1. Обработка является законной только в таком объёме и только тогда, если применяется, по меньшей мере, одно из упомянутых далее оснований:
- субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
- обработка нужна для выполнения договора, в котором субъект данных является заключающей договор стороной, или для приятия мер по требованию субъекта данных до заключения договора;
- обработка необходима для выполнения юридического обязательства в отношении контроллера;
- обработка нужна для защиты жизненных интересов субъекта данных или других лиц;
- обработка нужна для выполнения задач в интересах общества или при осуществлении контроллером законно предоставленных официальных полномочий;
- обработка необходима для соблюдения законных интересов контроллера или третьего лица, за исключением, если интересы или основные права и свободы субъекта данных, для которых требуется защита персональных данных, являются более важными, чем такого рода интересы, в особенности, если субъектом данных является ребёнок.
Подпункт f) части первой не применяется для обработки, осуществляемой публичными учреждениями при выполнении своих задач.
2. Государства-члены ЕС могут оставлять в силе и вводить более конкретные положения для введения в действие правил данного Регламента в отношении осуществляемой обработки, для соблюдения подпунктов c) и e) пункта 1 при более точном определении конкретных требований для обработки, и для других намерений с целью обеспечения законной и честной обработки, в том числе для специальных ситуаций обработки, предусмотренных Главой IX.
3. Упомянутые в подпункте c) и e) параграфа 1 данной Статьи основания для обработки устанавливаются:
- правовыми актами Союза; или
- правовыми актами Государств-членов ЕС, применяемыми к контроллеру.
Цель обработки должна определяться данными законнымим основаниями, либо согласно целям обработки, указанными в подпункте e) параграфа 1, когда обработка необходима для выполнения задачи в интересах общества, либо при осуществлении контроллером законно предоставленных официальных полномочий. Указанное юридическое основание может содержать конкретные положения для применения правил настоящего регламента, кроме того общие условия, регламентирующие законность обработки контроллером; соответственные субъекты данных; структуры, которым могут быть разглашены персональные данные, и цели, для которых они могут быть разглашены; ограничения по целевой обработке; сроки хранения; действия по обработке и процедуры обработки, в том числе меры для обеспечения законной и честную обработку, например, в других конкретных ситуациях обработки, предусмотренных в Главе IX. Правовые акты Союза или Государств-членов ЕС должны соответствовать интересам общества и пропорциональны поставленной законной цели.
4. Если обработка для другой цели, нежели для которой собирались персональные данные, не основана на согласии субъекта данных или правовых актах Союза или Государств-членов ЕС, которые являются необходимой и пропорциональной мерой в демократическом обществе для защиты упомянутых в пункте 1 Статьи 23 целей, то контроллер, чтобы убедиться, совместима ли такая обработка в других целях с целью, для которой изначально собирались персональные данные, между тем учитывает:
- любую связь между целями, для которых собирались персональные данные, и целями предполагаемой последующей обработки;
- контекст, в котором собирались персональные данные, в частности относительно взаимоотношения субъекта данных и контроллера;/li>
- характер персональных данных, в частности, производится ли обработка особых категорий данных, с учётом Статьи 9, или производится ли обработка персональных данных по судимости и преступлениям, с учётом Статьи 10;
- возможные последствия предполагаемой последующей обработки для субъектов данных;
- наличие соответствующей гарантии, которая может включать в себя шифрование или псевдонимизацию.