Стаття 23 GDPR. Обмеження

Article 23 GDPR. Restrictions

1. Законодавство Союзу або держави-члена, яке поширюється на контролера або оператора, може обмежувати за допомогою законодавчого інструменту обсяг обов’язків і прав, передбачений в статтях 12 – 22 і статті 34, а також статті 5, відповідно до того, наскільки його положення відображають права і обов’язки, передбачені в статтях 12 – 22, якщо таке обмеження зберігає сутність фундаментальних прав і свобод і є необхідним та пропорційним заходом у демократичному суспільстві для забезпечення:

1. Union or Member State law to which the data controller or processor is subject may restrict by way of a legislative measure the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard:

Пов'язані норми

Стаття 5 GDPR. Принципи опрацювання персональних даних

Article 5 GDPR. Principles relating to processing of personal data

Стаття 12 GDPR. Прозора інформація, повідомлення та форми реалізації прав суб'єкта даних

Article 12 GDPR. Transparent information, communication and modalities for the exercise of the rights of the data subject

Стаття 13 GDPR. Інформація, яку необхідно надати у разі збирання персональних даних від суб'єкта даних

Article 13 GDPR. Information to be provided where personal data are collected from the data subject

Стаття 14 GDPR. Інформація, яку необхідно надати у разі отримання персональних даних не від суб'єкта даних

Article 14 GDPR. Information to be provided where personal data have not been obtained from the data subject

Стаття 15 GDPR. Право суб'єкта даних на доступ

Article 15 GDPR. Right of access by the data subject

Стаття 16 GDPR. Право на виправлення

Article 16 GDPR. Right to rectification

Стаття 17 GDPR. Право на стирання ("право бути забутим")

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

Стаття 18 GDPR. Право на обмеження опрацювання

Article 18 GDPR. Right to restriction of processing

Стаття 19 GDPR. Зобов'язання щодо повідомлення про виправлення чи стирання персональних даних або обмеження опрацювання

Article 19 GDPR. Notification obligation regarding rectification or erasure of personal data or restriction of processing

Стаття 20 GDPR. Право на мобільність даних

Article 20 GDPR. Right to data portability

Стаття 21 GDPR. Право на заперечення

Article 21 GDPR. Right to object

Стаття 22 GDPR. Автоматизоване індивідуальне вироблення й ухвалення рішень, у тому числі, профайлінг

Article 22 GDPR. Automated individual decision-making, including profiling

Стаття 34 GDPR. Повідомлення суб'єкта даних про порушення захисту персональних даних

Article 34 GDPR. Communication of a personal data breach to the data subject

(a) національної безпеки;

(a) national security;

Керівництво та прецедентне право

(EN)

Case Law

CJEU, La Quadrature du Net et al./Premier ministre et al., C-511/18, C-512/18, C-520/18 (2020).

CJEU, Privacy International/Secretary of State for Foreign and Commonwealth Affairs, C-623/17 (2020).

(b) оборони;

(b) defence;

(c) громадської безпеки;

(c) public security;

(d) запобігання, розслідування, виявлення або переслідування за скоєння кримінальних злочинів або для виконання кримінальних покарань, у тому числі, захисту від або запобіганню загрозам громадській безпеці;

(d) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security;

(e) інших важливих цілей загального суспільного інтересу Союзу або держави-члена, зокрема важливого економічного чи фінансового інтересу Союзу або держави-члена, в тому числі, питань валютної, бюджетної і податкової політики, охорони суспільного здоров’я та соціального забезпечення;

(e) other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation a matters, public health and social security;

(f) захисту незалежності судових органів і судових процесів;

(f) the protection of judicial independence and judicial proceedings;

(g) запобігання, розслідування, виявлення або переслідування за порушення етичних норм для регульованих професій;

(g) the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions;

(h) моніторингу, перевірки чи регуляторної функції, пов’язаної, навіть періодично, з реалізацією офіційних повноважень у випадках, вказаних у пунктах (a) – (e) та (g);

(h) a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority in the cases referred to in points (a) to (e) and (g);

(i) захисту суб’єкта даних або прав і свобод інших осіб;

(i) the protection of the data subject or the rights and freedoms of others;

(j) виконання цивільно-правових позовів.

(j) the enforcement of civil law claims.

2. Зокрема, будь-який законодавчий інструмент, вказаний у параграфі 1, повинен містити спеціальні положення, за необхідності, принаймні щодо:

2. In particular, any legislative measure referred to in paragraph 1 shall contain specific provisions at least, where relevant, as to:

(a) цілей опрацювання чи категорій опрацювання;

(a) the purposes of the processing or categories of processing;

(b) категорій персональних даних;

(b) the categories of personal data;

(c) обсяг введених обмежень;

(c) the scope of the restrictions introduced;

(d) гарантій запобігання зловживанню чи незаконному доступу або передаванню;

(d) the safeguards to prevent abuse or unlawful access or transfer;

(e) детальної інформації щодо контролера або категорій контролерів;

(e) the specification of the controller or categories of controllers;

(f) періодів зберігання та застосовних гарантій, з огляду на специфіку, обсяг та цілі опрацювання чи категорій опрацювання;

(f) the storage periods and the applicable safeguards taking into account the nature, scope and purposes of the processing or categories of processing;

Пов'язані норми

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0.

2.1.3.3 “nature, scope, context and purpose of processing”

28. In short, the concept of nature can be understood as the inherent[11] characteristics of the processing. The scope refers to the size and range of the processing. The context relates to the circumstances of the processing, which may influence the expectations of the data subject, while the purpose pertains to the aims of the processing.

_{[11] Examples are special categories personal data, automatic decision-making, skewed power relations, unpredictable processing, difficulties for the data subject to exercise the rights, etc.}

(g) ризиків для прав і свобод суб’єктів даних; або

(g) the risks to the rights and freedoms of data subjects; and

(h) право суб’єктів даних бути повідомленими про обмеження, за винятком порушень цілі обмеження.

(h) the right of data subjects to be informed about the restriction, unless that may be prejudicial to the purpose of the restriction.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Преамбули Керівництво та прецедентне право Залишити коментар

Преамбули

(73) Обмеження щодо спеціальних принципів та прав на інформацію, доступ до персональних даних, їх виправлення або стирання, права на мобільність даних, права на заперечення, рішень, що засновані на профайлінгу, а також повідомлення суб'єкта даних про порушення захисту персональних даних і інших пов'язаних зобов'язань контролерів можна накладати законодавством Союзу або держави-члена, наскільки це необхідно та пропорційно в демократичному суспільстві для гарантування громадської безпеки, в тому числі захисту життя людини, особливо у відповідь на стихійні лиха і антропогенні катастрофи, запобігання, розслідування і переслідування осіб за скоєння кримінальних злочинів або виконання кримінальних покарань, у тому числі захист від загроз громадській безпеці та запобігання їм, або за порушення етичних норм для регульованих професій, про інші важливі цілі загального суспільного інтересу Союзу або держави-члена, зокрема важливий економічний або фінансовий інтерес Союзу або держави-члена, ведення публічних реєстрів на підставі загального суспільного інтересу, подальше опрацювання архівних персональних даних для надання конкретної інформації, що стосується політичної поведінки під колишніми тоталітарними державними режимами або захисту суб'єктів даних або прав і свобод інших, у тому числі соціального захисту, цілей охорони здоров'я населення або гуманітарних цілей. Зазначені обмеження повинні відповідати вимогам, установленим у Хартії та Європейській конвенції про захист прав людини та фундаментальних свобод.

(73) Restrictions concerning specific principles and the rights of information, access to and rectification or erasure of personal data, the right to data portability, the right to object, decisions based on profiling, as well as the communication of a personal data breach to a data subject and certain related obligations of the controllers may be imposed by Union or Member State law, as far as necessary and proportionate in a democratic society to safeguard public security, including the protection of human life especially in response to natural or manmade disasters, the prevention, investigation and prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, or of breaches of ethics for regulated professions, other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, the keeping of public registers kept for reasons of general public interest, further processing of archived personal data to provide specific information related to the political behaviour under former totalitarian state regimes or the protection of the data subject or the rights and freedoms of others, including social protection, public health and humanitarian purposes. Those restrictions should be in accordance with the requirements set out in the Charter and in the European Convention for the Protection of Human Rights and Fundamental Freedoms.

Керівництво та прецедентне право

(EN)

Documents

EDPB, Statement on Restrictions on Data Subject Rights in Connection to the State of Emergency in Member States (2020).

EDPB, Guidelines 10/2020 on Restrictions under Article 23 GDPR (2020).

Case Law

CJEU, Draft Agreement between Canada and the European Union, opinion 1/15 (2017).

Залишити коментар

[js-disqus]

Стаття 22. Автоматизоване індивідуальне вироблення й ухвалення рішень, у тому числі, профайлінг

Стаття 24. Предмет і цілі