Определения

Основные термины и аббревиатуры

  • персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу; идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, фамилия, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько характерных для указанного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности;
  • субъект данных — идентифицированное или потенциально идентифицируемое физическое лицо.
  • контроллер – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которая самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; если цели и способы такой обработки определены правовыми актами Союза или Государства-члена ЕС, то контролёр или частные критерии для его назначения критерии могут быть предусмотрены правовыми актами Союза или Государства-члена ЕС;
  • процессор — это физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает личные данные от имени контроллера;
  • получатель – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которой раскрываются персональные данные, вне зависимости от того, является ли она третьим лицом или нет. Однако публичные учреждения, которые могут получать персональные данные в связи с конкретным расследованием, в соответствии с правовыми актами Союза или государства-члена ЕС, не считаются получателями; указанная обработка данных, проводимая публичными учреждениями соответствует применимым правилам защиты данных, согласно целям обработки;
  • третья сторона – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, не являющаяся субъектом данных, контролёром и лицами, которые при непосредственном подчинении контролёру или процессору, уполномочены проводить обработку персональных данных;
  • несанкционированный доступ к личным данным – нарушение безопасности, в результате которой происходит случайное или незаконное уничтожение, утрата, преобразование, неразрешённое разглашение или доступ к обрабатываемым персональным данным (передача, хранение или иной способ обработки);
  • представитель – физическое или юридическое лицо, ведущее предпринимательскую деятельность в Союзе, которое в письменной форме назначается контролёром или процессором, в соответствии со статьёй 27, которое представляет контролера или процессора, в связи с их соответствующими обязанностями, предусмотренными настоящим регламентом;
  • согласие субъекта данных – любое свободно данное, конкретное, сознательное и однозначное указание на пожелания субъекта, которыми он или она путем уведомления или чёткого подтверждающего действия даёт согласие на обработку своих персональных данных;
  • трансграничная обработка является или:
    • обработкой персональных данных, которая проводится в связи с действиями, осуществляемыми контролёром или процессором в Европейском Союзе в местах предпринимательской деятельности более, чем в одном Государстве-члене ЕС, если контролёр или процессор осуществляет предпринимательскую деятельность более, чем в одном государстве-члене; или
    • обработкой персональных данных, которая происходит в связи действиями, осуществляемыми контролёром или процессором в единственном месте ведения предпринимательской деятельности, но которая оказывает существенное воздействие или может оказывать существенное воздействие на субъекты данных в нескольких Государствах-членах ЕС.

  • Компетентный орган — это

    • любой государственный орган, компетентный для предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение их угроз; или

    • любой другой орган или сущность государства-члена ЕС, наделенная полномочиями осуществлять деятельность в целях предупреждения, расследования, обнаружения, преследования за уголовные преступления или исполнения уголовных наказаний, включая защиту от и предотвращение угроз общественной безопасности;

  • DSR (Data Subject Rights ) — Права субъекта данных
  • DSR Запрос (DSR Request) — Официальный запрос субъекта данных контроллеру с целью совершения какого-либо действия над его или ее персональными данными.
  • DPO (Data Protection Officer) — Сотрудник по защите данных и взаимодействия с субъектами данных и надхорными органами.

Персональные данные

  • обработка — любая операция или набор операций, которые выполняются над персональными данными или над наборами персональных данных, автоматическими или не автоматическими средствами. Такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, просмотр, использование, раскрытие (путем передачи, распространения или иначе, делая их доступными), выравнивание или комбинирование, ограничение, удаление или уничтожение;
  • ограничение обработки – маркировка сохраненных персональных данных в целях ограничения их обработки в будущем;
  • профилирование – любая форма автоматизированной обработки персональных данных, которая заключается в использовании персональных данных с целью вычисления конкретных личных аспектов, связанных с физическим лицом, в частности, для анализа или прогноза аспектов, относящихся к трудовым достижениям, экономической ситуации, здоровью, личным желаниям, интересам, надежности, поведению, местонахождению или перемещению указанных лиц;
  • псевдонимизация – обработка персональных данных, которая проводится таким образом, что персональные данные больше не могут быть связаны с конкретным субъектом данных без использования дополнительной информации, при условии, что дополнительная информация содержится отдельно, и к ней применяют технические и организационные меры обеспечения того, чтобы персональные данные не были связаны с идентифицированным или идентифицируемым физическим лицом;
  • картотека – любой структурированный набор персональных данных, которые доступны по определенным критериям. Система может быть централизованной или децентрализованной, распределенной функционально или географически;
  • генетические данные – персональные данные, относящиеся к унаследованным или приобретенным генетическим признакам физического лица, которые предоставляют уникальную информацию о физиологии или здоровье указанного физического лица и которая вытекает, в частности, из анализа биологического образца соответствующего физического лица;
  • биометрические данные – персональные данные после специфической технической обработки, относящиеся к физическим, физиологическим или поведенческим признакам физического лица, которые позволяют провести или подтвердить уникальную идентификацию указанного физического лица, например, изображение человеческого лица или дактилоскопические данные;
  • данные о здоровье – персональные данные, связанные с физическим или психическим здоровьем физического лица, в том числе с предоставлением услуг по уходу за здоровьем, которые отражают информацию о состоянии его здоровья;

 

Предприятия и организации

  • предприятие – физическое или юридическое лицо, осуществляющее хозяйственную деятельность, вне зависимости от его юридического статуса, в том числе партнёрства или объединения, регулярно ведущих хозяйственную деятельность;
  • группа предприятий – контролирующее предприятие и подконтрольные ему предприятия;
  • обязывающие правила предприятия – политики защиты персональных данных, строго соблюдаемые контролёром или процессором, осуществляющим предпринимательскую деятельность в Союзе на территории государства-члена ЕС, относительно передачи или многократной передачи персональных данных контролеру или процессору в одной или нескольких третьих странах в группе предприятий или в группе предпринимательских обществ, вовлечённых в совместную экономическую деятельность;
  • основное место предпринимательской деятельности:
    • в отношении контролера, места предпринимательской деятельности которого находятся более, чем в одном Государстве-члене ЕС, основным его местонахождением является Союз, если только решения о целях и способах обработки персональных данных не принимаются в другом месте нахождения контролера в Союзе, и у данного другого места предпринимательской деятельности не имеется полномочия на выполнение такого рода решения – в таком случае, основным местом предпринимательской деятельности считается то место предпринимательской деятельности, в котором приняты такие решения;
    • в отношении процессора, места предпринимательской деятельности которого находятся более, чем в одном государстве-члене ЕС, основным его местонахождением является Союз или, если у процессора нет главного управления в Европейском Союзе, – в месте предпринимательской деятельности в Европейском Союзе, где происходят основные действия по переработке, в связи с действиями в местах предпринимательской деятельности процессора, поскольку к процессору относятся предусмотренные настоящим регламентом конкретные обязанности;
  • «международная организация» – организация и ее подчиненные структуры, являющиеся субъектами международного публичного права, или любой другой структурой, созданной по соглашению между двумя или более странами или на его основе.

 

Надзор

  • «надзорное учреждение» – независимое публичное учреждение, созданное государством-членом ЕС с учётом Статьи 51;
  • «соответствующее надзорное учреждение» – надзорное учреждение, отвечающее за обработку персональных данных на основании: