1. העיבוד יהיה חוקי רק וככל שיחול אחד מאלה:

• (א ) נושא המידע נתן הסכמה לעיבוד המידע האישי שלו למטרה ספציפית אחת או יותר;
• (ב) העיבוד נחוץ לביצוע חוזה החל על נושא המידע או לנקיטה בצעדים לבקשת נושא המידע בטרם כריתת חוזה;
• (ג) העיבוד נחוץ לביצוע חוזה החל על נושא המידע או לנקיטה בצעדים לבקשת נושא המידע בטרם כריתת חוזה;
• (ד) העיבוד נחוץ להגנה על האינטרסים החיוניים של נושא המידע או של אדם אחר;
• (ה) העיבוד נחוץ לביצוע משימה המבוצעת לטובת הציבור או בהפעלת סמכות רשמית המוענקת לבעל השליטה;
• (ו) העיבוד נחוץ למטרות האינטרסים הלגיטימיים של בעל השליטה או של צד שלישי, למעט כאשר האינטרסים או זכויות וחירויות היסוד של נושא המידע המחייבים הגנת מידע אישי, במיוחד כאשר נושא המידע הינו ילד, גוברים על אינטרסים אלה.

תת סעיף זה לא יחול על עיבוד על ידי רשויות ציבוריות בביצוע משימותיהן.

2. מדינות חברות רשאיות לקבוע תניות ספציפיות יותר כדי להתאים את החלת כללי תקנות אלה ביחס לעיבוד, הנוגע לציות לנקודות (ג) ו-(ה) דלעיל, בקביעה מדויקת יותר של דרישות ספציפיות לעיבוד ולאמצעים אחרים להבטחת עיבוד חוקי והוגן, לרבות למקרי עיבוד מיוחדים אחרים כמפורט בפרק 9.

3.הבסיס לעיבוד הנזכר בנקודות (ג) ו-(ה) לפסקה 1 ייקבע:

• (א) בחוק האיחוד; או
• (ב) בחוק מדינה חברה החל על בעל השליטה.

מטרת העיבוד תיקבע על אותו בסיס חוקי או, בנוגע לעיבוד הנזכר בנקודה (ה) לפסקה 1, כנחוץ לביצוע משימה המבוצעת לטובת הציבור או בהפעלת סמכות רשמית המוענקת לבעל השליטה. הבסיס החוקי עשוי לכלול תניות ספציפיות לצורך התאמה של החלת כללי תקנות אלה, לרבות: התנאים הכלליים החלים על חוקיות העיבוד על ידי בעל השליטה; סוגי המידע הכפופים לעיבוד; נושאי המידע הרלוונטיים; הישויות להן ניתן לגלות את המידע האישי והמטרות לשמן ניתן לגלותו; הגבלת המטרה; תקופות אחסון; ופעולות עיבוד והליכי עיבוד, לרבות אמצעים להבטחת עיבוד חוקי והוגן, כגון אמצעים לסיטואציות עיבוד ספציפיות אחרות כמפורט בפרק 9. חוק האיחוד או המדינה החברה יעמוד במטרת טובת הציבור ויהיה מידתי בשים לב למטרה הלגיטימית.

4. כאשר העיבוד למטרה שאינה המטרה לשמה נאסף המידע האישי, אינו מבוסס על הסכמת נושא המידע או על חוק איחוד או מדינה חברה, ומהווה אמצעי נחוץ ומידתי בחברה דמוקרטית לשמירה על היעדים הנזכרים בסעיף 23(1), על מנת לקבוע האם העיבוד למטרה אחרת תואם את המטרה לשמה נאסף המידע האישי מלכתחילה, בעל השליטה יתחשב, בין היתר, באמור להלן:

• (א) הקשר בין המטרות לשמן נאסף המידע האישי לבין מטרות העיבוד הנוסף המיועד;
• (ב) ההקשר בו נאסף המידע האישי, במיוחד בנוגע ליחסים בין נושאי מידע לבין בעל השליטה;
• (ג) טבעו של המידע האישי, במיוחד השאלה האם מעובדות קטגוריות מידע אישי מיוחדות בהתאם לסעיף 9, או האם מעובד מידע אישי הנוגע להרשעות ולעבירות פליליות בהתאם לסעיף 10;
• (ד) ההשלכות האפשריות של העיבוד הנוסף המיועד על נושאי מידע;
• (ה) קיומם של אמצעי הגנה הולמים, שעשויים לכלול הצפנה או החלפת פרטים במזהים מלאכותיים.

ניווט: