1.Общие условия

1.1. Настоящая Политика определяет порядок обработки и защиты Индивидуальный Предприниматель Горбовская Юлия Анатольевна (далее – ИП Горбовская Ю.А.) информации о физических лицах (далее – «Пользователь»), которая может быть получена ИП Горбовская Ю.А. при использовании Пользователем услуг/товаров, неисключительной лицензии, предоставляемой в том числе, посредством сайта, сервисов, служб, программ, используемых ИП Горбовская Ю.А. (далее – «Сайт», «Сервисы»).

1.2. Целью настоящей Политики является обеспечение надлежащей защиты персональной информации, которую Пользователь предоставляет о себе самостоятельно при использовании Сайта, Сервисов или в процессе регистрации (создании учетной записи), для приобретения товаров/услуг, неисключительной лицензии от несанкционированного доступа и разглашения.

1.3. Отношения, связанные со сбором, хранением, распространением и защитой информации, предоставляемой Пользователем, регулируются настоящей Политикой, иными официальными документами ИП Горбовская Ю.А. и действующим законодательством Российской Федерации.

1.4. Регистрируясь на Сайте и используя Сайт и Сервисы, Пользователь выражает свое полное согласие с условиями настоящей Политики.

Регистрируясь на Сайте и выбирая соответствующие опции, Пользователь соглашается на получение рекламных и/или информационных рассылок средствами SMS- сообщений, э-mail сообщений или телефонных звонков.

1.5. В случае несогласия Пользователя с условиями настоящей Политики использование Сайта и/или каких-либо Сервисов доступных при использовании Сайта должно быть немедленно прекращено.

1.6. В случае несогласия Пользователя в получении информации от ИП Горбовская Ю.А. Пользователь может отписаться от рассылки:

— кликнув по ссылке «Отписаться» внизу письма,

— в личном кабинете на Сайте, путем снятия ранее выбранных опций;

— путем направления уведомления на электронную почту info@methodsay.ru или

при телефонном обращении в контакт-центр.

При поступлении уведомлений на электронную почту info@methodsay.ru или при

телефонном обращении в контакт-центр в специальном программном обеспечении для учета действий по соответствующему Пользователю, создается обращение по итогам полученной от Пользователя информации. Обращение обрабатывается максимум в течение 24 часов. В результате информация о Пользователе не включается в сегмент рассылок по соответствующему региону.

2.Цели сбора, обработки и хранения информации, предоставляемой пользователями Сайта



2.1. Обработка персональных данных Пользователя осуществляется в соответствии с законодательством Российской Федерации. ИП Горбовская Ю.А. обрабатывает персональные данные Пользователя в целях:

— идентификации стороны в рамках соглашений и договоров, заключаемых с ИП Горбовская Ю.А.;

— предоставления Пользователю товаров/услуг, неисключительной лицензии, доступа к Сайту, Сервисам;

— связи с Пользователем, направлении Пользователю транзакционных писем в момент получения заявки регистрации на Сайте или получении оплаты от Пользователя, разово, если Пользователь совершает эти действия, направлении Пользователю уведомлений, запросов;

— направлении Пользователю сообщений рекламного и/или информационного характера (SMS-сообщения, э-mail сообщения, иные виды электронных сообщений);

— проверки, исследования и анализа таких данных, позволяющих поддерживать и улучшать сервисы и разделы Сайта, а также разрабатывать новые сервисы и разделы Сайта;

— проведение статистических и иных исследований на основе обезличенных данных.

3.Условия обработки персональной информации, предоставленной Пользователем и ее передачи третьим лицам

3.1. ИП Горбовская Ю.А. принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения.

3.2. Исполнитель, ИП Горбовская Ю.А. предоставляет доступ к персональным данным Пользователя только тем работникам Исполнителя, партнерам Исполнителя, которым эта информация необходима для обеспечения функционирования Сайта, Сервисов и оказания Услуг, продажи товаров, получении неисключительной лицензии Пользователем.

3.3. ИП Горбовская Ю.А. вправе использовать предоставленную Пользователем информацию, в том числе, персональные данные, в целях обеспечения соблюдения требований действующего законодательства Российской Федерации (в том числе, в целях предупреждения и/или пресечения незаконных и/или противоправных действий Пользователей). Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях.

3.4. ИП Горбовская Ю.А. не проверяет достоверность информации, предоставляемой Пользователем и исходит из того, что Пользователь в рамках добросовестности предоставляет достоверную и достаточную информацию, заботится о своевременности внесения изменений в ранее предоставленную информацию при появлении такой необходимости, включая, но не ограничиваясь, изменение номера телефона.

4.Условия пользования Сайтом, Сервисами

4.1. Пользователь при пользовании Сайтом, подтверждает, что:

— обладает всеми необходимыми правами, позволяющими ему осуществлять регистрацию (создание учетной записи) и использовать Услуги сайта;

— указывает достоверную информацию о себе в объемах, необходимых для пользования Услугами Сайта, обязательные для заполнения поля для дальнейшего предоставления Услуг сайта помечены специальным образом, вся иная информация предоставляется пользователем по его собственному усмотрению.

— осознает, что информация на Сайте, размещаемая Пользователем о себе, может становиться доступной для третьих лиц, не оговоренных в настоящей Политике и может быть скопирована и распространена ими;

— ознакомлен с настоящей Политикой, выражает свое согласие с ней и принимает на себя указанные в ней права и обязанности. Нажатие на кнопку Оформить заказ означает ознакомление с условиями настоящей Политики и является письменным согласием Пользователя на сбор, хранение, обработку и передачу третьим лицам персональных данных, предоставляемых Пользователем.

4.2. ИП Горбовская Ю.А. не проверяет достоверность получаемой (собираемой) информации о Пользователях, за исключением случаев, когда такая проверка необходима в целях исполнения обязательств перед Пользователем.

5.В рамках настоящей Политики под «персональной информацией Пользователя» понимаются:

5.1. Данные, предоставленные Пользователем самостоятельно при пользовании Сайтом, Сервисами, включая, но, не ограничиваясь: имя, фамилия, пол, номер мобильного телефона и/или адрес электронной почты, семейное положение, дата рождения, родной город, родственные связи, домашний адрес, информация об образовании, о роде деятельности.

5.2. Данные, которые автоматически передаются Сервисам в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе, IP-адрес, информация из cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам), время доступа, адрес запрашиваемой страницы.

5.3 Иная информация о Пользователе, сбор и/или предоставление которой определено в регулирующих документах отдельных Сервисов ИП Горбовская Ю.А.

6.Изменение и удаление персональных данных

6.1. Пользователь может в любой момент изменить (обновить, дополнить) предоставленную им персональную информацию или её часть, а также параметры её конфиденциальности, воспользовавшись функцией редактирования персональных данных в разделе, либо в персональном разделе соответствующего Сервиса. Пользователь обязан заботиться о своевременности внесения изменений в ранее предоставленную информацию, ее актуализации, в противном случае ИП Горбовская Ю.А. не несет ответственности за неполучение уведомлений, товаров/услуг и т.п.

6.2. Пользователь также может удалить предоставленную им в рамках определенной учетной записи персональную информацию. При этом удаление аккаунта может повлечь невозможность использования некоторых Сервисов.

7.Изменение Политики конфиденциальности. Применимое законодательство

7.1. ИП Горбовская Ю.А. имеет право вносить изменения в настоящую Политику конфиденциальности. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики. Действующая редакция всегда находится в рамках ресурса https://methodsay.com

7.2. К настоящей Политике и отношениям между Пользователем и ИП Горбовская Ю.А., возникающим в связи с применением Политики конфиденциальности, подлежит применению законодательство и право Российской Федерации.

8.Обратная связь. Вопросы и предложения

8.1. Все предложения или вопросы по поводу настоящей Политики следует сообщать в Службу поддержки ИП Горбовская Ю.А. по электронной почте info@littlelily.su или по телефону +7 (812) 317-74-76.

1.Общие условия

1.1. Настоящая Политика определяет порядок обработки и защиты Индивидуальный Предприниматель Горбовская Юлия Анатольевна (далее – ИП Горбовская Ю.А.) информации о физических лицах (далее – «Пользователь»), которая может быть получена ИП Горбовская Ю.А. при использовании Пользователем услуг/товаров, неисключительной лицензии, предоставляемой в том числе, посредством сайта, сервисов, служб, программ, используемых ИП Горбовская Ю.А. (далее – «Сайт», «Сервисы»).

1.2. Целью настоящей Политики является обеспечение надлежащей защиты персональной информации, которую Пользователь предоставляет о себе самостоятельно при использовании Сайта, Сервисов или в процессе регистрации (создании учетной записи), для приобретения товаров/услуг, неисключительной лицензии от несанкционированного доступа и разглашения.

1.3. Отношения, связанные со сбором, хранением, распространением и защитой информации, предоставляемой Пользователем, регулируются настоящей Политикой, иными официальными документами ИП Горбовская Ю.А. и действующим законодательством Российской Федерации.

1.4. Регистрируясь на Сайте и используя Сайт и Сервисы, Пользователь выражает свое полное согласие с условиями настоящей Политики.

Регистрируясь на Сайте и выбирая соответствующие опции, Пользователь соглашается на получение рекламных и/или информационных рассылок средствами SMS- сообщений, э-mail сообщений или телефонных звонков.

1.5. В случае несогласия Пользователя с условиями настоящей Политики использование Сайта и/или каких-либо Сервисов доступных при использовании Сайта должно быть немедленно прекращено.

1.6. В случае несогласия Пользователя в получении информации от ИП Горбовская Ю.А. Пользователь может отписаться от рассылки:

— кликнув по ссылке «Отписаться» внизу письма,

— в личном кабинете на Сайте, путем снятия ранее выбранных опций;

— путем направления уведомления на электронную почту info@methodsay.ru или

при телефонном обращении в контакт-центр.

При поступлении уведомлений на электронную почту info@methodsay.ru или при

телефонном обращении в контакт-центр в специальном программном обеспечении для учета действий по соответствующему Пользователю, создается обращение по итогам полученной от Пользователя информации. Обращение обрабатывается максимум в течение 24 часов. В результате информация о Пользователе не включается в сегмент рассылок по соответствующему региону.

2.Цели сбора, обработки и хранения информации, предоставляемой пользователями Сайта



2.1. Обработка персональных данных Пользователя осуществляется в соответствии с законодательством Российской Федерации. ИП Горбовская Ю.А. обрабатывает персональные данные Пользователя в целях:

— идентификации стороны в рамках соглашений и договоров, заключаемых с ИП Горбовская Ю.А.;

— предоставления Пользователю товаров/услуг, неисключительной лицензии, доступа к Сайту, Сервисам;

— связи с Пользователем, направлении Пользователю транзакционных писем в момент получения заявки регистрации на Сайте или получении оплаты от Пользователя, разово, если Пользователь совершает эти действия, направлении Пользователю уведомлений, запросов;

— направлении Пользователю сообщений рекламного и/или информационного характера (SMS-сообщения, э-mail сообщения, иные виды электронных сообщений);

— проверки, исследования и анализа таких данных, позволяющих поддерживать и улучшать сервисы и разделы Сайта, а также разрабатывать новые сервисы и разделы Сайта;

— проведение статистических и иных исследований на основе обезличенных данных.

3.Условия обработки персональной информации, предоставленной Пользователем и ее передачи третьим лицам

3.1. ИП Горбовская Ю.А. принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения.

3.2. Исполнитель, ИП Горбовская Ю.А. предоставляет доступ к персональным данным Пользователя только тем работникам Исполнителя, партнерам Исполнителя, которым эта информация необходима для обеспечения функционирования Сайта, Сервисов и оказания Услуг, продажи товаров, получении неисключительной лицензии Пользователем.

3.3. ИП Горбовская Ю.А. вправе использовать предоставленную Пользователем информацию, в том числе, персональные данные, в целях обеспечения соблюдения требований действующего законодательства Российской Федерации (в том числе, в целях предупреждения и/или пресечения незаконных и/или противоправных действий Пользователей). Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях.

3.4. ИП Горбовская Ю.А. не проверяет достоверность информации, предоставляемой Пользователем и исходит из того, что Пользователь в рамках добросовестности предоставляет достоверную и достаточную информацию, заботится о своевременности внесения изменений в ранее предоставленную информацию при появлении такой необходимости, включая, но не ограничиваясь, изменение номера телефона.

4.Условия пользования Сайтом, Сервисами

4.1. Пользователь при пользовании Сайтом, подтверждает, что:

— обладает всеми необходимыми правами, позволяющими ему осуществлять регистрацию (создание учетной записи) и использовать Услуги сайта;

— указывает достоверную информацию о себе в объемах, необходимых для пользования Услугами Сайта, обязательные для заполнения поля для дальнейшего предоставления Услуг сайта помечены специальным образом, вся иная информация предоставляется пользователем по его собственному усмотрению.

— осознает, что информация на Сайте, размещаемая Пользователем о себе, может становиться доступной для третьих лиц, не оговоренных в настоящей Политике и может быть скопирована и распространена ими;

— ознакомлен с настоящей Политикой, выражает свое согласие с ней и принимает на себя указанные в ней права и обязанности. Нажатие на кнопку Оформить заказ означает ознакомление с условиями настоящей Политики и является письменным согласием Пользователя на сбор, хранение, обработку и передачу третьим лицам персональных данных, предоставляемых Пользователем.

4.2. ИП Горбовская Ю.А. не проверяет достоверность получаемой (собираемой) информации о Пользователях, за исключением случаев, когда такая проверка необходима в целях исполнения обязательств перед Пользователем.

5.В рамках настоящей Политики под «персональной информацией Пользователя» понимаются:

5.1. Данные, предоставленные Пользователем самостоятельно при пользовании Сайтом, Сервисами, включая, но, не ограничиваясь: имя, фамилия, пол, номер мобильного телефона и/или адрес электронной почты, семейное положение, дата рождения, родной город, родственные связи, домашний адрес, информация об образовании, о роде деятельности.

5.2. Данные, которые автоматически передаются Сервисам в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе, IP-адрес, информация из cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам), время доступа, адрес запрашиваемой страницы.

5.3 Иная информация о Пользователе, сбор и/или предоставление которой определено в регулирующих документах отдельных Сервисов ИП Горбовская Ю.А.

6.Изменение и удаление персональных данных

6.1. Пользователь может в любой момент изменить (обновить, дополнить) предоставленную им персональную информацию или её часть, а также параметры её конфиденциальности, воспользовавшись функцией редактирования персональных данных в разделе, либо в персональном разделе соответствующего Сервиса. Пользователь обязан заботиться о своевременности внесения изменений в ранее предоставленную информацию, ее актуализации, в противном случае ИП Горбовская Ю.А. не несет ответственности за неполучение уведомлений, товаров/услуг и т.п.

6.2. Пользователь также может удалить предоставленную им в рамках определенной учетной записи персональную информацию. При этом удаление аккаунта может повлечь невозможность использования некоторых Сервисов.

7.Изменение Политики конфиденциальности. Применимое законодательство

7.1. ИП Горбовская Ю.А. имеет право вносить изменения в настоящую Политику конфиденциальности. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики. Действующая редакция всегда находится в рамках ресурса https://methodsay.com

7.2. К настоящей Политике и отношениям между Пользователем и ИП Горбовская Ю.А., возникающим в связи с применением Политики конфиденциальности, подлежит применению законодательство и право Российской Федерации.

8.Обратная связь. Вопросы и предложения

8.1. Все предложения или вопросы по поводу настоящей Политики следует сообщать в Службу поддержки ИП Горбовская Ю.А. по электронной почте info@littlelily.su или по телефону +7 (812) 317-74-76.

ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1 Предмет и цели

1. Настоящий Регламент устанавливает нормы, связанные с защитой физических лиц в отношении обработки персональных данных и нормы, касающиеся свободного перемещения персональных данных.
2. Настоящий Регламент защищает основные права и свободы физических лиц, и, в частности, их право на защиту персональных данных (из п. 1, 2 статьи 1 Регламента).

Статья 2 Понятийно-терминологическая основа

Для целей настоящего Регламента:

«персональные данные» (personal data) – означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо является лицом, которое может быть идентифицировано прямо или косвенно, в частности, на основе идентификационной информации, такой как имя, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн- идентификатор) или посредством одного или нескольких показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица;

«обработка» (processing) – означает любую операцию или набор операций, которые совершаются с персональными данными или набором персональных данных, с использованием автоматизированных средств и без таковых, в числе которых сбор, запись, организация, структурирование, хранение, переработка или изменение, поиск и выборка, экспертиза, использование, раскрытие посредством передачи, рассылка или иной способ предоставления для доступа, группировка или комбинирование, отбор, стирание или уничтожение;

«контролёр» (controller) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных; в случае, когда цели и средства такой обработки определяются правом Евросоюза или государства-члена, контролёр, либо конкретные критерии для его выдвижения, могут быть предусмотрены правом Евросоюза или государства-члена;

«обработчик» (processor) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролёра;

«согласие» (consent) – субъекта данных означает любое свободно данное, конкретное, осознанное и однозначное идентифицируемое желание субъекта данных, посредством которого он/она путем заявления, либо ясным утвердительным действием, выражает согласие на обработку персональных данных, относящихся к нему/к ней (из пунктов 1, 2, 7, 8, 11 статьи 5 Регламента).

ГЛАВА II. ПРИНЦИПЫ

Статья 3. Принципы, связанные с обработкой персональных данных

1. Персональные данные должны:

(a) обрабатываться на законных основаниях, справедливым и открытым образом в отношении субъекта данных

(«правомерность, справедливость и открытость/траспаренность» – lawfulness, fairness and transparency);

(b) собираться для конкретных, ясных и законных целей и не должны в дальнейшем обрабатываться способом, несовместим с этими целями; дальнейшая обработка для достижения целей общественного интереса, научных или исторических исследований, либо для статистических целей, в соответствии со статьей 89 (1) Регламента, не должна рассматриваться в качестве несовместимой с первоначальными целями («целевое ограничение» – purpose limitation);

(c) быть достоверными, соответствующими, а также быть ограничены тем, что необходимо связано с целями, для которых они обрабатываются («минимизация данных» – data minimisation);

(d) быть точными и, при необходимости, обновленными; необходимо принимать обоснованные меры для обеспечения своевременного удаления или исправления неточных данных с учетом целей, для которых они были обработаны, были удалены или исправлены без задержки («точность» – accuracy);

(e) храниться в форме, которая позволяет идентифицировать субъектов данных, в течение срока, необходимого для целей, для которых персональные данные обработаны; персональные данные могут храниться в течение более длительного периода, если персональные данные будут обрабатываться исключительно в целях общественного интереса, научных или исторических исследований, либо для статистических целей, в соответствии со статьей 89 (1) Регламента, с учетом применения соответствующих технических и организационных мер, требуемых в соответствии с настоящим Регламентом для защиты прав и свобод субъекта данных («ограничение хранения» – storage limitation);

(f) обрабатываться способом, обеспечивающим соответствующую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, повреждения или уничтожения, с использованием соответствующих технических и организационных мер («целостность и конфиденциальность» – integrity and confidentiality).

2.Контролёр несет ответственность и должен быть способен подтвердить соблюдение требований параграф 1 статьи ст. 5 Регламента («подотчетность» – accountability) (из статьи ст. 5 Регламента)

Статья 4. Существенные условия относительно согласия

1. Если согласие субъекта данных дается в виде письменного заявления, которое также касается других вопросов, запрос о согласии должен быть представлен способом, который четко отличен от других вопросов в понятной и легкодоступной форме, с использованием ясного и простого языка. Любая часть такого заявления, которая представляет собой нарушение настоящего Регламента, не имеет обязательной силы.
2. Субъект данных должен иметь право в любое время отозвать его/ее согласие. Отзыв согласия не должен влиять на правомерность обработки, основанной на согласии до его отзыва. Отзыв согласия не влияет на правомерность обработки, основанной на согласия до отзыва согласия. Прежде чем давать согласие, субъект данных должен быть проинформирован об этом. Процедура отзыва согласия должна быть такой же простой, как и процедура предоставления согласия (из статьи 7 Регламента).

Статья 5. Обработка особых категорий персональных данных

1. Обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения, либо членство в профсоюзе, а также обработка генетических данных, биометрических данных для однозначной идентификации физического лица, данных касающихся здоровья, половой жизни или сексуальной ориентации физического лица, запрещена.
2. Параграф 1 не применяется, если применимо одно из положений, изложенных в п. 2 ст. 9 Регламента (из п.п. 1. 2 статьи 9 Регламента).

Статья 6. Обработка, не требующая идентификации

1. Когда, в случаях, предусмотренных в параграфе 1 ст. 11 Регламента, контролёр способен подтвердить, что он не в состоянии идентифицировать субъекта данных, контролёр должен соответственно проинформировать субъекта данных, при наличии соответствующей возможности. В таких случаях Статьи 15-20 Регламента не применяются, за тем исключением, когда субъект данных для осуществления его/ее прав, согласно указанным Статьям, предоставляет дополнительную информацию, которая обеспечивает его/ее идентификацию (из п. 2. ст. 11 Регламента).

ГЛАВА III. ПРАВА СУБЪЕКТА ДАННЫХ

Раздел 1 ТРАСПАРЕНТНОСТЬ/ПРОЗРАЧНОСТЬ И МЕТОДЫ

Статья 7. Прозрачность информации, сообщения и методы осуществления прав субъектов данных

1. Контролёр должен предпринять соответствующие меры для предоставления субъекту данных любой информации, указанной в Статьях 13 и 14 Регламента, а также любых сообщений, в соответствии со Статьями 15-22 Регламента и Статьей 34 Регламента, относящиеся к обработке, субъекту данных, в сжатой, открытой, понятной и легкодоступной форме на ясном и простом языке, в том числе относящейся к любой информации, адресованной ребенку. Информация должна предоставляться в письменной форме, либо иными средствами, в том числе, в необходимых случаях, электронными средствами. По просьбе субъекта данных информация может быть предоставлена в устной форме, в том случае, если идентификация субъекта данных подтверждена иными средствами.
2. Контролёр должен предоставить информацию о действиях, предпринятых по запросу в соответствии со Статьям 15-22 Регламента, субъекту данных, без неоправданных задержек, и в любом случае в течение одного месяца после получения такого запроса. Этот срок может быть продлен еще на два месяца, при необходимости, принимая во внимание сложность и количество запросов.
3. Если контролёр не предпринимает действий по запросу субъекта данных, контролёр должен проинформировать субъекта данных незамедлительно, и не позднее одного месяца после получения такого запроса, о причинах непринятия действий, а также о возможности подачи жалобы надзорному органу и о возможности судебных средств защиты прав.
4. Информация, предоставляемая в соответствии со Статьями 13 и 14 Регламента, а также любые сообщения и любые действия, предпринятые в соответствии со Статьями 15-22 и 34 Регламента предоставляются бесплатно. В случае, если запросы от субъекта данных являются явно не обоснованными или чрезмерными, в частности, вследствие их повторяющегося характера, контролёр может либо:

(a) взимать разумную плату, принимая во внимание административные расходы на предоставление информации или сведений, либо за осуществление запрашиваемых действий; или

(b) отказаться действовать в соответствии с этим запросом.

Контролёр несет бремя доказывания явной необоснованности запроса или чрезмерного характера этих запросов ((из ст. 12 Регламента).

Раздел 2. ИНФОРМАЦИЯ И ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

Статья 8. Предоставляемая информация при сборе персональных данных от субъекта данных

1. В том случае, если персональные данные, относящиеся к субъекту данных, собираются от субъекта данных, контролёр должен, в момент получения персональных данных, предоставить субъекту данных всю следующую информацию:

(a) идентификационную информацию и реквизиты контролёра и, там, где это применимо, представителя контролёра;

1. (b) реквизиты инспектора по защите персональных данных, там, где это применимо;
2. (c) цели обработки, для которых предназначены персональные данные, а также правовые основания для такой

обработки;

(d) законные интересы контролёра или третьего лица, в случае, если обработка основана на пункте (f) Статьи 6 (1) Регламента;

(e) получателей или категории получателей персональных данных, если таковые имеются;

(f) намерения контролёра, там, где это применимо, передать персональные данные в третью страну или международную организацию, а также о наличии или отсутствии решения Европейской Комиссии о достаточности мер, или в случае передачи данных, предусмотренных Статьями 46 или 47 Регламента, а также вторым подпараграфом Статьи 49 (1), ссылку на соответствующие или подходящие гарантии и средства, с помощью которых можно получить копии персональных данных, либо где они могут быть предоставлены.

2.В дополнение к информации, предусмотренной параграфом 1 ст. 13 Регламента, контролёр должен, в момент получения персональных данных, предоставить дополнительно субъекту данных следующую информацию, необходимую для обеспечения справедливой и прозрачной обработки:

(a) о сроке, в течение которого будут храниться персональные данные или, если это не представляется возможным, критерии для определения такого срока;

(b) о наличии права требования от контролёра доступа к персональным данным, а также исправления или удаления персональных данных, либо ограничения обработки или возражение против обработки, также, как и права на переносимость данных;

(с) о наличии права отозвать согласие в любое время, не затрагивая правомерность обработки, выполненную до такого отзыва согласия, если обработка осуществляется в соответствии с пунктом (а) Статьи 6 (1) Регламента или пунктом (а) Статьи 9 (2) Регламента;

(d) о праве подачи жалобы в надзорный орган;

(e) о том, является ли предоставление персональных данных требованием, предусмотренным законом или требованием договора, либо требованием, необходимым для заключения договора, а также о том, обязан ли субъект данных предоставлять персональные данные и о возможных последствиях непредставления таких данных;

(f) о наличии автоматизированного принятия решения, включая составление профиля, в соответствии со Статьей 22 (1) и (4) Регламента, а также по крайней мере в этих случаях, достоверной информации об имеющем место алгоритме, и о значимости и предполагаемых последствиях обработки для субъекта данных.

1. В случае, если контролёр намерен в дальнейшем обрабатывать персональные данные в иных целях, чем те, для которых персональные данные были получены, этот контролёр должен, до начала такой дальнейшей обработки, предоставить субъекту данных информацию относительно этой иной цели, а также любую дополнительную информацию, согласно параграфу 2 ст. 13 Регламента.
2. Параграфы 1, 2 и 3 ст. 13 Регламента не применимы в случаях, если субъект данных уже располагает соответствующей информацией (из ст. 13 Регламента).

Статья 9. Предоставляемая информация при получении персональных данных не от субъекта данных

1. В случае если персональные данные получены не от субъекта данных, контролёр должен предоставить субъекту данных информацию в соответствие с пунктом 1 Регламента (из ст. 14 Регламента).

Статья 10. Право субъекта данных на доступ к данным

1. Субъект данных вправе получать от контролёра подтверждение относительно того, находятся ли персональные данные, касающиеся его/ее в обработке, и в этом случае, он имеет право на доступ к персональным данным, а также к следующей информации:

(a) о цели обработки;

(b) о соответствующих категориях обрабатываемых персональных данных;

(c) о получателях или категории получателей, которым персональные данные были либо будут раскрыты, в том числе, о получателях в третьих странах или о международных организациях;

(d) о предполагаемом сроке, когда это возможно, в течение которого будут храниться персональные данные, или, если это невозможно, о критериях, используемых для определения указанного срока;

(e) о наличии права требовать от контролёра исправления или удаления соответствующих персональных данных, или ограничения их обработки, или возражения против указанной обработки;

(f) о праве подачи жалобы в надзорный орган;

(g) об источнике любой доступной информации, связанной с персональными данными, если они получены не от субъекта данных;

(h) о применении автоматизированного способа принятия решения, в том числе, составление профиля, согласно Статье 22 (1) и (4) Регламента, а также, по крайней мере в этих случаях, достоверной информации об имеющем место алгоритме, также как о значимости и предполагаемых последствиях обработки для субъекта данных (из ст. 15 Регламента).

Раздел 3
ИСПРАВЛЕНИЕ И УДАЛЕНИЕ ДАННЫХ

Статья 11. Право на исправление данных

Субъект данных вправе потребовать от контролёра без неоправданной задержки исправления неточных персональных данных, касающихся его/ее. Принимая во внимание цели обработки, субъект данных должен иметь право дополнить неполные персональные данные, в том числе путем предоставления дополнительного заявления (из ст. 16 Регламента).

Статья 12. Право на удаление данных («право на забвение»)

1. Субъект данных должен иметь право потребовать от контролёра удалить персональные данные, касающихся его/ее без неоправданной задержки, а контролёр обязан удалить персональные данные без неоправданной задержки, в том случае, если применимо одно из следующих оснований:

(a) персональные данные больше не нужны для целей, для которых они были собраны или обработаны иным образом;

(b) субъект данных отозвал свое согласие, на основании которого, согласно пункту (а) Статьи 6 (1) Регламента или пункту (а) Статьи 9 (2) Регламента, осуществлялась обработка, а также если отсутствует иное правовое основание обработки;

(c) субъект данных возражает против обработки в соответствии со Статьей 21 (1) Регламента, и отсутствуют правовые основания, имеющие преимущественную силу, либо субъект данных возражает против обработки в соответствии со Статьей 21 (2) Регламента;

(d) персональные данные были обработаны неправомерно;

(e) персональные данные должны быть удалены в соответствии с правовыми обязательствами, вытекающими из права Евросоюза или права государства-члена, действие которых распространяется на контролёра;

(f) персональные данные были собраны в связи с предложением услуг информационного общества, упомянутых в Статье 8 (1) Регламента.

1. В случае, если контролёр обнародовал персональные данные, а он обязан, согласно параграфу 1 ст. 13 Регламента, удалить эти персональные данные, контролёр, учитывая имеющиеся технологические возможности и расходы на исполнение, должен предпринять обоснованные меры, включая технические меры, чтобы проинформировать контролёров, обрабатывающих персональные данные, о том, что субъект данных затребовал от таких контролёров удаления любых ссылок на такие персональные данные, или их копирование или тиражирование.
2. Параграфы 1 и 2 ст. 17 Регламента не применяются в тех случаях, когда обработка необходима:

(a) для осуществления права на свободу выражения мнения и распространения информации;

(b) для соблюдения правовой обязанности, которая требует обработки в соответствии с правом Евросоюза или правом государства-члена, которое применимо к контролёру, или для выполнения задачи, осуществляемой в общественных интересах, либо при осуществлении официальных полномочий, возложенных на контролёра;

(c) в силу общественных интересов в сфере социального здравоохранения в соответствии с пунктами (h) и (i) Статьи 9 (2) и Статьи 9 (3) Регламента;

(d) для архивных целей в общественных интересах, научных или исторических исследовательских целях, либо для статистических целей в соответствии со статьей 89 (1) Регламента, постольку, поскольку право, предусмотренное в параграфе 1 ст. 17 Регламента, может сделать невозможным или отрицательно отразиться на достижении целей такой обработки; или

(e) для предъявления, исполнения или защиты правовых притязаний (из ст. 17 Регламента).

Статья 13. Право на ограничение обработки

1. Субъект данных должен иметь право потребовать от контролёра ограничить обработку, если применимо одно из следующих условий:

(a) точность персональных данных оспаривается субъектом данных, в течение срока,

позволяющего контроллеру проверить точность персональных данных;

(b) обработка является неправомерной, и субъект данных возражает против удаления персональных данных, и взамен требует ограничить их использование;

(c) контролёру больше не нужны персональные данные для целей обработки, но они требуются субъекту данных для предъявления, исполнения или защиты правовых притязаний;

(d) субъект данных возражал против обработки в соответствии со Статьей 21 (1) Регламента, ожидая удостоверения того, преобладают ли правовые основания контролёра таким правовым основаниям субъекта данных (ст. 18 Регламента).

Статья 14. Обязательства по уведомлению в отношении исправления или удаления персональных данных или ограничении обработки

Контролёр должен сообщить о любом исправлении или удалении персональных данных, либо ограничении обработки, осуществляемых в соответствии со Статьей 16, Статьей 17 (1) и Статьей 18 Регламента, каждому получателю, которому были раскрыты персональные данные, кроме случаев, когда это оказывается невозможным или сопряжено с несоразмерными усилиями. Контролёр должен проинформировать субъекта данных об этих получателях, если субъект данных запрашивает его об этом (из ст. 19 Регламента).

Статья 15. Право на переносимость данных

1. Субъект данных должен иметь право на получение персональных данных, касающихся его/ее, которые он/она предоставил контролёру, в структурированном, обычно используемом и машиночитаемом формате, а также должен иметь право передавать эти данные другому контролёру бес препятствий со стороны контролёра, которому были предоставлены

персональные данные, в случае, если:

(а) обработка основывается на согласии в соответствии с пунктом (а) Статьи 6 (1) или пунктом (а) статьи 9 (2) Регламента, либо по договору в соответствии с пунктом (б) Статьи 6 (1) Регламента; и

(в) обработка осуществляется с помощью автоматизированных средств.

1. При осуществлении его/ее права на переносимость данных в соответствии с параграфом 1 ст. 20 Регламента, субъект данных должен иметь право передавать персональные данные непосредственно от одного контролёра к другому, если это технически осуществимо (из ст. 20 Регламента).

Раздел 4. ПРАВО НА ВОЗРАЖЕНИЕ И АВТОМАТИЗИРОВАННОЕ ИНДИВИДУАЛЬНОЕ ПРИНЯТИЕ РЕШЕНИЯ

Статья 16 Право на возражение

1. Субъект данных должен иметь право на возражение, по основаниям, связанным с его/ее конкретной ситуации, в любой момент против обработки персональных данных касающихся его/ее, руководствуясь пунктом (e) или (f) Статьи 6 (1) Регламента, включая составление профиля, основанное на таких положениях. Контролёр не должен больше обрабатывать персональные данные, кроме случаев, когда он может доказать наличие убедительных правовых оснований для обработки, которые имеют преимущественное юридическое действие над интересами, правами и свободами субъекта данных, или обработка необходима для предъявления, исполнения или защиты правовых притязаний.
2. В случаях, если персональные данные обрабатываются для целей прямого маркетинга, субъект данных должен иметь право на возражение в любой момент против обработки персональных данных, касающихся его/ее для целей такого маркетинга, включая составление профиля, в той мере, в какой это связано с таким прямым маркетингом.
3. Если субъект данных возражает против обработки в целях прямого маркетинга, персональные данные больше не должны обрабатываться для таких целей.
4. Не позднее момента первого общения с субъектом данных, право, указанное в параграфах 1 и 2 статьи 21 Регламента, должно быть прямо доведено до сведения субъекта данных и должно быть представлено ясно и отдельно от любой иной информации (из статьи 21 Регламента).

Статья 17. Автоматизированное индивидуальное принятие решений, включая составление профиля

1. Субъект данных должен иметь право не подчиняться решению, основанному исключительно на автоматизированной обработке, включая составление профиля, которое порождает правовые последствия, касающиеся его/ее или аналогичным образом в значительной степени влияют на него/нее.
2. Параграф 1 статьи 22 Регламента не применяется в случаях, указанных в в п. 2 статьи 22 Регламента (из статьи 22 Регламента).

Раздел 5 ОГР АНИЧЕНИЯ

Статья 18 Ограничения

1. Право Евросоюза или право государства-члена, применимое к контролёру или обработчику, может посредством законодательных мер ограничить объем и содержание обязательств и прав, предусмотренных в Статьях 12-22 и Статье 34 Регламента, а также в Статье 5 Регламента, в той мере, в какой эти положения соответствуют правам и обязанностям, предусмотренным в Статьях 12-22 Регламента, если такие ограничения соответствуют сути основных прав и свобод, а также является необходимой и соразмерной мерой в демократическом обществе для обеспечения:

(a) национальной безопасности;
(b) обороны;
(c) общественной безопасности;
(d) предотвращения, расследования, розыска преследования по

уголовным преступлениям или исполнения уголовных наказаний, в том числе защиты и предупреждения угроз общественной безопасности;

(e) иных важных целей интересов неограниченного круга лиц Евросоюза или государства-члена, в частности, важных экономических или финансовых интересов Евросоюза или государства-члена, включая денежные, бюджетные и налоговые вопросы, социальное здравоохранение и общественную безопасность;

(f) защиты независимости судебной власти и защиты судебного производства;

(g) предупреждения, расследования, выявления и преследования нарушений этики, касающейся регулируемых профессий;

(h) мониторинга, контрольных и распорядительных функций, связанных, даже периодически, с осуществлением официальных полномочий в случаях, предусмотренных в пунктах (a)-(e) и (g);

(i) защиты субъекта данных или прав и свобод иных лиц; (j) исполнения решений по гражданско-правовым искам (из статьи 23 Регламента).

ГЛАВА IV. КОНТРОЛЁР И ОБРАБОТЧИК Раздел 1 ОБЯЗАТЕЛЬСТВА ОБЩЕГО ХАРАКТЕРА Статья 19. Ответственность контролёра

1. Принимая во внимание характер, сферу охвата, контекст и цели обработки, равно как и вероятность возникновения рисков и степень опасности для прав и свобод физических лиц, контролёр должен применять соответствующие технические и организационные меры, для того, чтобы обеспечить и быть способным подтвердить, что обработка осуществляется в соответствии с настоящим Регламентом. Такие меры должны пересматриваться и обновляться, в необходимых случаях (из ст. 24 Регламента).

Статья 20. Защита данных для определенных целей/случаев и по умолчанию

1. Принимая во внимание современное состояние развития техники, затраты на внедрение, а также характер, объем, контекст и цели обработки, в равной степени как и вероятность возникновения рисков, так и опасностей для прав и свобод физических лиц, возникающих при обработке, контролёр должен, и во время определения средств обработки, и во время самой обработки, применять соответствующие технические и организационные меры, такие как псевдонимизация, которые предусмотрены для эффективного осуществления принципов защиты данных, к, примеру, минимизации данных, а также для тесной увязки необходимых средств защиты в обработку данных для того, чтобы соответствовать требованиям настоящего Регламента и обеспечить защиту прав субъектов данных.
2. Контролёр должен осуществлять соответствующие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только персональные данные, которые необходимы для каждой конкретной цели их обработки. Такая обязанность распространяется на собранный массив персональных данных в части, касающейся их обработки, сроку их хранения, а также к доступу к ним. В частности, такие меры должны обеспечивать, что по умолчанию доступ к персональным данным не будет предоставлен неопределенному числу физических лиц без вмешательства этого индивидуума (из ст. 25 Регламента).

Статья 21. Представители контролёров или обработчиков, не учрежденных в Евросоюзе

1. В том случае, когда применяется Статья 3 (2) статьи 27 Регламента, контролёр или обработчик должны в форме письменного документа назначить представителя в Евросоюзе.
2. Обязательство, изложенное в параграфе 1 статьи 27 Регламента, не применяется: в отношении:

(a) к обработке, которая является единичной, не охватывает в больших масштабах обработку особых категорий данных, согласно Статье 9 (1) статьи 27 Регламента, либо обработку персональных данных, связанных с уголовными приговорами и правонарушениями, согласно Статье 10 Регламента, а также к обработке персональных данных, которая едва ли обернется рисками для прав и свобод физических лиц, принимая во внимание характер, контекст, цели и задачи этой обработки; или

(b) в отношении органа государственной власти или учреждения.

1. Представитель должен быть учрежден в одном из государств-членов, в котором находятся субъекты данных, персональные данные которых обрабатываются в связи с предложением товаров или услуг, либо в отношении действий которых осуществляется мониторинг.
2. Представитель контролёра или обработчика должен обладать полномочиями, предоставленными ему контролёром или обработчиком и рассматриваться наряду, либо вместо контролёра или обработчика, в частности, надзорными органами и субъектами данных по всем вопросам, связанным с обработкой, в целях обеспечения соблюдения настоящего Регламента.
3. Назначение представителя контролёром или обработчиком не должно наносить ущерба юридическим действиям, которые могут быть возбуждены против самого контролёра или обработчика (из статьи 27 Регламента).

Статья 22. Обработчик

1. В том случае, если обработка осуществляется от имени контролёра, контролёр должен использовать исключительно обработчиков, обеспечивающих надлежащие гарантии применения соответствующих технических и организационных мер таким способом, чтобы обработка отвечала требованиям настоящего Регламента и обеспечивала защиту прав субъекта данных.
2. Обработка данных обработчиком, должна регулироваться договором, либо иным правовым актом в соответствии с правом Евросоюза или права государства-члена, который имеет обязательную силу для обработчика в отношении контролёра, и который определяет предмет и период, в течение которого осуществляется обработка, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролёра. Такой договор либо иной правовой акт должен, в частности, предусматривать, что обработчик:

(a) обрабатывает персональные данные только на основании документально подтвержденных распоряжений контролёра, в том числе в отношении передачи персональных данных третьей стране или международной организации, если только этого не требует право Евросоюза или право государств-члена, которое применяется к обработчику; в этом случае обработчик должен проинформировать контролёра об этих правовых требованиях до начала обработки, за исключением случаев, когда такое право запрещает подобное информирование по основаниям общественного интереса;

(b) гарантирует, что лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательства соблюдать конфиденциальность, либо обязательства этих лиц соблюдать конфиденциальность, предусмотрены законом;

(c) предпринимает все меры, требуемые в соответствии со Статьей 32 Регламента;

(d) соблюдает условия, указанные в параграфах 2 и 4 статьи 27 Регламента, по привлечению другого обработчика;

(e) принимая во внимание характер обработки, помогает контролёру соответствующими техническими и организационными мерами, насколько это возможно, осуществлять обязанности контролёра отвечать на запросы по осуществлению прав субъекта данных, изложенных в главе III;

(f) содействует контролёру в обеспечении соблюдения обязанностей в соответствии со Статьями 32-36 Регламента, принимая во внимание характер обработки, а также информацию, доступную для обработчика;

(g) по выбору контролёра, удаляет или возвращает все персональные данные контролёру по завершению предоставления услуг, связанных с обработкой, а также удаляет существующие копии, кроме случаев, когда право Евросоюза или право государства-члена требует хранения персональных данных;

(h) предоставляет в распоряжение контролёра всю информацию, необходимую для того, чтобы подтвердить соблюдение обязанностей, предусмотренных настоящей Статьей, а также дающую возможность и содействующую проведению аудита, включая инспекционные проверки, проводимые контролёром либо иным аудитором, уполномоченным контролёром.

В части, относящейся к пункту (h) первого подпараграфа, обработчик должен незамедлительно информировать контролёра, в случае, если, по его мнению, распоряжения нарушают настоящий Регламент или иные положения по защите данных. Евросоюза или государства-члена (из ст. 28 Регламента).

Статья 23. Отчетные записи обработки данных

1. Каждый контролёр и, когда это применимо, представитель контролёра должен вести учетные записи обработки данных, находящейся под его ответственностью. Такой учет должен содержать всю нижеследующую информацию:

(a) наименование и реквизиты контролёра и, когда это применимо, контролёра, действующего совместно с ним (со-контролёра), представителя контролёра и инспектора по защите персональных данных;

(b) цели обработки;

(c) описание категорий субъектов данных и категорий персональных данных;

(d) категории получателей, которым персональных данные были или будут раскрыты, включая получателей в третьих странах или международных организациях;

(e) о передаче персональных данных, когда это применимо, в третью страну или международную организацию, включая указание этой третьей страны или международной организации, а в случае передачи персональных данных согласно второму подпараграфу Статьи 49 (1) статьи 27 Регламента, документальное подтверждение надлежащего обеспечения защиты;

(f) предусмотренные сроки удаления различных категорий данных, когда это возможно;

(g) общее описание технических и организационных мер безопасности, предусмотренных в Статье 32 (1) Регламента, когда это возможно (из ст. 30 Регламента).

Раздел 2. БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 24. Безопасность обработки

1. Принимая во внимание современный уровень развитие техники, затраты, связанные с внедрением, а также характер, объем, контекст и цели обработки, а равно и вероятностное возникновение рисков и опасности для прав и свобод физических лиц, контролёр и обработчик должны осуществлять соответствующие технические и организационные меры, обеспечивающие надлежащий уровень безопасности соразмерный этим рискам, включая, среди прочего, следующее:

(a) псевдонимизация и криптографическая защита персональных данных;

(b) средства для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг;

(с) средства своевременного восстановления доступности и доступа к персональным данным в случае природного или технического инцидента;

(d) процедура регулярной проверки и оценки эффективности технических и организационных мер, обеспечивающая безопасность обработки.

1. При определении надлежащего уровня безопасности, в расчет должны приниматься в том числе риски, которые представляет собой сама обработка, в особенности риски от случайного или неправомерного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к персональным данным переданным, сохраненным либо или иным образом обработанным (из статьи 23 Регламента).

Статья 25. Уведомление надзорного органа об утечке персональных данных

1. Обработчик должен уведомить контролёра без неоправданной задержки об утечке персональных данных как только ему стало известно об утечке персональных данных (из ст. 33 Регламента).

Статья 26. Сообщение субъекту данных об утечке персональных данных

1. В тех случаях, когда утечка персональных данных, вероятнее всего приведет к высокому риску для прав и свобод физических лиц, контролёр должен сообщить субъекту данных об утечке персональных данных, без необоснованной задержки.
2. Сообщение субъекту данных, предусмотренное параграфом 1 статьи 34 Регламента, должно излагать ясным и простым языком характер утечки персональных данных, а также содержать как минимум информацию и меры, предусмотренные в пунктах (b), (c) и (d) Статьи 33(3) Регламента.
3. Сообщение субъекту данных, предусмотренное параграфом 1 статьи 34 Регламента, не требуется, если выполнено любое из условий, указанных в п. 3 ст. 34 Регламента (из статьи 34 Регламента).

Раздел 3. ОЦЕНКА ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ДАННЫХ И ПРЕДВАРИТЕЛЬНАЯ КОНСУЛЬТАЦИЯ

Статья 27. Оценка воздействия на защиту данных

1. В тех случаях, когда тип обработки данных, в частности при использовании новых технологий, а также принимая во внимание характер, объем, контекст и цели обработки, вероятнее всего приведет к высокому риску для прав и свобод физических лиц, контролёр должен, до этой обработки, осуществить оценку воздействия предусмотренных операций обработки на защиту персональных данных. Отдельная оценка может быть проведена в отношении ряда аналогичных операций обработки, который представляет подобные высокие риски.
2. Оценка должна содержать как минимум:

(a) систематизированное описание предусмотренных операций обработки данных, а также целей обработки, в том числе, когда это применимо, законные права, осуществляемые контролёром;

(b) оценку необходимости и соразмерности операций обработки по отношению к целям;

(c) оценку рисков в отношении прав и свобод субъектов данных, предусмотренных параграфом 1 ст. 35 Регламента; и

(d) меры, предусмотренные в отношении рисков, в том числе гарантии, меры безопасности, а также механизмы для обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента, принимая во внимание права и законные интересы субъектов данных и иных заинтересованных лиц.

1. В соответствующих случаях, контролёр должен узнать мнения субъектов данных или их представителей относительно предполагаемой обработки, без ущерба для защиты коммерческих или общественных интересов, либо безопасности обработки данных.
2. В необходимых случаях контролёр должен провести анализ для того, чтобы оценить, осуществлена ли обработка в соответствии с оценкой воздействия на защиту данных, по крайней мере, когда существует изменение риска, представленного операциями обработки (из ст. 35 Регламента).

Статья 28. Предварительная консультация

1. Контролёр должен проконсультироваться с надзорным органом до начала обработки, когда оценка воздействия на защиту данных в соответствии со Статьей 35 Регламента показывает, что эта обработка предполагает высокий риск в отсутствии мер, предпринятых контролёром для минимизации последствий этого риска.
2. При консультировании надзорным органом, в соответствии с параграфом 1 статьи 36 Регламента, контролёр должен предоставить надзорному органу:

(a) когда это применимо, сведения об обязанностях контролёра, контролёрах действующих совместно, и обработчиках, вовлеченных в обработку, в частности, по обработке в рамках группы компаний;

(b) сведения о цели и способах предполагаемой обработки;

(c) сведения о мерах и средствах защиты прав и свобод субъектов данных в соответствии с настоящим Регламентом;

(d) когда это применимо, реквизиты инспектора по защите персональных данных;

(e) оценку воздействия на защиту данных в соответствии со Статьей 35 Регламента; и

(f) любую иную информацию, по требованию надзорного органа (из статьи 36 Регламента).

Раздел 4. ИНСПЕКТОР ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 29. Назначение на должность инспектора по защите персональных данных

1. Контролёр и обработчик должны назначить инспектора по защите персональных данных при любых обстоятельствах, в случае когда:

(a) обработка осуществляется органом власти или учреждением, за исключением судов, действующих в рамках своей судейской дееспособности;

(b) ключевая деятельность контролёра или обработчика заключается в обработке данных, которая в силу своего характера, своего объема и/или целей, требует регулярного и систематического мониторинга субъектов данных в больших масштабах; или

(c) ключевая деятельность контролёра или обработчика заключается в масштабной обработке особых категорий данных, в соответствии со Статьей 6 Регламента, а также персональных данных, касающихся осужденнных в уголовном порядке и правонарушителей в соответствии со Статьей 10 Регламента.

1. Инспектор по защите персональных данных должен назначаться на основе профессиональных качеств и, в том числе, на основе экспертных знаний в сфере права защиты данных и практики, а также способности осуществлять задачи, предусмотренные Статьей 39 Регламента.
2. Инспектор по защите персональных данных может являться сотрудником контролёра или обработчика, или осуществлять задачи на основании договора об оказании услуг.
3. Контролёр или обработчик должны опубликовать реквизиты инспектора по защите персональных данных и сообщить их надзорному органу (из статьи 37 Регламента).

Статья 30. Должность инспектора по защите персональных данных

1. Контролёр и обработчик должны обеспечить, чтобы инспектор по защите персональных данных участвовал в установленном порядке и согласно указанным срокам во всех делах, которые относятся к защите персональных данных.
2. Контролёр и обработчик должны оказывать содействие инспектору по защите персональных данных в осуществлении задач, предусмотренных в Статье 39 Регламента, посредством средств, необходимых для осуществления таких задач, а также предоставлением доступа к персональным данным и операциям обработки, и поддерживать его/ее экспертную осведомленность (из статьи 38 Регламента).

Статья 31. Задачи инспектора по защите персональных данных

1. Инспектор по защите персональных должен выполнять, как минимум следующие задачи:

(a) информировать и давать советы контролёру или обработчику, а также сотрудникам, которые осуществляют обработку, относительно их обязанностей по настоящему Регламенту и иным положениям о защите данных Евросоюза или государства-члена;

(b) осуществлять мониторинг соблюдения настоящего Регламента, иных положений Евросоюза или государства- члена о защите данных, и политик контролёра или обработчика в отношении защиты персональных данных, в том числе распределения обязанностей, повышения осведомленности и обучения персонала, занятого в обработке данных, а также относительно аудита.

(c) давать рекомендации, когда они запрашиваются, относительно оценки воздействия на защиту данных, а также осуществлять мониторинг их выполнения, в соответствии со Статьей 35 Регламента;

(d) сотрудничать с надзорным органом;

(e) действовать в качестве контактного центра для надзорного органа по вопросам, относящимся к обработке, в том числе по предварительному консультированию, предусмотренному Статьей 36 Регламента, а также давать советы, в соответствующих случаях, относительно иных вопросов;

1. Инспектор по защите персональных данных при выполнении его/ее задач должен соответствующим образом учитывать риск, связанный с операциями обработки, принимая во внимание характер, объем, контекст и цели обработки (из статьи 39 Регламента).

ГЛАВА V. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ СТРАНАМ ИЛИ МЕЖДУНАРОДНЫМ ОРГ АНИЗАЦИЯМ

Статья 32. Общие принципы передачи

Любая передача персональных данных, подвергшихся обработке или предназначенные для обработки, после передачи третьей стране или международной организации, должна проводиться лишь в случаях, когда это допускается другими положениями настоящего Регламента, если условия, предусмотренные в этой Главе, соблюдаются контролёром или обработчиком, включая последующую передачу персональных данных из третьей страны или международной организации в другую третью страну или в другую международную организацию. Все положения настоящей Главы должны применяться с целью обеспечения того, чтобы уровень защиты физических лиц, гарантированный настоящим Регламентом, не был подорван (из статьи 44 Регламента).

Статья 33. Передача при наличии надлежащих гарантий

1. При отсутствии решения в порядке Статьи 45(3) Регламента, контролёр или обработчик могут передать персональные данные третьей стране или международной организации только, если контролёр или обработчик предоставляют надлежащие гарантии, а также при условии, что имеющие законную силу права субъекта данных и действующие средства правовой защиты субъекта данных являются доступными (из статьи 46 Регламента).

ГЛАВА VIII. СРЕДСТВА ПРАВОВОЙ ЗАЩИТЫ, ОТВЕТСТВЕННОСТЬ И САНКЦИИ

Статья 34. Право подавать жалобу в надзорный орган

1. Без ущерба любым иным административным или судебным средствам защиты, каждый субъект данных должен обладать правом подачи жалобы в надзорный орган, в том числе, в государстве-члене его/ее обычного места проживания, места работы или места предполагаемого нарушения, если субъект данных считает, что обработка относящихся к нему/ней персональных данных нарушает настоящий Регламент (из статьи 77 Регламента).

Статья 35. Право на эффективные средства судебной защиты против надзорного органа

1. Без ущерба любым иным административным или вне-судебным средствам защиты, каждое физическое или юридическое лицо должно иметь право на эффективные средства судебной защиты против юридически обязательного решения надзорного органа, касающихся их (из статьи 78 Регламента).

Статья 36. Право на эффективные средства судебной защиты в отношении контролёра или обработчика

1. Без ущерба любым иным административным или внесудебным средствам защиты, в том числе праву подачи жалобы в надзорный орган, согласно Статье 77 Регламента, каждый субъект данных должен иметь право на эффективные средства судебной защиты, если он/она считает, что его/ее права по настоящему Регламенту, были нарушены в результате обработки его/ее персональных данных в нарушение требований настоящего Регламента (из статьи 79 Регламента).

Статья 37. Право на компенсацию и ответственность

1. Любое лицо, которое понесло материальный или нематериальный ущерб в результате нарушения положений настоящего Регламента, обладает правом на получение компенсации от контролёра или обработчика за понесенный ущерб.
2. Любой контролёр, участвующий в обработке данных, должен нести ответственность за ущерб, вызванный обработкой данных, которая нарушает настоящий Регламент. Обработчик должен нести ответственность за ущерб, вызванный обработкой данных, только если он не выполнил обязательства по настоящему Регламенту, конкретно направленные на обработчиков, или когда он действовал вне пределов или в нарушение законных предписаний контролёра (из статьи 82 Регламента).

Статья 38. Общие условия наложения административных штрафов

1. Каждый надзорный орган должен обеспечить, чтобы наложение административных штрафов, в порядке настоящей Статьи в отношении нарушений положений настоящего Регламента, предусмотренных в параграфах 4, 5 и 6 статьи 83 Регламента, в каждом отдельном случае, было эффективным, соразмерным и имело сдерживающее воздействие.
2. Административные штрафы, в зависимости от обстоятельств каждого конкретного случая, должны налагаться в дополнение, либо вместо мер, предусмотренных пунктами (а)-(h) и (j) Статьи 58 (2) Регламента. При принятии решения по вопросу наложения административного штрафа и решения о размере административного штрафа, в каждом отдельном случае должно подлежать учету следующее:

(a) характер, тяжесть и продолжительность нарушения, принимая во внимание характер, объем и цели соответствующей обработки, также как и количество затронутых субъектов данных, а равно и размер ущерба, понесенного ими;

(b) умышленный или неосторожный характер нарушения;
(c) любые меры, предпринятые контролёром или обработчиком, для

смягчения ущерба, полученного субъектами данных;
(d) степень ответственности контролёра или обработчика, принимая во

внимание технические и организационные меры, осуществляемые ими в соответствии со Статьями 25 и 32 Регламента;

(e) любые соответствующие предыдущие нарушения контролёра или обработчика;

(f) степень сотрудничества с надзорным органом для того, чтобы устранить нарушения и смягчить возможные неблагоприятные последствия нарушений;

(g) категории персональных данных, затронутых нарушением;

(h) способ, посредством которого надзорному органу стало известно о нарушении, в том числе, уведомил ли контролёр или обработчик об этом нарушении, и если да, то в какой степени;

(i) соблюдение мер, предусмотренных Статьей 58 (2) Регламента, ранее было предписано против соответствующего контролёра или обработчика в отношение того же вопроса;

(j) соблюдение утвержденных кодексов поведения в соответствии со Статьей 40 Регламента, или утвержденных механизмов сертификации, в соответствии со Статьей 42 Регламента; и

(k) любые иные отягчающие или смягчающие факторы, применимые к обстоятельствам дела, например, полученные финансовые выгоды или избежание потерь, прямо или косвенно связанных с нарушением.

1. Если контролёр или обработчик умышленно или по неосторожности, по тем же самым или связанным с обработкой данных, нарушают несколько положения настоящего Регламента, общий размер административного штрафа не должен превышать размер, установленный для самого тяжкого нарушения.
2. Нарушения следующих положений должны, в соответствии с параграфом 2 статьи 83 Регламента, подпадать под административные штрафы в размере до 10 000 000 Евро, или применительно к хозяйствующему субъекту, в размере до 2% от «обще-странового» годового оборота хозяйствующего субъекта за весь предыдущий финансовый год, в зависимости от того, какая сумма больше:

(а) обязательства контролёра и обработчика в соответствии со Статьями 8, 11, 25-39 и 42 и 43 Регламента;

(b) обязательства органа сертификации в соответствии со Статьями 42 и 43 Регламента;

(c) обязательства органов, надзорного органа в соответствии со Статьей 41 (4) Регламента.

1. Нарушения следующих положений, в соответствии с параграфом 2 статьи 83 Регламента, должны подпадать под административные штрафы в размере до 20 000 000 Евро или применительно к хозяйствующему субъекту в размере до 4% от «обще-странового» годового оборота за весь предыдущий финансовый год, в зависимости от того, какая сумма больше:

(a) нарушение основных принципов обработки, в том числе условий, в отношении согласия, согласно Статьям 5, 6, 7 и 9 Регламента;

(b) прав субъектов данных, предусмотренных с Статьях 12-22 Регламента;

(c) передачи персональных данных получателю в третьей стране или международной организации, предусмотренной Статьями 44-49 Регламента;

(d) любых обязанностей в соответствии с правом государства-члена, принятому в рамках Главы IX Регламента;

(e) несоблюдения предписания, или временного или окончательного ограничения на обработку, или приостановление потоков данных надзорным органом в соответствии со Статьей 58 (2) Регламента, либо отказ в предоставлении доступа в нарушение Статьи 58 (1) Регламента.

1. Нарушения предписаний надзорного органа, в соответствии со Статьей 58 (2) статьи 83 Регламента, должны, в соответствии с параграфом 2 статьи 83 Регламента, подпадать под административные штрафы в размере не более 20 000 000 Евро или, применительно к хозяйствующему субъекту, в размере до 4% от «общестранового» годового оборота хозяйствующего субъекта за весь предыдущий финансовый год, в зависимости от того, какая сумма больше.
2. Без ущерба полномочиям надзорных органов по устранению недостатков, в соответствии со Статьей 58 (2) Регламента, каждое государство-член может установить правила относительно того, могут ли и в какой мере административные штрафы налагаться на органы государственной власти и учреждения, существующие в этом государстве-члене.
3. Осуществление надзорным органом своих полномочий в соответствии со Статьей 83 Регламента, должно подпадать под действие соответствующих процессуальных гарантий в соответствии с правом Евросоюза и правом государства-члена, включая эффективные средства судебной защиты и надлежащую правовую процедуру.
4. В случае, когда правовая система государства-члена не предусматривает административные штрафы, настоящая Статья может применяться таким образом, чтобы наложение штрафа инициировалось компетентным надзорным органом, а штраф налагался компетентными национальными судами, при этом гарантируя, что такие средства правовой защиты являются эффективными и обладают аналогичным эффектом как и административные штрафы, налагаемые надзорными органами. Во всяком случае, налагаемые штрафы должны быть эффективными, пропорциональными и должны оказывать сдерживающее воздействие. Такие государства-члены должны уведомить Европейскую Комиссию о положениях своего законодательства, которые они принимают в соответствии с соответствующим параграфом статьи 83 Регламента, до 25 мая 2018 г., а также незамедлительно уведомить о любых последующих изменениях законодательства или поправках, затрагивающих такие положения (из статьи 83 Регламента).