Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персо-нальных данных и о свободном движении таких данных

Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персо-нальных данных и о свободном движении таких данных

ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,

принимая во внимание Договор об учреждении Европейского Сообщества и, в частности, статьи 100а этого Договора, принимая во внимание предложение Комиссии (1), принимая во внимание мнение Комитета по экономическим и социальным вопросам (2), действуя в соответствии с процедурой, установленной статьей 189b Договора (3),

• принимая во внимание, что цели сообщества, указанные в Договоре, с учетом измене-ний в силу Договора о Европейском Союзе, включают создание более тесного союза меж-ду народами Европы, поощрение тесных связей между государствами, входящими в со-общество, обеспечение экономического и социального прогресса совместными действия-ми по устранению барьеров, разделяющих Европу, содействие постоянному улучшению условий жизни ее народов, сохранению и укреплению мира и свободы и укреплению де-мократии на основе фундаментальных прав, признаваемых конституциями и законами го-сударств-участников и Европейской Конвенцией по защите прав человека и фундамен-тальных свобод;

• принимая во внимание, что системы обработки данных созданы в интересах человека; принимая во внимание, что они должны, вне зависимости от гражданства или места жи-тельства физических лиц, уважать их фундаментальные права и свободы, в особенности право на частную жизнь, и способствовать экономическому и социальному прогрессу, расширению торговли и благосостояния граждан;

• принимая во внимание, что создание и функционирование внутреннего рынка, на ко-тором, в соответствии со ст. 7а Договора, обеспечено свободное передвижение товаров, людей и услуг, требует не только того, чтобы персональные данные могли свободно пере-двигаться от одного государства-участника, но также и того, чтобы были гарантированы фундаментальные права частных лиц;

• принимая во внимание, что все более возрастающие ресурсы используются в Сообще-стве для обработки персональных данных в различных сферах экономической и социаль-ной деятельности; принимая во внимание, что прогресс, достигнутый в информационной технологии, существенно облегчает обработку и обмен такими данными;

• принимая во внимание, что экономическая и социальная интеграция, проистекающая из создания и функционирования внутреннего рынка в значении ст. 7а Договора, неиз-бежно приведет к существенному росту потока персональных данных через границы меж-ду всеми, кто вовлечен частным или общественным образом в экономическую и социаль-ную деятельность в государствах-участниках; принимая во внимание, что обмен персо-нальными данными между предприятиями в различных государствах-участниках увели-чивается; принимая во внимание, что национальные органы в различных государствах-участниках призваны в силу законов Сообщества сотрудничать и обмениваться персо-нальными данными с тем, чтобы иметь возможность выполнять свои обязанности, либо

выполнять задачи от имени властей другого государства-участника в контексте террито-рии без внутренних границ, созданной внутренним рынком;

• принимая во внимание, что, кроме того, возрастание научной и технической коопера-ции и согласованного внедрения новых телекоммуникационных сетей в Сообществе тре-бует и облегчает движение персональных данных через границы;

• принимая во внимание, что различие в степенях защиты прав и свобод граждан, в осо-бенности права на частную жизнь, применительно к обработке персональных данных, до-пускаемое государствами-участниками, может воспрепятствовать передаче таких данных с территории одного государства-участника на территорию другого; принимая во внима-ние, что это различие может таким образом создать преграды в осуществлении ряда видов экономической деятельности на уровне Сообщества, помешать конкуренции и создать препятствия властям в исполнении ими своих обязанностей согласно законодательству сообщества; принимая во внимание, что это различие в степенях защиты связано с суще-ствованием различных национальных законодательств, нормативных актов и администра-тивных положений;

• принимая во внимание, что для устранения препятствий движению персональных дан-ных, степень защиты прав и свобод частных лиц применительно к обработке таких дан-ных должна быть эквивалентной во всех государствах-участниках; принимая во внимание, что эта цель является жизненно насущной для внутреннего рынка, но не может быть дос-тигнута государствами-участниками самостоятельно, особенно ввиду степени различий, ныне имеющихся в соответствующем законодательстве государств-участников, и ради по-требности координировать законодательство государств-участников в целях обеспечения движения персональных данных через границы последовательным образом, т.е. согласо-ванно с целями внутреннего рынка, как указано в ст. 7а Договора; принимая во внимание, что, таким образом, необходимы действия Сообщества для сближения указанных законов;

• принимая во внимание, что с учетом эквивалентной защиты вследствие сближения на-циональных законов государства-участники не смогут более препятствовать свободному движению личных данных между ними по причинам, связанным с защитой прав и свобод частных лиц и, в частности, права на частную жизнь; принимая во внимание, что государ-ства-участники сохранят пространство для маневра, каковой в контексте реализации на-стоящей Директивы может использоваться деловыми и социальными партнерами; прини-мая во внимание, что государства-участники таким образом смогут в своих национальных законодательствах определить общие положения, регулирующие законность обработки данных, принимая во внимание, что государства-участники тем самым будут стремиться усовершенствовать защиту, ныне предоставляемую их законодательствами; принимая во внимание, что в пределах настоящего пространства для маневра и в соответствии с зако-нодательством сообщества могут возникнуть расхождения в реализации настоящей Ди-рективы, что может повлиять на движение данных как в пределах государства-участника, так и в пределах сообщества;

• принимая во внимание, что предметом национального законодательства по обработке персональных данных является защита фундаментальных прав и свобод — в особенности права на личную жизнь, каковое признается как ст. 8 европейской Конвенцией о защите прав человека и фундаментальных свобод, так и общими принципами законодательства Сообщества; принимая во внимание, что с этой целью сближение таких законов не должно вызвать какого-либо уменьшения предоставляемой ими степени защиты, но, напротив, должно стремиться обеспечить высокий уровень защиты в Сообществе;

• принимая во внимание, что принципы защиты прав и свобод частных лиц, в особен-ности право на частную жизнь, содержащиеся в настоящей Директиве, закрепляют и уси-ливают принципы, содержащиеся в Конвенции Совета Европы от 28 января 1981 г. о за-щите частных лиц применительно к автоматической обработке персональных данных;

• принимая во внимание, что принципы защиты должны применяться ко всякой обра-ботке персональных данных любым лицом, деятельность которого регулируется законо-дательством Сообщества; принимая во внимание, что должно делаться исключение для обработки данных физическим лицом в ходе осуществления исключительно личной или домашней деятельности, такой как переписка и ведение адресных списков;

• принимая во внимание, что виды деятельности, указанные в главах V и VI Договора о Европейском Сообществе в отношении общественной безопасности, обороны, государст-венной безопасности или деятельности государства в сфере уголовного права выходят за рамки законодательства сообщества, без ущерба для обязательств, налагаемых на госу-дарства-участники в соответствии со ст. 56(2), 57 или ст. 100а Договора об учреждении Европейского Сообщества; принимая во внимание, что обработка персональных данных, необходимая для обеспечения экономического благосостояния государства не входит в рамки настоящей Директивы, если такая обработка необходима по вопросам государст-венной безопасности;

• принимая во внимание, что, с учетом важности происходящего развития, в рамках информационного общества, техники, используемой для сбора, переноса, манипулирова-ния, записи, хранения или передачи звуковых и графических данных, относящихся к фи-зическим лицам, настоящая Директива должна быть применима к обработке, использую-щей такие данные.

• принимая во внимание, что обработка таких данных охватывается настоящей Дирек-тивой только в случае, если она является автоматизированной или если обрабатываемые данные помещаются или предназначены для помещения в систему хранения, структури-рованную в соответствии с особыми критериями, относящимися к частным лицам, для обеспечения легкого доступа к соответствующим персональным данным;

• принимая во внимание, что обработка звуковых и графических данных, как в случае видеонаблюдения, не входит в рамки настоящей Директивы, если осуществляется в целях общественной безопасности, обороны, национальной безопасности, или в ходе государст-венной деятельности, относящейся к сфере уголовного права, или иной деятельности, не входящей в рамки законодательства Сообщества;

• принимая во внимание, что, в той мере, в какой обработка звуковых и графических данных осуществляется журналистикой либо речь идет о целях литературного или худо-жественного творчества, в частности, в аудиовизуальной сфере, принципы Директивы применяются с учетом ограничений в соответствии с положениями ст. 9;

• принимая во внимание, что для обеспечения того, чтобы частные лица не были лише-ны защиты, на которую они имеют право на основании настоящей Директивы, любая об-работка персональных данных в Сообществе должна осуществляться в соответствии с за-конодательством одного из государств-участников; принимая во внимание, что в этой связи обработка, проводимая под ответственность контролера, учрежденного в одном из го-сударств-участников, регулируется законодательством этого государства;

• принимая во внимание, что учреждение на территории государства-участника пред-полагает фактическое и реальное осуществление деятельности на стабильной договорной основе; принимая во внимание, что правовая форма такого учреждения, будь то просто филиал или дочерняя организация с правом юридического лица, не является определяю-щим фактором в данном отношении; принимая во внимание, что когда единый контролер учреждается на территории нескольких государств-участников, в частности, посредством дочерних организаций, он в целях избежания любого обхода национальных правил дол-жен обеспечить, чтобы каждое из учреждений выполняло обязательства, налагаемые на-циональным законодательством, применимым к его деятельности;

• принимая во внимание, что факт производства обработки данных лицом, учрежден-ным в третьей стране, не препятствует защите частных лиц, предусмотренной настоящей Директивой; принимая во внимание, что в таких случаях обработка должна регулировать-ся законом государства-участника, в котором располагаются используемые средства, и что должны быть гарантии обеспечения того, что права и обязательства, установленные на-стоящей Директивой, соблюдаются на практике;

• принимая во внимание, что настоящая Директива не наносит ущерба правилам терри-ториальной применимости по уголовным вопросам;

• принимая во внимание, что государства-участники в законах, которые они введут в ходе реализации мер, принимаемых во исполнение настоящей Директивы, более точно определят общие обстоятельства, при которых обработка является законной; принимая во внимание, что, в частности, ст. 5, в соединении со ст. 7 и 8 позволяет государствам-участникам независимо от общих правил устанавливать особые условия обработки для конкретных областей и различных категорий данных, охватываемых ст. 8

• принимая во внимание, что государства-участники правомочны гарантировать реали-зацию защиты прав частных лиц как средствами общего законодательства по защите ча-стных лиц применительно к обработке персональных данных, так и частных законов, на-пример, касающихся статистических учреждений;

• принимая во внимание, что законодательство в отношении защиты юридических лиц применительно к защите касающихся их данных не затрагивается настоящей Директивой;

• принимая во внимание, что принципы защиты должны быть отражены, с одной сто-роны, в обязательствах, налагаемых на лиц, общественные организации, предприятия, агентства или иные учреждения, ответственные за обработку, в частности, в отношении качества данных, технической безопасности, уведомлений надзорного органа и обстоя-тельств, при которых может осуществляться обработка и, с другой стороны, в праве, пре-доставленном частным лицам, данные в отношении которых обрабатываются, быть ин-формированными о том, что обработка имеет место, знакомиться с данными и даже воз-ражать против обработки при определенных обстоятельствах;

• принимая во внимание, что принципы защиты должны применяться к любой инфор-мации, касающейся идентифицированного или идентифицируемого лица; принимая во внимание, что для определения того, является ли лицо идентифицируемым, следует при-нимать в расчет все средства, в равной мере могущие быть реально использованными ли-бо контролером, либо любым иным лицом для идентификации указанного лица;

• принимая во внимание, что принципы защиты не применяются к данным, сделанным обезличенны-ми таким образом, что субъект данных более не является идентифицируемым; принимая во внимание, что кодексы поведения в значении ст. 27 могут быть полезным инструмен-том для руководства в том, какими способами данные могут быть обезличены и сохране-ны в форме, в которой идентификация субъекта данных более невозможна;

• принимая во внимание, что защита частных лиц должна применяться к автоматиче-ской обработке данных в той же мере, что и к ручной обработке; принимая во внимание, что рамки данной защиты не должны фактически зависеть от используемой техники, в противном случае это создаст серьезный риск обхода защиты; принимая во внимание, что, тем не менее, применительно к ручной обработке, настоящая Директива охватывает толь-ко системы хранения, а не неструктурированные досье (файлы); принимая во внимание, что, в частности, содержание системы хранения должно быть структурировано в соответ-ствии со специфическими критериями, касающимися частных лиц, позволяя легкий дос-туп к персональным данным; принимая во внимание, что, в соответствии с определением в ст. 2 (с), каждым государством-участником могут устанавливаться различные критерии для определения составляющих структурированный набор персональных данных, и раз-личные критерии, регулирующие доступ к такому набору; принимая во внимание, что до-сье (файлы) или наборы досье (файлов), а также их обложки, не являющиеся структуриро-ванными в соответствии с конкретными критериями, ни при каких обстоятельствах не ох-ватываются рамками настоящей Директивы;

• принимая во внимание, что любая обработка персональных данных должна быть за-конной и справедливой по отношению к соответствующему физическому лицу; принимая во внимание, что, в частности, данные должны быть адекватными, относящимися к делу и не избыточными в отношении целей, для которых они обрабатываются; принимая во вни-мание, что такие цели должны быть явно выраженными и законными, и должны быть оп-ределены во время сбора данных; принимая во внимание, что цели обработки после сбора не должны быть несовместимыми с первоначально указанными целями;

• принимая во внимание, что дальнейшая обработка личных данных для исторических, статистических или научных целей не является, в принципе, несовместимой с целями, для которых данные первоначально собирались, при условии, что государства-участники ус-тановят надлежащие гарантии; принимая во внимание, что эти гарантии должны, в част-ности, определять использование данных в дополнение к мерам или решениям, касаю-щимся любого конкретного физического лица;

• принимая во внимание, что обработка персональных данных, для того чтобы являться законной, должна, кроме того, осуществляться с согласия субъекта данных или быть не-обходимой для заключения или исполнения контракта, обязательного для субъекта дан-ных, или в качестве законного требования, или для выполнения задачи, связанной с обще-ственным интересом или при осуществлении официальных полномочий, или в законных интересах физического или юридического лица, при условии, что интересы либо права и свободы субъекта данных не нарушаются; принимая во внимание, что, в частности, для поддержания баланса между вовлеченными интересами при гарантировании эффективной конкуренции, государства-участники могут определить обстоятельства, при которых пер-сональные данные могут быть обоснованно использованы или раскрыты третьей стороне в контексте законной обычной деятельности компаний и иных лиц; принимая во внима-ние, что государства-участники могут аналогично определить условия, на которых персо-нальные данные раскрыты третьей стороне в целях маркетинга, осуществляемого как в коммерческом порядке, так и благотворительной организацией, или иной ассоциацией или фондом, или, например, политического характера, с учетом условий, позволяющих субъекту данных возражать против обработки данных в отношении него бесплатно и без необ-ходимости указания причин;

• принимая во внимание, что обработка персональных данных должна в равной степе-ни рассматриваться в качестве законной, если осуществляется для защиты интересов, су-щественных для жизни субъекта данных;

• принимая во внимание, что определение того, должен ли контролер осуществляющий выполнение задач в общественных интересах, или при выполнении служебных полномо-чий, являться государственной администрацией или иным физическим или юридическим лицом, действующим на основе публичного или частного права (например, если речь идет о профессиональной ассоциации) возлагается на национальное законодательство;

• принимая во внимание, что данные, которые по своей природе способны нанести ущерб фундаментальным свободам или праву на частную жизнь, не должны обрабаты-ваться, если субъект данных не дает своего явного согласия; принимая во внимание, одна-ко, что исключения из этого запрета, должны быть явно предусмотрены для конкретных целей, в частности, когда обработка таких данных, в частности, обработка таких данных осуществляется для определенных целей, связанных со здравоохранением, лицом, которое несет законодательное обязательство сохранения профессиональной тайны, или в ходе законной деятельности некоторыми ассоциациями или фондами, целью которых является обеспечение осуществления фундаментальных свобод;

• принимая во внимание, что государства-участники также должны быть уполномоче-ны, когда это обусловлено важными общественными интересами, частично отменять за-прет на обработку важных категорий данных в таких сферах, как здравоохранение и соци-альная защита — особенно в порядке обеспечения качества и ценовой эффективности про-цедур, используемых при удовлетворении требований по льготам и услугам в системе ме-дицинского страхования, — научные исследования и государственная статистика; прини-мая во внимание, что их обязанностью является, однако, предоставление конкретных и надлежащих гарантий для защиты фундаментальных прав и частной жизни граждан;

• принимая во внимание, что, кроме того, обработка личных данных официальными органами для достижения целей, указанных в конституционном законе или международ-ном публичном праве, официально признанных религиозных ассоциаций осуществляется по причине общественного интереса;

• принимая во внимание, что в ходе предвыборной деятельности, использование демо-кратической системы в отдельных государствах-участниках требует, чтобы политические партии собирали данные о политических взглядах населения, обработка таких данных может быть разрешена по причине особого общественного интереса, при условии, что ус-тановлены соответствующие гарантии;

• принимая во внимание, что обработка персональных данных для целей журналисти-ки, или литературного, или художественного творчества, в частности, в аудиовизуальной сфере, имеет право на освобождение от требований некоторых положений настоящей Ди-рективы в той мере, в какой это необходимо для примирения фундаментальных прав гра-ждан со свободой информации и, в особенности, права получать и передавать информа-цию, как гарантировано, в частности, в статье 10 европейской Конвенции о защите прав человека и фундаментальных свобод; принимая во внимание, что государства-участники должны, таким образом, установить исключения и освобождения, необходимые в целях достижения баланса между фундаментальными правами при осуществлении общих мер по законности обработки данных, мер по передаче данных в третьи страны, и полномочий надзорного органа; принимая во внимание, что это не должно, однако, приводить к уста-новлению государствами-участниками исключений из мер по обеспечению безопасности обработки; принимая во внимание, что по меньшей мере надзорный орган, ответственный за этот сектор, должен иметь определенные полномочия по передаче, например, публико-вать регулярный отчет или направлять материалы в судебные органы;

 

• принимая во внимание, что если обработка данных должна быть справедливой, то субъект данных должен иметь возможность узнать о существовании операций по обра-ботке и, если данные получены от него, получить точную и полную информацию об об-стоятельствах сбора;

 

• принимая во внимание, что определенные операции по обработке используют дан-ные, которые контролер не собирал непосредственно у субъекта данных; принимая во внимание, кроме того, что данные могут быть законно раскрыты третьей стороне, даже если раскрытие не ожидалось в то время, когда данные собирались у субъекта; принимая во внимание, что во всех этих случаях субъект данных должен быть проинформирован, когда данные записываются или, по меньшей мере, когда данные впервые раскрываются третьей стороне;

 

• принимая во внимание, что, однако, не является необходимым налагать эту обязан-ность, если субъект данных уже имеет информацию; принимая во внимание, что, более того, не будет такой обязанности, если запись или раскрытие явно оговорены законом, или если предоставление информации субъекту данных оказывается невозможным, либо повлечет непропорциональные усилия, каковые могут иметь место, если обработка произ-водится для исторических, статистических или научных целей; принимая во внимание, что в этой связи могут приниматься в расчет число субъектов данных, возраст данных и любые принятые компенсационные меры;

 

• принимая во внимание, что любое лицо должно иметь возможность доступа к касаю-щимся его обрабатываемым данным, чтобы убедиться, в частности, в точности данных и законности обработки; принимая во внимание, что в тех же целях каждый субъект данных также должен иметь право ознакомиться с логикой автоматической обработки касающих-ся его данных, по меньшей мере, в случае автоматического принятия решений, как указа-но в ст. 15(1); принимая во внимание, что такое право не должно неблагоприятно воздей-ствовать на коммерческие тайны или интеллектуальную собственность и, в частности, ав-торское право на программное обеспечение; принимая во внимание, что такие обоснова-ния не могут, однако, приводить к тому, что субъекту данных будет отказано во всей ин-формации;

 

• принимая во внимание, что государства-участники могут в интересах субъекта дан-ных или для защиты прав и свобод иных лиц ограничивать право доступа к информации; принимая во внимание, что они могут, например, установить, что доступ к медицинским

 

данным  может  быть  предоставлен  только  профессиональным  медикам;

 

(43) принимая во внимание, что ограничения прав на доступ и информацию и некоторых обязательств контролера могут аналогичным образом налагаться государствами-участниками в той мере, в какой они необходимы для обеспечения, например, националь-ной безопасности, обороны, общественной безопасности, или важных экономических или финансовых интересов государства-участника, или Сообщества, а также для уголовного расследования и преследования, и действий в отношении нарушения профессиональной этики; принимая во внимание, что список исключений и ограничений должен включать

 

задачи мониторинга, инспекции или регулирования, необходимые в трех последних сфе-рах, касающихся общественной безопасности, экономических или финансовых интересов и предотвращения преступлений; принимая во внимание, что перечисление задач в этих трех сферах не влияет на законность исключений или ограничений по причинам государ-ственной безопасности или обороны;

 

• принимая во внимание, что государства-участники также могут в соответствии с по-ложениями законодательства Сообщества исключить из положений настоящей Директи-вы, касающихся права доступа, обязанности информировать частных лиц и качества дан-ных в вышеизложенных целях;

 

• принимая во внимание, что в случаях, когда данные могут законно обрабатываться по причинам общественного интереса, официальных полномочий или законного интереса физического или юридического лица, любой субъект данных должен, тем не менее, иметь право возражать, при наличии законных причин, связанных с его конкретной ситуацией, против обработки любых данных, касающихся его; принимая во внимание, что государст-ва-участники могут, тем не менее, устанавливать противоположные национальные поло-жения;

 

• принимая во внимание, что защита прав и свобод субъектов данных в отношении об-работки персональных данных требует, чтобы были приняты надлежащие технические и организационные меры, как при разработке системы обработки, так и в процессе самой обработки, в частности, для поддержания безопасности и предотвращения, тем самым, любой несанкционированной обработки; принимая во внимание, что государства-участники обязаны обеспечить, чтобы контролеры соблюдали эти меры; принимая во внимание, что эти меры должны обеспечить надлежащий уровень безопасности; принимая во внимание состояние и стоимость их реализации по отношению к рискам, связанным с обработкой и характером защищаемых данных;

 

• принимая во внимание, что если сообщение, содержащее персональные данные, пе-редается средствами телекоммуникаций или электронной почты, единственной целью ко-торой является передача таких сообщений, в отношении персональных данных, содержа-щихся в сообщении, лицом, от которого исходит сообщение, как правило, считается кон-тролер, а не лицо, предоставляющее услуги по передаче; принимая во внимание, тем не менее, что те, кто предлагают такие услуги, как правило считаются контролерами в отно-шении обработки дополнительных персональных данных, необходимых для осуществле-ния такой услуги;

 

• принимая во внимание, что процедуры по уведомлению надзорного органа предна-значены обеспечивать раскрытие целей и основных деталей любой операции по обработке в целях удостоверения, что такая операция соответствует национальным мерам, принятым согласно настоящей Директиве;

 

• принимая во внимание, что для избежания излишних административных формально-стей, государства-участники могут установить исключения из обязательства уведомлять и упростить требуемое уведомление в случаях, когда представляется маловероятным, что обработка может неблагоприятно воздействовать на права и свободы субъектов данных, при условии, что это соответствует мерам, принятым государством-участником, с указа-нием пределов обработки; принимая во внимание, что исключение или упрощение могут быть аналогично установлены государством-участником, если лицо, назначенное контро-лером, гарантирует; что осуществляемая обработка едва ли сможет неблагоприятно воз-действовать на права и свободы субъектов данных; принимая во внимание, что такое ли-

 

цо, занимающееся защитой данных, вне зависимости от того, является ли оно сотрудни-ком контролера или нет, должно быть в состоянии осуществлять свои функции полностью независимо;

 

• принимая во внимание, что исключения или упрощения могут быть предусмотрены для операций по обработке, единственная цель которых состоит в ведении реестра, пред-назначенного, в соответствии с национальным законодательством, предоставлять инфор-мацию общественности и открытого для ознакомления общественности или любым ли-цом, демонстрирующим законный интерес;

 

• принимая во внимание, что тем не менее упрощение или исключение из обязанности уведомления не освобождает контролера от любых иных обязательств, проистекающих из настоящей Директивы;

 

• принимая во внимание, что в данном контексте удостоверение постфактум компе-тентными органами должно, как правило, считаться достаточной мерой;

 

• принимая во внимание, что, однако, определенные операции по обработке могут соз-дать определенные угрозы правам и свободам субъектов данных по своей природе, своим пределам или своим целям, как, например, лишение граждан права, льготы или исключе-ние из контракта, или по причине особого использования новых технологий; принимая во внимание, что государства-участники, если пожелают, могут определить такие угрозы в своих законодательствах;

 

• принимая во внимание, что, применительно ко всей обработке, осуществляемой в обществе, объем, представляющий такие особые угрозы, должен быть весьма ограничен-ным; принимая во внимание, что государства-участники должны установить, что такой надзорный орган, либо официальное лицо по обработке данных совместно с этим органом должны проверить такую обработку до ее осуществления; принимая во внимание, что вслед за такой предварительной проверкой надзорный орган может в соответствии со сво-им национальным законодательством о контроле, выдать заключение или санкцию в от-ношении обработки; принимая во внимание, что такая проверка может аналогично иметь место в ходе подготовки либо меры национального парламента, либо меры, основанной на такой законодательной мере, определяющей характер обработки и устанавливающей над-лежащие гарантии:

 

• принимая во внимание, что если контролер не соблюдает права субъекта данных, на-циональное законодательство должно устанавливать средства судебной защиты; принимая во внимание, что любой ущерб, который может быть нанесен лицу вследствие незаконной обработки, должен быть компенсирован контролером, который может быть освобожден от ответственности, если он докажет, что не несет ответственности за ущерб, в частности, в случаях, когда он докажет вину со стороны субъекта данных, или в случае форс-мажора; принимая во внимание, что санкции должны налагаться на любое лицо, действующее в рамках публичного или частного права, которое не соблюдает национальные меры, при-нятые на основании настоящей Директивы;

 

• принимая во внимание, что поток персональных данных через границы необходим для расширения международной торговли; принимая во внимание, что защита частных лиц, гарантированная в Сообществе настоящей Директивой, не препятствует передаче персональных данных в третьи страны, которые обеспечивают адекватный уровень защи-ты; принимая во внимание, что адекватность уровня защиты, предоставляемой третьей

 

страной, должна оцениваться в свете всех обстоятельств, связанных с операцией по пере-даче или набором операций по передаче;

 

• принимая во внимание, что, с другой стороны, передача персональных данных в тре-тью страну, не обеспечивающую надлежащего уровня защиты, должна быть запрещена;

 

• принимая во внимание, что должны быть предусмотрены исключения из этого запре-та в определенных обстоятельствах, если субъект данных дает свое согласие, если переда-ча необходима в связи с контрактом или судебным иском, если этого требует защита важ-ных общественных интересов, например, в случаях международной передачи данных ме-жду налоговыми или таможенными органами, или между службами по вопросам социаль-ного обеспечения, или если передача делается из реестра, который ведется в соответствии с законом и предназначенного для ознакомления общественности, лица или лиц, имеюще-го обоснованный интерес; принимая во внимание, что в этом случае такая передача не ис-пользует всей совокупности данных или целых категорий данных, содержащихся в реест-ре, и если реестр предназначен для ознакомления лиц, имеющих обоснованный интерес, передача должна осуществляться только по просьбе таких лиц, если они будут реципиен-тами;

 

• принимая во внимание, что определенные меры могут быть приняты для компенса-ции недостаточной защиты в третьей стране в случаях, если контролер предлагает надле-жащие гарантии; принимая во внимание, что, сверх того, должны быть установлены про-цедуры для переговоров между Сообществом и такими третьими странами;

 

• принимая во внимание, что в любом случае передачи в третьи страны могут быть осуществлены только в полном соответствии с положениями, принятыми государствами-участниками в соответствии с настоящей Директивой и, в частности, ее ст. 8;

 

• принимая во внимание, что государства-участники и Сообщество в своих соответст-вующих компетенциях могут рекомендовать вовлеченным торговым ассоциациям и иным представительным организациям составить кодексы поведения, чтобы облегчить приме-нение настоящей Директивы, принимая во внимание специфические характеристики об-работки, проводимой в определенных секторах, и с учетом национальных положений, принятых для ее реализации;

 

• принимая во внимание, что учреждение государствами-участниками надзорных орга-нов, осуществляющих свои функции полностью независимо, является необходимым ком-понентом защиты частных лиц в связи с обработкой персональных данных;

 

• принимая во внимание, что такие органы должны иметь необходимые средства для осуществления своих обязанностей, включая права расследования и вмешательства, в ча-стности, в случае жалоб со стороны частных лиц, и право участвовать в судебных проце-дурах; принимая во внимание, что такие органы должны обеспечить прозрачность обра-ботки в государствах-участниках, к юрисдикции которых они относятся;

 

• принимая во внимание, что органы в различных государствах-участниках будут нуж-даться в содействии друг другу при исполнении своих обязанностей с тем, чтобы надле-жащим образом обеспечить соблюдение правил защиты по всему Европейскому Союзу;

 

• принимая во внимание, что на уровне сообщества должна быть создана рабочая груп-па по защите частных лиц в связи с обработкой персональных данных, каковая должна быть полностью независима при осуществлении своих функций; принимая во внимание,

 

что с учетом своего особого характера она должна давать рекомендации Комиссии и, в частности, содействовать единообразному применению национальных норм, принятых в соответствии с настоящей Директивой;

 

• принимая во внимание, что в отношении передачи данных в третьи страны примене-ние настоящей Директивы требует от Комиссии придания полномочий на реализацию и учреждение процедуры, как указано в Решении Совета 87/373/ЕЕС (4);

 

• принимая во внимание, что соглашение о modulus vivendi между европейским парла-ментом. Советом и Комиссией в отношении мер по реализации актов, принятых в соот-ветствии с процедурой, указанной в ст. 189b Договора о Европейском Сообществе, было достигнуто 20 декабря 1994 г.;

 

• принимая во внимание, что принципы, изложенные в настоящей Директиве в отно-шении прав и свобод частных лиц, в особенности их права на неприкосновенность част-ной жизни, в отношении обработки персональных данных, могут быть расширены или уточнены, в частности, в той мере, в какой это касается определенных секторов, особыми нормами, основанными на этих принципах;

 

• принимая во внимание, что государства-участники вправе в течение срока, не превы-шающего трех лет со дня вступления в силу национальных норм, реализующих данную Директиву, постепенно применять такие новые национальные нормы ко всем уже веду-щимся операциям по обработке; принимая во внимание, что для облегчения ее эффектив-ной по затратам реализации государствам-участникам предоставляется дополнительный срок в 12 лет со дня даты принятия настоящей Директивы, чтобы обеспечить соответствие существующих ручных систем хранения с определенными положениями Директивы; при-нимая во внимание, что если данные, содержащиеся в таких системах хранения обрабаты-ваются в течение этого расширенного переходного срока вручную, то такие системы должны быть приведены в соответствие с настоящими положениями на момент обработ-ки;

 

• принимая во внимание, что для субъекта данных не является необходимым давать свое согласие повторно, чтобы позволить контролеру продолжать обрабатывать после вступления в силу национальных норм, принятых в соответствии с настоящей Директи-вой, любые важные данные, необходимые для исполнения контракта, заключенного на основе свободного и осознанного согласия до вступления в силу этих положений;

 

• принимая во внимание, что настоящая Директива не препятствует государству-участнику регулировать маркетинговую деятельность, нацеленную на потребителей, про-живающих на его территории в той мере, в какой такое регулирование не касается защиты частных лиц в связи с обработкой персональных данных;

 

• принимая во внимание, что настоящая Директива допускает принцип публичного доступа к официальным документам, учитываемым при реализации принципов, изложен-ных в настоящей Директиве,

 

ПРИНЯЛИ НАСТОЯЩУЮ ДИРЕКТИВУ:

 

Глава I

 

ОБЩИЕ ПОЛОЖЕНИЯ

 

Статья 1. Предмет Директивы

 

1. В соответствии с настоящей Директивой, государства-участники защищают фундамен-тальные права и свободы физических лиц, и, в частности, их право на неприкосновенность частной жизни применительно к обработке персональных данных.

 

2. Государства-участники не будут ни ограничивать, ни запрещать свободный поток пер-сональных данных между государствами-участниками по причинам, связанным с защи-той, допускаемой в п. 1.

 

Статья 2. Определения

 

Для целей настоящей Директивы:

 

(а) “персональные данные” означают любую информацию, связанную с идентифициро-ванным или идентифицируемым физическим лицом (“субъектом данных”); идентифици-руемым лицом является лицо, которое может быть идентифицировано прямо или косвен-но, в частности, посредством ссылки на идентификационный номер или на один или не-сколько факторов, специфичных для его физической, психологической, ментальной, эко-номической, культурной или социальной идентичности;

 

(b) “обработка персональных данных” (“обработка”) означает любую операцию или набор операций, выполняемых над персональными данными, как автоматическими средствами, так и без таковых, такие как сбор, запись, организация, хранение, актуализация или изме-нение, извлечение, консультирование, использование, раскрытие посредством передачи, распространения или предоставления иного доступа, группировка, блокирование, стира-ние или разрушение;

 

(с) “картотека персональных данных” (“картотека”) означает любой структурированный набор личных данных, являющийся доступным в соответствии с определенными крите-риями, централизованный, децентрализованный или распределенный на функциональной или географической основе;

 

• “контролер” означает физическое или юридическое лицо, официальный орган, агент-ство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; в случае, когда цели или средства обработки определяются национальным законодательством или законами, или нормами Сообщества, контролер или особые критерии его назначения могут устанавливаться национальным за-коном или законом Сообщества;

 

• “обработчик” означает физическое или юридическое лицо, официальный орган, агент-ство или иной орган, который обрабатывает персональные данные по поручению контро-лера;

 

• “третья сторона” означает любое физическое или юридическое лицо, официальный ор-ган, агентство или иной орган, кроме субъекта данных, контролера, обработчика и лиц, которые уполномочены обрабатывать данные с прямой санкции контролера или обработ-чика;

 

• “получатель” означает физическое или юридическое лицо, официальный орган, агент-ство или иной орган, которому раскрываются данные, являющееся или не являющееся

 

третьей стороной; однако власти, могущие получать данные в рамках частного запроса, не должны считаться получателями;

 

(h) “согласие субъекта данных” означает любое свободно данное конкретное и сознатель-ное указание о своей воле, которым субъект данных оповещает о своем согласии на обра-ботку касающихся его персональных данных.

 

Статья 3. Пределы

 

1. Настоящая Директива применяется к обработке персональных данных, полностью или частично автоматическими средствами, и обработке средствами, отличными от автомати-ческих, персональных данных, составляющих часть картотеки или предназначенных со-ставлять часть картотеки.

 

2. Настоящая Директива не применяется к обработке персональных данных:

 

в ходе деятельности, выходящей за рамки закона Сообщества, таких как указано в Разде-лах V и VI Соглашения о Европейском Союзе, и в любом случае к операциям по обработ-ке, касающимся общественной безопасности, обороны, государственной безопасности (включая экономическое благосостояние государства, если операции по обработке отно-сятся с вопросам государственной безопасности) и деятельности государства в сферах уголовного права, физическим лицом в ходе чисто личной или бытовой деятельности.

 

Статья 4. Применимое национальное законодательство

 

1. Каждое государство-участник применяет национальные положения, которые оно при-нимает на основании настоящей Директивы для обработки персональных данных в слу-чае, если:

 

• обработка осуществляется в контексте деятельности учреждения контролера на терри-тории государства-участника; если тот же контролер учреждается на территории несколь-ких государств-участников, он должен предпринять необходимые меры в обеспечение то-го, чтобы каждое из этих учреждений выполняло обязательства, установленные примени-мым национальным законодательством;

 

• контролер учрежден не на территории государства-участника, а в месте, где его нацио-нальное законодательство применяется на основании международного публичного права;

 

• контролер учрежден не на территория Сообщества и, в целях обработки персональных данных, использует оборудование, автоматизированное или иное, расположенное на тер-ритории указанного государства-участника, если такое оборудование не используется только для целей транзита по территории Сообщества.

 

2. При обстоятельствах, указанных в пункте 1 (с), контролер должен назначить представи-теля, учрежденного на территории такого государства-участника, без ущерба для судеб-ных исков, которые могут быть возбуждены против самого контролера.

 

Глава II

 

ОБЩИЕ НОРМЫ О ЗАКОННОСТИ ОБРАБОТКИ ЛИЧНЫХ ДАННЫХ

 

Статья 5

 

Государства-участники, в пределах положений настоящей Главы, определят подробнее условия, в соответствии с которыми обработка персональных данных является законной.

 

Раздел I

 

Принципы, касающиеся качества данных

 

Статья 6

 

1. Государства-участники примут меры, чтобы персональные данные:

 

(а) обрабатывались корректно и законно;

 

• собирались для объявленных, явных и законных целей, и в дальнейшем не обрабаты-вались каким-либо образом, несовместимым с этими целями. Дальнейшая обработка дан-ных для исторических, статистических или научных целей не считается несовместимой с данными принципами при условии, что государства-участники обеспечат соответствую-щие гарантии;

 

• были адекватными, относящимися к делу и не избыточными в отношении целей, для которых они собираются и/или в дальнейшем обрабатываются;

 

• были точными и — если необходимо — актуальными; должны быть предприняты любые обоснованные шаги, чтобы неточные или неполные данные, применительно к целям, для которых они собирались или для которых они впоследствии обрабатывались, удалялись или уточнялись;

 

• хранились в форме, позволяющей идентификацию субъектов данных не долее, чем это необходимо для целей, с которыми данные собирались или впоследствии обрабатывались. Государства-участники установят необходимые гарантии для персональных данных, хра-нимых более длительные сроки в исторических, статистических или научных целей.

 

2. Контроль за выполнением пункта 1 является обязанностью контролера.

 

Раздел II

 

Критерии для легитимизации обработки данных

 

Статья 7

 

Государства-участники обеспечат, что личные данные будут обрабатываться только в случае, если:

 

(а) субъект данных недвусмысленно дал свое согласие; или

 

(b) обработка необходима для исполнения контракта, в котором субъект данных является стороной или для принятия мер до заключения контракта по просьбе субъекта данных; или

 

(с) обработка необходима для выполнения юридического обязательства, субъектом кото-рого является контролер; или

 

• обработка необходима для защиты жизненных интересов субъекта данных; или

 

• обработка необходима в целях обеспечения законных интересов контролера или треть-ей стороны (сторон), которым раскрыты данные, кроме случаев, когда такие интересы пе-рекрываются интересами фундаментальных прав и свобод субъекта данных, защита кото-рых требуется согласно Статье 1(1).

 

Раздел III

 

Особые категории обработки

 

Статья 8. Обработка особых категорий данных

 

1. Государства-участники запретят обработку персональных данных, раскрывающих расо-вое или этническое происхождение, политические взгляды, вероисповедание или фило-софское воззрение, членство в профессиональном союзе, а также обработку данных, ка-сающихся здоровья или интимной жизни.

 

2. Пункт 1 не применяется в случае, если:

 

(а) субъект данных дал свое явное согласие на обработку таких данных, кроме случаев, когда законами государства-участника установлено, что указанный в п. 1 запрет не может быть отменен на основании согласия субъекта данных; или

 

• обработка необходима в целях исполнения обязательств и особых прав контролера в сфере законодательства о труде в той мере, в какой это допускается национальным зако-нодательством, предусматривающим адекватные гарантии; или

 

• обработка необходима для защиты жизненных интересов субъекта данных или иного лица, если субъект данных физически или юридически неспособен дать свое согласие; или

 

• обработка осуществляется в ходе законной деятельности с надлежащими гарантиями фондом, ассоциацией или любой иной некоммерческой организацией в политических, фи-лософских, религиозных или профсоюзных целях и при условии, что обработка относится исключительно к членам организации или лицам, имеющим регулярный контакт с нею в связи с ее целями, и что данные не раскрываются третьим лицам без согласия субъекта данных; или

 

• обработка относится к данным, которые явно сделаны общедоступными субъектом данных, или являются необходимыми для внесения, поддержания или защиты судебных исков.

 

3. Пункт 1 не применяется в случае, если обработка данных требуется в целях превентив-ной медицины, медицинского диагноза, предоставления медицинского обслуживания, ле-чения или управления услугами здравоохранения, а также если такие данные находятся во владении лица, профессионально занимающегося медицинской деятельностью в соответ-ствии с национальным законодательством или правилами, установленными компетентны-ми национальными органами, устанавливающими обязательства сохранения профессио-нальной тайны, или иного лица, также имеющего эквивалентные обязательства по сохра-нению тайны.

 

4. При условии предоставления надлежащих гарантий, государства-участники могут по причинам особого общественного интереса установить исключения дополнительно к ука-занным в п. 2 либо посредством национального законодательства, либо по решению над-зорного органа.

 

5. Обработка данных, касающихся правонарушений, уголовного наказания или мер безо-пасности, может осуществляться только под контролем официального органа, или — если в соответствии с национальным законодательством предусмотрены надлежащие особые га-рантии — с учетом частичных исключений, установленных государством-участником в со-ответствии с национальными нормами, предусматривающими надлежащие особые гаран-тии. Однако полный реестр уголовных приговоров может вестись только под контролем официального органа.

 

Государства-участники могут установить, что данные, касающиеся административных санкций или судебных решений по гражданским делам, также могут обрабатываться под контролем официального органа.

 

6. Исключения из пункта 1, предусмотренные в пп. 4 и 5, должны сообщаться Комиссии.

 

7. Государства-участники определяют условия, на которых может обрабатываться нацио-нальный идентификационный номер или любой иной идентификатор общего назначения.

 

Статья 9. Обработка персональных данных и свобода выражения

 

Государства-участники установят освобождения или исключения из положений настоя-щей главы, главы IV и главы VI для обработки персональных данных, осуществляемой исключительно в целях журналистики или в целях художественного или литературного творчества, только если они необходимы для применения права на неприкосновенность частной жизни с правилами, регулирующими свободу слова.

 

Раздел IV

 

Информация, передаваемая субъекту данных

 

Статья 10. Информация в случаях сбора данных у субъекта данных

 

Государства-участники обеспечат, что контролер или его представитель предоставят субъекту данных, у которого получены касающиеся его данные, по меньшей мере сле-дующую информацию, кроме случаев, когда он уже обладает ею:

 

• личность контролера или его представителя, если таковой имеется;

 

• цели обработки, для которых предназначены данные;

 

• любую иную информацию, такую, как:

 

получатели или категории получателей данных;

 

является ли ответ на вопросы обязательным или добровольным, а также возможные по-следствия отказа от ответа;

 

наличие права доступа и права уточнять касающиеся его данные в той мере, в какой тре-буется дополнительная информация, касающаяся конкретных обстоятельств, при которых собираются данные, чтобы гарантировать корректную обработку применительно к субъ-екту данных.

 

Статья 11. Информация в случаях, когда данные были получены не у субъекта данных

 

1. Если данные были получены не у субъекта данных Государства-участники обеспечат, что контролер или его представитель на момент документирования персональных данных или в случае, когда предполагается разглашение данных третьей стороне, не позднее вре-мени, когда данные впервые разглашаются, предоставит субъекту данных по меньшей ме-ре следующую информацию, кроме случаев, когда он уже обладает ею:

 

• личность контролера или его представителя, если таковой имеется;

 

• цели обработки;

 

• любую иную информацию, такую, как:

 

категории используемых данных;

 

получатели или категории получателей данных;

 

наличие права доступа и права уточнять касающиеся его данные в той мере, в какой тре-буется дополнительная информация, касающаяся конкретных обстоятельств, при которых собираются данные,

 

гарантии корректной обработки применительно к субъекту данных.

 

2. Пункт 1 не применяется в тех случаях, когда, в частности, для обработки в статистиче-ских целях или же в целях исторических или научных исследований, предоставление та-кой информации оказывается невозможным или может повлечь непропорциональные усилия, или же если документирование или разглашение прямо определяются законом.

 

Раздел V

 

Право субъекта данных на доступ к данным

 

Статья 12. Право доступа

 

Государства-участники гарантируют право каждого субъекта данных получать от контро-лера:

 

(а) без принуждения и без чрезмерной отсрочки или затягивания:

 

подтверждение того, были ли или нет в обработке относящиеся к нему данные, и инфор-мацию по меньшей мере о целях обработки, категории используемых данных, получате-лях или категориях получателей, которым сообщаются данные, сообщение с ним в дос-тупной форме об обрабатываемых данных и о любой доступной информации, касающейся их источника,

 

сведения о логике, используемой в любой автоматической обработке данных, касающихся его, по меньшей мере в случае автоматических решений, указанных в ст. 15(1);

 

• по мере необходимости — уточнение, стирание или блокировку данных, не соответст-вующих положениям настоящей Директивы, в частности, в связи с неполным или неточ-ным характером данных;

 

• уведомление третьих лиц, которым раскрываются данные, о любых уточнениях, стира-нии или блокировках данных, произведенных в соответствии с п. (b), если это не оказыва-ется невозможным или требующим непропорциональных усилий.

 

Раздел VI

 

Исключения и ограничения

 

Статья 13

 

1. Государства-участники могут принимать законодательные меры для ограничения сфе-ры обязательств и прав, предусмотренных в статьях 6(1), 10, 11(1), 12 и 21, если такое ог-раничение является необходимой мерой для обеспечения:

 

• национальной безопасности;

 

• обороны;

 

• общественной безопасности;

 

• предотвращения, расследования, раскрытия и обвинения по уголовным преступлениям или нарушений этики в регулируемых профессиях;

 

• важных экономических или финансовых интересов государства-участника или Евро-пейского Союза, включая финансовые, бюджетные и налоговые вопросы;

 

• мониторинговых, инспекционных или управленческих функций, связанных, хотя бы и случайно, с осуществлением официальных полномочий, указанных в п. (с), (d) и (е);

 

• защиты субъекта данных или прав и свобод иных лиц.

 

2. С учетом адекватных законных гарантий, в частности, того, что данные не используют-ся для принятия мер или решений, касающихся любого конкретного лица, государства-участники могут — в случае, если явно отсутствует риск нарушения неприкосновенности частной жизни субъекта данных — законодательными мерами ограничить права, установ-ленные в ст. 12, если данные обрабатываются исключительно в целях научных исследова-ний, или хранятся в персонифицированной форме в течение срока, не превышающего пе-риод, необходимый исключительно для целей сбора статистики.

 

Раздел VII

 

Право субъекта данных на возражения

 

Статья 14. Право субъекта данных на возражения

 

Государства-участники предоставят субъекту данных право:

 

(а) по меньшей мере в случаях, указанных в статье 7 (е) и (f), в любое время высказывать на законном основании возражение против обработки касающихся его данных, кроме слу-чаев, когда национальным законодательством определено иное. Если возражение является обоснованным, контролер обязан прекратить обработку этих данных;

 

(b) бесплатно высказывать возражение против обработки касающихся его персональных данных, которые, по мнению контролера, обрабатываются для целей прямого маркетинга, или получать уведомление прежде, чем персональные данные будут впервые раскрыты третьим сторонам, или использованы по их поручению в целях прямого маркетинга, и в явной форме получать право бесплатно высказывать возражение против такого раскрытия или использования.

 

Государства-участники предпримут необходимые меры, чтобы гарантировать, что все субъекты данных знают о существовании права, указанного в первом абзаце пункта b.

 

Статья 15. Автоматизированные решения в отношении частных лиц

 

1. Государства-участники предоставят каждому лицу право не оказаться под воздействием решения, порождающего юридические последствия в отношении него или существенно воздействующего на него, и основанного исключительно на автоматической обработке данных, предназначенной для оценки некоторых касающихся его личных аспектов, таких как выполнение им своей работы, кредитоспособность, надежность, поведение, и т.п.

 

2. С учетом остальных статей настоящей Директивы, государства-участники обеспечат, что лицо может оказаться под воздействием решения указанного в п. 1, если такое реше-ние:

 

• принято в ходе заключения или исполнения контракта, при условии, что запрос на за-ключение или исполнение контракта, хранящийся у субъекта данных, был удовлетворен, или что приняты надлежащие меры для обеспечения его законных интересов, такие, как соглашения, позволяющие ему высказать свою точку зрения; или

 

• санкционировано законом, также устанавливающим меры для обеспечения законных интересов субъекта данных.

 

Раздел VIII

 

Конфиденциальность и безопасность обработки

 

Статья 16. Конфиденциальность обработки

 

Любое лицо, действующее с санкции контролера или обработчика, включая самого обра-ботчика, имеющее доступ к персональным данным, не должно вести их обработку кроме как по указанию контролера, если это не требуется от него по закону.

 

Статья 17. Безопасность обработки

 

1. Государства-участники обеспечат, что контролер должен будет реализовать надлежа-щие технические и организационные меры для защиты персональных данных от случай-ного или незаконного уничтожения или случайной утраты, изменения, неправомерного

 

раскрытия или доступа, в частности, когда обработка влечет передачу данных по сети, а также от всех иных незаконных форм обработки.

 

С учетом состояния и стоимости их реализации такие меры должны обеспечить надлежа-щий уровень безопасности для рисков, представленных обработкой и природой защищае-мых данных.

 

2. Государства-участники обеспечат, что контролер должен — в случае, если обработка осуществляется по его поручению — избрать обработчика, предоставляющего достаточные гарантии в отношении мер технической безопасности и организационных мер, регули-рующих осуществляемую обработку, и обеспечить соблюдение таких мер.

 

3. Обработка силами обработчика должна осуществляться на основе соглашения или нор-мативного акта, содержащего обязательства обработчика перед контролером и, в частно-сти, оговаривающего, что:

 

обработчик будет действовать только по указаниям контролера,

 

указанные в п. 1 обязательства, определенные законом государства-участника, в котором учрежден обработчик, будут также обязательными для обработчика.

 

4. В целях поддержания корректности, части контракта или нормативного акта, касаю-щиеся защиты данных, и требования в отношении мер, указанных в п. 1, должны быть оформлены в письменной или иной эквивалентной форме.

 

Раздел IX

 

Уведомление

 

Статья 18. Обязанность уведомлять надзорный орган

 

1. Государства-участники обеспечат, что контролер или его представитель, если таковой имеется, должен уведомить надзорный орган, указанный в ст. 28 перед осуществлением полностью или частично любой операции по автоматической обработке, либо набора та-ких операций, предназначенных служить единой цели или нескольким связанным целям.

 

2. Государства-участники могут в целях упрощения или освобождения от уведомления установить только в следующих случаях нижеследующие условия:

 

если для категорий операций по обработке, которые — с учетом обрабатываемых данных — едва ли могут существенно нарушить права и свободы субъекта данных, — они определяют цели обработки, данные или категории данных, подлежащие обработке, категорию или категории субъектов данных, получателей или категории получателей, которым раскры-ваются данные, и продолжительность времени, в течение которого данные хранятся, и/или

 

если контролер, в соответствии с национальным законом, регулирующим его деятель-ность, назначает должностное лицо по защите персональных данных, ответственное, в ча-стности:

 

за обеспечение применения национальных положений, принятых на основании настоящей Директивы;

 

за ведение реестра операций по обработке, проводимых контролером, с указанием единиц информации, указанных в ст. 21(2),

 

таким образом гарантируя, что права и свободы субъекта данных едва ли могут быть су-щественно нарушены операциями по обработке.

 

3. Государства-участники могут установить, что п. 1 не применяется к обработке, единст-венной целью которой является ведение реестра, который в соответствии с законами и нормативными актами предназначен для предоставления информации общественности и который доступен либо общественности в целом, либо любому лицу, проявляющему за-конный интерес.

 

4. Государства-участники могут установить освобождение от обязанности уведомления или упрощение уведомления в случае операций по обработке, указанных в ст. 8(2)(d).

 

5. Государства-участники могут оговорить, что об отдельных либо всех неавтоматизиро-ванных операциях по обработке, касающихся персональных данных, должно делаться уведомление, либо установить для таких операций упрощенное уведомление.

 

Статья 19. Содержание уведомления

 

1. Государства-участники могут определить информацию, указываемую в уведомлении. Оно, по меньшей мере, должно включать:

 

• имя (наименование) и адрес контролера и его представителя, если таковой имеется;

 

• цель или цели обработки;

 

• описание категории или категорий субъекта данных и данных, или категории относя-щихся к ним данных;

 

• получателей или категории получателей, которым могут раскрываться данные;

 

 

• предполагаемую передачу в третьи страны;

 

 

• общее описание, позволяющее произвести предварительную оценку правомерности мер, принятых согласно ст. 17 для обеспечения безопасности обработки.

 

2. Государства-участники установят процедуры, согласно которым надлежит уведомлять надзорный орган о любых изменениях, касающихся информации, указанной в п. 1.

 

Статья 20. Предварительная проверка

 

1. Государства-участники определят операции по обработке, которые могут с большой ве-роятностью представлять особый риск для прав и свобод субъектов данных и будут кон-тролировать, чтобы такие операции по обработке проверялись до их начала.

 

2. Такие предварительные проверки должны осуществляться надзорным органом вслед за получением уведомления от контролера или должностного лица, отвечающего за защиту

 

данных, который при наличии сомнений должен обратиться за консультацией в надзор-ный орган.

 

3. Государства-участники могут также проводить такие проверки в контексте подготовки либо меры национального парламента, либо меры, основанной на такой законодательной мере, определяющих характер обработки и устанавливающих надлежащие гарантии.

 

Статья 21. Гласность операций по обработке

 

1. Государства-участники примут меры для обеспечения гласности операций по обработ-ке.

 

2. Государства-участники обеспечат, чтобы в надзорном органе велся реестр операций по обработке, о которых делается уведомление в соответствии со ст. 18.

 

Реестр должен, по меньшей мере, содержать информацию, перечисленную в ст. 19 (1) (а)-(е).

 

С реестром может знакомиться любое лицо.

 

3. Государства-участники обеспечат, применительно к операциям по обработке, не подле-жащим уведомлению, что контролеры или иной орган, назначенный государствами-участниками, сделают доступной любому лицу по запросу в надлежащей форме по мень-шей мере информацию, указанную в ст. 19 (1) (а)-(е). Государства-участники могут уста-новить, что данное положение не применяется к обработке, единственной целью которой является ведение реестра, который в соответствии с законами или нормативными актами предназначен для представления информации общественности и который доступен либо общественности в целом, либо любому лицу, имеющему законный интерес.

 

Глава III

 

ПРАВОВЫЕ СРЕДСТВА ЗАЩИТЫ, ОТВЕТСТВЕННОСТЬ И САНКЦИИ

 

Статья 22. Средства защиты

 

Без ущерба для любых административных средств защиты, которые могут быть, среди прочего, применены при обращении к надзорному органу, указанному в ст. 28, до обра-щения в судебные органы, государства-участники обеспечат право любого лица на право-вую защиту от любого нарушения прав, гарантированных ему национальным законода-тельством, применимым к соответствующей обработке.

 

Статья 23. Ответственность

 

1. Государства-участники обеспечат, чтобы любое лицо, которому был нанесен ущерб в результате незаконных операций по обработке или любых действий, несовместимых с на-циональными положениями, принятыми в соответствии с настоящей Директивой, имело право на получение компенсации от контролера за нанесенный ущерб.

 

2. Контролер может быть освобожден от этой ответственности, полностью или частично, если он докажет, что не несет ответственности за событие, которое вызвало нанесение ущерба.

 

Статья 24. Санкции

 

Государства-участники примут надлежащие меры для обеспечения полной реализации положений настоящей Директивы и, в частности, установят санкции, налагаемые в случае нарушения положений, принятых в соответствии с настоящей Директивой.

 

Глава IV

 

ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ В ТРЕТЬИ СТРАНЫ

 

Статья 25. Принципы

 

1. Государства-участники обеспечат, что передача в третьи страны персональных данных, находящихся в обработке или предназначенных для обработки после передачи, может осуществляться, только если соответствующая третья страна — без ущерба для выполнения национальных положений, принятых в соответствии с остальными положениями настоя-щей Директивы, — обеспечивает адекватный уровень защиты.

 

2. Адекватность уровня защиты, предоставляемого третьей страной, оценивается в свете всех обстоятельств, в которых производится операция или набор операций по передаче данных; особое внимание следует уделять природе данных, цели и продолжительности предполагаемых операций или операций по обработке данных, стране происхождения и стране окончательного назначения, действующим в соответствующей третьей стране по-ложениям закона, как общим, так и частным, а также профессиональным нормам и мерам безопасности, соблюдаемым в такой стране.

 

3. Государства-участники и Комиссия будут информировать друг друга о случаях, когда они считают, что третья страна не обеспечивает адекватного уровня защиты в смысле п. 2.

 

4. Если Комиссия в соответствии с процедурой, установленной в ст. 31 (2), определит, что третья страна не обеспечивает адекватного уровня защиты в значении п. 2 настоящей ста-тьи, государства-участники примут необходимые меры для предотвращения любой пере-дачи данных того же типа соответствующей третьей стране.

 

5. В надлежащее время Комиссия будет вести переговоры с целью исправления ситуации, проистекающей из определения Комиссии, сделанного в соответствии с п. 4.

 

6. Комиссия может в соответствии с процедурой, установленной в ст. 31 (2), определить, что третья страна обеспечивает надлежащий уровень защиты в смысле п. 2 настоящей ста-тьи в силу своего национального законодательства или международных обязательств, ко-торые она приняла, в частности, по окончании переговоров, указанных в п. 5, для защиты неприкосновенности личной жизни и базовых свобод и прав граждан.

 

Государства-участники предпримут необходимые меры для выполнения решения Комис-сии.

 

Статья 26. Исключения

 

1. Посредством исключения из ст. 25 и за исключением случаев, когда местным законода-тельством, регулирующим конкретные случаи, установлено иное, государства-участники обеспечат, что передача персональных данных в третью страну, не обеспечивающую аде-кватный уровень защиты в смысле ст. 25 (2), может иметь место при условии, что:

 

• субъект данных дал свое недвусмысленное согласие на предполагаемую передачу; или

 

• передача является необходимой для исполнения контракта между субъектом данных и контролером, или для реализации доконтрактных мер, принятых в ответ на запрос субъек-та данных; или

 

• передача необходима для заключения или исполнения контракта, заключенного в ин-тересах субъекта данных между контролером и третьей стороной; или

 

• передача необходима или требуется по закону по причинам, представляющим сущест-венный общественный интерес, или для подачи, исполнения судебных исков или защиты по таковым; или

 

• передача необходима для защиты жизненных интересов субъекта данных; или

 

• передача производится из реестра, который в соответствии с законами или норматив-ными актами предназначен для предоставления информации общественности и который открыт для ознакомления либо общественностью в целом, либо любым лицом, прояв-ляющим законный интерес, в той мере, в какой условия, изложенные в законе выполняют-ся в конкретном случае.

 

2. Без ущерба для положений п. 1 государство-участник может уполномочить передачу или серию передач персональных данных в третью страну, которая не обеспечивает над-лежащего уровня защиты в смысле ст. 25 (2), если контролер осуществляет адекватные гарантии в отношении защиты неприкосновенности частной жизни и фундаментальных свобод и прав частного лица и в том, что касается осуществления соответствующих прав; такие гарантии могут, в частности, проистекать из надлежащих контрактных обязательств. […]

 

 

Глава V

 

КОДЕКСЫ ПОВЕДЕНИЯ

 

Статья 27

 

1. Государства-участники и Комиссия должны поощрять составление кодексов поведения, призванных содействовать реализации национальных положений, принятых государства-ми-участниками во исполнение настоящей Директивы с учетом специфики различных секторов.

 

 

 

2. Государства-участники создают условия для того, чтобы торговые ассоциации и иные структуры, представляющие другие категории контрольных органов, которые либо подго-товили проекты национальных кодексов поведения, либо намерены внести изменения или дополнения в действующие кодексы, могли вносить их на рассмотрение национальных органов власти. Государства-участники создают условия для того, чтобы названные орга-ны власти могли, помимо прочего, давать заключения о том, соответствуют ли внесенные на их рассмотрение проекты национальным положениям, принятым во исполнение на-

 

стоящей Директивы. Если необходимо, то органы власти могут консультироваться с субъ-ектами данных или их представителями.

 

 

 

3. Проекты кодексов Сообщества, а также изменения или дополнения к существующим кодексам Сообщества могут представляться на рассмотрение в Рабочую группу, упомяну-тую в Статье 29. Рабочая группа, помимо прочего, дает заключения о том, соответствуют ли внесенные на ее рассмотрение проекты национальным положениям, принятым во ис-полнение настоящей Директивы. Если необходимо, она может консультироваться с субъ-ектами данных или их представителями. Комиссия может обеспечивать надлежащий уро-вень гласности в отношении кодексов, одобренных Рабочей группой.

 

Глава VI

 

ОРГАН НАДЗОРА И РАБОЧАЯ ГРУППАПО ЗАЩИТЕ ИНДИВИДУУМОВ В ОТНО-ШЕНИИОБРАБОТКИ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Статья 28. Орган надзора

 

1. Каждое государство-участник назначает один или несколько государственных органов для надзора за соблюдением на своей территории положений, принятых государствами-участниками во исполнение настоящей Директивы. При выполнении возложенных на них обязанностей указанные органы действуют в условиях полной независимости.

 

2. Каждое государство-участник создает условия для проведения консультаций с органами надзора при разработке административных мер или правил, касающихся защиты прав и свобод индивидуумов в отношении обработки их персональных данных.

 

3. Каждый орган надзора наделяется, в частности, следующими полномочиями:

 

• полномочиями для проведения расследований, в том числе правом доступа к данным, являющимся предметом операций по обработке данных, а также правом получения любой информации, необходимой для исполнения его обязанностей по надзору;

 

• реальными полномочиями для вмешательства в процесс обработки, в том числе правом вынесения суждений до начала операций по обработке данных в соответствии со ст. 20, а также обеспечения надлежащего уровня гласности в отношении таких суждений; правом отдавать распоряжения относительно блокирования, стирания или уничтожения данных, налагать временный или постоянный запрет на обработку данных, выносить предупреж-дения и налагать взыскания на контрольный орган, а также передавать такого рода дела на рассмотрение национальных парламентов или иных политических структур;

 

• полномочиями для возбуждения юридических дел в случаях нарушения национальных положений, принятых во исполнение настоящей Директивы, а также для привлечения внимания судебных органов к упомянутым нарушениям.

 

Решения органа надзора, повлекшие за собой подачу жалоб, могут быть опротестованы в судебном порядке.

 

4. Каждый орган надзора обязан рассматривать жалобы, поданные любым лицом или представляющей это лицо ассоциацией касательно защиты его прав и свобод в отношении

 

обработки персональных данных. Заинтересованное лицо должно быть проинформирова-но о результатах рассмотрения жалобы. Каждый орган надзора обязан, в частности, рас-сматривать иски любого лица о проверке законности обработки данных в случаях, когда действуют национальные положения, принятые во исполнение ст. 13 настоящей Директи-вы. В любом случае податель иска должен быть проинформирован о факте проведения проверки.

 

5. Каждый орган надзора обязан составлять регулярные отчеты о своей деятельности. От-четы подлежат опубликованию.

 

6. Вне зависимости от национального закона, применимого к конкретной операции по об-работке данных, каждый орган надзора вправе пользоваться на территории его собствен-ного государства-участника полномочиями, возложенными на него в соответствии с п. 3. Каждый орган надзора может воспользоваться своими полномочиями по просьбе соответ-ствующего органа другого государства-участника. Органы надзора должны сотрудничать между собой в той степени, в которой это необходимо для исполнения ими своих обязан-ностей, в частности, путем обмена любой полезной информацией.

 

7. Государства-участники обеспечивают соблюдение членами и сотрудниками органов надзора профессиональной тайны в отношении конфиденциальной информации, к кото-рой они имеют доступ, даже после окончания срока их службы в указанных органах.

 

Статья 29. Рабочая группа по защите индивидуумов в отношении обработки их персо-нальных данных

 

1. Настоящим создается Рабочая группа по защите индивидуумов в отношении обработки их персональных данных, далее именуемая “Рабочей группой”. Она имеет статус консуль-тативного органа и действует в качестве независимой структуры.

 

2. Рабочая группа состоит из представителя органа или органов надзора, созданного каж-дым государством-участником, представителя органа или органов, учрежденных для ин-ститутов и структур Сообщества, и представителя Комиссии. Каждый член Рабочей груп-пы назначается институтом или органом (органами), которые он представляет. Если госу-дарство-участник учредило более одного органа надзора, последние назначают одного общего представителя. Это же правило применяется и в отношении органов, учрежденных для институтов и структур Сообщества.

 

3. Рабочая группа принимает решения простым большинством голосов представителей органов надзора.

 

4. Рабочая группа избирает председателя. Срок полномочий председателя составляет два года. Председатель может быть переизбран на новый срок.

 

5. Секретариат Рабочей группы обеспечивается силами Комиссии.

 

6. Рабочая группа утверждает свой регламент работы.

 

7. Рабочая группа рассматривает вопросы, внесенные в повестку дня председателем либо по его собственной инициативе, либо по просьбе представителя органов надзора, либо по просьбе Комиссии.

 

 

Статья 30

 

1. Рабочая группа обязана:

 

• рассматривать любые вопросы, относящиеся к применению национальных положений, принятых во исполнение настоящей Директивы с целью обеспечения равного выполнения различными странами указанных положений;

 

• производить для Комиссии оценку уровня защиты персональных данных внутри Со-общества и в третьих странах;

 

• консультировать Комиссию по любым проектам поправок к настоящей Директиве, лю-бым дополнительным или конкретным мерам по защите прав и свобод физических лиц в отношении обработки их персональных данных и любым иным мерам, предлагаемым к принятию Сообществом и затрагивающим упомянутые права и свободы;

 

 

• давать оценку кодексам поведения, разрабатываемым на уровне Сообщества.

 

2. Если Рабочая группа приходит к заключению о том, что различия между законами или практическими действиями различных государств-участников могут стать для Сообщест-ва источником неравенства в том, что касается защиты индивидуумов в отношении обра-ботки их персональных данных, она обязана должным образом проинформировать Ко-миссию.

 

3. Рабочая группа может по собственной инициативе выступать с рекомендациями по всем вопросам, касающимся защиты лиц в отношении обработки их персональных данных внутри Сообщества.

 

4. Оценки и рекомендации Рабочей группы доводятся до сведения Комиссии и Комитета, упомянутого в ст. 31.

 

5. Комиссия информирует Рабочую группу о мерах, принимаемых в ответ на сделанные ею оценки и рекомендации. С этой целью она составляет отчет, который направляется также в Европейский парламент и Совет ЕС. Отчет подлежит опубликованию.

 

6. Рабочая группа составляет ежегодный отчет о ситуации в сфере защиты физических лиц в отношении обработки их персональных данных внутри Сообщества и в третьих странах, который она представляет Комиссии, Европейскому парламенту и Совету. Отчет подлежит опубликованию.

 

Глава VII

 

РЕАЛИЗАЦИЯ МЕР, ПРИНИМАЕМЫХ СООБЩЕСТВОМ

 

Статья 31. Комитет

 

1. Комиссия получает помощь от Комитета, создаваемого из представителей государств-участников под председательством представителя Комиссии.

 

2. Представитель Комиссии представляет в Комитет проект предлагаемых мер. Комитет дает свое заключение о проекте в сроки, устанавливаемые председателем в зависимости от актуальности рассматриваемого вопроса. Заключение утверждается большинством го-лосов в соответствии со ст. 148 (2) Договора. Голоса представителей государств-

 

участников взвешиваются в соответствии с процедурой, описанной в названной статье. Председатель не голосует. Комиссия утверждает меры, которые подлежат немедленной реализации. Однако, если указанные меры вступают в противоречие с мнением Комитета, они немедленно доводятся Комиссией до сведения Совета. В этом случае:

 

• Комиссия откладывает реализацию утвержденных ею мер на три месяца со дня доведе-ния их до сведения Совета;

 

• Совет квалифицированным большинством голосов может принять иное решение в тече-ние периода времени, указанного в предыдущем подпункте.

 

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

 

Статья 32

 

1. Государства-участники вводят в силу законы, правила и административные положения, необходимые для реализации настоящей Директивы, не позднее трех лет со дня принятия последней. При принятии указанных мер делается ссылка на настоящую Директиву; тако-вая ссылка также может сопровождать официальную публикацию указанных мер. Формы ссылки определяются государствами-членами.

 

2. Государства-участники создают условия для того, чтобы обработка персональных дан-ных, уже осуществляемая на дату вступления в силу национальных положений, принятых во исполнение настоящей Директивы, была приведена в соответствие с указанными по-ложениями в течение трех лет с указанной даты.

 

В порядке частичной отмены предыдущего абзаца, государства-участники могут устанав-ливать, что обработка данных, уже содержащихся в обрабатываемых вручную картотеках на дату вступления в силу национальных положений, принятых во исполнение настоящей Директивы, должна быть приведена в соответствие со ст. 6, 7 и 8 настоящей Директивы в течение 12 лет со дня принятия последней. При этом государства-участники должны обеспечить субъекту данных возможность требовать — в частности, при использовании им своего права доступа — исправления, стирания или блокирования данных, являющихся не-полными, неточными или хранящимися не в соответствии с законными целями, пресле-дуемыми контрольным органом.

 

3. В порядке частичной отмены пункта 2, государства-участники могут устанавливать, при наличии соответствующих гарантий защиты, что данные, сохраняемые исключительно в целях проведения исторических исследований, могут не приводиться в соответствие со ст. 6, 7 и 8 настоящей Директивы.

 

4. Государства-участники представляют в Комиссию текст положений национальных за-конов, принимаемых ими в сфере действия настоящей Директивы.

 

Статья 33

 

Комиссия регулярно, не позднее чем через три года после даты, указанной в ст. 32 (1), представляет в Совет ЕС и Европарламент отчеты о реализации настоящей Директивы, прилагая к ним, если это необходимо, приемлемые предложения о внесении поправок. Отчеты подлежат опубликованию. В частности, Комиссия анализирует практику приме-нения настоящей Директивы к звуковым и графическим данным, относящимся к физиче-

 

ским лицам, и вносит любые необходимые предложения с учетом развития информацион-ных технологий и уровня прогресса информационного общества.

 

Статья 34

 

Настоящая Директива адресована государствам-участникам.

 

Принята в Люксембурге 24 октября 1995 года.

 

От имени Европарламента:Председатель K. ХЕНШ

 

От имени Совета ЕС: Председатель Л. АТЬЕНСА СЕРНА