснюють для
моніторингу поведінки суб’єктів даних, необхідно встановити, чи є фізичні особи
об’єктами відстежування в Інтернеті, у тому числі, чи може мати місце подальше
використання методик опрацювання персональних даних, що складаються з профайлінгу
фізичної особи, зокрема для прийняття рішення щодо неї або нього чи для проведення
аналізу, або передбачення її або його особистих переваг, поведінки чи ставлення.
(25) Якщо законодавство держави-члена застосовують в силу норм публічного міжнародного
права, цей Регламент необхідно також застосовувати до контролера, що має осідок поза
межами Союзу, зокрема при дипломатичній місії держави-члена чи консульській
установі.
(26) Принципи захисту даних необхідно застосовувати до будь-якої інформації про фізичну
особу, яку ідентифіковано чи можна ідентифікувати. Персональні дані із використанням
псевдоніму, що можна приписати фізичній особі після використання додаткової
інформації, необхідно розглядати як інформацію про фізичну особу, яку можна
ідентифікувати. Щоб встановити можливість ідентифікації фізичної особи, необхідно
взяти до уваги всі способи, що будуть використані з високою імовірністю, такі як
відокремлення, контролером або іншою особою для ідентифікації фізичної особи прямо
чи опосередковано. Для встановлення достатньої ймовірності використання способів для
ідентифікації фізичної особи, необхідно взяти до уваги всі об’єктивні фактори, такі як
витрати та період часу, необхідні для ідентифікації, з огляду на технології, наявні станом
на момент опрацювання, і технологічні розробки. Принципи захисту даних, відповідно,
не можна застосовувати до анонімної інформації, зокрема інформації, що не стосується
фізичної особи, яку ідентифіковано чи можна ідентифікувати, або персональних даних,
що стали анонімними у такий спосіб, що суб’єкта даних неможливо чи більше
неможливо ідентифікувати. Таким чином цей Регламент не стосується опрацювання
такої анонімної інформації, у тому числі, для статистичних або дослідницьких цілей.
(27) Цей Регламент не застосовують до персональних даних померлих осіб. Держави-члени
можуть вводити норми щодо опрацювання персональних даних померлих осіб.
(28) Використання псевдонімів до персональних даних може зменшити ризики для
відповідних суб’єктів даних та допомогти контролерам і операторам у виконанні своїх
обов’язків із захисту даних. Пряме введення означення «використання псевдоніму» у
цьому Регламенті не передбачає обмеження будь-яких інших заходів щодо захисту
даних.
(29) Для створення стимулів використання псевдоніму під час опрацювання персональних
даних, заходи щодо використання псевдоніму повинні, дозволяючи при цьому загальний
аналіз, уможливлювати їхнє використання самим контролером, якщо такий контролер
застосував технічно-організаційні інструменти, необхідні для забезпечення, у відповідній
ситуації опрацювання, виконання цього Регламенту, а також якщо додаткову інформацію
для приписування персональних даних до певного суб’єкта даних зберігають окремо.
Контролер, що здійснює опрацювання персональних даних, повинен зазначити
уповноважених осіб серед тих, що працюють з тим самим контролером.
(30) Фізичні особи можуть бути пов’язані з онлайн-ідентифікаторами за допомогою їхніх
пристроїв, додатків, інструментів чи протоколів, зокрема IP-адрес, ідентифікаторів
«cookie» (реп’яшків) або інших ідентифікаторів, таких як мітки радіочастотної
ідентифікації. Це може залишити підказки, які, особливо в поєднанні з унікальними
ідентифікаторами та іншою інформацією, отриманою з серверів, можна використати для
створення профілів фізичних осіб та їхньої ідентифікації.
(31) Органи публічної влади, яким розкривають персональні дані відповідно до
встановленого законом зобов’язання щодо виконання ними посадових функцій, такі як
податкові та митні органи, служби фінансових розслідувань, незалежні адміністративні
органи або органи державного регулювання фінансового ринку, відповідальні за
регулювання та нагляд за фондовими ринками, не можна розглядати як одержувачів,
якщо їм надають персональні дані, необхідні для проведення певного розслідування у
загальних інтересах, відповідно до законодавства Союзу або держави-члена. Запити на
розкриття, які надають органи публічної влади, повинні завжди бути оформлені в
письмовій формі, вмотивовані та призначені для спеціального випадку; вони не повинні
впливати на всю картотеку або спричиняти взаємозалежність картотек. Такі органи
публічної влади повинні здійснювати опрацювання персональних даних відповідно до
застосовних норм щодо захисту даних та цілей опрацювання.
(32) Згоду необхідно надавати шляхом чіткого ствердження, що становить вільно надане,
конкретне, проінформоване та однозначне свідчення погодження суб’єкта даних на
опрацювання його або її персональних даних, зокрема, у формі письмової заяви, в тому
числі електронними засобами, або у формі усної заяви. Це може включати заповнення
клітинки позначкою під час відвідування веб-сайту в мережі Інтернет, обрання технічних
налаштувань для послуг інформаційного суспільства або іншу заяву чи поведінку, що
чітко вказують на погодження суб’єктом даних із запропонованим опрацюванням
персональних даних. Мовчання, автоматичне заповнення клітинок позначками або
бездіяльність, відповідно, не становлять надання згоди. Згода повинна поширюватися на
всі види опрацювання даних, що здійснюють для однакової цілі або цілей. У разі, якщо
опрацювання передбачає досягнення множинних цілей, згода потрібна для кожної з них.
Якщо згоду суб’єкта даних необхідно надати після електронного запиту, у такому разі
запит повинен бути чітким, точним та не мати надмірно негативних наслідків для
використання послуги, для якої його надають.
(33) Часто на момент збирання даних неможливо повністю визначити мету опрацювання
персональних даних для цілей наукового дослідження. Тому, суб’єкти даних повинні
мати дозвіл на надання згоди на деякі сфери наукових досліджень, якщо в них дотримано
визнаних етичних норм для наукового дослідження. Суб’єкти даних повинні мати
можливість надавати свою згоду лише на окремі сфери дослідження або частини
дослідницьких проектів в обсязі, виправданому поставленою метою.
(34) Необхідно означити генетичні дані як персональні дані, що стосуються вроджених або
набутих генетичних ознак фізичної особи та отримані в результаті аналізу біологічної
проби, взятої у певної фізичної особи, зокрема хромосомного аналізу, аналізів
дезоксирибонуклеїнової кислоти (ДНК) або рибонуклеїнової кислоти (РНК), чи аналізу
іншого компоненту, що уможливлює отримання аналогічної інформації.
(35) Персональні дані стосовно стану здоров’я повинні містити всі дані, що пов’язані зі
станом здоров’я суб’єкта даних та розкривають інформацію про минулий, поточний або
майбутній стан фізичного або психічного здоров’я суб’єкта даних. Це включає
інформацію про фізичну особу, зібрану під час реєстрації на надання послуг, або надання
послуг, у сфері охорони здоров’я, як вказано у Директиві Європейського Парламенту і
Ради 2011/24/ЄС (1), такій фізичній особі; номер, символьний знак або опис, що
приписують фізичній особі для того, щоб однозначно ідентифікувати фізичну особу для
цілей охорони здоров’я; інформацію, отриману внаслідок дослідження або огляду
частини тіла чи речовини, що міститься в тілі, у тому числі з генетичних даних або
біологічних проб; а також будь-яку інформацію, наприклад, про захворювання,
недієздатність, ризик захворювання, історію хвороби, клінічне лікування або
фізіологічний чи біомедичний стан здоров’я суб’єкта даних, незалежно від джерела її

__________
(1) Директива Європейського Парламенту і Ради 2011/24/ЄС від 9 березня 2011 року про забезпечення прав
пацієнтів на транскордонні послуги з охорони здоров’я (ОВ L 88, 4.04.2011, с. 45).
 надходження, наприклад, від лікаря або іншого медичного працівника, від лікарні,
медичного обладнання або тестів лабораторної діагностики.
(36) Головним осідком контролера в Союзі має бути місце розташування його центральної
адміністрації в Союзі, за винятком прийняття рішень про цілі та засоби опрацювання в
іншому осідку контролера в Союзі, у такому разі такий інший осідок необхідно вважати
головним осідком. Головний осідок контролера в Союзі необхідно визначати за
об’єктивними критеріями з огляду на результативну та фактичну управлінську
діяльність, у ході якої ухвалюють ключові рішення щодо цілей та засобів опрацювання
на основі стабільних домовленостей. Цей критерій не повинен залежати від того, чи
здійснюють опрацювання персональних даних у такому місці. Наявність та використання
технічних засобів та технологій опрацювання персональних даних або опрацювання
даних не становлять як такі головний осідок та, відповідно, не є вирішальними
критеріями для головного осідку. Головним осідком оператора повинно бути місце
розташування його центральної адміністрації в Союзі або, якщо немає його центральної
адміністрації в Союзі, місце, де виконують основні види опрацювання даних в Союзі. У
випадках залучення і контролера, і оператора, компетентний головний наглядовий орган
повинен залишатися наглядовим органом держави-члена, де має осідок контролер, але
наглядовий орган оператора необхідно вважати відповідним наглядовим органом, і такий
наглядовий орган повинен брати участь у процедурі співпраці, передбаченій цим
Регламентом. У будь-якому разі наглядові органи держави-члена або держав-членів, у
яких оператор має одне або декілька осідків, не можна вважати відповідними
наглядовими органами, якщо проект рішення стосується лише контролера. Якщо
опрацювання здійснює група підприємств, головний осідок підприємства, що здійснює
контроль, необхідно вважати головним осідком групи підприємств, за винятком, якщо
цілі та засоби опрацювання визначено іншим підприємством.
(37) Групу підприємств утворює підприємство, що здійснює контроль, і підприємства під
його контролем, при цьому підприємство, що здійснює контроль, повинно бути
підприємством, що має право здійснювати домінантний вплив на інші підприємства
шляхом застосування, наприклад, права власності, фінансової участі чи правил, що її
регулюють, або повноваження на застосування норм про опрацювання персональних
даних. Підприємство, що контролює опрацювання персональних даних в афілійованих
підприємствах, необхідно вважати разом з такими підприємствами групою підприємств.
(38) Діти потребують особливого захисту в питанні персональних даних, оскільки вони
можуть бути менш обізнаними про відповідні ризики, наслідки та гарантії, а також про
свої права щодо опрацювання персональних даних. Такий особливий захист повинен,
зокрема, застосовуватися до використання персональних даних дітей для цілей
маркетингу або створення профілів особистості чи користувача та збирання
персональних даних щодо дітей під час користування послугами, що пропонують
безпосередньо дитині. Згоду особи, що несе батьківську відповідальність, не можна
вимагати в контексті надання профілактичних або консультаційних послуг
безпосередньо дитині.
(39) Будь-яке опрацювання персональних даних повинно бути законним та правомірним.
Фізичні особи повинні бути обізнані про те, що їхні персональні дані збирають,
використовують, обговорюють або іншим чином опрацьовують, а також про те, якою
мірою опрацьовують чи опрацьовуватимуть персональні дані. Принцип прозорості
вимагає, щоб будь-яка інформація та повідомлення щодо опрацювання таких
персональних даних були доступними і зрозумілими, з використанням чітких і простих
формулювань. Цей принцип стосується, зокрема, інформування суб’єктів даних про
особу контролера та цілі опрацювання і надання подальшої інформації для забезпечення
правомірного і прозорого опрацювання в частині, що стосується відповідних фізичних
осіб та їхнього права на отримання підтвердження та повідомлення про ті персональні
дані, які їх стосуються та підлягають опрацюванню. Фізичні особи повинні бути обізнані
про ризики, правила, гарантії та права щодо опрацювання персональних даних і про те,
 як реалізувати свої права у зв’язку з таким опрацюванням. Зокрема, спеціальні цілі
опрацювання персональних даних повинні бути прямо вираженими та законними, а
також означеними на момент збирання персональних даних. Персональні дані повинні
бути достатніми, відповідними та обмежуватися тим, що є необхідним для досягнення
цілей, для яких їх опрацьовують. Це вимагає, зокрема, забезпечення того, що період,
протягом якого зберігаються персональні дані, скорочений до абсолютного мінімуму.
Персональні дані необхідно опрацьовувати, лише якщо мети опрацювання не можна
досягнути розумним чином іншими засобами. Щоб забезпечити, що персональні дані не
зберігаються довше, ніж це необхідно, контролер повинен установити часові рамки для
стирання або періодичного перегляду. Необхідно вживати всіх відповідних заходів для
забезпечення виправлення або видалення неточних персональних даних. Персональні
дані необхідно опрацьовувати в спосіб, що забезпечує відповідний рівень безпеки та
конфіденційності персональних даних, у тому числі для запобігання несанкціонованому
доступу або використанню персональних даних, а також обладнання, необхідного для
опрацювання.
(40) Для того, щоб опрацювання було законним, персональні дані необхідно опрацьовувати
на підставі згоди відповідного суб’єкта даних або на іншій законній підставі,
встановленій законом, або у цьому Регламенті, або в іншому нормативно-правовому акті
Союзу або держави-члена, як вказано в цьому Регламенті, у тому числі за необхідності
дотримання встановленого законом зобов’язання, яке поширюється на контролера, або за
необхідності виконання договору, стороною якого є суб’єкт даних, або для вжиття
заходів на запит суб’єкта даних до укладення договору.
(41) Якщо цей Регламент містить покликання на законодавчу базу або законодавчий
інструмент, ухвалення парламентом законодавчого акту, з дотриманням вимог, що
відповідають конституційному порядку відповідної держави-члена, є необов’язковим.
Проте така законодавча база або такий законодавчий інструмент повинні бути чіткими та
точними, а їхнє застосування повинно бути передбачуваним для осіб, яких вони
стосуються, згідно з прецедентним правом Суду Європейського Союзу («Суд») і
Європейського суду з прав людини.
(42) У разі, якщо опрацювання здійснюють на підставі згоди суб’єкта даних, контролер
повинен бути спроможним довести те, що суб’єкт даних надав згоду на операцію
опрацювання. Зокрема, в контексті письмової заяви з іншого питання, гарантії повинні
забезпечувати те, що суб’єкт даних обізнаний про факт і межі надання згоди. Згідно з
Директивою Ради 93/13/ЄЕС (1) заяву про надання згоди, попередньо сформульовану
контролером, необхідно надавати в зрозумілій та доступній формі з використанням
чітких і простих формулювань, а також вона не повинна містити неправомірні умови.
Для того, щоб згода вважалася поінформованою, суб’єкт даних повинен бути обізнаним
принаймні про особу контролера та цілі опрацювання, для яких призначено
використання персональних даних. Згоду не можна вважати такою, що було добровільно
надано, якщо суб’єкт даних не здійснює справжнього чи добровільного вибору, або
неспроможний відмовити в наданні згоди або її відкликанні, не заподіюючи при цьому
шкоди.
(43) Щоб забезпечити, що згоду було надано добровільно, вона не повинна передбачати
необхідність застосування дійсних законних підстав опрацювання персональних даних у
спеціальному випадку, коли існує помітний дисбаланс між суб’єктом даних і
контролером, зокрема коли контролер є органом публічної влади і, тому, малоймовірно,
що згоду було надано добровільно за усіх обставин такої спеціальної ситуації.
Презумпція ненадання добровільної згоди виникає у разі відсутності окремого дозволу
на здійснення різних операцій опрацювання персональних даних, незважаючи на її
відповідність окремому випадку, або, якщо виконання договору, в тому числі, надання
__________
(1) Директива Ради 93/13/ЄЕС від 5 квітня 1993 року про несправедливі умови споживчих договорів (ОВ L 95,
21.04.1993, с. 29).
 послуги, залежить від надання згоди, незважаючи на те, що така згода не є обов’язковою
для такого виконання.
(44) Опрацювання необхідно вважати законним у разі його необхідності для укладення
договору або наміру щодо укладення договору.
(45) Якщо опрацювання здійснюють відповідно до встановленого законом зобов’язання
контролера, або якщо це необхідно для виконання завдання в суспільних інтересах або
здійснення офіційних повноважень, його необхідно проводити на підставі нормативно-
правового акту Союзу чи держави-члена. Цей Регламент не вимагає ухвалення
спеціального нормативно-правового акту для кожного окремого опрацювання.
Нормативно-правового акту як основи для здійснення декількох операцій з опрацювання,
що ґрунтуються на виконанні встановленого законом зобов’язання контролера, або, за
умов необхідності, виконанні завдання в суспільних інтересах чи здійсненні офіційних
повноважень, може бути достатньо. Ціль опрацювання повинен встановлювати
безпосередньо нормативно-правовий акт Союзу або держави-члена. Крім того, такий
нормативно-правовий акт може зазначати загальні умови цього Регламенту, що
регулюють законність опрацювання персональних даних, встановлювати технічні вимоги
до визначення контролера, тип персональних даних, що підлягають опрацюванню,
відповідних суб’єктів даних, установи, яким можна розкривати персональні дані, цільові
обмеження, період зберігання та інші заходи для забезпечення законного та
правомірного опрацювання. Також саме нормативно-правовий акт Союзу або держави-
члена визначає, чи повинен контролер, що виконує завдання в суспільних інтересах або
для здійснення офіційних повноважень, бути органом публічної влади або ще однією
фізичною або юридичною особою, діяльність якої регулюється публічним правом, або,
якщо це є в суспільних інтересах, у тому числі для цілей здоров’я таких як охорона
суспільного здоров’я та соціальний захист і управління послугами в сфері охорони
здоров’я, приватним правом, зокрема професійною асоціацією.
(46) Опрацювання персональних даних необхідно також вважати законним, якщо постає
необхідність захистити інтерес, що є важливим для життя суб’єкта даних або життя ще
однієї фізичної особи. Опрацювання персональних даних на підставі життєво важливого
інтересу іншої фізичної особи повинно мати місце лише у випадку, коли опрацювання
неможливо відкрито здійснювати на іншій законній підставі. Деякі типи опрацювання
можуть ґрунтуватися на важливих підставах суспільного інтересу та життєво важливих
інтересах суб’єкта даних, наприклад, якщо опрацювання є необхідним для гуманітарних
цілей, у тому числі моніторингу епідемій та їхнього розповсюдження чи у випадку
надзвичайних гуманітарних ситуацій, зокрема в ситуаціях стихійних лих і антропогенних
катастроф.
(47) Законні інтереси контролера, в тому числі інтереси, задля яких можна розкрити
персональні дані, або законні інтереси третьої сторони, можуть передбачати необхідність
законодавчої бази опрацювання за умови, що інтереси чи фундаментальні права або
свободи суб’єкта даних не є пріоритетними, враховуючи розумні очікування суб’єктів
даних, засновані на їхніх відносинах з контролером. Такий законний інтерес може
існувати, наприклад, якщо є відповідні та належні відносини між суб’єктом даних і
контролером у ситуаціях, наприклад, коли суб’єкт даних є клієнтом або перебуває на
службі в контролера. У будь-якому разі існування законного інтересу потребуватиме
ретельного оцінювання, а саме, чи може суб’єкт даних відповідним чином очікувати
ймовірного проведення опрацювання для такої цілі, на момент збирання і в контексті
збирання персональних даних. Інтереси та фундаментальні права суб’єкта даних можуть,
зокрема, переважати над інтересами контролера даних, якщо опрацювання персональних
даних відбувається за обставин, коли суб’єкти даних відповідним чином не очікують на
подальше опрацювання. З огляду на те, що саме законодавець повинен передбачити
законом законодавчу базу для опрацювання персональних даних органами публічної
влади, таку законодавчу базу не можна застосовувати до опрацювання даних органами
публічної влади під час виконання своїх функцій. Опрацювання персональних даних, що
 є необхідним винятково для цілей запобігання шахрайству також становить законний
інтерес відповідного контролера даних. Опрацювання персональних даних для цілей
прямого маркетингу можна вважати опрацюванням, що здійснюють для забезпечення
законного інтересу.
(48) Контролери, які є частиною групи підприємств чи установ, афілійованих з центральним
органом, можуть мати законний інтерес у передаванні персональних даних усередині
групи підприємств для внутрішніх адміністративних цілей, у тому числі для
опрацювання персональних даних клієнтів або працівників. Загальні принципи щодо
передавання персональних даних, що діють всередині групи підприємств, до
підприємства, розташованого в третій країні, залишаються без змін.
(49) Опрацювання персональних даних мірою, що є надзвичайно необхідною та
пропорційною цілям забезпечення мережевої та інформаційної безпеки, тобто здатності
мережі чи інформаційної системи чинити опір, на певному рівні довіри, випадковим
подіям або незаконним чи зловмисним діям, що ставлять під загрозу наявність,
автентичність, цілісність та конфіденційність збережених або переданих персональних
даних, і безпеки пов’язаних послуг, які пропонують через такі мережі чи системи або
надають за їхньою допомогою доступ органи публічної влади, групи з реагування на
надзвичайні ситуації в комп’ютерній сфері (CERT), групи для реагування на інциденти в
сфері комп’ютерної безпеки (CSIRT), провайдери електронних мереж і послуг зв’язку та
провайдери технологій і послуг у сфері безпеки, становить законний інтерес
відповідного контролера даних. Це, наприклад, може включати запобігання
несанкціонованому доступу до електронних мереж зв’язку і розподіл шкідливого коду,
припинення атак на «відмову в обслуговуванні», а також пошкодження комп’ютера та
систем електронного зв’язку.
(50) Дозвіл на опрацювання персональних даних для інших цілей, на відміну від тих, для яких
здійснювали первинне збирання персональних даних, необхідно надавати лише тоді,
коли опрацювання є сумісним із первинними цілями збирання персональних даних. У
такому разі немає необхідності в будь-якій законодавчій базі, окремій від такої, якою вже
дозволено збирання персональних даних. Якщо опрацювання персональних даних є
необхідним для виконання завдання в публічних інтересах або здійснення офіційних
повноважень, покладених на контролера, законодавство Союзу або держави-члена може
визначити та уточнити завдання і цілі, для виконання яких необхідно вважати сумісним
та законним подальше опрацювання. Подальше опрацювання для архівних цілей у
публічних інтересах, цілей наукового або історичного дослідження, статистичних цілей
необхідно вважати сумісними законними операціями опрацювання. Законодавча база,
передбачена законодавством Союзу або держави-члени щодо опрацювання персональних
даних, може слугувати законодавчою базою для подальшого опрацювання. Для
встановлення сумісності цілі подальшого опрацювання, для якого відбувається первинне
збирання персональних даних, контролер, виконавши всі вимоги щодо законності
первинного опрацювання, повинен враховувати, між іншим: будь-який зв’язок між тими
цілями та цілями запланованого подальшого опрацювання; контекст, у якому збирають
персональні дані, зокрема розумні очікування суб’єктів даних, засновані на їхніх
домовленостях з контролером щодо їх подальшого використання; специфіку
персональних даних; наслідки запланованого подальшого опрацювання для суб’єктів
даних; та існування належних гарантій, як у первинній, так і в подальшій операціях
опрацювання.
Якщо суб’єкт даних надав згоду, або якщо опрацювання здійснюють на основі
законодавства Союзу чи держави-члена, що становить необхідний і пропорційний
інструмент демократичного суспільства для охорони, зокрема, важливих цілей
загального суспільного інтересу, контролер повинен отримувати дозвіл на подальше
опрацювання персональних даних, незалежно від сумісності цілей. У будь-якому разі
необхідно забезпечити застосування принципів, встановлених цим Регламентом, та,
зокрема, інформування суб’єкта даних про такі інші цілі та про його або її права, у тому
 числі про право на заперечення. Повідомлення контролера про можливі кримінальні
діяння або загрози громадській безпеці, а також передавання компетентному органу
відповідних персональних даних в окремих випадках або в декількох ситуаціях, що
стосуються такого самого кримінального діяння або загроз громадській безпеці,
необхідно вважати такими, що відповідають законному інтересу контролера. Проте таке
передавання, що відповідає законному інтересу контролера, або подальше опрацювання
персональних даних необхідно заборонити, якщо опрацювання є несумісним із
встановленими законом, професійними або іншими обов’язковими до виконання
зобов’язаннями щодо збереження таємниці.
(51) Персональні дані, що, за своєю специфікою, є особливо чутливими щодо
фундаментальних прав і свобод, потребують особливого захисту, оскільки контекст
їхнього опрацювання може створити істотні ризики для фундаментальних прав і свобод.
Такі персональні дані повинні включати персональні дані, що розкривають расову або
етнічну приналежність, а відтак використання терміну «расова приналежність» в цьому
Регламенті не передбачає прийняття Союзом теорій, що намагаються визначити
існування окремих людських рас. Опрацювання фотографій не можна систематично
вважати опрацюванням спеціальних категорій персональних даних, оскільки термін
«біометричні дані» на них поширюється, лише якщо їх опрацьовують за допомогою
спеціальних технічних засобів, що дозволяють однозначну ідентифікацію або
аутентифікацію фізичної особи. Такі персональні дані не можна опрацьовувати, за
винятком, якщо це дозволено в спеціальних випадках, визначених у цьому Регламенті,
беручи до уваги, що законодавство держави-члени може встановлювати спеціальні
положення щодо захисту даних для того, щоб адаптувати застосування норм цього
Регламенту з метою дотримання встановленого законом зобов’язання, виконання
завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на
контролера. Додатково до спеціальних вимог щодо такого опрацювання необхідно
застосовувати загальні принципи і норми цього Регламенту, зокрема в частині умов щодо
правомірного опрацювання. Необхідно чітко окреслити відступи від загальної заборони
на опрацювання таких спеціальних категорій персональних даних, зокрема, якщо суб’єкт
даних надає свою чітку згоду або в разі виникнення особливих потреб, наприклад, коли
опрацювання здійснюють у ході реалізації законних видів діяльності окремими
асоціаціями або фондами, ціль якої полягає у тому, щоб дозволити реалізацію
фундаментальних свобод.
(52) Також необхідно дозволити відступ від заборони на опрацювання спеціальних категорій
персональних даних, якщо це передбачено нормативно-правовим актом Союзу або
держави-члена та згідно з відповідними гарантіями, для того, щоб захистити персональні
дані та інші фундаментальні права, якщо це відповідає суспільному інтересу, а саме
опрацювання персональних даних у галузі трудового законодавства, законодавства про
соціальний захист, у тому числі, про пенсійне забезпечення та забезпечення безпеки в
галузі охорони здоров’я, цілей моніторингу та попередження, запобігання або контролю
за інфекційними захворюваннями та іншими серйозними загрозами для здоров’я. Такий
відступ можна зробити для цілей охорони здоров’я, у тому числі охорони суспільного
здоров’я та управління послугами в сфері охорони здоров’я, особливо для того, щоб
забезпечити якість та економію витрат на процедури щодо врегулювання претензій на
пільги та послуги в системі медичного страхування або для досягнення цілей суспільного
інтересу, цілей наукового чи історичного дослідження, статистичних цілей. Також
відступ повинен дозволяти опрацювання таких персональних даних, якщо це необхідно
для формування, здійснення або захисту правових претензій, під час судового
провадження або в рамках адміністративної чи позасудової процедури.
(53) Опрацювання спеціальних категорій персональних даних, що потребують вищого
ступеня захисту, необхідно здійснювати для цілей, пов’язаних з охороною здоров’я,
лише якщо необхідно досягнути таких цілей в інтересах фізичних осіб та суспільства в
цілому, зокрема в контексті управління послугами та системами з охорони здоров’я та
 соціального забезпечення, у тому числі опрацювання таких даних органами з управління
та центральними органами з охорони здоров’я для цілі проведення контролю якості,
управління інформацією та загального національного і місцевого нагляду за системою
охорони здоров’я чи соціального забезпечення, а також забезпечення безперервності
охорони здоров’я чи соціального забезпечення та транскордонної охорони здоров’я або
безпеки в сфері охорони здоров’я, цілей моніторингу та попередження чи для досягнення
цілей в інтересах суспільства, цілей наукового чи історичного дослідження,
статистичних цілей, на підставі законодавства Союзу чи держави-члена, що має
відповідати цілі суспільного інтересу, а також для навчання, яке проводять в інтересах
суспільства в сфері охорони суспільного здоров’я. Тому, цей Регламент повинен
передбачати гармонізовані умови для опрацювання спеціальних категорій персональних
даних стосовно стану здоров’я, з урахуванням особливих потреб, зокрема, якщо такі дані
опрацьовують особи, на яких покладено встановлене законом зобов’язання щодо
збереження професійної таємниці, для певних цілей, пов’язаних із здоров’ям.
Законодавство Союзу чи держави-члена повинно передбачати спеціальні та належні
гарантії для захисту фундаментальних прав і персональних даних фізичних осіб.
Державам-членам необхідно дозволити мати або вводити подальші умови, в тому числі
обмеження, у зв’язку з опрацюванням генетичних даних, біометричних даних або даних
стосовно стану здоров’я. Проте це не повинно перешкоджати вільному потоку
персональних даних в межах Союзу тоді, коли такі умови застосовують до
транскордонного опрацювання таких даних.
(54) Опрацювання спеціальних категорій персональних даних може бути необхідним в цілях
суспільних інтересів у галузях охорони суспільного здоров’я без згоди суб’єкта даних.
На таке опрацювання поширюється застосування відповідних і спеціальних інструментів
для захисту прав і свобод фізичних осіб. У такому контексті, «суспільне здоров’я»
необхідно тлумачити так, як це означено в Регламенті Європейського Парламенту і Ради
(ЄС) № 1338/2008 (1), зокрема, як усі елементи, що стосуються здоров’я, а саме стан
здоров’я, у тому числі захворюваність і недієздатність, визначальні чинники, що
впливають на стан здоров’я, потребу в послугах з охорони здоров’я, надання та
універсальний доступ до охорони здоров’я, витрати на послуги з охорони здоров’я та їх
фінансування, причини смертності. Таке опрацювання даних стосовно стану здоров’я для
цілей суспільних інтересів не повинно призводити до опрацювання персональних даних
для інших цілей третіми сторонами, такими як працедавці або страхові компанії чи
банківські установи.
(55) Крім того, опрацювання персональних даних офіційними органами для досягнення цілей,
встановлених конституційним правом або міжнародним публічним правом, офіційно
визнаних релігійних об’єднань необхідно здійснювати на підставі суспільного інтересу.
(56) У ході виборчого процесу, функціонування демократичної системи в державі-члені
вимагає збирання політичними партіями персональних даних про політичні переконання
населення, дозвіл на опрацювання таких даних можна надавати для цілей суспільного
інтересу, за умови впровадження відповідних заходів безпеки.
(57) Якщо персональні дані, які опрацьовує контролер, не надають йому можливості
ідентифікувати фізичну особу, контролер даних не повинен бути зобов’язаним
отримувати додаткову інформацію для того, щоб ідентифікувати суб’єкта даних
винятково для цілей дотримання будь-якого положення цього Регламенту. Проте
контролер не повинен відмовлятися від додаткової інформації, яку надає суб’єкт даних
для підтримки реалізації своїх прав. Ідентифікація повинна включати цифрову
ідентифікацію суб’єкта даних, наприклад за допомогою механізму аутентифікації, такого

__________
(1) Регламент Європейського Парламенту і Ради (ЄС) № 1338/2008 від 16 грудня 2008 року про статистику
Співтовариства з охорони суспільного здоров’я, охорони здоров’я та безпеки на робочому місці (OВ L 354,
31.12.2008, с. 70).
 як однакові облікові дані, які використовує суб’єкт даних для того, щоб увійти в онлайн-
сервіс, запропонований контролером даних.
(58) Принцип прозорості вимагає, щоб будь-яка інформація, призначена для громадськості
або суб’єкта даних, була стислою і зрозумілою, з використанням чітких і простих
формулювань, а також, за необхідності, із застосуванням засобів візуалізації. Таку
інформацію можна надавати в електронному форматі, наприклад, через веб-сайт, коли її
адресовано громадськості. Це, зокрема, є доцільним у ситуаціях, коли збільшення
кількості агентів і технологічна складність практичної діяльності перешкоджають
обізнаності та розумінню суб’єкта даних того, чи збирають її або його персональні дані,
хто їх збирає і для якої цілі, як, наприклад, у випадку онлайн-реклами. З огляду на те, що
діти потреб