ГЛАВА I. Загальні положення
Стаття 4. Терміни та означення
Для цілей цього Регламенту:
- «персональні дані» означає будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб'єкт даних»); фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім'я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи;
- «опрацювання» означає будь-яку операцію або низку операцій з персональними даними або наборами персональних даних з використанням автоматизованих засобів або без них, такі як збирання, реєстрація, організація, структурування, зберігання, адаптація чи зміна, пошук, ознайомлення, використання, розкриття через передавання, розповсюдження чи надання іншим чином, упорядкування чи комбінування, обмеження, стирання чи знищення;
- «обмеження опрацювання» означає позначення збережених персональних даних з метою обмеження їх опрацювання в майбутньому;
- «профайлінг» означає будь-яку форму автоматизованого опрацювання персональних даних, що складається із використання персональних даних для оцінювання окремих персональних аспектів, що стосуються фізичної особи, зокрема, для аналізу або прогнозування аспектів, що стосуються продуктивності суб'єкта даних на роботі, економічної ситуації, здоров'я, особистих переваг, інтересів, надійності, поведінки, місцезнаходження або пересування;
- «використання псевдонімів» означає опрацювання персональних даних у такий спосіб, що персональні дані більше не можна віднести до конкретного суб'єкта даних без використання додаткової інформації, за умови, що таку додаткову інформацію зберігають окремо, і на неї поширюється застосування технічних і організаційних інструментів для забезпечення того, що персональні дані не віднесено до фізичної особи, яку ідентифіковано чи можна ідентифікувати;
- «картотека» означає будь-який структурований набір персональних даних, доступ до якого надають відповідно до спеціальних критеріїв, є централізованим, децентралізованим або розосередженим на функціональній або географічній основі;
- «контролер» означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який самостійно чи спільно з іншими визначає цілі та засоби опрацювання персональних даних; якщо цілі та засоби такого опрацювання визначаються законодавством Союзу чи держави-члена, контролер або спеціальні критерії його призначення може бути передбачено законодавством Союзу чи держави-члена;
- «оператор» означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який опрацьовує персональні дані від імені контролера;
- «одержувач» означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, якому розкривають персональні дані, незалежно від того, чи є вони третьою стороною. Проте органів публічної влади, що можуть отримувати персональні дані в рамках конкретного запиту згідно з законодавством Союзу чи держави-члена, не вважають одержувачами; опрацювання таких даних такими органами публічної влади повинно відповідати застосовним нормам про захист даних відповідно до цілей опрацювання;
- «третя сторона» означає фізичну чи юридичну особу, орган публічної влади, агентство чи орган, який не є суб'єктом даних, контролером, оператором та особами, які, під безпосереднім керівництвом контролера або оператора, уповноважені опрацьовувати персональні дані;
- «згода» суб'єкта даних означає будь-яке вільно надане, конкретне, поінформоване та однозначне зазначення бажань суб'єкта даних, яким він або вона, шляхом оформлення заяви чи проявом чітких ствердних дій, підтверджує згоду на опрацювання своїх персональних даних;
- «порушення захисту персональних даних» означає порушення безпеки, що призводить до випадкового чи незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, які передано, збережено або іншим чином опрацьовано;
- «генетичні дані» означає персональні дані, що стосуються вроджених або набутих генетичних ознак фізичної особи, надають унікальну інформацію про фізіологію чи здоров'я такої фізичної особи та такі, що отримані, зокрема, в результаті аналізу біологічної проби, взятої у відповідної фізичної особи;
- «біометричні дані» означають персональні дані, отримані в результаті спеціального технічного опрацювання, що стосується фізичних, фізіологічних чи поведінкових ознак фізичної особи, таких як, зображення обличчя чи дактилоскопічні дані, що дозволяють однозначно ідентифікувати або підтверджують однозначну ідентифікацію фізичної особи;
- «дані стосовно стану здоров'я» означає персональні дані, що стосуються стану фізичного чи психічного здоров'я фізичної особи, в тому числі надання медичних послуг, що відображають інформацію про її стан здоров'я;
- «головний осідок» означає:
- щодо контролера, що має осідки в декількох державах-членах, — осідок його центральної адміністрації в Союзі, за винятком випадків, коли рішення про цілі та засоби опрацювання персональних даних ухвалено в іншому осідку контролера в Союзі, і якщо такий інший осідок має повноваження забезпечувати виконання таких рішень; у такому разі, осідок, де було ухвалено такі рішення, необхідно вважати головним;
- щодо оператора що має осідки в декількох державах-членах, — осідок його центральної адміністрації в Союзі, або, якщо оператор не має центральної адміністрації в Союзі, осідок оператора в Союзі, де відбувається основне опрацювання даних в контексті діяльності осідку оператора тією мірою, якою на оператора поширюються конкретні обов'язки за цим Регламентом;
- «представник» означає фізичну чи юридичну особу, що перебуває чи має осідок в Союзі, та призначена контролером або оператором у письмовій формі згідно зі статтею 27, представляє контролера або оператора у питанні, що стосується їхніх відповідних обов'язків за цим Регламентом;
- «підприємство» означає фізичну чи юридичну особу, що займається господарською діяльністю, незалежно від організаційно-правової форми, в тому числі партнерства чи асоціації, що займаються господарською діяльністю на постійній основі;
- «група підприємств» означає підприємство, що контролює, і підприємства, що перебувають під його контролем;
- «зобов'язальні корпоративні правила» означає політику захисту персональних даних, якої дотримується контролер або оператор, що має осідок на території держави-члена, для здійснення передавання або низки актів передавання персональних даних контролеру або оператору в одній або декількох третіх країнах у межах групи підприємств, або групи підприємств, що здійснюють спільну господарську діяльність;
- «наглядовий орган» означає незалежний публічний орган, заснований державою-членом відповідно до статті 51;
- «відповідний наглядовий орган» означає наглядовий орган, якого стосується опрацювання персональних даних, оскільки:
- контролер або оператор має осідок на території держави-члена такого наглядового органу;
- суб'єкти даних, що перебувають на території держави-члена такого наглядового органу, зазнають істотного впливу чи ймовірно будуть зазнавати істотного впливу в результаті опрацювання;
- до такого наглядового органу було подано скаргу;
- «транскордонне опрацювання» означає або:
- опрацювання персональних даних, що відбувається у контексті діяльності осідків контролера чи оператора в Союзі у більше ніж одній державі-члені, якщо контролер або оператор мають осідки в більше ніж одній державі-члені; або
- опрацювання персональних даних, що здійснюють у контексті діяльності єдиного осідку контролера або оператора в Союзі, але яке істотно впливає чи ймовірно істотно впливатиме на суб'єктів даних у декількох державах-членах.
- «відповідне і вмотивоване заперечення» означає заперечення проти проекту рішення щодо того, чи має місце порушення цього Регламенту, чи відповідають цьому Регламенту передбачені заходи щодо контролера або оператора, що чітко вказують на значимість ризиків, що спричиняє проект рішення, для фундаментальних прав і свобод суб'єктів даних та, у відповідних випадках, вільного руху персональних даних в межах Союзу;
- «послуга інформаційного суспільства» означає послугу, як її означено в пункті (b) статті 1(1) Директиви Європейського Парламенту і Ради (ЄС) 2015/1535
- «міжнародна організація» означає організацію та її підпорядковані органи, що регулюються публічним міжнародним правом, або будь-який інший орган, заснований договором або на основі договору між двома чи декількома державами.
Посилання
- Директива Європейського Парламенту і Ради (ЄС) 2015/1535