Приложение № 1
к Политике Индивидуального предпринимателя
Носатовой Анны Валерьевны
ЗАЩИТЫ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ
ПОЛЬЗОВАТЕЛЕЙ САЙТА
Индивидуальный предприниматель Носатова Анна Валерьевна (далее – «Исполнитель») приняло настоящее Приложение № 1 к Политике Исполнителя в области обработки персональных данных в связи с вступлением в силу 25.05.2018 года следующего документа - Регламент General Data Protection Regulation (GDPR) Европейского Союза О защите физических лиц относительно обработки персональных данных и о свободном перемещении таких данных (Общий Регламент по защите персональных данных), далее «Регламент».
Исполнитель признает действие указанного Регламента, в частности, Исполнитель признает следующие нормы Регламента, применительно к своей деятельности.
«Преамбула»
1. В целях обеспечения соответствующего уровня защиты физических лиц на территории Евросоюза и предотвращения расхождений, затрудняющих свободное перемещение персональных данных в пределах внутреннего рынка, Регламент необходим для обеспечения правовой определённости и прозрачности для хозяйствующих субъектов, в том числе микро, малых и средних предприятий, для предоставления физическим лицам во всех государствах-членах одинакового уровня юридически закреплённых прав и обязанностей, а также функциональных обязанностей контролёров и обработчиков; обеспечения соответствующего мониторинга обработки персональных данных и равнозначных санкций во всех государствах-членах, равно как и для обеспечения эффективного сотрудничества между надзорными органами различных государств-членов. Надлежащее функционирование внутреннего рынка требует, чтобы свободное перемещение персональных данных в пределах Евросоюза не ограничивалось или запрещалось по причинам, связанным с защитой физических лиц при обработке персональных данных. Для учёта конкретной ситуации на микро, малых и средних предприятиях, настоящий Регламент предусматривает изъятия в отношении ведения учёта для организаций с менее чем 250 сотрудников. Кроме того, учреждениям и органам Евросоюза, а также государствам-членам и их надзорным органам, рекомендуется учитывать конкретные потребности микро, малых и средних предприятий по применению настоящего Регламента. Понятие микро, малых и средних предприятий должно пониматься исходя из статьи 2 Приложения Рекомендации Комиссии 2003/361/ЕС (п. 13 Преамбулы. Здесь и далее по тексту понимается «Преамбула Регламента»).
2. Регламент (ЕС) № 45/2001 Европейского Парламента и Совета (6)30 применяется к обработке персональных данных учреждениями, органами, организациями и агентствами Евросоюза. Регламент (ЕС) № 45/2001, а иные нормативно-правовые акты Евросоюза, применимые к такой обработке персональных данных, должны быть адаптированы к принципам и нормам, предусмотренным настоящим Регламентом и применяться в соответствии с настоящим Регламентом. Для обеспечения чёткой и согласованной защиты данных в рамках Евросоюза, после принятия настоящего Регламента, необходимо внести изменения в Регламент (EC) № 45/2001, для того чтобы обеспечить возможность (п. 17 Преамбулы).
3. Исходя из того, что сама по себе доступность веб-сайта контролёра, обработчика или посредника в Евросоюзе, адреса электронной почты или иных контактных данных, либо использование языка, обычно используемого в третьей стране, в которой учреждён контролёр, являются недостаточными для установления подобных намерений, признаки, среди которых использование языка или валюты, обычно используемой в одном или нескольких государствах-членах, с возможностью заказывать товары и услуги на этом языке, либо упоминание потребителей или пользователей, которые находятся в Евросоюзе, могут делать очевидным то, что контролёр намерен предлагать товары или услуги субъектам данных в Евросоюзе (предложение 3 п. 23 Преамбулы).
4. Обработка персональных данных субъектов данных, находящихся в Евросоюзе, контролёром или обработчиком, которые не учреждены в Евросоюзе, также является предметом регулирования настоящего Регламента, когда это связано с мониторингом действий таких субъектов данных, постольку, поскольку их действия совершаются на территории Евросоюза (предложение первое п. 2.4 Преамбулы).
5. Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Личные данные, подвергнутые псевдонимации, которые могут быть соотнесены с физическим лицом посредством использования дополнительной информации, следует рассматривать как информацию об идентифицируемом физическом лице. Для того, чтобы определить, идентифицируемо ли физическое лицо, следует учитывать все средства, которые могут быть достоверно с большей вероятностью быть использованы, к примеру – выявление, либо контролёром, либо иным лицом, для того, чтобы идентифицировать физическое лицо прямо или косвенно. Чтобы установить используются ли средства с достаточной степенью вероятности для идентификации физического лица, учитывать следует все объективные факторы, в том числе расходы и количество времени, необходимое для идентификации, принимая во внимание имеющиеся технологические возможности на момент обработки, а также развитие технологий. В силу этого принципы защиты данных не применяются к анонимной информации, т.е. к информации, не относящейся к идентификации физического лица или с помощью которой идентифицируется физическое лицо, или не относится к персональным данным, предоставленных анонимно (обезличено) таким способом, что субъект данных не идентифицируется или не поддаётся идентификации. Настоящий Регламент не распространяется по этой причине на обработку такой анонимной информации, в том числе для статистических или исследовательских целей (п. 26 Преамбулы).
6. Согласие должно даваться посредством ясного утвердительного действия, устанавливающего свободно предоставленное, конкретное, обоснованное и однозначное указание на согласие субъекта данных относительно обработки персональных данных, касающихся его/ее, среди которых письменное заявление, поданное, в том числе, в электронной форме, либо устное заявление. Такое согласие может охватывать и проставление галочки при посещении сайта в интернете, выбор технических настроек услуг информационного общества, либо иное документальное подтверждение или способы действий, которые ясно указывают, в данном контексте, принятие субъектом данных предлагаемой обработки ее/его персональных данных. Молчание, ранее проставленная галочка при посещении сайта или бездействие не должны, в свою очередь, рассматриваться как согласие. Согласие должно охватывать всю обработку данных, осуществляемую для той же самой цели, либо в таких целях. В том случае, когда обработка данных имеет несколько целей, согласие необходимо для каждой из них. Если согласие субъекта данных даётся в соответствии с запросом, с помощью электронных средств, этот запрос должен быть ясным, чётким и не должен неоправданно нарушать использование услуги, для которой он предназначен (п. 32 Преамбулы).
7. Дети нуждаются в особой защите в отношении их персональных данных, поскольку они в меньшей степени осведомлены о рисках, последствиях и соответствующих средствах защиты, а также их правах в отношении обработки персональных данных. Такие особые меры защиты должны, в частности, применяться к использованию персональных данных детей в целях маркетинга или создания персонального или пользовательского профилей и сбора персональных данных, связанных с детьми при использовании услуг, предлагаемых непосредственно ребёнку. Согласие лиц, обладающих родительской ответственностью, не является необходимым в контексте превентивных мероприятий или консультационных услуг, предоставляемых непосредственно ребёнку (п. 38 Преамбулы).
8. Любая обработка персональных данных должна быть правомерной и справедливой. Для физических лиц должно быть очевидно, что персональные данные, связанные с ними, собираются, используются, учитываются или иным образом обрабатываются, а также должно быть очевидно в каком объёме персональные данные обрабатываются или будут обрабатываться. Принцип прозрачности (траспарентости) требует, чтобы любые сведения и сообщения, относящиеся к обработке таких персональных данных, были легко доступны и ясны для понимания, а также, чтобы использовался чёткий и простой язык. Этот принцип касается, в частности, извещения субъектов данных о личности контролёра и о целях обработки данных, а также дополнительной информации для обеспечения справедливой и прозрачной (транспарентной) обработки отношении соответствующих физических лиц и их права на получение подтверждения и сообщения относительно того, какие относящиеся к ним персональные данные обрабатываются. Физические лица должны быть осведомлены о рисках, правилах, средствах защиты и правах в отношении обработки персональных данных и о том, как реализовать свои права в связи с такой обработкой. В частности, конкретные цели, для которых обрабатываются персональные данные, должны быть ясными и законными и определяться на момент сбора персональных данных. Персональные данные должны быть достоверными, адекватными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются. Это требует, в частности, обеспечения того, чтобы период, в течение которого персональные данные хранятся, ограничивался строгим минимумом. Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть разумно достигнута иными средствами. Чтобы гарантировать, что персональные данные не будут храниться дольше, чем это необходимо, ограничение сроков хранения должны быть установлены контролёром для удаления или для периодического пересмотра. Все обоснованные меры должны быть приняты для того, чтобы обеспечить исправление или удаление персональных данных, которые являются неточными. Персональные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность и конфиденциальность этих персональных данных, в том числе для предотвращения несанкционированного доступа к персональным данным или использования персональных данных, а также оборудования, используемого для обработки (п. 39 Преамбулы)
9. В случаях, когда обработка основана на согласии субъекта данных, контролёр должен быть способен подтвердить, что субъект данных дал согласие на процедуру обработки данных. В частности, в этом контексте письменное заявление по другому вопросу, средства защиты должны гарантировать, что субъект данных осведомлён о том, что он дал своё согласие, а также о том, в каком объёме такое согласие дано. В соответствии с Директивой Совета 93/13/ЕЭС , согласие предварительно сформулированное контролёром, предоставляется в понятной и доступной форме, с использованием ясного и понятного языка, и оно не должно содержать несправедливые условия. Для того чтобы сообщить о согласии, субъект данных должен знать, как минимум, идентификационные данные контролёра, а также цели обработки персональных данных, для которых персональные данные предназначены. Согласие не рассматриваться как данное добровольно, если у субъекта персональных данных нет действительного или свободного выбора или не в состоянии без ущерба отказаться или отозвать своё согласие (п. 42 Преамбулы).
10. Обработка персональных данных в целях, отличных от тех, для которых персональные данные первоначально собирались, должна быть разрешена только, если она соответствует целям, для которых персональные данные были изначально получены. В этом случае не требуется иное правовое основание, отдельное от того, посредством которого был разрешено осуществлять сбор персональных данных. Для того чтобы убедиться в том, соответствует ли цель дальнейшей обработки цели, для которой персональные данные были первоначально получены, Контролёр, после выполнения всех требований относительно законности первоначальной обработки, должен принять во внимание, в числе прочего, следующее: любую связь между указанными целями и целями запланированной дальнейшей обработки; контекст, в котором были получены персональные данные, в частности, разумные ожидания субъектов данных, основанные на отношении с контролёром, касающиеся их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки для субъектов данных, и наличие соответствующих гарантий первоначальной и предполагаемой обработки (предложения 1. 2. 6 пункта 50 Преамбулы).
11. Такие персональные данные не должны обрабатываться за исключением случаев, когда обработка разрешена в конкретных случаях, предусмотренных настоящим Регламентом, принимая во внимание, что право государств-членов может установить конкретные положения о защите данных, чтобы адаптировать применение норм Регламента в отношении соблюдения правовых обязательств или выполнения задачи, осуществляемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролёра (предложение 4 п. 51 Преамбулы).
12. Принцип прозрачности требует, чтобы любая информация, адресованная общественности или субъекту данных, была краткой, легко доступной и понятной, а также чтобы использовался ясный и простой язык и дополнительно, в случаях необходимости, использовались визуальные элементы. Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете. Учитывая, что дети требуют особой защиты, любая информация и сообщения, если обработка адресована ребёнку, должны быть составлены на ясном, простом и понятном ребёнку языке (п. 58 Преамбулы).
13. Должны быть предусмотрены условия для содействия осуществления прав субъекта данных на основании настоящего Регламента, включая механизмы для запроса и, когда это применимо, бесплатно получать, в частности, доступ и исправление или удаление персональных данных и осуществление права на возражение (п. 59 Преамбулы).
14. Принципы справедливой и прозрачной обработки требуют, чтобы субъект данных был проинформирован о наличии процесса обработки и его целях. Контролёр должен предоставить субъекту данных всю дополнительную информацию, необходимую для обеспечения справедливой и прозрачной обработки, принимая во внимание конкретные обстоятельства и условия, при которых обрабатываются данные. Кроме того, субъект данных должен быть проинформирован о составлении профиля и последствиях такого составления профиля. Если персональные данные получены от субъекта данных, он также должен быть проинформирован о том, обязан ли он предоставлять персональные данные, а также о последствиях их непредставления. Указанная информация может предоставляться совместно со стандартизированными графическими обозначениями, для того чтобы в ясно видимой, понятной и чёткой форме дать общее представление о предполагаемой обработке. Если графические обозначения представлены в электронной форме, они должны быть машиночитаемы (п. 60 Преамбулы).
15. Субъект данных должен иметь право доступа к относящимся к нему/к ней собранным персональным данным, это право должно осуществляться беспрепятственно и с определённой периодичностью в целях получения информации об обработке и проверки правомерности обработки. Это охватывает право субъектов данных на доступ к данным, касающихся их здоровья, например, данным в их медицинских документах, содержащих следующую информацию: диагнозы, результаты обследований, наблюдения лечащих врачей и сведения о любом лечении или вмешательствах. Каждый субъект данных должен, поэтому иметь право знать и получать сведения в отношении целей, для которых обрабатываются персональные данные, по возможности, в отношении срока, в течение которого обрабатываются данные, получателей персональных данных, алгоритма схемы любой автоматизированной обработки персональных данных и последствий такой обработки, если она как минимум основана на составлении профиля. При наличии соответствующей возможности контролёр должен обеспечить удалённый доступ к защищённой системе, которая даст субъекту данных прямой доступ к его/ее персональным данным. Указанное право не должно отрицательно влиять на права или свободы иных лиц, включая коммерческую тайну или результаты интеллектуальной деятельности и, в частности, авторское право на программное обеспечение. При этом такие ограничения не должны вести к отказу на предоставление всей информации субъекту данных. В том случае, когда контролёр обрабатывает большое количество информации, касающейся субъекта данных, он должен иметь возможность до передачи информации запросить субъекта данных уточнить информацию или вид обработки, к которому относится запрос (п. 61 Преамбулы).
16. Контролёр должен использовать все приемлемые способы для того, чтобы проверить и подтвердить личность субъекта данных, который запрашивает доступ, в частности, в рамках онлайновых служб и в случае онлайновых идентификаторов. Контролёр не должен сохранять персональные данные только для реагирования на потенциальный запрос (п. 64 Преамбулы).
17. Субъект данных должен иметь право на исправление относящихся к нему/ к ней персональных данных, а также «право на забвение», если сохранение указанных данных нарушает положения настоящего Регламента или право Евросоюза или право государства-члена, применимого к контролёру. В частности, субъект данных должен иметь право на удаление его/ее персональных данных и на то, чтобы его данные больше не обрабатывались, если в персональных данных относительно целей, для которых они собирались или иным образом обрабатывались, больше нет необходимости, если субъект данных отозвал его/ее согласие или возражает против обработки относящихся к нему/к ней персональных данных или если обработка персональных данных не соответствует настоящему Регламенту. Это право имеет существенное значение в случае, когда субъект данных давал его/ее согласие, будучи ребёнком, и полностью не мог осознавать риски, связанные с обработкой, а позже он хочет удалить персональные данные, особенно, в сети интернет. Субъект данных должен иметь возможность осуществлять такое право, невзирая на тот факт, что он больше не является ребёнком. Однако дальнейшее хранение персональных данных правомерно, если оно является необходимым для осуществления права на свободу выражения мнения и распространения информации, для соблюдения юридических обязательств, для выполнения задачи в общественных интересах или при осуществлении должностных полномочий предоставленных контролёру, по причинам общественного интереса в области социального здравоохранения, в архивных целях в общественных интересах, в целях научного или исторического исследования или в статистических целях, или для обоснования, исполнения или оспаривания исковых требований (п. 65 Преамбулы).
18. Для того чтобы укрепить право на забвение в онлайн-среде, право на удаление данных также должно быть расширено таким образом, чтобы контролёр, который опубликовал персональные данные, был обязан проинформировать контролёров, которые обрабатывают указанные персональные данные, и удалить все ссылки, копии или дубликаты таких персональных данных. При этом этот контролёр должен принять соответствующие меры принимая во внимание имеющиеся технологические возможности и доступных средств, включая технические средства, чтобы проинформировать о запросе субъекта данных контролёров, которые обрабатывают персональные данные (п. 66 Преамбулы).
19. В автоматизированных системах учёта ограничение обработки в принципе должно обеспечиваться техническими средствами таким образом, чтобы персональные данные не подвергались дальнейшей обработке и не могли быть изменены. Тот факт, что обработка персональных данных ограничена, должен быть ясно указан в системе (учёта) (предложения 2 и 3 п. 67 Преамбулы).
20. Для усиления контроля над его/ее в случае, когда обработка персональных данных осуществляется при помощи автоматизированных средств, субъект данных может также получить персональные данные, относящиеся к нему/к ней, которые он/она предоставил контролёру, в структурированном, широко используемом, машиночитаемом и функционально совместимом формате, и передать их другому контролёру (предложение 1 п. 68 Преамбулы).
21. В случае, когда персональные данные могут обрабатываться на законном основании, поскольку обработка является необходимой для выполнения задачи в общественных интересах или при осуществлении должностных полномочий, возложенных на контролёра, или на основании законных интересов контролёра или третьей стороны, тем не менее, субъект данных должен иметь право на возражение против обработки любых персональных данных, относящихся к нему/к ней в конкретной ситуации. Контролёр должен доказать, что его законный интерес имеет преимущественную силу над интересами или основными правами и свободами субъекта данных (п. 69 Преамбулы).
22. Когда персональные данные обрабатываются в целях прямого маркетинга, субъект данных должен иметь право на возражение против такой обработки, включая составление профиля, в той мере, в какой это связано с этим прямым маркетингом, будь то в отношении первоначальной или дальнейшей обработки, в любое время и на безвозмездной основе. Это право должно быть прямо доведено до сведения субъекта данных и представлено в чёткой форме и отдельно от любой иной информации (п. 70 Преамбулы).
23. Субъект данных должен иметь право не подчиняться действию решения, которое может включать в себя меры по оценке личных аспектов, относящихся к нему/к ней, которая основана исключительно на автоматизированной обработке и которая порождает правовые последствия для него/неё или аналогичным образом существенно влияет на него/неё, например, автоматический отказ от онлайн-заявки на получение кредита или практики электронного найма персонала без какого-либо вмешательства человека. В любом случае такая обработка должна осуществляться в соответствии с надлежащими гарантиями, включающими конкретное информирование субъекта данных и право на вмешательства человека, чтобы выразить свою точку зрения, получить объяснение решения, принятого после такой оценки, а также оспорить это решение (предложения 1, 4 п. 70 Преамбулы).
24. Должна быть установлена ответственность и обязательства контролёра за любую обработку персональных данных, осуществляемую контролёром или от имени контролёра. В частности, контролёр должен быть обязан выполнять соответствующие и действенные меры и быть в состоянии продемонстрировать соответствие обработки данных настоящему Регламенту, включая эффективность этих мер. Такие меры должны учитывать характер, сферу применения, контекст и цели обработки, и риск для прав и свобод физических лиц (п. 74 Преамбулы).
25. Защита прав и свобод физических лиц в отношении обработки персональных данных требует принятия надлежащих технических и организационных мер для того, чтобы требования настоящего Регламента были выполнены. В целях доказательства соблюдения настоящего Регламента, контролёр должен принять локальные нормативные акты и внутренние правила и осуществить меры, которые, в том числе, соответствуют принципам защиты данных для определённых целей/случаев (by design) и защиты данных по умолчанию (by default). Такие меры могут включать, среди прочего, своевременно минимизацию обработки персональных данных, псевдонимизацию персональных данных при появлении возможности, прозрачность применительно к методам и обработке персональных данных, позволяющим субъекту данных осуществлять мониторинг обработки данных, позволяющих контролёру создавать и совершенствовать средства защиты. При разработке, проектировании, подборе и использовании приложений, услуг и товаров, которые основаны на обработке персональных данных, либо которые обрабатывают персональные данные для того, чтобы выполнить свои задачи, производители товаров, услуг и приложений должны учитывать право на защиту данных при разработке и проектировании таких товаров, услуг и приложений, а также, с учётом современного технологического развития, сделать все необходимое для того, чтобы контролёры и обработчики были в состоянии исполнять свои обязанности по защите данных. Принципы защиты данных для определённых целей/случаев и защиты данных по умолчанию, также должны учитываться применительно к публичным торгам (п. 78 Преамбулы).
26. Если контролёр или обработчик, не учреждённые в Евросоюзе, обрабатывают персональные данные находящихся в Евросоюзе субъектов данных и если их деятельность по обработке связана с предложением товаров и услуг этим субъектам данных в Евросоюзе, вне зависимости от того, требуется ли оплата от субъекта данных, либо связана с мониторингом их деятельности постольку, поскольку она осуществляется в Евросоюзе, контролёр или обработчик должны назначить представителя, за исключением случаев, когда обработка носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных, либо обработка персональных данных, связанных с уголовными приговорами и правонарушениями, едва ли обернётся рисками для прав и свобод физических лиц, с учётом характера, обстоятельств, сферы применения и целей обработки, или если контролёр является органом или учреждением государственной власти (предложение 1 п. 80 Преамбулы).
27. Для обеспечения соблюдения требований настоящего Регламента в отношении обработки, осуществляемой обработчиком от имени контролёра, в случаях, когда на обработчика возложена деятельность по обработке, контролёр должен использовать обработчика, предоставляющего соответствующие гарантии, в частности, в отношении экспертной осведомлённости, добросовестности и источников информации, для того чтобы применять технические и организационные меры, которые будут отвечать требованиям настоящего Регламента, в том числе в отношении безопасности обработки. Следование обработчика утверждённым кодексам поведения или утверждённым механизмам сертификации, может быть использовано в качестве показателя для подтверждения соблюдения обязанностей контролёра (предложение 1, 2 п. 81 Преамбулы).
28. Для того чтобы подтвердить соблюдение настоящего Регламента, контролёр или обработчик должны вести учёт деятельности по обработке, осуществляемой под их ответственностью. Каждый Контролёр и обработчик обязаны сотрудничать с надзорным органом и по запросу предоставлять в его распоряжение такие учётные сведения в целях мониторинга процесса обработки (п. 82 Преамбулы).
29. Для того чтобы обеспечить безопасность и предотвратить обработку в нарушение настоящего Регламента, контролёр или обработчик должны оценить риски, связанные с обработкой, и использовать меры по снижению этих рисков, такие как криптографическая защита. Такие меры должны обеспечить соответствующий уровень защиты, в том числе конфиденциальности, принимая во внимание уровень развития техники и расходов на применение в отношении рисков, а также характер подлежащих защите персональных данных. При оценке риска для защиты данных необходимо уделить внимание рискам, имеющим место при обработке персональных данных, например, случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или несанкционированному доступу к переданным, сохранённым или иным образом обрабатываемым данным, которые могут привести к физическому, материальным или нематериальным потерям (п. 83 Преамбулы).
30. В целях улучшения соблюдения положений настоящего Регламента, в случаях, когда возможными последствиями обработки данных являются риски высокой степени для прав и свобод физических лиц, контролёр должен нести ответственность за проведение оценки воздействия на защиту данных для того, чтобы определить, в частности, происхождение, характер, специфику и степень опасности такого риска. Результаты оценки должны приниматься во внимание при определении соответствующих мер, которые необходимо принять для подтверждения того, что обработка персональных данных соответствует настоящему Регламенту. В тех случаях, когда оценка воздействия на защиты данных указывает на то, что обработка данных связана с высоким риском, который контролёр не может смягчить с помощью соответствующих мер с точки зрения имеющихся технологий и затрат на реализацию, перед обработкой следует проконсультироваться с надзорным органом (п. 84 Преамбулы).
31. Поэтому, как только контролёру станет известно об утечке персональных данных, контролёр должен незамедлительно уведомить об утечке персональных данных надзорный орган, без неоправданной задержки и, когда это возможно, не позднее чем через 72 часа после того, как ему стало известно об этом, за исключением случаев, когда контролёр может доказать в соответствии с принципом подотчётности, что утечка персональных данных едва ли обернётся рисками для прав и свобод физических лиц. Если такое уведомление не может быть сделано в течение 72 часов, причины задержки должны быть указаны в уведомлении, а информация может предоставляться поэтапно без неоправданной дальнейшей задержки (предложения 2, 3 п. 85 Преамбулы).
32. Контролёр должен сообщить субъекту данных об утечке персональных данных без неоправданной задержки, когда возможными последствиями такой утечки персональных данных является риск высокой степени для прав и свобод физических лиц, с тем чтобы позволить ему/ей принять необходимые меры предосторожности. Это сообщение должно представить характер утечки персональных данных, а также рекомендации физическому лицу по снижению возможного негативного воздействия. Такой обмен сообщениями с субъектами данных должен быть осуществлён как можно разумнее оправданно и в тесном сотрудничестве с надзорным органом, с соблюдением директивных указаний, данных им, либо иными заинтересованными органами, среди которых правоохранительные органы. В частности, необходимость смягчить непосредственный риск ущерба потребует безотлагательной связи с субъектами данных, тогда как необходимость принятия соответствующих мер против продолжающейся или такой же утечки персональных данных может потребовать большего времени для взаимодействия (п. 86 Преамбулы).
33. Следует выяснить, была ли использована вся соответствующая технологическая защита и организационные меры, чтобы незамедлительно установить утечку персональных данных, а также оперативно проинформировать надзорный орган и субъекта данных. Тот факт, что уведомление сделано без неоправданной задержки, должен быть установлен с учётом, в частности, характера и серьёзности утечки персональных данных, ее последствий, а также неблагоприятного воздействия на субъекта данных. Такое уведомление может привести к вмешательству надзорного органа в соответствии с его задачами и полномочиями, предусмотренными настоящим Регламентом (п. 87 Преамбулы).
34. В таких случаях оценка воздействия на защиту данных должна осуществляться контролёром до обработки данных с тем, чтобы оценить конкретную вероятность и серьёзность риска высокой степени, с учётом характера, сферы применения, контекста и целей обработки, а также источников риска. Эта оценка воздействия должна включать, в том числе, меры, гарантии и механизмы, предусмотренные для смягчения этого риска, обеспечивая защиту персональных данных и подтверждая соблюдение настоящего Регламента (п. 90 Преамбулы).
35. Следует предусмотреть возможность передачи данных в конкретных обстоятельствах, когда субъект данных дал его/ее явное согласие, если передача является случайной и необходимой в отношении договора или судебного иска, независимо от того, происходит ли это в рамках в судебном порядке или в административной или иной внесудебной процедуре, включая процедуры в регулирующих органах. При определённых условиях необходимо предусмотреть возможность передачи данных, если субъект данных дал своё прямое согласие, если передача носит периодический характер и необходима в рамках договора или судебного иска, вне зависимости от того, происходит ли это в рамках судебной процедуры, административной или внесудебной процедуры, включая процедуру рассмотрения регулятивными органами. Следует также предусмотреть возможность для передачи данных, если этого требуют веские основания общественного интереса, предусмотренные правом Евросоюза или правом государства-члена, или когда передача осуществляется из реестра, предусмотренного законом и предназначена для ознакомления общественности или лиц, имеющих законный интерес. В последнем случае такая передача не должна затрагивать все персональные данные или категории данных, содержащиеся в реестре, и, когда реестр предназначен для ознакомления лиц, имеющих законный интерес, передача должна осуществляться только по запросу этих лиц или, если они являются получателями, необходимо полностью учитывать интересы и основные права субъекта данных (п. 111 Преамбулы).
36. Решение должно быть согласовано совместно руководящим надзорным органом и заинтересованными соответствующими надзорными органами и должно быть прямо адресовано главному или единственному учреждению контролёра или обработчика, а также носить обязательный характер для контролёра и обработчика. Контролёр или обработчик должны принять необходимые меры для обеспечения соблюдения настоящего Регламента и для применения решения, о котором руководящий надзорный орган уведомил главное учреждение контролёра или обработчика относительно обработки в Евросоюзе (п. 126 Преамбулы).
37. Каждый субъект данных должен иметь право подать жалобу в один надзорный орган, в частности в государстве-члене его обычного места жительства, а также право на эффективные средства судебной защиты в соответствии со статьёй 47 Хартии Европейского Cоюза об основных правах, если субъект данных считает, что его/ее права на основании настоящего Регламента нарушены или когда надзорный орган не действует по жалобе, частично или полностью отклоняет жалобу или отказывает в ее удовлетворении, или не действует, когда такая мера необходима для защиты прав субъекта данных. Рассмотрение по жалобе должно проводиться при условии судебного пересмотра в той мере, в какой это уместно в конкретном случае. Надзорный орган в приемлемый срок должен проинформировать субъекта данных о ходе и результатах рассмотрения жалобы. Если дело требует дальнейшего расследования или сотрудничества с другим надзорным органом, субъекту данных должна быть представлена промежуточная информация. В целях содействия рассмотрению жалобы каждый надзорный орган должен принять такие меры, как предоставление формы жалобы, которая может быть заполнена электронным способом, не исключая других средств связи (п. 146 Преамбулы).
38. В том случае, когда субъект данных считает, что его/ее права по настоящему Регламенту нарушены, он/она вправе передать некоммерческому органу, организации или объединению, которые были образованы в соответствии с правом государства-члена, имеют уставные задачи в сфере общественного интереса, а также осуществляют деятельность в области защиты персональных данных, права подачи в надзорный орган жалобы от его/ее имени, осуществление прав на судебную защиту от имени субъектов данных или в случаях, предусмотренных правом государства-члена, осуществления прав на получение компенсации от имени субъектов данных (первое предложение п. 142 Преамбулы).