- Обработка будет законной только в том случае и в той степени, если применяется хотя бы одно из следующих условий:
- (a) субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
- (b) обработка необходима для выполнения контракта, стороной которого является субъект данных, или для того, чтобы предпринять шаги по просьбе субъекта данных перед заключением контракта;
- (c) обработка необходима для выполнения юридического обязательства, которому подчиняется контроллер;
- (d) обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;
- (e) обработка необходима для выполнения задачи, поставленной в общественных интересах или в рамках осуществления официальных полномочий, возложенных на контроллера;
- (f) обработка необходима для соблюдения законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы преобладают над интересами или фундаментальными правами и свободами субъекта данных, требующими защиты персональных данных, в частности, когда субъектом данных является ребенок.
Пункт (f) первого подпункта не применяется к обработке, осуществляемой государственными органами при выполнении ими своих задач.
- Государства-члены могут сохранить или ввести более конкретные положения для адаптации применения правил настоящего Положения в отношении обработки в соответствии с пунктами (c) и (e) параграфа 1 путем более точного определения конкретных требований к обработке и других мер по обеспечению законной и справедливой обработки, в том числе для других конкретных ситуаций обработки, как это предусмотрено в Главе IX.
- Основание для обработки данных, упомянутых в пунктах (c) и (e) параграфа 1, должно быть определено:
- (a) законодательство Союза; или
- (b) законодательство государства-члена, которому подчиняется контроллер.
Цель обработки должна быть определена на этой правовой основе или, что касается обработки, упомянутой в пункте (e) параграфа 1, должна быть необходима для выполнения задачи, решаемой в общественных интересах или в рамках осуществления официальных полномочий, возложенных на контроллера. Такая правовая основа может содержать специальные положения, адаптирующие применение правил настоящего Положения, в частности: общие условия, определяющие законность обработки контроллером; типы данных, подлежащих обработке; субъекты данных; субъекты, которым и в каких целях могут быть раскрыты персональные данные; ограничение цели; сроки хранения; операции обработки и процедуры обработки, включая меры по обеспечению законной и справедливой обработки, такие как меры для других конкретных ситуаций обработки, предусмотренные в Главе IX. Закон Союза или государства-члена должен отвечать цели, представляющей общественный интерес, и быть соразмерным преследуемой законной цели.
- Если обработка с целью, отличной от той, для которой были собраны персональные данные, не основана на согласии субъекта данных или на законе Союза или государства-члена, который представляет собой необходимую и пропорциональную меру в демократическом обществе для обеспечения целей, упомянутых в Статье 23(1), контролер должен, чтобы убедиться, что обработка с другой целью совместима с целью, для которой персональные данные были первоначально собраны, принять во внимание, в частности, следующее:
- (a) любую связь между целями, для которых были собраны персональные данные, и целями предполагаемой дальнейшей обработки;
- (b) контекст, в котором были собраны персональные данные, в частности, отношения между субъектами данных и контролером;
- (c) характер персональных данных, в частности, обрабатываются ли специальные категории персональных данных в соответствии со Статьей 9, или обрабатываются ли персональные данные, связанные с уголовными приговорами и преступлениями, в соответствии со Статьей 10;
- (d) возможные последствия предполагаемой дальнейшей обработки для субъектов данных;
- (e) наличие соответствующих мер предосторожности, которые могут включать шифрование или псевдонимизацию.
Статья 6