ДИРЕКТИВА 95/46/EC ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА
от 24 октября 1995 г.
о защите граждан при обработке персональных данных и о свободном перемещении таких данных
ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,
Принимая во внимание Договор о создании Европейского Сообщества и, в частности, его статью 100а,
Принимая во внимание предложение Комиссии (1),
Принимая во внимание мнение Экономического и социального комитета (2),
Действуя в соответствии с процедурой, указанной в статье 189b Договора (3),
(1) Принимая во внимание, что цели Сообщества, изложенные в Договоре с поправками, внесенными Договором о Европейском Союзе, включают создание еще более тесного союза между народами Европы, содействие более тесным отношениям между государствами, принадлежащими к Сообществу, обеспечение экономический и социальный прогресс посредством общих действий по устранению барьеров, разделяющих Европу, поощрения постоянного улучшения условий жизни ее народов, сохранения и укрепления мира и свободы и продвижения демократии на основе основных прав, признанных в конституции и законах Европы. государствами-членами и в Европейской конвенции о защите прав человека и основных свобод;
(2) Принимая во внимание, что системы обработки данных предназначены для обслуживания человека; поскольку они должны, независимо от гражданства или места жительства физических лиц, уважать их основные права и свободы, особенно право на неприкосновенность частной жизни, и способствовать экономическому и социальному прогрессу, расширению торговли и благосостоянию людей;
(3) Принимая во внимание, что создание и функционирование внутреннего рынка, на котором в соответствии со статьей 7а Договора обеспечивается свободное перемещение товаров, лиц, услуг и капитала, требуют не только того, чтобы персональные данные могли свободно перетекать из одного государства-члена другому, но также и то, что основные права человека должны быть защищены;
(4) Поскольку в Сообществе все чаще прибегают к обработке персональных данных в различных сферах экономической и социальной деятельности; поскольку прогресс, достигнутый в информационных технологиях, значительно облегчает обработку и обмен такими данными;
(5) Принимая во внимание, что экономическая и социальная интеграция, являющаяся результатом создания и функционирования внутреннего рынка по смыслу статьи 7a Договора, обязательно приведет к существенному увеличению трансграничных потоков персональных данных между всеми, кто участвует в частной или общественный потенциал в экономической и социальной деятельности в государствах-членах; поскольку обмен персональными данными между предприятиями в разных государствах-членах ЕС будет увеличиваться; поскольку национальные органы власти в различных государствах-членах ЕС призваны в соответствии с законодательством Сообщества сотрудничать и обмениваться персональными данными, чтобы иметь возможность выполнять свои обязанности или выполнять задачи от имени органа власти в другом государстве-члене ЕС в контексте территория без внутренних границ, образуемая внутренним рынком;
(6) Принимая во внимание, что, кроме того, расширение научно-технического сотрудничества и скоординированное внедрение новых телекоммуникационных сетей в Сообществе обуславливают необходимость и облегчают трансграничные потоки персональных данных;
(7) Поскольку разница в уровнях защиты прав и свобод отдельных лиц, в частности права на неприкосновенность частной жизни, в отношении обработки персональных данных, предоставляемых в государствах-членах ЕС, может препятствовать передаче таких данных с территории одного члена ЕС. государство к государству другого государства-члена; поскольку эта разница может, таким образом, представлять собой препятствие для осуществления ряда видов экономической деятельности на уровне Сообщества, искажать конкуренцию и препятствовать властям в выполнении их обязанностей в соответствии с законодательством Сообщества; поскольку эта разница в уровнях защиты обусловлена существованием широкого спектра национальных законов, правил и административных положений;
(8) Принимая во внимание, что в целях устранения препятствий для потоков персональных данных уровень защиты прав и свобод физических лиц в отношении обработки таких данных должен быть эквивалентным во всех государствах-членах ЕС; поскольку эта цель жизненно важна для внутреннего рынка, но не может быть достигнута государствами-членами в одиночку, особенно с учетом масштаба расхождений, которые в настоящее время существуют между соответствующими законами в государствах-членах, и необходимостью координации законов государств-членов с целью обеспечения того, чтобы трансграничный поток персональных данных регулировался последовательным образом в соответствии с целями внутреннего рынка, как это предусмотрено в статье 7a Договора; поскольку поэтому необходимы действия Сообщества по сближению этих законов;
(9) Принимая во внимание, что, учитывая эквивалентную защиту, возникающую в результате сближения национальных законов, государства-члены больше не смогут препятствовать свободному перемещению между ними персональных данных по основаниям, касающимся защиты прав и свобод физических лиц, и в в частности, право на неприкосновенность частной жизни; поскольку государствам-членам ЕС будет оставлено поле для маневра, которое в контексте реализации Директивы может также осуществляться деловыми и социальными партнерами; поскольку государства-члены, таким образом, смогут указать в своем национальном законодательстве общие условия, регулирующие законность обработки данных; поскольку при этом государства-члены ЕС должны стремиться улучшить защиту, предоставляемую в настоящее время их законодательством; поскольку в пределах этой свободы маневра и в соответствии с законодательством Сообщества могут возникнуть различия в реализации Директивы, и это может повлиять на перемещение данных внутри государства-члена, а также внутри Сообщества;
(10) Поскольку целью национальных законов об обработке персональных данных является защита основных прав и свобод, в частности права на неприкосновенность частной жизни, которое признается как в статье 8 Европейской конвенции о защите прав человека и основных свобод и в общих принципах права Сообщества; поскольку по этой причине сближение этих законов не должно приводить к какому-либо уменьшению защиты, которую они предоставляют, а, напротив, должно быть направлено на обеспечение высокого уровня защиты в Сообществе;
(11) Поскольку принципы защиты прав и свобод личности, в частности права на неприкосновенность частной жизни, содержащиеся в настоящей Директиве, наполняют содержанием и дополняют принципы, содержащиеся в Конвенции Совета Европы от 28 января 1981 г. о защите физических лиц в части автоматической обработки персональных данных;
(12) Поскольку принципы защиты должны применяться ко всей обработке персональных данных любым лицом, деятельность которого регулируется законодательством Сообщества; поскольку должна быть исключена обработка данных, осуществляемая физическим лицом при осуществлении деятельности исключительно личного или домашнего характера, такой как переписка и ведение записей адресов;
(13) Поскольку деятельность, упомянутая в разделах V и VI Договора о Европейском Союзе в отношении общественной безопасности, обороны, государственной безопасности или деятельность государства в области уголовного права, выходит за рамки права Сообщества, без ущерба для обязательства, возлагаемые на государства-члены согласно статье 56 (2), статье 57 или статье 100а Договора об учреждении Европейского сообщества; поскольку обработка персональных данных, необходимая для защиты экономического благосостояния государства, не подпадает под действие настоящей Директивы, если такая обработка связана с вопросами государственной безопасности;
(14) Принимая во внимание, что, учитывая важность происходящих в рамках информационного общества разработок методов, используемых для захвата, передачи, манипулирования, записи, хранения или передачи звуковых и графических данных, касающихся физических лиц, настоящая Директива должна быть применимым к обработке таких данных;
(15) Принимая во внимание, что обработка таких данных подпадает под действие настоящей Директивы только в том случае, если она автоматизирована или если обработанные данные содержатся или предназначены для содержания в файловой системе, структурированной в соответствии с конкретными критериями, касающимися отдельных лиц, чтобы обеспечить возможность легкого доступ к рассматриваемым персональным данным;
(16) Принимая во внимание, что обработка звуковых и графических данных, например, в случаях видеонаблюдения, не подпадает под действие настоящей Директивы, если она осуществляется в целях общественной безопасности, обороны, национальной безопасности или в ходе Государственная деятельность, относящаяся к сфере уголовного права, или другая деятельность, не подпадающая под действие права Сообщества;
(17) Принимая во внимание, что в отношении обработки звуковых и графических данных, осуществляемой в целях журналистики или в целях литературного или художественного выражения, в частности, в аудиовизуальной сфере, принципы Директивы должны применяться в ограниченном объеме. порядке в соответствии с положениями, изложенными в Статье 9;
(18) Принимая во внимание, что для обеспечения того, чтобы отдельные лица не были лишены защиты, на которую они имеют право в соответствии с настоящей Директивой, любая обработка персональных данных в Сообществе должна осуществляться в соответствии с законодательством одного из государств-членов; поскольку в этой связи обработка, выполняемая под ответственность контролера, зарегистрированного в государстве-члене ЕС, должна регулироваться законодательством этого государства;
(19) Поскольку учреждение на территории государства-члена подразумевает эффективное и реальное осуществление деятельности посредством стабильных механизмов; поскольку правовая форма такого учреждения, будь то просто филиал или дочерняя компания с правосубъектностью, не является определяющим фактором в этом отношении; поскольку, когда один контролер учреждается на территории нескольких государств-членов, особенно посредством дочерних компаний, он должен гарантировать, во избежание любого обхода национальных правил, что каждое из предприятий выполняет обязательства, налагаемые применимым национальным законодательством к его деятельности;
(20) Принимая во внимание, что тот факт, что обработка данных осуществляется лицом, зарегистрированным в третьей стране, не должен препятствовать защите физических лиц, предусмотренной настоящей Директивой; поскольку в этих случаях обработка должна регулироваться законодательством государства-члена, в котором расположены используемые средства, и должны существовать гарантии, обеспечивающие соблюдение прав и обязанностей, предусмотренных настоящей Директивой, на практике;
(21) Поскольку настоящая Директива не наносит ущерба правилам территориальности, применимым в уголовных делах;
(22) Принимая во внимание, что государства-члены должны более точно определить в законах, которые они принимают, или при вступлении в силу мер, принятых в соответствии с настоящей Директивой, общие обстоятельства, при которых обработка является законной; поскольку, в частности, статья 5 в сочетании со статьями 7 и 8 позволяет государствам-членам, независимо от общих правил, обеспечивать специальные условия обработки для конкретных секторов и для различных категорий данных, охватываемых статьей 8;
(23) Поскольку государства-члены ЕС уполномочены обеспечивать реализацию защиты физических лиц как посредством общего закона о защите физических лиц в отношении обработки персональных данных, так и отраслевых законов, таких как те, которые относятся, например, к статистическим институты;
(24) Поскольку настоящая Директива не затрагивает законодательство, касающееся защиты юридических лиц в отношении обработки данных, которые их касаются;
(25) Поскольку принципы защиты должны быть отражены, с одной стороны, в обязательствах, налагаемых на лиц, государственные органы, предприятия, агентства или другие органы, ответственные за обработку, в частности, в отношении качества данных, технической безопасности, уведомления надзорного органа. полномочия и обстоятельства, при которых может осуществляться обработка, и, с другой стороны, в праве, предоставленном лицам, данные о которых являются предметом обработки, быть проинформированными о том, что обработка имеет место, ознакомиться с данными , запрашивать исправления и даже возражать против обработки при определенных обстоятельствах;
(26) Поскольку принципы защиты должны применяться к любой информации, касающейся идентифицированного или идентифицируемого лица; поскольку для определения того, можно ли идентифицировать лицо, следует принять во внимание все средства, которые могут быть разумно использованы либо контролером, либо любым другим лицом для идентификации указанного лица; поскольку принципы защиты не применяются к данным, анонимизированным таким образом, что субъект данных больше не может быть идентифицирован; поскольку кодексы поведения по смыслу статьи 27 могут быть полезным инструментом для предоставления рекомендаций относительно способов, с помощью которых данные могут быть анонимизированы и сохранены в форме, в которой идентификация субъекта данных больше невозможна;
(27) Принимая во внимание, что защита отдельных лиц должна применяться как к автоматической обработке данных, так и к ручной обработке; поскольку объем этой защиты фактически не должен зависеть от используемых методов, иначе это создаст серьезный риск обхода; тем не менее, что касается ручной обработки, настоящая Директива распространяется только на файловые системы, а не на неструктурированные файлы; поскольку, в частности, содержание файловой системы должно быть структурировано в соответствии с конкретными критериями, касающимися физических лиц, обеспечивающими легкий доступ к персональным данным; поскольку в соответствии с определением в статье 2 (c) каждое государство-член ЕС может установить разные критерии для определения составляющих структурированного набора персональных данных и разные критерии, регулирующие доступ к такому набору; поскольку файлы или наборы файлов, а также их титульные страницы, которые не структурированы в соответствии с конкретными критериями, ни при каких обстоятельствах не подпадают под действие настоящей Директивы;
(28) Принимая во внимание, что любая обработка персональных данных должна быть законной и справедливой по отношению к заинтересованным лицам; поскольку, в частности, данные должны быть адекватными, актуальными и не чрезмерными по отношению к целям, для которых они обрабатываются; поскольку такие цели должны быть явными и законными и должны быть определены во время сбора данных; поскольку цели дальнейшей обработки перед сбором не должны быть несовместимы с целями, которые были первоначально указаны;
(29) Принимая во внимание, что дальнейшая обработка персональных данных в исторических, статистических или научных целях, как правило, не должна считаться несовместимой с целями, для которых данные были собраны ранее, при условии, что государства-члены ЕС предоставят соответствующие гарантии; поскольку эти гарантии должны, в частности, исключать использование данных в поддержку мер или решений, касающихся любого конкретного лица;
(30) Принимая во внимание, что для того, чтобы быть законной, обработка персональных данных должна дополнительно осуществляться с согласия субъекта данных или быть необходимой для заключения или выполнения договора, обязательного для субъекта данных, или в качестве юридического требования или для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, или в законных интересах физического или юридического лица, при условии, что интересы или права и свободы субъекта данных не нарушаются. переопределяющий; поскольку, в частности, для поддержания баланса между вовлеченными интересами и обеспечения эффективной конкуренции, государства-члены могут определять обстоятельства, при которых персональные данные могут использоваться или раскрываться третьей стороне в контексте законной обычной деловой деятельности компаний. и другие органы; поскольку государства-члены ЕС могут аналогичным образом определить условия, при которых персональные данные могут быть раскрыты третьей стороне в целях маркетинга, осуществляемого как на коммерческой основе, так и благотворительной организацией или любой другой ассоциацией или фондом, например, политического характера, при условии соблюдения положения, позволяющие субъекту данных возражать против обработки касающихся его данных бесплатно и без указания причин;
(31) Принимая во внимание, что обработка персональных данных в равной степени должна считаться законной, если она осуществляется с целью защиты интереса, необходимого для жизни субъекта данных;
(32) Принимая во внимание, что национальное законодательство определяет, должен ли контролер, выполняющий задачу, выполняемую в общественных интересах или при осуществлении официальных полномочий, быть публичной администрацией или другим физическим или юридическим лицом, регулируемым публичным или частным правом. например, профессиональная ассоциация;
(33) Принимая во внимание, что данные, которые по своей природе способны нарушать основные свободы или неприкосновенность частной жизни, не должны обрабатываться, если субъект данных не даст своего явного согласия; поскольку, однако, отступления от этого запрета должны быть прямо предусмотрены в отношении конкретных потребностей, в частности, когда обработка этих данных осуществляется для определенных целей, связанных со здоровьем, лицами, на которых распространяется юридическое обязательство сохранять профессиональную тайну, или в ходе законной деятельности определенных ассоциаций или фондов, целью которых является обеспечение возможности осуществления основных свобод;
(34) Принимая во внимание, что государства-члены также должны иметь право, если это оправдано соображениями важного общественного интереса, отступать от запрета на обработку конфиденциальных категорий данных, когда это оправдано важными причинами общественного интереса, в таких областях, как общественное здравоохранение и социальная защита - особенно в целях обеспечения качества и экономичности процедур урегулирования претензий на льготы и услуги в системе медицинского страхования - научные исследования и государственная статистика; однако на них лежит обязанность обеспечивать конкретные и подходящие гарантии для защиты основных прав и частной жизни людей;
(35) Принимая во внимание, что, кроме того, обработка персональных данных официальными органами для достижения целей, установленных конституционным правом или международным публичным правом, официально признанных религиозных объединений осуществляется на важных основаниях общественного интереса;
(36) В то время как в некоторых государствах-членах функционирование демократической системы требует, чтобы в ходе избирательной деятельности политические партии собирали данные о политических взглядах людей, обработка таких данных может быть разрешена по причинам важного общественного интереса, при условии, что что установлены соответствующие гарантии;
(37) Принимая во внимание, что обработка персональных данных в целях журналистики или в целях литературного или художественного выражения, в частности, в аудиовизуальной сфере, должна отвечать критериям освобождения от требований некоторых положений настоящей Директивы, поскольку это необходимо для согласовать основные права личности со свободой информации и, в частности, правом получать и распространять информацию, как это гарантировано, в частности, в статье 10 Европейской конвенции о защите прав человека и основных свобод; поскольку государства-члены, следовательно, должны установить исключения и отступления, необходимые для достижения баланса между основными правами в отношении общих мер по легитимности обработки данных, мер по передаче данных в третьи страны и полномочий надзорного органа; однако это не должно приводить к тому, что государства-члены ЕС устанавливают исключения из мер по обеспечению безопасности обработки; тогда как, по крайней мере, надзорный орган, ответственный за этот сектор, также должен быть наделен определенными полномочиями ex-post, например. публиковать регулярный отчет или передавать дела в судебные органы;
(38) Принимая во внимание, что для того, чтобы обработка данных была справедливой, субъект данных должен иметь возможность узнать о существовании операции обработки и, если от него собираются данные, ему должна быть предоставлена точная и полная информация, имеющая принимая во внимание обстоятельства сбора;
(39) Поскольку некоторые операции по обработке включают данные, которые контролер не получил непосредственно от субъекта данных; поскольку, кроме того, данные могут быть законно раскрыты третьей стороне, даже если раскрытие не предполагалось на момент сбора данных от субъекта данных; поскольку во всех этих случаях субъект данных должен быть проинформирован о моменте записи данных или, самое позднее, о первом раскрытии данных третьей стороне;
(40) Однако нет необходимости налагать это обязательство на субъекта данных, который уже имеет информацию; поскольку, кроме того, такое обязательство не возникает, если запись или раскрытие прямо предусмотрены законом или если предоставление информации субъекту данных окажется невозможным или повлечет за собой несоразмерные усилия, что может иметь место, когда обработка носит исторический характер, статистические или научные цели; поскольку в этом отношении могут быть приняты во внимание количество субъектов данных, возраст данных и любые принятые компенсационные меры;
(41) Принимая во внимание, что любое лицо должно иметь возможность реализовать право доступа к относящимся к нему данным, которые обрабатываются, чтобы, в частности, проверить точность данных и законность обработки; поскольку по тем же причинам каждый субъект данных также должен иметь право знать логику автоматической обработки касающихся его данных, по крайней мере, в случае автоматизированных решений, упомянутых в статье 15 (1); поскольку это право не должно отрицательно влиять на коммерческую тайну или интеллектуальную собственность и, в частности, на авторские права, защищающие программное обеспечение; однако эти соображения не должны приводить к отказу субъекту данных во всей информации;
(42) Принимая во внимание, что государства-члены ЕС могут в интересах субъекта данных или в целях защиты прав и свобод других лиц ограничивать права доступа и информации; поскольку они могут, например, указать, что доступ к медицинским данным может быть получен только через медицинского работника;
(43) Поскольку ограничения на права доступа и информации, а также на некоторые обязанности контролера могут аналогичным образом налагаться государствами-членами ЕС, поскольку они необходимы для защиты, например, национальной безопасности, обороны, общественной безопасности или важных экономических или финансовые интересы государства-члена или Союза, а также уголовные расследования, судебные преследования и действия в отношении нарушений этики в регулируемых профессиях; поскольку список исключений и ограничений должен включать задачи мониторинга, проверки или регулирования, необходимые в трех последних областях, касающихся общественной безопасности, экономических или финансовых интересов и предотвращения преступности; поскольку перечень задач в этих трех областях не влияет на легитимность исключений или ограничений по соображениям государственной безопасности или обороны;
(44) Принимая во внимание, что в силу положений законодательства Сообщества государства-члены также могут быть вынуждены отступить от положений настоящей Директивы, касающихся права доступа, обязательства информировать лиц и качества данных, чтобы обеспечить некоторые из целей, упомянутых выше;
(45) Принимая во внимание, что в случаях, когда данные могут быть законно обработаны на основании общественных интересов, официальных полномочий или законных интересов физического или юридического лица, любой субъект данных, тем не менее, должен иметь право на законных и убедительных основаниях, касающихся его конкретной ситуации , возражать против обработки любых данных, касающихся его самого; поскольку государства-члены ЕС, тем не менее, могут устанавливать иные национальные положения;
(46) Поскольку защита прав и свобод субъектов данных в отношении обработки персональных данных требует принятия соответствующих технических и организационных мер как во время проектирования системы обработки, так и во время обработки. себя, в частности, для обеспечения безопасности и, таким образом, предотвращения любой несанкционированной обработки; поскольку государства-члены ЕС обязаны обеспечить соблюдение контролерами этих мер; поскольку эти меры должны обеспечивать соответствующий уровень безопасности с учетом современного уровня техники и затрат на их реализацию в связи с рисками, присущими обработке, и характером данных, подлежащих защите;
(47) Принимая во внимание, что если сообщение, содержащее персональные данные, передается посредством телекоммуникационной или электронной почты, единственной целью которого является передача таких сообщений, контролером персональных данных, содержащихся в сообщении, обычно считается быть лицом, от которого исходит сообщение, а не лицом, предлагающим услуги передачи; поскольку, тем не менее, те, кто предлагает такие услуги, обычно считаются контролерами в отношении обработки дополнительных персональных данных, необходимых для работы услуги;
(48) Поскольку процедуры уведомления надзорного органа предназначены для обеспечения раскрытия целей и основных характеристик любой операции по обработке с целью проверки того, что операция соответствует национальным мерам, принятым в соответствии с настоящей Директивой;
(49) Принимая во внимание, что во избежание неуместных административных формальностей исключения из обязанности уведомлять и упрощение требуемого уведомления могут быть предусмотрены государствами-членами в случаях, когда обработка вряд ли отрицательно повлияет на права и свободы субъектов данных, при условии, что что это соответствует мерам, принятым государством-членом ЕС и определяющим его пределы; поскольку освобождение или упрощение аналогичным образом могут быть предусмотрены государствами-членами ЕС, если лицо, назначенное контролером, гарантирует, что выполняемая обработка вряд ли отрицательно повлияет на права и свободы субъектов данных; поскольку такое должностное лицо по защите данных, независимо от того, является ли он сотрудником контролера, должно иметь возможность выполнять свои функции в полной независимости;
(50) Принимая во внимание, что освобождение или упрощение могут быть предусмотрены в случаях операций по обработке, единственной целью которых является ведение реестра, предназначенного, в соответствии с национальным законодательством, для предоставления информации общественности и открытого для консультаций со стороны общественности или любого лица, демонстрирующего законный интерес;
(51) Тем не менее, упрощение или освобождение от обязанности уведомлять не освобождает контролера от каких-либо других обязательств, вытекающих из настоящей Директивы;
(52) Принимая во внимание, что в этом контексте проверка ex post facto со стороны компетентных органов в целом должна считаться достаточной мерой;
(53) Принимая во внимание, что определенные операции по обработке могут представлять определенные риски для прав и свобод субъектов данных в силу их характера, объема или целей, например, исключение физических лиц из права, выгоды или контракта. или в силу специфического использования новых технологий; поскольку государства-члены ЕС, если они того пожелают, могут указать такие риски в своем законодательстве;
(54) Принимая во внимание, что в отношении всей обработки, осуществляемой в обществе, объем, представляющий такие конкретные риски, должен быть очень ограниченным; поскольку государства-члены должны обеспечить, чтобы надзорный орган или должностное лицо по защите данных в сотрудничестве с органом проверяли такую обработку до ее выполнения; поскольку после этой предварительной проверки надзорный орган может, в соответствии со своим национальным законодательством, дать заключение или разрешение на обработку; поскольку такая проверка может в равной степени иметь место в ходе подготовки либо меры национального парламента, либо меры, основанной на такой законодательной мере, которая определяет характер обработки и устанавливает соответствующие гарантии;
(55) Принимая во внимание, что если контролер не соблюдает права субъектов данных, национальное законодательство должно предусматривать судебное средство правовой защиты; принимая во внимание, что любой ущерб, который лицо может понести в результате незаконной обработки, должен быть возмещен контролером, который может быть освобожден от ответственности, если он докажет, что он не несет ответственности за ущерб, в частности, в случаях, когда он устанавливает вину на часть субъекта данных или в случае форс-мажорных обстоятельств; поскольку санкции должны быть наложены на любое лицо, независимо от того, подчиняется ли оно частному или публичному праву, которое не соблюдает национальные меры, принятые в соответствии с настоящей Директивой;
(56) Поскольку трансграничные потоки персональных данных необходимы для расширения международной торговли; поскольку защита физических лиц, гарантированная в Сообществе настоящей Директивой, не препятствует передаче персональных данных в третьи страны, которые обеспечивают адекватный уровень защиты; поскольку адекватность уровня защиты, предоставляемой третьей страной, должна оцениваться в свете всех обстоятельств, связанных с операцией по передаче или совокупностью операций по передаче;
(57) Принимая во внимание, что, с другой стороны, передача персональных данных в третью страну, которая не обеспечивает адекватный уровень защиты, должна быть запрещена;
(58) Принимая во внимание, что должны быть предусмотрены положения об исключениях из этого запрета в определенных обстоятельствах, когда субъект данных дал свое согласие, когда передача необходима в связи с контрактом или юридическим требованием, когда этого требует защита важного общественного интереса, например, в случаях международной передачи данных между налоговыми или таможенными администрациями или между службами, компетентными в вопросах социального обеспечения, или когда передача осуществляется из реестра, созданного законом и предназначенного для консультаций со стороны общественности или лиц, имеющих законный интерес; тогда как в этом случае такая передача не должна затрагивать всю совокупность данных или целые категории данных, содержащихся в реестре, и, когда реестр предназначен для ознакомления лиц, имеющих законный интерес, передача должна осуществляться только по запросу этих лиц или если они будут получателями;
(59) Принимая во внимание, что могут быть приняты особые меры для компенсации отсутствия защиты в третьей стране в случаях, когда контролер предлагает соответствующие гарантии; поскольку, кроме того, должны быть предусмотрены процедуры переговоров между Сообществом и такими третьими странами;
(60) Принимая во внимание, что в любом случае передача третьим странам может осуществляться только в полном соответствии с положениями, принятыми государствами-членами в соответствии с настоящей Директивой, и, в частности, ее Статьей 8;
(61) Принимая во внимание, что государства-члены и Комиссия в своих соответствующих сферах компетенции должны поощрять торговые ассоциации и другие заинтересованные представительные организации к разработке кодексов поведения, чтобы облегчить применение настоящей Директивы, принимая во внимание специфические характеристики обработка, осуществляемая в определенных секторах, и соблюдение национальных положений, принятых для ее реализации;
(62) Принимая во внимание, что создание в государствах-членах надзорных органов, выполняющих свои функции с полной независимостью, является важным компонентом защиты физических лиц в отношении обработки персональных данных;
(63) Принимая во внимание, что такие органы должны иметь необходимые средства для выполнения своих обязанностей, включая полномочия по расследованию и вмешательству, особенно в случаях жалоб от частных лиц, а также полномочия участвовать в судебных разбирательствах; поскольку такие органы должны помочь обеспечить прозрачность обработки в государствах-членах, под юрисдикцией которых они находятся;
(64) Поскольку властям различных государств-членов ЕС необходимо будет помогать друг другу в выполнении своих обязанностей, чтобы гарантировать, что правила защиты должным образом соблюдаются на всей территории Европейского Союза;
(65) Принимая во внимание, что на уровне Сообщества должна быть создана Рабочая группа по защите физических лиц в отношении обработки персональных данных, которая должна быть полностью независимой при выполнении своих функций; поскольку, учитывая его особый характер, он должен консультировать Комиссию и, в частности, способствовать единообразному применению национальных правил, принятых в соответствии с настоящей Директивой;
(66) Принимая во внимание, что в отношении передачи данных в третьи страны применение настоящей Директивы требует наделения Комиссии полномочиями по реализации и установления процедуры, изложенной в Решении Совета 87/373/EEC ( 1);
(67) Принимая во внимание, что соглашение о modus vivendi между Европейским Парламентом, Советом и Комиссией относительно мер по реализации актов, принятых в соответствии с процедурой, установленной в Статье 189b Договора о ЕС, было достигнуто 20 декабря 1994 г.;
(68) Принимая во внимание, что принципы, изложенные в настоящей Директиве относительно защиты прав и свобод физических лиц, в частности их права на неприкосновенность частной жизни, в отношении обработки персональных данных, могут быть дополнены или разъяснены, в частности, в той мере, в которой некоторые отрасли заинтересованы, согласно конкретным правилам, основанным на этих принципах;
(69) Принимая во внимание, что государствам-членам должен быть предоставлен период не более трех лет с момента вступления в силу национальных мер, транспонирующих настоящую Директиву, для постепенного применения таких новых национальных правил ко всем уже осуществляемым операциям по переработке; поскольку, чтобы облегчить их экономически эффективное внедрение, государствам-членам ЕС будет предоставлен дополнительный период, истекающий через 12 лет после даты принятия настоящей Директивы, для обеспечения соответствия существующих систем ручной подачи документов некоторым положениям Директивы; принимая во внимание, что если данные, содержащиеся в таких файловых системах, обрабатываются вручную в течение этого расширенного переходного периода, эти системы должны быть приведены в соответствие с этими положениями во время такой обработки;
(70) Принимая во внимание, что субъекту данных нет необходимости снова давать свое согласие, чтобы позволить контролеру продолжать обработку, после вступления в силу национальных положений, принятых в соответствии с настоящей Директивой, любые конфиденциальные данные, необходимые для выполнения договор, заключенный на основе свободного и осознанного согласия до вступления в силу настоящих положений;
(71) Поскольку настоящая Директива не препятствует регулированию маркетинговой деятельности государства-члена ЕС, направленной на потребителей, проживающих на территории, поскольку такое регулирование не касается защиты физических лиц в отношении обработки персональных данных;
(72) Поскольку настоящая Директива позволяет учитывать принцип публичного доступа к официальным документам при реализации принципов, изложенных в настоящей Директиве,
ПРИНЯЛИ НАСТОЯЩУЮ ДИРЕКТИВУ:
ГЛАВА I ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1
Объект Директивы
1. В соответствии с настоящей Директивой государства-члены ЕС должны защищать основные права и свободы физических лиц, и в частности их право на неприкосновенность частной жизни в отношении обработки персональных данных.
2. Государства-члены не должны ни ограничивать, ни запрещать свободный поток персональных данных между государствами-членами по причинам, связанным с защитой, предоставляемой в соответствии с параграфом 1.
Статья 2
Определения
Для целей настоящей Директивы:
(a) «персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»); идентифицируемое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, характерных для его физической, физиологической, психической, экономической, культурной или социальной идентичности;
(b) «обработка персональных данных» («обработка») означает любую операцию или набор операций, которые выполняются с персональными данными, независимо от того, с помощью автоматических средств или нет, такие как сбор, запись, организация, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространение или иное предоставление доступа, согласование или комбинирование, блокирование, стирание или уничтожение;
(c) «система хранения персональных данных» («система хранения») означает любой структурированный набор персональных данных, которые доступны в соответствии с конкретными критериями, независимо от того, централизованы ли они, децентрализованы или рассредоточены по функциональному или географическому принципу;
(d) «контролер» означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; если цели и средства обработки определены национальным законодательством или законодательством Сообщества, контролер или конкретные критерии его назначения могут быть назначены национальным законодательством или законодательством Сообщества;
(e) «обработчик» означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который обрабатывает персональные данные от имени контролера;
(f) «третья сторона» означает любое физическое или юридическое лицо, государственный орган, агентство или любую другую организацию, кроме субъекта данных, контролера, обработчика и лиц, которые под прямым руководством контролера или обработчика, имеют право обрабатывать данные;
(g) «получатель» означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, которому раскрываются данные, независимо от того, является ли оно третьей стороной или нет; однако органы, которые могут получить данные в рамках конкретного запроса, не считаются получателями;
(h) «согласие субъекта данных» означает любое свободно данное конкретное и осознанное указание своих желаний, посредством которого субъект данных выражает свое согласие на обработку относящихся к нему персональных данных.
Статья 3
Объем
1. Настоящая Директива применяется к обработке персональных данных полностью или частично автоматическими средствами, а также к обработке иным способом, чем автоматические средства, персональных данных, которые составляют часть файловой системы или предназначены для формирования части файловой системы.
2. Настоящая Директива не распространяется на обработку персональных данных:
- в ходе деятельности, выходящей за рамки права Сообщества, например, предусмотренной Разделами V и VI Договора о Европейском Союзе, и в любом случае для обработки операций, касающихся общественной безопасности, обороны, государственной безопасности (включая экономическое благополучие государства, когда операция обработки связана с вопросами государственной безопасности) и деятельность государства в областях уголовного права,
- физическим лицом в ходе сугубо личной или бытовой деятельности.
Статья 4
Применимое национальное законодательство
1. Каждое государство-член должно применять национальные положения, которые оно принимает в соответствии с настоящей Директивой, к обработке персональных данных, если:
(a) обработка осуществляется в контексте деятельности учреждения контролера на территории государства-члена; когда один и тот же контролер учрежден на территории нескольких государств-членов, он должен принять необходимые меры для обеспечения того, чтобы каждое из этих предприятий соблюдало обязательства, установленные применимым национальным законодательством;
(b) контролер учрежден не на территории государства-члена, а в месте, где его национальное законодательство применяется в силу международного публичного права;
(c) контролер не находится на территории Сообщества и для целей обработки персональных данных использует оборудование, автоматизированное или иное, расположенное на территории указанного государства-члена, за исключением случаев, когда такое оборудование используется только для целей транзита через территории Сообщества.
2. В обстоятельствах, указанных в параграфе 1 (c), контролер должен назначить представителя, зарегистрированного на территории этого государства-члена, без ущерба для судебных исков, которые могут быть инициированы против самого контролера.
ГЛАВА II ОБЩИЕ ПРАВИЛА ЗАКОННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 5
Государства-члены ЕС в пределах положений настоящей Главы более точно определяют условия, при которых обработка персональных данных является законной.
РАЗДЕЛ I
ПРИНЦИПЫ, ОТНОСЯЩИЕСЯ К КАЧЕСТВУ ДАННЫХ
Статья 6
1. Государства-члены ЕС должны обеспечить, чтобы персональные данные были:
(a) обрабатывались справедливо и законно;
(b) собираются для определенных, явных и законных целей и не обрабатываются в дальнейшем способом, несовместимым с этими целями. Дальнейшая обработка данных для исторических, статистических или научных целей не может считаться несовместимой при условии, что государства-члены ЕС предоставят соответствующие гарантии;
(c) адекватны, актуальны и не чрезмерны по отношению к целям, для которых они собираются и/или подвергаются дальнейшей обработке;
(d) точными и, при необходимости, обновляемыми; необходимо предпринять все разумные меры для обеспечения того, чтобы данные, которые являются неточными или неполными, с учетом целей, для которых они были собраны или для которых они подвергаются дальнейшей обработке, были удалены или исправлены;
(e) храниться в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей, для которых данные были собраны или для которых они в дальнейшем обрабатываются. Государства-члены ЕС должны установить соответствующие меры защиты персональных данных, хранящихся в течение более длительных периодов времени для исторического, статистического или научного использования.
2. Контролер должен обеспечить соблюдение параграфа 1.
РАЗДЕЛ II
КРИТЕРИИ ЛЕГИТИМНОСТИ ОБРАБОТКИ ДАННЫХ
Статья 7
Государства-члены должны обеспечить, что персональные данные могут обрабатываться только в том случае, если:
(a) субъект данных однозначно дал свое согласие; или
(б) обработка необходима для выполнения договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора; или
(c) обработка необходима для соблюдения юридического обязательства, которому подчиняется контролер; или
(г) обработка необходима для защиты жизненно важных интересов субъекта данных; или
(e) обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера или третью сторону, которой раскрываются данные; или
(f) обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной или сторонами, которым раскрываются данные, за исключением случаев, когда такие интересы перевешивают интересы основных прав и свобод субъекта данных, которые требуют защиты в соответствии со статьей 1 (1).
РАЗДЕЛ III
СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ОБРАБОТКИ
Статья 8
Обработка специальных категорий данных
1. Государства-члены запрещают обработку персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзе, а также обработку данных, касающихся здоровья или сексуальной жизни.
2. Параграф 1 не применяется, если:
(a) субъект данных дал свое явное согласие на обработку этих данных, за исключением случаев, когда законодательство государства-члена ЕС предусматривает, что запрет, упомянутый в параграфе 1, не может быть снят с согласия субъекта данных; или
(b) обработка необходима для целей выполнения обязательств и особых прав контролера в области трудового законодательства, если это разрешено национальным законодательством, обеспечивающим адекватные гарантии; или
(c) обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица, если субъект данных физически или юридически неспособен дать свое согласие; или
(d) обработка осуществляется в ходе его законной деятельности с соответствующими гарантиями фондом, ассоциацией или любой другой некоммерческой организацией с политической, философской, религиозной или профсоюзной целью и при условии, что обработка касается исключительно членам органа или лицам, которые регулярно контактируют с ним в связи с его целями, и чтобы данные не разглашались третьим лицам без согласия субъектов данных; или
(д) обработка относится к данным, которые явно обнародованы субъектом данных или необходимы для установления, осуществления или защиты юридических претензий.
3. Параграф 1 не применяется, если обработка данных необходима для целей профилактической медицины, медицинской диагностики, предоставления ухода или лечения или управления медицинскими услугами, и если эти данные обрабатываются медицинским работником. в соответствии с национальным законодательством или правилами, установленными национальными компетентными органами, с обязательством сохранения профессиональной тайны, или другим лицом, также подпадающим под эквивалентное обязательство сохранения тайны.
4. При условии предоставления соответствующих гарантий государства-члены ЕС могут по причинам существенного общественного интереса устанавливать исключения в дополнение к тем, которые изложены в параграфе 2, либо национальным законодательством, либо решением надзорного органа.
5. Обработка данных, касающихся преступлений, уголовных осуждений или мер безопасности, может осуществляться только под контролем официального органа или если соответствующие специальные гарантии предусмотрены национальным законодательством, с учетом отступлений, которые могут быть предоставлены государством-членом в соответствии с национальным законодательством. положения, обеспечивающие соответствующие конкретные гарантии. Однако полный реестр уголовных судимостей может вестись только под контролем официального органа.
Государства-члены ЕС могут предусмотреть, что данные, относящиеся к административным санкциям или решениям по гражданским делам, также будут обрабатываться под контролем официального органа.
6. Об отступлениях от параграфа 1, предусмотренных параграфами 4 и 5, должно быть сообщено Комиссии.
7. Государства-члены ЕС должны определить условия, при которых может обрабатываться национальный идентификационный номер или любой другой идентификатор общего применения.
Статья 9
Обработка персональных данных и свобода выражения мнений
Государства-члены должны предусмотреть исключения или отступления от положений настоящей Главы, Главы IV и Главы VI для обработки персональных данных, осуществляемой исключительно в журналистских целях или в целях художественного или литературного самовыражения, только если они необходимы для согласования права на конфиденциальность с правилами, регулирующими свободу выражения мнений.
РАЗДЕЛ IV
ИНФОРМАЦИЯ, ПРЕДОСТАВЛЯЕМАЯ СУБЪЕКТУ ДАННЫХ
Статья 10
Информация в случаях сбора данных от субъекта данных
Государства-члены ЕС должны предусмотреть, что контролер или его представитель должен предоставить субъекту данных, от которого собираются данные, относящиеся к нему самому, как минимум следующую информацию, за исключением случаев, когда она уже имеется:
(a) личность контролера и его представителя, если таковой имеется;
(b) цели обработки, для которой предназначены данные;
(c) любую дополнительную информацию, такую как
- получатели или категории получателей данных,
- являются ли ответы на вопросы обязательными или добровольными, а также возможные последствия отсутствия ответа,
- наличие права доступа и права исправления касающихся его данных
если такая дополнительная информация необходима с учетом конкретных обстоятельств сбора данных, чтобы гарантировать справедливую обработку в отношении субъекта данных.
Статья 11
Информация, если данные не были получены от субъекта данных
1. Если данные не были получены от субъекта данных, государства-члены ЕС должны предусмотреть, что контролер или его представитель должны во время записи персональных данных или, если предусмотрено раскрытие третьим лицам, не позднее В момент первого раскрытия данных предоставить субъекту данных как минимум следующую информацию, за исключением случаев, когда она уже имеется:
(a) личность контролера и его представителя, если таковой имеется;
(б) цели обработки;
(c) любую дополнительную информацию, такую как
- категории соответствующих данных,
- получатели или категории получателей,
- наличие права доступа и права исправления касающихся его данных
если такая дополнительная информация необходима с учетом конкретных обстоятельств обработки данных, чтобы гарантировать справедливую обработку в отношении субъекта данных.
2. Параграф 1 не применяется, если, в частности, для обработки в статистических целях или в целях исторических или научных исследований, предоставление такой информации оказывается невозможным или потребует непропорциональных усилий, или если запись или раскрытие прямо установлены законом. . В этих случаях государства-члены должны обеспечить соответствующие гарантии.
РАЗДЕЛ V
ПРАВО СУБЪЕКТА ДАННЫХ НА ДОСТУП К ДАННЫМ
Статья 12
Право доступа
Государства-члены ЕС должны гарантировать каждому субъекту данных право получить от контролера:
(a) без ограничений через разумные промежутки времени и без чрезмерных задержек или затрат:
- подтверждение того, обрабатываются ли относящиеся к нему данные, и информация, по крайней мере, о целях обработки, категориях соответствующих данных и получателях или категориях получателей, которым данные раскрываются,
- сообщение ему в доступной форме данных, подлежащих обработке, и любой доступной информации об их источнике,
- знание логики любой автоматической обработки касающихся его данных, по крайней мере, в случае автоматизированных решений, упомянутых в статье 15 (1);
(b) при необходимости исправление, удаление или блокирование данных, обработка которых не соответствует положениям настоящей Директивы, в частности, из-за неполного или неточного характера данных;
(c) уведомление третьих лиц, которым были раскрыты данные, о любом исправлении, удалении или блокировании, выполненном в соответствии с пунктом (b), если только это не окажется невозможным или не потребует непропорциональных усилий.
РАЗДЕЛ VI
ИСКЛЮЧЕНИЯ И ОГРАНИЧЕНИЯ
Статья 13
Исключения и ограничения
1. Государства-члены ЕС могут принять законодательные меры для ограничения объема обязательств и прав, предусмотренных статьями 6 (1), 10, 11 (1), 12 и 21, когда такое ограничение представляет собой необходимые меры для защиты:
а) национальная безопасность;
(б) защита;
(в) общественная безопасность;
(d) предотвращение, расследование, обнаружение и судебное преследование уголовных преступлений или нарушений этики для регулируемых профессий;
(e) важный экономический или финансовый интерес государства-члена или Европейского Союза, включая денежные, бюджетные и налоговые вопросы;
(f) функции мониторинга, проверки или регулирования, связанные, даже иногда, с осуществлением официальных полномочий в случаях, указанных в пунктах (c), (d) и (e);
(g) защита субъекта данных или прав и свобод других лиц.
2. При условии соблюдения адекватных правовых гарантий, в частности, что данные не используются для принятия мер или решений в отношении какого-либо конкретного лица, государства-члены могут, если явно нет риска нарушения конфиденциальности субъекта данных, ограничить законодательной мерой. права, предусмотренные статьей 12, когда данные обрабатываются исключительно в целях научных исследований или хранятся в личном виде в течение периода, не превышающего периода, необходимого исключительно для целей создания статистики.
РАЗДЕЛ VII
ПРАВО СУБЪЕКТА ДАННЫХ НА ВОЗРАЖЕНИЕ
Статья 14
Право субъекта данных на возражение
Государства-члены ЕС должны предоставить субъекту данных право:
(a) по крайней мере в случаях, указанных в статье 7 (e) и (f), возражать в любое время на убедительных законных основаниях, касающихся его конкретной ситуации, против обработки относящихся к нему данных, за исключением случаев, когда иное предусмотрено национальным законодательством. законодательство. При наличии обоснованного возражения обработка, инициированная контролером, может больше не включать эти данные;
(b) возражать по запросу и бесплатно против обработки относящихся к нему персональных данных, которые контролер предполагает обрабатывать в целях прямого маркетинга, или быть проинформированным до того, как персональные данные будут раскрыты в первый раз третьим лицам сторонам или использоваться от их имени в целях прямого маркетинга, а также иметь право бесплатно возражать против такого раскрытия или использования.
Государства-члены ЕС должны принять необходимые меры для обеспечения того, чтобы субъекты данных знали о существовании права, упомянутого в первом подпункте (b).
Статья 15
Автоматизированные индивидуальные решения
1. Государства-члены ЕС должны предоставить каждому лицу право не подвергаться решению, которое влечет за собой правовые последствия или существенно затрагивает его и которое основано исключительно на автоматизированной обработке данных, предназначенных для оценки определенных личных аспектов, касающихся его, таких как его работоспособность, кредитоспособность, надежность, поведение и т. д.
2. С учетом других статей настоящей Директивы государства-члены ЕС должны предусмотреть, что лицо может быть подвергнуто решению, такому как указано в параграфе 1, если это решение:
(a) предпринимается в ходе заключения или исполнения договора, при условии, что запрос о заключении или исполнении договора, поданный субъектом данных, был удовлетворен или существуют подходящие меры для защиты его законные интересы, такие как договоренности, позволяющие ему излагать свою точку зрения; или
(b) разрешено законом, который также устанавливает меры для защиты законных интересов субъекта данных.
РАЗДЕЛ VIII
КОНФИДЕНЦИАЛЬНОСТЬ И БЕЗОПАСНОСТЬ ОБРАБОТКИ
Статья 16
Конфиденциальность обработки
Любое лицо, действующее под руководством контролера или обработчика, включая самого обработчика, имеющее доступ к персональным данным, не должно обрабатывать их, кроме как по инструкциям контролера, если только оно не обязано делать это по закону.
Статья 17
Безопасность обработки
1. Государства-члены ЕС должны предусмотреть, что контролер должен реализовать соответствующие технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, если обработка включает передачу данных по сети, и против всех других незаконных форм обработки.
Принимая во внимание уровень техники и стоимость их реализации, такие меры должны обеспечивать уровень безопасности, соответствующий рискам, связанным с обработкой, и характеру данных, подлежащих защите.
2. Государства-члены ЕС должны предусмотреть, что контролер должен, если обработка осуществляется от его имени, выбрать обработчика, предоставляющего достаточные гарантии в отношении технических мер безопасности и организационных мер, регулирующих выполняемую обработку, и должен обеспечить соблюдение эти меры.
3. Осуществление обработки посредством обработчика должно регулироваться договором или правовым актом, связывающим обработчика с контролером и предусматривающим, в частности, что:
- процессор должен действовать только по инструкциям контроллера,
- обязательства, изложенные в параграфе 1, как это определено законодательством государства-члена, в котором учрежден обработчик, также возлагаются на обработчика.
4. В целях обеспечения доказательств части договора или правового акта, касающиеся защиты данных, а также требования, относящиеся к мерам, указанным в пункте 1, должны быть оформлены в письменной форме или в другой эквивалентной форме.
РАЗДЕЛ IX
УВЕДОМЛЕНИЕ
Статья 18
Обязанность уведомить надзорный орган
1. Государства-члены ЕС должны предусмотреть, что контролер или его представитель, если таковой имеется, должен уведомить надзорный орган, указанный в Статье 28, перед выполнением любой полностью или частично автоматической операции обработки или набора таких операций, предназначенных для достижения одной цели или нескольких связанных между собой целей. целей.
2. Государства-члены ЕС могут предусмотреть упрощение уведомления или освобождение от него только в следующих случаях и при следующих условиях:
- если для категорий операций обработки, которые с учетом обрабатываемых данных вряд ли окажут негативное влияние на права и свободы субъектов данных, указываются цели обработки, данные или категории данных, подвергающихся обработке, категория или категории субъектов данных, получатели или категории получателей, которым данные должны быть раскрыты, и продолжительность времени, в течение которого данные должны храниться, и/или
- если контролер в соответствии с регулирующим его национальным законодательством назначает должностное лицо по защите персональных данных, ответственное, в частности:
- для обеспечения независимым образом внутреннего применения национальных положений, принятых в соответствии с настоящей Директивой.
- для ведения реестра операций обработки, выполняемых контролером, содержащего элементы информации, указанные в статье 21 (2),
тем самым гарантируя, что операции по обработке вряд ли повлияют на права и свободы субъектов данных.
3. Государства-члены ЕС могут предусмотреть, что параграф 1 не применяется к обработке, единственной целью которой является ведение реестра, который в соответствии с законами или правилами предназначен для предоставления информации общественности и который открыт для консультаций либо со стороны общественности в целом, либо со стороны общественности. любым лицом, демонстрирующим законный интерес.
4. Государства-члены ЕС могут предусмотреть освобождение от обязательства по уведомлению или упрощение уведомления в случае операций по обработке, указанных в Статье 8 (2) (d).
5. Государства-члены ЕС могут предусмотреть, что определенные или все неавтоматические операции по обработке персональных данных должны уведомляться, или предусмотреть, что эти операции по обработке подлежат упрощенному уведомлению.
Статья 19
Содержание уведомления
1. Государства-члены должны указать информацию, которая должна быть указана в уведомлении. Оно должно включать как минимум:
(a) имя и адрес контролера и его представителя, если таковой имеется;
(b) цель или цели обработки;
(c) описание категории или категорий субъекта данных и данных или категорий данных, относящихся к ним;
(d) получатели или категории получателей, которым данные могут быть раскрыты;
(e) предлагаемая передача данных в третьи страны;
(f) общее описание, позволяющее провести предварительную оценку целесообразности мер, принятых в соответствии со Статьей 17 для обеспечения безопасности обработки.
2. Государства-члены ЕС должны определить процедуры, согласно которым надзорный орган должен быть уведомлен о любых изменениях, влияющих на информацию, указанную в параграфе 1.
Статья 20
Предварительная проверка
1. Государства-члены ЕС определяют операции по обработке, которые могут представлять особый риск для прав и свобод субъектов данных, и проверяют, чтобы эти операции по обработке проверялись до их начала.
2. Такие предварительные проверки проводятся надзорным органом после получения уведомления от контролера или должностного лица по защите данных, который в случае сомнений должен проконсультироваться с надзорным органом.
3. Государства-члены ЕС могут также проводить такие проверки в контексте подготовки либо меры национального парламента, либо меры, основанной на такой законодательной мере, которые определяют характер обработки и устанавливают соответствующие гарантии.
Статья 21
Опубликование операций по переработке
1. Государства-члены ЕС должны принять меры для обеспечения гласности операций по обработке.
2. Государства-члены ЕС должны обеспечить, чтобы надзорный орган вел реестр операций по переработке, о которых сообщается в соответствии со Статьей 18.
Реестр должен содержать как минимум информацию, указанную в Статье 19 (1) (a) – (e).
Реестр может быть проверен любым лицом.
3. Государства-члены должны обеспечить, в отношении операций по обработке, не подлежащих уведомлению, чтобы контролеры или другой орган, назначенный государствами-членами, предоставляли по крайней мере информацию, указанную в Статье 19 (1) (a)-(e), в соответствующую форму любому лицу по запросу.
Государства-члены могут предусмотреть, что это положение не применяется к обработке, единственной целью которой является ведение реестра, который в соответствии с законами или правилами предназначен для предоставления информации общественности и который открыт для консультаций либо со стороны общественности в целом, либо со стороны любого лица. лицо, которое может предоставить доказательства законного интереса.
ГЛАВА III СУДЕБНЫЕ СРЕДСТВА ЗАЩИТЫ, ОТВЕТСТВЕННОСТЬ И САНКЦИИ
Статья 22
Средства
Без ущерба для любого административного средства правовой защиты, которое может быть предусмотрено, в частности, в надзорном органе, указанном в статье 28, до обращения в судебный орган, государства-члены должны обеспечить право каждого человека на судебное средство правовой защиты в случае любого нарушения. прав, гарантированных ему национальным законодательством, применимым к рассматриваемой обработке.
Статья 23
Обязанность
1. Государства-члены ЕС должны предусмотреть, что любое лицо, понесшее ущерб в результате незаконной операции по обработке или любого действия, несовместимого с национальными положениями, принятыми в соответствии с настоящей Директивой, имеет право на получение компенсации от контролера за понесенный ущерб.
2. Контролер может быть освобожден от этой ответственности полностью или частично, если докажет, что он не несет ответственности за событие, повлекшее за собой ущерб.
Статья 24
Санкции
Государства-члены ЕС должны принять соответствующие меры для обеспечения полного выполнения положений настоящей Директивы и, в частности, установить санкции, которые будут наложены в случае нарушения положений, принятых в соответствии с настоящей Директивой.
ГЛАВА IV ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ В ТРЕТЬИ СТРАНЫ
Статья 25
Принципы
1. Государства-члены должны предусмотреть, что передача в третью страну персональных данных, которые проходят обработку или предназначены для обработки после передачи, может иметь место только в том случае, если без ущерба для соблюдения национальных положений, принятых в соответствии с другими положениями настоящего Директивы, третья страна, о которой идет речь, обеспечивает адекватный уровень защиты.
2. Адекватность уровня защиты, предоставляемой третьей страной, оценивается с учетом всех обстоятельств, связанных с операцией по передаче данных или совокупностью операций по передаче данных; особое внимание должно быть уделено характеру данных, цели и продолжительности предлагаемой операции или операций по обработке, стране происхождения и стране конечного назначения, нормам права, как общего, так и отраслевого, действующего в третьей стране. о котором идет речь, а также о профессиональных правилах и мерах безопасности, которые соблюдаются в этой стране.
3. Государства-члены и Комиссия должны информировать друг друга о случаях, когда они считают, что третья страна не обеспечивает адекватный уровень защиты в значении параграфа 2.
4. Если Комиссия установит в соответствии с процедурой, предусмотренной в статье 31 (2), что третья страна не обеспечивает адекватный уровень защиты по смыслу параграфа 2 настоящей статьи, государства-члены должны принять меры, необходимые для предотвращения любая передача данных того же типа в соответствующую третью страну.
5. В соответствующее время Комиссия вступит в переговоры с целью исправить ситуацию, возникшую в результате заключения, сделанного в соответствии с параграфом 4.
6. Комиссия может установить, в соответствии с процедурой, указанной в статье 31 (2), что третья страна обеспечивает адекватный уровень защиты по смыслу пункта 2 настоящей статьи на основании своего внутреннего законодательства или международные обязательства, которые она взяла на себя, особенно после завершения переговоров, упомянутых в пункте 5, по защите частной жизни и основных свобод и прав людей.
Государства-члены должны принять меры, необходимые для выполнения решения Комиссии.
Статья 26
Отступления
1. В порядке отступления от статьи 25 и за исключением случаев, когда иное предусмотрено внутренним законодательством, регулирующим конкретные случаи, государства-члены должны предусмотреть, что передача или совокупность передач персональных данных в третью страну, которая не обеспечивает адекватный уровень защиты в пределах значение статьи 25 (2) может иметь место при условии, что:
(a) субъект данных дал однозначное согласие на предлагаемую передачу; или
(б) передача необходима для выполнения договора между субъектом данных и контролером или для реализации преддоговорных мер, принятых в ответ на запрос субъекта данных; или
(c) передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между контролером и третьей стороной; или
(d) передача необходима или требуется по закону по соображениям важных общественных интересов или для установления, осуществления или защиты юридических претензий; или
(e) передача необходима для защиты жизненно важных интересов субъекта данных; или
(f) передача осуществляется из реестра, который в соответствии с законами или нормативными актами предназначен для предоставления информации общественности и который открыт для консультаций либо со стороны общественности в целом, либо со стороны любого лица, которое может продемонстрировать законный интерес, в той степени, в которой условия, установленные законом для проведения консультаций, выполняются в конкретном случае.
2. Без ущерба для параграфа 1, государство-член может разрешить передачу или совокупность передач персональных данных в третью страну, которая не обеспечивает адекватный уровень защиты по смыслу статьи 25 (2), если контролер указывает адекватные гарантии защиты частной жизни и основных прав и свобод личности, а также осуществления соответствующих прав; такие гарантии могут, в частности, вытекать из соответствующих договорных положений.
3. Государство-член должно информировать Комиссию и другие государства-члены о разрешениях, которые оно предоставляет в соответствии с параграфом 2.
Если государство-член или Комиссия возражают по обоснованным причинам, связанным с защитой частной жизни, а также основных прав и свобод отдельных лиц, Комиссия должна принять соответствующие меры в соответствии с процедурой, установленной в статье 31 (2).
Государства-члены должны принять необходимые меры для выполнения решения Комиссии.
4. Если Комиссия решает, в соответствии с процедурой, указанной в статье 31 (2), что определенные стандартные договорные положения обеспечивают достаточные гарантии, как того требует параграф 2, государства-члены должны принять необходимые меры для выполнения решения Комиссии.
ГЛАВА V КОДЕКС ПОВЕДЕНИЯ
Статья 27
1. Государства-члены и Комиссия должны поощрять разработку кодексов поведения, призванных способствовать надлежащему осуществлению национальных положений, принятых государствами-членами в соответствии с настоящей Директивой, принимая во внимание специфические особенности различных секторов.
2. Государства-члены должны предусмотреть возможность для торговых ассоциаций и других органов, представляющих другие категории контролеров, которые разработали проекты национальных кодексов или которые намереваются внести поправки или расширить существующие национальные кодексы, чтобы иметь возможность представить их на рассмотрение национального органа. .
Государства-члены должны предусмотреть, чтобы этот орган мог удостовериться, среди прочего, соответствуют ли представленные ему проекты национальным положениям, принятым в соответствии с настоящей Директивой. Если он сочтет это целесообразным, орган власти должен запросить мнение субъектов данных или их представителей.
3. Проекты кодексов Сообщества, а также поправки или расширения к существующим кодексам Сообщества могут быть представлены Рабочей группе, указанной в Статье 29. Эта Рабочая группа должна, среди прочего, определить, соответствуют ли представленные ей проекты национальным положения, принятые в соответствии с настоящей Директивой. Если он сочтет это целесообразным, орган власти должен запросить мнение субъектов данных или их представителей. Комиссия может обеспечить соответствующую рекламу кодексов, одобренных Рабочей группой.
ГЛАВА VI НАДЗОРНЫЙ ОРГАН И РАБОЧАЯ ГРУППА ПО ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 28
Надзорный орган
1. Каждое государство-член должно предусмотреть, что один или несколько органов государственной власти несут ответственность за мониторинг применения на его территории положений, принятых государствами-членами в соответствии с настоящей Директивой.
Эти органы действуют с полной независимостью при выполнении возложенных на них функций.
2. Каждое государство-член должно обеспечить, чтобы надзорные органы консультировались при разработке административных мер или положений, касающихся защиты прав и свобод физических лиц в отношении обработки персональных данных.
3. Каждый орган власти, в частности, наделен:
- следственные полномочия, такие как полномочия доступа к данным, составляющим предмет операций по обработке, и полномочия по сбору всей информации, необходимой для выполнения своих надзорных обязанностей,
- эффективные полномочия вмешательства, такие как, например, предоставление заключений до того, как будут выполнены операции по обработке, в соответствии со статьей 20, и обеспечение соответствующей публикации таких заключений, распоряжение о блокировании, удалении или уничтожении данных, навязывание временный или окончательный запрет на обработку, предупреждение или выговор контролеру или передачу дела в национальные парламенты или другие политические институты,
- право участвовать в судебных разбирательствах, когда национальные положения, принятые в соответствии с настоящей Директивой, были нарушены, или доводить эти нарушения до сведения судебных органов.
Решения надзорного органа, повлекшие за собой жалобы, могут быть обжалованы в судебном порядке.
4. Каждый надзорный орган рассматривает претензии любого лица или ассоциации, представляющей это лицо, относительно защиты его прав и свобод при обработке персональных данных. Заинтересованное лицо будет проинформировано о результате рассмотрения иска.
Каждый надзорный орган должен, в частности, рассматривать претензии о проверках законности обработки данных, поданные любым лицом, когда применяются национальные положения, принятые в соответствии со статьей 13 настоящей Директивы. Лицо в любом случае должно быть проинформировано о том, что проверка состоялась.
5. Каждый надзорный орган должен регулярно составлять отчет о своей деятельности. Отчет должен быть обнародован.
6. Каждый надзорный орган компетентен, независимо от национального законодательства, применимого к рассматриваемой обработке, осуществлять на территории своего государства-члена полномочия, предоставленные ему в соответствии с параграфом 3. Каждому органу надзора может быть предложено осуществить свои полномочия. полномочиями органа другого государства-члена.
Надзорные органы должны сотрудничать друг с другом в объеме, необходимом для выполнения своих обязанностей, в частности, путем обмена всей полезной информацией.
7. Государства-члены ЕС должны предусмотреть, что члены и сотрудники надзорного органа, даже после прекращения их работы, обязаны соблюдать профессиональную тайну в отношении конфиденциальной информации, к которой они имеют доступ.
Статья 29
Рабочая группа по защите физических лиц при обработке персональных данных
1. Настоящим создается Рабочая группа по защите физических лиц при обработке персональных данных, именуемая в дальнейшем «Рабочая группа».
Он имеет консультативный статус и действует независимо.
2. Рабочая группа состоит из представителя надзорного органа или органов, назначенных каждым государством-членом, а также представителя органа или органов, созданных для учреждений и органов Сообщества, а также представителя Комиссии.
Каждый член Рабочей группы назначается учреждением, органом или органами, которые он представляет. Если государство-член назначило более одного надзорного органа, они должны назначить совместного представителя. То же самое относится и к полномочиям, установленным для учреждений и органов Сообщества.
3. Рабочая группа принимает решения простым большинством представителей надзорных органов.
4. Рабочая группа избирает своего председателя. Срок полномочий председателя составляет два года. Его назначение может быть продлено.
5. Секретариат Рабочей группы обеспечивается Комиссией.
6. Рабочая группа принимает свои собственные правила процедуры.
7. Рабочая группа рассматривает вопросы, внесенные в ее повестку дня ее председателем, либо по собственной инициативе, либо по требованию представителя надзорных органов, либо по требованию Комиссии.
Статья 30
1. Рабочая группа:
(a) рассматривать любые вопросы, касающиеся применения национальных мер, принятых в соответствии с настоящей Директивой, чтобы способствовать единообразному применению таких мер;
(b) дать Комиссии заключение об уровне защиты в Сообществе и в третьих странах;
(c) консультировать Комиссию по любым предлагаемым поправкам к настоящей Директиве, по любым дополнительным или конкретным мерам по защите прав и свобод физических лиц в отношении обработки персональных данных и по любым другим предлагаемым мерам Сообщества, затрагивающим такие права и свободы;
(d) давать заключение по кодексам поведения, разработанным на уровне Сообщества.
2. Если Рабочая группа обнаружит, что между законами или практикой государств-членов возникают расхождения, которые могут повлиять на эквивалентность защиты лиц в отношении обработки персональных данных в Сообществе, она должна информировать об этом Комиссию.
3. Рабочая группа может по собственной инициативе давать рекомендации по всем вопросам, касающимся защиты лиц при обработке персональных данных в Сообществе.
4. Мнения и рекомендации Рабочей группы направляются в Комиссию и комитет, упомянутый в статье 31.
5. Комиссия информирует Рабочую группу о действиях, предпринятых ею в ответ на ее мнения и рекомендации. Это должно быть сделано в отчете, который также будет направлен Европейскому Парламенту и Совету. Отчет должен быть обнародован.
6. Рабочая группа составляет ежегодный отчет о ситуации с защитой физических лиц в отношении обработки персональных данных в Сообществе и в третьих странах, который она передает в Комиссию, Европейский парламент и Совет. . Отчет должен быть обнародован.
ГЛАВА VII МЕРЫ ПО РЕАЛИЗАЦИИ СООБЩЕСТВА
Статья 31
Комитет
1. Комиссии оказывает помощь комитет, состоящий из представителей государств-членов и возглавляемый представителем Комиссии.
2. Представитель Комиссии представляет комитету проект мер, которые необходимо принять. Комитет должен высказать свое мнение по проекту в течение срока, который председатель может установить в зависимости от срочности вопроса.
Заключение выносится большинством голосов, предусмотренным статьей 148 (2) Договора. Голоса представителей государств-членов в комитете взвешиваются в порядке, установленном в этой статье. Председатель не голосует.
Комиссия принимает меры, которые применяются немедленно. Однако, если эти меры не соответствуют мнению комитета, Комиссия немедленно сообщает о них Совету. Это событие:
- Комиссия должна отложить применение мер, которые она приняла, на период трех месяцев с даты сообщения,
- Совет, действуя квалифицированным большинством, может принять другое решение в течение срока, указанного в первом абзаце.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Статья 32
1. Государства-члены должны ввести в действие законы, нормативные акты и административные положения, необходимые для соблюдения настоящей Директивы, не позднее истечения трехлетнего периода с даты ее принятия.
Когда государства-члены ЕС принимают эти меры, они должны содержать ссылку на настоящую Директиву или сопровождаться такой ссылкой в случае их официальной публикации. Методы такой ссылки устанавливаются государствами-членами.
2. Государства-члены ЕС должны обеспечить, чтобы обработка, уже начатая на дату вступления в силу национальных положений, принятых в соответствии с настоящей Директивой, была приведена в соответствие с этими положениями в течение трех лет с этой даты.
В отступление от предыдущего подпараграфа государства-члены ЕС могут предусмотреть, что обработка данных, уже хранящихся в ручных системах регистрации на дату вступления в силу национальных положений, принятых во исполнение настоящей Директивы, должна быть приведена в соответствие со Статьями 6, 7 и 8 настоящей Директивы в течение 12 лет с даты ее принятия. Однако государства-члены ЕС должны предоставить субъекту данных право на получение, по его запросу и, в частности, во время осуществления своего права доступа, исправления, удаления или блокировки данных, которые являются неполными, неточными или хранятся несовместимым способом. с законными целями, преследуемыми контролером.
3. В отступление от параграфа 2 государства-члены ЕС могут предусмотреть, при условии соблюдения соответствующих гарантий, что данные, хранящиеся исключительно с целью исторических исследований, не должны быть приведены в соответствие со Статьями 6, 7 и 8 настоящей Директивы.
4. Государства-члены должны сообщить Комиссии текст положений внутреннего законодательства, которые они принимают в области, охватываемой настоящей Директивой.
Статья 33
Комиссия должна регулярно отчитываться перед Советом и Европейским Парламентом, начиная не позднее чем через три года после даты, указанной в Статье 32 (1), о выполнении настоящей Директивы, прилагая к своему отчету, при необходимости, соответствующие предложения. для внесения поправок. Отчет должен быть обнародован.
Комиссия должна изучить, в частности, применение настоящей Директивы к обработке звуковых и графических данных, касающихся физических лиц, и представить любые соответствующие предложения, которые окажутся необходимыми, принимая во внимание развитие информационных технологий и в свете состояние прогресса в информационном обществе.
Статья 34
Данная Директива адресована государствам-членам.
Совершено в Люксембурге 24 октября 1995 года.
За Европейский Парламент
Президент
К. ХЕНШ
Для Совета
Президент
Л. АТЬЕНЦА СЕРНА
(1) ОЖ № C 277, 5.11.1990, с. 3 и OJ № C 311, 27.11.1992, с. 30.
(2) OJ № C 159, 17.6.1991, стр. 38.
(3) Мнение Европейского Парламента от 11 марта 1992 г. (ОЖ № C 94, 13.4.1992, стр. 198), подтвержденное 2 декабря 1993 г. (ОЖ № C 342, 20.12.1993, стр. 30) ; Общая позиция Совета от 20 февраля 1995 г. (ОЖ № C 93, 13.4.1995, стр. 1) и Решение Европейского парламента от 15 июня 1995 г. (ОЖ № C 166, 3.7.1995).
(1) ОЖ № L 197, 18.7.1987, с. 33.
Директивы по годам
- 2024
- 2023
- 2022
- 2021
- 2020
- 2019
- 2018
- 2017
- 2016
- 2015
- 2014
- 2013
- 2012
- 2011
- 2010
- 2009
- 2008
- 2007
- 2006
- 2005
- 2004
- 2003
- 2002
- 2001
- 2000
- 1999
- 1998
- 1997
- 1996
- 1995
- 1994
- 1993
- 1992
- 1991
- 1990
- 1989
- 1988
- 1987
- 1986
- 1985
- 1984
- 1983
- 1982
- 1981
- 1980
- 1979
- 1978
- 1977
- 1976
- 1975
- 1974
- 1973
- 1972
- 1971
- 1970
- 1969
- 1968
- 1967
- 1966
- 1965
- 1964
- 1963
- 1962
- 1961
- 1960
- 1959