Статья 6 Правомерность обработки

О чём эта статья

Статья 6 — шесть оснований законности обработки. Любая обработка данных должна опираться хотя бы на одно из этих оснований. Без основания обработка незаконна (нарушение Art. 5(1)(a) и Art. 6).

6(1) — Шесть оснований

(a) Согласие. Субъект данных дал согласие на обработку для одной или нескольких конкретных целей. Согласие определено в Art. 4(11) и Art. 7.

(b) Исполнение договора. Обработка необходима для исполнения договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта до заключения договора. Покупка в интернет-магазине — пример.

(c) Юридическая обязанность. Обработка необходима для соблюдения юридической обязанности контролёра. Например, налоговая отчётность.

(d) Жизненно важные интересы. Обработка необходима для защиты жизненно важных интересов субъекта или другого физического лица. Применяется в чрезвычайных ситуациях.

(e) Публичный интерес или официальные полномочия. Обработка необходима для выполнения задачи, осуществляемой в публичных интересах или в порядке осуществления официальных полномочий, возложенных на контролёра.

(f) Законные интересы. Обработка необходима для целей законных интересов, преследуемых контролёром или третьей стороной, за исключением случаев, когда эти интересы преобладают интересы или основные права и свободы субъекта данных. Это основание не применяется к обработке, осуществляемой публичными органами.

6(2) — Расширения национальным правом

Государства-члены могут вводить более конкретные положения для адаптации применения правил.

6(4) — Совместимость целей

При обработке для цели, отличной от первоначальной, контролёр должен учесть:

• связь между первоначальной целью и новой целью,
• контекст сбора данных,
• природу данных (особенно особые категории),
• возможные последствия для субъекта,
• наличие надлежащих гарантий, включая шифрование или псевдонимизацию.

Почему это важно для аудита

Art. 6 — первый вопрос при любом нарушении: на каком основании обрабатываются данные? Если контролёр заявляет «законные интересы» (6(1)(f)), но не проводит test of balancing — нарушение. Если заявляет «согласие» (6(1)(a)), но согласие неправильно собрано — нарушение. Большинство AdTech-нарушений — это спор именно об Art. 6.