Статья 4. Определения

 

В данном Регламенте:

(1)

«персональные данные» – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, фамилия, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько характерных для указанного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности;

(2)

«обработка» означает любую операцию или набор операций, которые выполняются над персональными данными или над наборами персональных данных, автоматическими или не автоматическими средствами. Такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, просмотр, использование, раскрытие (путем передачи, распространения или иначе, делая их доступными), выравнивание или комбинирование, ограничение, удаление или уничтожение;

(3)

«ограничение обработки» – маркировка сохраненных персональных данных в целях ограничения их обработки в будущем;

(4)

«профилирование» – любая форма автоматизированной обработки персональных данных, которая заключается в использовании персональных данных с целью вычисления конкретных личных аспектов, связанных с физическим лицом, в частности, для анализа или прогноза аспектов, относящихся к трудовым достижениям, экономической ситуации, здоровью, личным желаниям, интересам, надежности, поведению, местонахождению или перемещению указанных лиц;

(5)

«псевдонимизация» – обработка персональных данных, которая проводится таким образом, что персональные данные больше не могут быть связаны с конкретным субъектом данных без использования дополнительной информации, при условии, что дополнительная информация содержится отдельно, и к ней применяют технические и организационные меры обеспечения того, чтобы персональные данные не были связаны с идентифицированным или идентифицируемым физическим лицом;

(6)

«картотека» – любой структурированный набор персональных данных, которые доступны по определенным критериям. Система может быть централизованной или децентрализованной, распределенной функционально или географически;

(7)

«контроллер» – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которая самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; если цели и способы такой обработки определены правовыми актами Союза или Государства-члена ЕС, то контроллер или частные критерии для его назначения критерии могут быть предусмотрены правовыми актами Союза или Государства-члена ЕС;

(8)

«процессор» — это физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает личные данные от имени контроллера;

(9)

«получатель» – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которой раскрываются персональные данные, вне зависимости от того, является ли она третьим лицом или нет. Однако публичные учреждения, которые могут получать персональные данные в связи с конкретным расследованием, в соответствии с правовыми актами Союза или государства-члена ЕС, не считаются получателями; указанная обработка данных, проводимая публичными учреждениями соответствует применимым правилам защиты данных, согласно целям обработки;

(10)

«третья сторона» – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, не являющаяся субъектом данных, контроллером и лицами, которые при непосредственном подчинении контроллеру или процессору, уполномочены проводить обработку персональных данных;

(11)

«согласие» субъекта данных – любое свободно данное, конкретное, сознательное и однозначное указание на пожелания субъекта, которыми он или она путем уведомления или чёткого подтверждающего действия даёт согласие на обработку своих персональных данных;

(12)

«несанкционированный доступ к личным данным» – нарушение безопасности, в результате которой происходит случайное или незаконное уничтожение, утрата, преобразование, неразрешённое разглашение или доступ к обрабатываемым персональным данным (передача, хранение или иной способ обработки);

(13)

«генетические данные» – персональные данные, относящиеся к унаследованным или приобретенным генетическим признакам физического лица, которые предоставляют уникальную информацию о физиологии или здоровье указанного физического лица и которая вытекает, в частности, из анализа биологического образца соответствующего физического лица;

(14)

«биометрические данные» – персональные данные после специфической технической обработки, относящиеся к физическим, физиологическим или поведенческим признакам физического лица, которые позволяют провести или подтвердить уникальную идентификацию указанного физического лица, например, изображение человеческого лица или дактилоскопические данные;

(15)

«данные о здоровье» – персональные данные, связанные с физическим или психическим здоровьем физического лица, в том числе с предоставлением услуг по уходу за здоровьем, которые отражают информацию о состоянии его здоровья;

(16)

«основное место предпринимательской деятельности»:

(a)

в отношении контроллера, места предпринимательской деятельности которого находятся более, чем в одном Государстве-члене ЕС, основным его местонахождением является Союз, если только решения о целях и способах обработки персональных данных не принимаются в другом месте нахождения контроллера в Союзе, и у данного другого места предпринимательской деятельности не имеется полномочия на выполнение такого рода решения – в таком случае, основным местом предпринимательской деятельности считается то место предпринимательской деятельности, в котором приняты такие решения;

(b)

в отношении процессора, места предпринимательской деятельности которого находятся более, чем в одном государстве-члене ЕС, основным его местонахождением является Союз или, если у процессора нет главного управления в Европейском Союзе, – в месте предпринимательской деятельности в Европейском Союзе, где происходят основные действия по переработке, в связи с действиями в местах предпринимательской деятельности процессора, поскольку к процессору относятся предусмотренные настоящим регламентом конкретные обязанности;

(17)

«представитель» – физическое или юридическое лицо, ведущее предпринимательскую деятельность в Союзе, которое в письменной форме назначается контроллером или процессором, в соответствии со Статьёй 27, которое представляет контроллера или процессора, в связи с их соответствующими обязанностями, предусмотренными настоящим регламентом;

(18)

«предприятие» – физическое или юридическое лицо, осуществляющее хозяйственную деятельность, вне зависимости от его юридического статуса, в том числе партнёрства или объединения, регулярно ведущих хозяйственную деятельность;

(19)

«группа предприятий» – контролирующее предприятие и подконтрольные ему предприятия;

(20)

«обязывающие правила предприятия» – политики защиты персональных данных, строго соблюдаемые контроллером или процессором, осуществляющим предпринимательскую деятельность в Союзе на территории государства-члена ЕС, относительно передачи или многократной передачи персональных данных контроллеру или процессору в одной или нескольких третьих странах в группе предприятий или в группе предпринимательских обществ, вовлечённых в совместную экономическую деятельность;

(21)

«надзорное учреждение» – независимое публичное учреждение, созданное Государством-членом ЕС с учётом Статьи 51;

(22)

«соответствующее надзорное учреждение» – надзорное учреждение, отвечающее за обработку персональных данных на основании:

(a)

контроллер или процессор ведёт предпринимательскую деятельность на территории государства-члена ЕС указанного надзорного учреждения;

(b)

обработка оказывает существенное воздействие или может оказывать существенное воздействие на субъекты данных, проживающих в государстве-члене ЕС указанного надзорного учреждения; или

(c)

подана жалоба в указанное надзорное учреждение;

(23)

«трансграничная обработка» является или:

(a)

обработкой персональных данных, которая проводится в связи с действиями, осуществляемыми контроллером или процессором в Европейском Союзе в местах предпринимательской деятельности более, чем в одном Государстве-члене ЕС, если контроллер или процессор осуществляет предпринимательскую деятельность более, чем в одном государстве-члене; или

(b)

обработкой персональных данных, которая происходит в связи действиями, осуществляемыми контроллером или процессором в единственном месте ведения предпринимательской деятельности, но которая оказывает существенное воздействие или может оказывать существенное воздействие на субъекты данных в нескольких Государствах-членах ЕС.

(24)

«существенное и мотивированное возражение» – возражение на проект решения относительно того, имеется ли нарушение настоящего регламента или соответствует ли намеченная деятельность относительно контроллера или процессора настоящему регламенту, чётко продемонстрировав значимость их рисков, которые создаёт проект решения для основных прав и свобод субъектов данных и, в соответствующем случае, – для свободного оборота персональных данных в Союзе;

(25)

«услуга информационного общества» – услуга, в определении подпункта (b) параграфа 1 Статьи 1 Директивы Европейского Парламента и Совета (ЕС) 2015/1535;(19);

(26)

«международная организация» – организация и ее подчиненные структуры, являющиеся субъектами международного публичного права, или любой другой структурой, созданной по соглашению между двумя или более странами или на его основе.

 

Наверх