Директива 95/46/ЄС
Європейського Парламенту і Ради
"Про захист фізичних осіб при обробці персональних даних
і про вільне переміщення таких даних"

від 24 жовтня 1995 року

ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ і РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про заснування Європейського Співтовариства і, зокрема, його статтю 100a,

Беручи до уваги пропозицію Комісії (1),

Беручи до уваги висновок Економічного і Соціального Комітету (2),

Діючи відповідно до процедури, викладеної в статті 189b Договору (3),
___________________

(1) OJ N C 277, 5. 1990, p. 3 і OJ N 311, 27. 11.1992, p. 30.

(2) OJ N 159, 17.6.1991, p. 38.

(3) Висновок Європейського Парламенту від 11 березня 1992 р. (OJ N C 94, 13.4.1992, p. 198), ратифікований 2 грудня 1993 р. (OJ N C 342, 20.12.1993, p. 30); Загальна позиція Ради від 20 лютого 1995 р. (OJ N C 93, 13. 4. 1995 р., p. I) і Рішення Європейського Парламенту від 15 червня 1995 р. (OJ N C 166, 3.7.1995).

1. Враховуючи, що цілі Співтовариства, викладені в Договорі, з поправками, внесеними Договором про Європейський Союз, полягають в створенні дедалі тіснішого союзу серед народів Європи, заохоченні більш тісних відносин між державами, що входять до Співтовариства, забезпеченні економічного і соціального прогресу шляхом спільних дій, спрямованих на усунення бар'єрів, що розділяють Європу, підтримку постійного поліпшення умов життя його народів, збереження і зміцнення миру та свободи, а також на розвиток демократії, яка базується на основних правах, визнаних конституціями і законами держав-членів та Європейською конвенцією про захист прав людини і основних свобод;

2. Враховуючи, що системи обробки даних створені для служіння людині; враховуючи, що вони, незалежно від національності чи місця проживання фізичних осіб, повинні поважати їхні основні права і свободи, особливо право на невтручання в особисте життя, і сприяти економічному і соціальному прогресу, розширенню торгівлі і добробуту людей;

3. Враховуючи, що створення і функціонування внутрішнього ринку, у якому згідно зі статтею 7a Договору гарантується вільне пересування товарів, осіб, послуг і капіталів, вимагає не тільки можливості вільного переміщення персональних даних з однієї держави-члена в іншу, але й захисту основних прав людей;

4. Враховуючи дедалі частіше застосування обробки персональних даних у Співтоваристві в різних сферах соціальної та економічної діяльності; враховуючи, що прогрес, досягнутий у сфері інформаційних технологій, значно полегшує обробку та обмін такими даними;

5. Враховуючи, що економічна і соціальна інтеграція, досягнута в результаті створення і функціонування внутрішнього ринку в розумінні статті 7a Договору, неминуче призведе до істотного збільшення транскордонних потоків персональних даних між усіма тими, хто бере участь в економічному і соціальному житті держав-членів, як в приватному, так і в державному статусі; враховуючи, що обмін персональними даними між підприємствами різних держав-членів має розвиватися; враховуючи, що відповідно до права Співтовариства державні органи різних держав-членів повинні співпрацювати й обмінюватися персональними даними для того, щоб могти виконувати свої обов'язки і завдання від імені органів влади в іншій державі-члені в контексті простору без внутрішніх кордонів, який створюється внутрішнім ринком;

6. Враховуючи, крім того, що збільшення науково-технічного співробітництва і узгоджене введення нових телекомунікаційних мереж у Співтоваристві роблять необхідним і полегшують здійснення транскордонних потоків персональних даних;

7. Враховуючи, що розходження в рівні захисту прав і свобод фізичних осіб, що надають держави-члени, в особливості права на невтручання в особисте життя, при обробці персональних даних, може перешкоджати передачі таких даних з території однієї держави-члена на територію іншої держави-члена; враховуючи, що такі розходження до того ж можуть стати перешкодою в здійсненні певних видів економічної діяльності на рівні Співтовариства, негативно відбитися на конкуренції, перешкоджати владі у виконанні її зобов'язань згідно з правом Співтовариства; враховуючи, що такі розходження в рівні захисту викликані існуванням великої різноманітності національних законів, постанов і адміністративних положень;

8. Враховуючи, що для усунення перешкод на шляху передачі персональних даних рівень захисту прав і свобод фізичних осіб при обробці цих даних повинен бути однаковим у всіх державах-членах; враховуючи, що ця мета, будучи життєво необхідною для внутрішнього ринку, не може бути досягнута державами-членами поодинці, особливо з урахуванням ступеня існуючих у даний час розходжень між відповідним законодавством держав-членів і необхідністю узгодження законів держав-членів для забезпечення єдиного підходу до регулювання транскордонних потоків персональних даних, тобто, дотримуючись цілей внутрішнього ринку, передбачених статтею 7a Договору; враховуючи, що в зв'язку з цим необхідні дії Співтовариства, спрямовані на зближення такого законодавства;

9. Враховуючи, що при рівному рівні захисту внаслідок зближення національних законодавств держави-члени більше не зможуть перешкоджати вільному пересуванню персональних даних між собою, посилаючись на обмеження, пов'язані із захистом прав і свобод фізичних осіб, а особливо права на невтручання в особисте життя; враховуючи, що державам-членам буде наданий певний ступінь свободи маневрування, який в контексті виконання Директиви може також використовуватись діловими і соціальними партнерами; враховуючи, що держави-члени в такий спосіб зможуть уточнити у своєму національному законодавстві загальні умови, що регулюють законність обробки даних; враховуючи, що при цьому держави-члени будуть прагнути поліпшити систему захисту, передбачену в їхньому законодавстві в даний час; враховуючи, що в межах певного ступеня свободи маневрування та відповідно до права Співтовариства можуть виникнути розбіжності в процесі здійснення Директиви, і це може вплинути на пересування даних як у державі-члені, так і в Співтоваристві;

10. Враховуючи, що метою національного законодавства про обробку персональних даних є захист основних прав і свобод, а особливо права на невтручання в особисте життя, що визнається як статтею 8 Європейської конвенції про захист прав людини й основних свобод, так і загальними принципами права Співтовариства; враховуючи, що з цієї причини зближення згаданих законодавств не повинне призвести до зниження рівня наданого ними захисту, а навпаки, повинне прагнути забезпечити високий рівень захисту в Співтоваристві;

11. Враховуючи, що принципи захисту прав і свобод фізичних осіб, а особливо права на невтручання в приватне життя, викладені в даній Директиві, уточнюють і посилюють принципи, викладені в Конвенції Ради Європи від 28 січня 1981 року про захист фізичних осіб при автоматизованій обробці персональних даних;

12. Враховуючи, що принципи захисту повинні застосовуватися до усіх випадків обробки персональних даних, здійснюваних будь-якою особою, чия діяльність регулюється правом Співтовариства; враховуючи, що ці принципи не поширюються на обробку даних, створених фізичною особою в процесі діяльності винятково особистого чи домашнього характеру, такої як переписування і ведення адресних книг;

13. Враховуючи, що діяльність, згадана в Розділах V і VI Договору про Європейський Союз, щодо суспільного порядку, оборони, державної безпеки чи діяльності держави в сфері кримінального законодавства, не входить до сфери дії права Співтовариства, без шкоди для зобов'язань, покладених на держави-члени згідно з параграфом 2 статті 56, статті 57 чи статті 100 Договору, що засновує Європейське Співтовариство; враховуючи, що обробка персональних даних, необхідна для захисту економічного добробуту держави, не входить до сфери дії даної Директиви, у випадках, коли така обробка пов'язана з питаннями державної безпеки;

14. Враховуючи, що з урахуванням важливості розвитку технологій, використовуваних для прийому, передачі, маніпуляцій, реєстрації, збереженні чи повідомленні звукових і візуальних даних, які стосуються фізичних осіб, який відбувається в інформаційному суспільстві, дана Директива повинна застосовуватися до обробки, що використовує такі дані;

15. Враховуючи, що обробка таких даних підпадає під дію даної Директиви лише в тих випадках, коли обробка є автоматизованою або коли оброблені дані розміщуються чи призначені для розміщення в картотеках, структурованих за визначеними критеріями, що стосуються фізичних осіб, таким чином, щоб забезпечити легкий доступ до відповідних персональних даних;

16. Враховуючи, що обробка звукових і візуальних даних, таких як, наприклад, відеоспостереження, не відноситися до сфери дії даної Директиви, якщо вона проводиться з метою суспільного порядку, оборони, державної безпеки чи в ході державної діяльності, що відноситься до сфери кримінального права, чи іншої діяльності, що не відноситися до сфери дії права Співтовариства;

17. Враховуючи, що до випадків, коли обробка звукових і візуальних даних провадиться з метою журналістики чи з метою літературної або художньої творчості, зокрема, в аудіовізуальній області, принципи Директиви повинні застосовуватися з обмеженнями відповідно до положень, викладених в статті 9;

18. Враховуючи, що для того, щоб уникнути втрати фізичною особою захисту, на який вона має право згідно з даною Директивою, будь-яка обробка персональних даних у Співтоваристві повинна відбуватися відповідно до законодавства однієї з держав-членів; враховуючи, що в зв'язку з цим обробка, здійснена в межах юрисдикції контролера, створеного в державі-члені, повинна регулюватися законодавством цієї держави;

19. Враховуючи, що створення такого органу на території держави-члена передбачає ефективне і реальне ведення діяльності на основі постійних домовленостей; враховуючи, що правова форма такої установи, незалежно від того є воно простою філією чи представництвом - суб'єктом права, не є вирішальним чинником у цьому відношенні; враховуючи, що при створенні єдиного контролера на території декількох держав-членів, зокрема, шляхом створення представництв, для запобігання порушення національних правил, він повинен забезпечити виконання своїми установами зобов'язань, накладених на них національним законодавством, що застосовується до його діяльності;

20. Враховуючи, що той факт, що обробка даних проводиться особою, яка перебуває в третій країні, не повинен перешкоджати захисту фізичних осіб, передбаченому даною Директивою; враховуючи, що в таких випадках обробка даних повинна регулюватися законами держави-члена, у якому розташовані використовувані засоби, і повинні існувати гарантії для забезпечення дотримання на практиці прав і обов'язків, передбачених даною Директивою;

21. Враховуючи, що дана Директива не завдає шкоди правилам територіальності, застосовуваним у кримінальних справах;

22. Враховуючи, що держави-члени більш точно визначають у законах, що приймаються, а також при здійсненні заходів на виконання даної Директиви, загальні умови, при яких обробка даних є законною; враховуючи, що, зокрема, стаття 5 у сполученні зі статтями 7 і 8 дозволяє державам-членам незалежно від загальних правил передбачати особливі умови обробки даних для певних секторів і для різних категорій даних, зазначених у статті 8;

23. Враховуючи, що держави-члени уповноважені забезпечити здійснення захисту фізичних осіб шляхом прийняття як загального закону про захист фізичних осіб при обробці персональних даних, так і галузевих законів, таких як ті, що стосуються, наприклад, статистичних установ;

24. Враховуючи, що законодавство про захист юридичних осіб при обробці даних, які їх стосуються, не зачіпається даною Директивою;

25. Враховуючи, що принципи захисту повинні бути відображені, з одного боку, у зобов'язаннях, що накладаються на осіб, на державні органи влади, підприємства, агентства чи інші органи, які відповідають за обробку, зокрема в тому, що стосується якості даних, технічної безпеки, повідомлення наглядових органів, і обставин, при яких може проводитися обробка, та, з іншого боку, у праві, яким наділені фізичні особи, чиї дані підлягають обробці, знати, що обробка дійсно проводиться, звертатися до даних, вимагати внесення змін і навіть заперечувати проти обробки за певних обставин;

26. Враховуючи, що принципи захисту повинні застосовуватися до будь-якої інформації, яка стосується встановленої особи чи особи, яку можна встановити; враховуючи, що для визначення того, чи можна особу встановити, повинні враховуватися всі засоби, використання яких контролером чи якою-небудь іншою особою імовірно очікувати для встановлення вище згаданої особи; враховуючи, що принципи захисту не застосовуються до даних, що надані анонімно таким чином, що суб'єкт даних не може бути встановлений; враховуючи, що кодекси поведінки в значенні статті 27 можуть бути корисним знаряддям для забезпечення керівництва щодо способів анонімного надання даних і їхнього збереження у формі, що забезпечує неможливість встановлення особи суб'єкта даних;

27. Враховуючи, що захист фізичних осіб повинен застосовуватися як до автоматизованої обробки даних, так і до ручної обробки; враховуючи, що масштаби такого захисту не повинні залежати від використовуваних методів, бо інакше це створить серйозну загрозу обходу закону; враховуючи, що, незважаючи на це, у тому що стосується ручної обробки, дана Директива охоплює тільки картотеки даних, але не неструктуровані справи; враховуючи, що, зокрема, вміст картотеки даних повинен бути структурований відповідно до визначених критеріїв щодо фізичних осіб, що забезпечувало б легкий доступ до персональних даних; враховуючи, що, відповідно до визначення в статті 2 (c), різні критерії визначення складових частин структурованої сукупності персональних даних і різні критерії управління доступом до такої сукупності можуть бути встановлені кожною державою-членом; враховуючи, що справи чи зібрання справ, як і їхні титульні аркуші, що не розроблені відповідно до визначених критеріїв, за жодних обставин не входять до сфери дії даної Директиви;

28. Враховуючи, що будь-яка обробка персональних даних повинна бути законною і справедливою по відношенню до фізичних осіб, яких вона безпосередньо стосується; враховуючи, що, зокрема, дані повинні бути достовірними, відповідними і не надмірними з точки зору цілей, заради яких проводитися їхня обробка; враховуючи, що ці цілі повинні бути чіткими і законними і повинні бути визначені на час збору даних; враховуючи, що цілі обробки даних, яка проводиться після збору даних, не повинні бути несумісними із цілями, визначеними спочатку;

29. Враховуючи, що подальша обробка персональних даних в історичних, статистичних чи наукових цілях не повинна розглядатися як несумісна з цілями, заради яких дані були зібрані раніше, за умови, що держави-члени забезпечать відповідні гарантії; враховуючи, що ці гарантії повинні, зокрема, виключати використання даних на підтримку заходів чи рішень відносно будь-якої конкретної особи;

30. Враховуючи, що для забезпечення законності обробки персональних даних, вона повинна, крім іншого, проводитися з дозволу суб'єкта даних чи бути необхідною для укладання чи виконання договору, обов'язкового для суб'єкта даних, або в якості правової вимоги, або для виконання завдання, яке здійснюється в інтересах суспільства чи при виконанні офіційних повноважень, або в законних інтересах фізичної чи юридичної особи, за умови, що враховуються інтереси чи права і свободи суб'єкта даних; враховуючи, що, зокрема, для того, щоб зберегти рівновагу між інтересами, які зачіпаються, в той же час гарантуючи ефективну конкуренцію, держави-члени можуть визначити обставини, при яких персональні дані можуть використовуватися чи надаватися третій стороні в контексті законної звичайної ділової діяльності компаній і інших органів; враховуючи, що держави-члени можуть аналогічним чином визначити умови, за яких персональні дані можуть надаватися третій стороні з метою маркетингу, здійснюваного або в комерційних цілях, або благодійною організацією чи будь-якою іншою асоціацією чи фондом, наприклад, політичного характеру, за умови дотримання положень, що дозволяють суб'єкту даних безкоштовно і без зазначення причин заперечувати проти обробки даних, які його стосуються;

31. Враховуючи, що обробка персональних даних повинна розглядатися також як законна, якщо вона проводитися з метою захисту інтересу, який є надзвичайно важливим для життя суб'єкта даних;

32. Враховуючи, що питання про те, чи повинен контролер, який виконує завдання в інтересах суспільства чи при виконанні офіційних повноважень, бути державним органом або іншою фізичною чи юридичною особою, що регулюється публічним правом чи приватним правом, такою як професійне об'єднання, повинне визначатися національними законодавствами;

33. Враховуючи, що дані, які за своєю природою можуть порушити основні свободи і таємницю приватного життя, не повинні оброблятися доти, доки суб'єкт даних не дасть своєї згоди; враховуючи, що, незважаючи на це, відступ від даної заборони повинен бути чітко викладений з огляду на особливі потреби, зокрема, якщо обробка цих даних проводиться у певних цілях, пов'язаних із здоров'ям, особами, які зв'язані правовим зобов'язанням зберігати професійну таємницю, або під час законної діяльності певних асоціацій чи фондів, метою яких є дозволити здійснення основних свобод;

34. Враховуючи, що держави-члени повинні бути також уповноважені, якщо це виправдовується важливим суспільним інтересом, відступати від заборони обробляти конфіденційні категорії даних, якщо це пов'язано із суспільними інтересами в таких сферах, як охорона суспільного здоров'я і соціальний захист, особливо з метою гарантування якості і рентабельності процедур, що використовуються під час врегулювання позовів про виплату допомоги і надання послуг у системі страхування здоров'я, а також у сфері наукових досліджень і урядової статистики; враховуючи, що, незважаючи на це, вони зобов'язані забезпечувати особливі і відповідні гарантії, спрямовані на захист основних прав і приватного життя людей;

35. Враховуючи, що, крім того, обробка персональних даних, яка здійснюється офіційними органами для досягнення цілей, встановлених у конституційному праві чи в міжнародному публічному праві, офіційно визнаних релігійних об'єднань здійснюється на важливих підставах суспільного інтересу;

36. Враховуючи, що якщо в ході виборчої діяльності функціонування демократичної системи в деяких державах-членах вимагає від політичних партій збору даних про політичні погляди людей, обробка таких даних може бути дозволена на важливих підставах суспільного інтересу, за умови створення відповідних гарантій;

37. Враховуючи, що обробка персональних даних для цілей журналістики чи художньої або літературної творчості, зокрема, в аудіовізуальному секторі, повинна підлягати звільненню від вимог, викладених у деяких положеннях даної Директиви, у тій мірі, у якій це необхідно для узгодження основних прав людини зі свободою інформації і особливо з правом одержувати і передавати інформацію, яке гарантується, передусім, статтею 10 Європейської конвенції про захист прав людини й основних свобод; враховуючи, що, виходячи з цього, держави-члени повинні визначити винятки і відступи, необхідні для досягнення балансу між основними правами в тому, що стосується загальних заходів щодо законності обробки даних, заходів для передачі даних третім країнам і повноважень наглядового органу; враховуючи, однак, що це не повинно призвести до того, що держави-члени встановлять винятки відносно заходів із забезпечення безпеки обробки; враховуючи, що, принаймні, наглядовий орган, відповідальний за цю галузь, повинен також бути наділений певними апостеріорними повноваженнями, наприклад, видавати регулярний звіт чи передавати справи судовим органам;

38. Враховуючи, що для того, щоб обробка даних була справедливою, суб'єкт даних повинен могти взнати про існування факту обробки і, якщо дані отримані від нього, повинен одержати точну і повну інформацію з урахуванням обставин збору даних;

39. Враховуючи, що деякі випадки обробки стосуються даних, які контролер одержав не від суб'єкта даних безпосередньо; враховуючи, крім того, що дані можуть бути відкриті законним шляхом третій стороні, навіть якщо це не було передбачено під час збору даних у суб'єкта даних; враховуючи, що у всіх цих випадках суб'єкт даних повинен бути проінформований про це тоді, коли дані записуються чи пізніше, коли вони вперше розкриваються третій стороні;

40. Враховуючи, однак, що дане зобов'язання не обов'язково накладати, якщо суб'єкт даних вже має необхідну інформацію; враховуючи, що; крім того, дане зобов'язання не накладається, якщо запис чи розкриття третій стороні будуть чітко передбачені законом або якщо надання інформації суб'єкту даних виявиться неможливим чи зажадає непропорційних зусиль, що може відбутися у випадку, коли обробка даних проводитися в історичних, статистичних чи наукових цілях; враховуючи, що при цьому може враховуватися число суб'єктів даних, вік даних і будь-які затверджені компенсаційні заходи;

41. Враховуючи, що будь-яка особа повинна мати можливість використати право доступу до даних, які стосуються її і перебувають в обробці, з метою їхньої перевірки, особливо перевірки точності і законності обробки; враховуючи, що з тих же причин кожен суб'єкт даних повинен також мати право знати логіку, застосовувану при автоматизованій обробці даних, які його стосуються, принаймні у випадку з автоматизованими рішеннями, про які йде мова в пункті 1 статті 15; враховуючи, що це право не повинне негативно впливати на торгові секрети чи інтелектуальну власність і, зокрема, на авторське право, що захищає програмне забезпечення; враховуючи, що, незважаючи на це, врахування цих факторів не повинне призвести до відмови суб'єкту даних у наданні всієї інформації;

42. Враховуючи, що держави-члени можуть в інтересах суб'єкта даних чи з метою захисту прав і свобод інших осіб обмежити права на доступ і на інформування; враховуючи, що вони, наприклад, можуть прийняти рішення, що доступ до медичних даних може бути отриманий тільки через медичного працівника;

43. Враховуючи, що обмеження прав на доступ і інформування та обмеження деяких інших зобов'язань контролера можуть подібним чином бути встановлені державами-членами в тій мірі, у якій вони необхідні для захисту, наприклад, національної безпеки, оборони, суспільної безпеки чи важливих економічних і фінансових інтересів держави-члена чи Союзу, а також у карних розслідуваннях, переслідуваннях і діях у зв'язку з порушенням етики встановлених професій; враховуючи, що перелік винятків і обмежень повинен включати задачі моніторингу, інспекції чи регулювання, що необхідні в трьох останніх із згаданих сфер відносно суспільної безпеки, економічних чи фінансових інтересів і попередження злочинності; враховуючи, що перерахування задач у цих трьох сферах не впливає на законність винятків чи обмежень, встановлених із причин державної безпеки чи оборони;

44. Враховуючи, що держави-члени можуть бути змушені, на підставі положень права Співтовариства, відступати від положень даної Директиви в тому, що стосується права доступу, зобов'язання інформувати фізичних осіб, якості даних; з метою виконання деяких із вищезгаданих цілей;

45. Враховуючи, що у випадках, коли дані можуть оброблятися законним шляхом на підставі суспільного інтересу, офіційних повноважень чи законних інтересів фізичної або юридичної особи, будь-який суб'єкт даних повинен, незважаючи на це, мати право на законних і незаперечних підставах, що стосуються його конкретної ситуації, опротестувати обробку будь-яких даних, які його стосуються; враховуючи, що, незважаючи на це, держави-члени можуть передбачити протилежні національні положення;

46. Враховуючи, що захист прав і свобод суб'єктів даних при обробці персональних даних вимагає прийняття відповідних технічних й організаційних заходів як при розробці системи обробки, так і під час самої обробки, зокрема для забезпечення безпеки і, таким чином, запобігання будь-якій незаконній обробці; враховуючи, що держави-члени повинні забезпечити дотримання контролерами таких заходів; враховуючи, що ці заходи повинні забезпечити відповідний рівень безпеки, з огляду на існуюче положення речей і вартість їхньої реалізації з врахуванням пов'язаного з обробкою ризику і характеру даних, що підлягають захисту;

47. Враховуючи, що, якщо повідомлення, що містить персональні дані, передається за допомогою телекомунікацій чи електронної пошти, єдиною метою яких є передача таких повідомлень, контролером у відношенні персональних даних, які містяться в повідомленні, буде вважатися особа, від якої виходить це повідомлення, а не особа, що надає послуги з передачі повідомлень; враховуючи, що, незважаючи на це, особи, що надають ці послуги, будуть, як правило, вважатися контролерами стосовно обробки додаткових персональних даних, необхідних для надання цієї послуги;

48. Враховуючи, що процедури повідомлення наглядового органу покликані забезпечити розкриття цілей і основних принципів будь-якого процесу обробки для перевірки того, що процес здійснюється відповідно до національних заходів, прийнятих відповідно до даної Директиви;

49. Враховуючи, що для того, щоб уникнути непотрібних адміністративних формальностей, звільнення від зобов'язання повідомляти і спрощення необхідного повідомлення можуть бути передбачені державами-членами у випадках, коли обробка навряд чи може завдати шкоди правам і свободам суб'єктів даних, і за умови, що вона проводиться відповідно до прийнятої державою-членом міри, що визначає її рамки; враховуючи, що звільнення чи спрощення можуть бути передбачені державами-членами за умови, що особа, призначена контролером, гарантує, що здійснена обробка даних навряд чи може завдати шкоди правам і свободам суб'єктів даних; враховуючи, що такий службовець із захисту даних незалежно від того, чи є він співробітником інституту контролера чи ні, повинен мати можливість виконувати свої функцій абсолютно незалежно;

50. Враховуючи, що звільнення чи спрощення може бути передбачене у випадках із процесами обробки, єдиною метою яких є ведення реєстру, що відповідно до національного законодавства, призначений для надання інформації населенню і є відкритим для звертань населення чи будь-якої особи, що демонструє законний інтерес;

51. Враховуючи, що, незважаючи на це, спрощення чи звільнення від зобов'язання повідомляти не звільняє контролера від жодних інших зобов'язань, що випливають з даної Директиви;

52. Враховуючи, що в цьому контексті апостеріорна перевірка компетентними органами в цілому повинна розглядатися як достатній захід;

53. Враховуючи, що, незважаючи на це, при деяких процесах обробки існує імовірність певних ризиків для прав і свобод суб'єктів даних в силу їхньої природи, їхнього обсягу чи їхніх цілей, як, наприклад, позбавлення фізичних осіб права, допомоги чи контракту, або через особливе використання нових технологій; враховуючи, що держави-члени за власним бажанням визначають ці ризики у своєму законодавстві;

54. Враховуючи, що з врахуванням всіх процесів обробки, які здійснюються в суспільстві, кількість процесів, які створюють такий особливий ризик, повинна бути обмеженою; враховуючи, що держави-члени повинні передбачити, що наглядовий орган чи службовець із захисту даних разом з органом перевіряють таку обробку до її виконання; враховуючи, що після проведення такої попередньої перевірки наглядовий орган у відповідності із своїм національним законодавством дає свій висновок чи дозвіл на здійснення обробки; враховуючи, що така перевірка може в однаковій мірі відбуватися в ході підготовки або законодавчого заходу національного парламенту, або заходу, що базується на такому законодавчому заході, що визначає природу обробки і встановлює відповідні гарантії;

55. Враховуючи, що у випадку порушення контролером прав суб'єктів даних, національне законодавство повинне передбачити судовий спосіб захисту; враховуючи, що будь-яка шкода, що може бути завдана людині в результаті незаконної обробки даних, повинна відшкодовуватися контролером, який може бути звільнений від відповідальності, якщо доведе, що він не є відповідальним за цю шкоду, зокрема у випадках, коли він встановлює наявність провини суб'єкта даних чи за форс-мажорних обставин; враховуючи, що санкції повинні застосовуватися до будь-якої особи, незалежно від того, керуються вони приватним чи публічним правом, якщо вона не виконує національних заходів, прийнятих відповідно до даної Директиви;

56. Враховуючи, що транскордонні потоки персональних даних необхідні для розширення міжнародної торгівлі; враховуючи, що захист фізичних осіб, гарантований у Співтоваристві даною Директивою, не перешкоджає передачі персональних даних третім країнам, що забезпечують адекватний рівень захисту; враховуючи, що адекватність рівня захисту, наданого третіми країнами, повинна оцінюватися у світлі всіх обставин, пов'язаних із процесом передачі чи сукупністю процесів передачі;

57. Враховуючи, що з одного боку, передача персональних даних третій країні, що не забезпечує адекватний рівень захисту, повинна бути заборонена;

58. Враховуючи, що повинні бути прийняті положення, які передбачають винятки з такої заборони при визначених обставинах: коли суб'єкт даних дав свою згоду, коли передача даних необхідна для контракту чи права вимоги, коли того вимагає захист важливого суспільного інтересу, наприклад, у випадках міжнародної передачі даних між податковими і митними органами чи між службами, що відповідають за питання соціального забезпечення, або коли передача даних здійснюється з реєстру, що створений відповідно до закону і призначений для консультацій населення чи осіб, що мають законний інтерес; враховуючи, що в цьому випадку така передача даних не повинна включати всі дані чи всі категорії даних, що містяться в реєстрі, і оскільки реєстр призначений для звертання осіб, що мають законний інтерес, передача даних повинна здійснюватися тільки на прохання цих осіб чи у випадку, якщо вони будуть одержувачами даних;

59. Враховуючи, що можуть бути застосовані особливі заходи, спрямовані на компенсацію відсутності захисту в третій країні, у випадках, коли контролер пропонує відповідні гарантії; враховуючи, що, крім того, повинні бути передбачені положення відносно порядку переговорів між Співтовариством і такими третіми країнами;

60. Враховуючи, що, в будь-якому випадку, передача даних третій країні може здійснюватися тільки в повній відповідності до положеннь, прийнятих державами-членами відповідно до даної Директиви, зокрема, її статті 8;

61. Враховуючи, що держави-члени і Комісія в межах своїх повноважень повинні заохочувати профспілкові об'єднання та інші зацікавлені представницькі організації до складання кодексів поведінки для того, щоб сприяти в застосуванні даної Директиви, беручи до уваги особливі характеристики обробки даних, що проводиться у визначених галузях, і дотримуючись національних положень, прийнятих з метою виконання даної Директиви;

62. Враховуючи, що створення в державах-членах наглядових органів, що наділені повною незалежністю у виконанні своїх функцій, є істотним елементом захисту фізичних осіб при обробці персональних даних;

63. Враховуючи, що такі органи повинні мати необхідні засоби для виконання своїх обов'язків, включаючи повноваження із розслідування і втручання, зокрема у випадках скарг фізичних осіб, і повноваження брати участь у судових розглядах; враховуючи, що такі органи повинні сприяти забезпеченню прозорості обробки в державах-членах, до юрисдикції яких вони належать;

64. Враховуючи, що органи влади різних держав-членів повинні допомагати одна одній у виконанні своїх обов'язків для того, щоб забезпечити дотримання правил захисту на належному рівні на всій території Європейського Союзу;

65. Враховуючи, що на рівні Співтовариства повинна бути створена Робоча група із захисту фізичних осіб при обробці даних, що буде абсолютно незалежною у виконанні своїх функцій; враховуючи, що беручи до уваги її особливий характер, вона повинна давати консультувати Комісію і, зокрема сприяти однаковому застосуванню національних правил, прийнятих відповідно до даної Директиви;

66. Враховуючи, що в питаннях передачі даних третім країнам застосування даної Директиви робить необхідним надання Комісії виконавчих повноважень і встановлення процедури, передбаченої Рішенням Ради 87/373/ЄЕС (4); ___________________

(4) OJ N L 197, 18.7.1987, p. 33.

67. Враховуючи, що 20 грудня 1994 року було досягнуто тимчасової згоди між Європейським Парламентом, Радою та Комісією про заходи із виконання актів, прийнятих відповідно до процедури, викладеної в статті 189b Договору ЄС;

68. Враховуючи, що викладені в даній Директиві принципи щодо захисту прав і свобод фізичних осіб, особливо, їхнього права на невтручання в приватне життя, при обробці персональних даних, можуть бути доповнені чи уточнені, зокрема, це стосується певних галузей, визначених правилами, що базуються на цих принципах;

69. Враховуючи, що державам-членам повинен надаватися період часу, що не перевищує трьох років з моменту набуття чинності національними заходами, що впроваджують дану Директиву, для послідовного застосування таких нових національних правил до всіх процесів обробки, що уже ведуться; враховуючи, що для полегшення їхньої рентабельної реалізації державам-членам надаватиметься подальший період, що закінчується через 12 років з дати прийняття даної Директиви, для забезпечення відповідності існуючих неавтоматизованых картотек до деяких положень Директиви; враховуючи, що, якщо дані, що містяться в таких картотеках, обробляються вручну в період цього подовженого перехідного періоду, ці картотеки повинні приводитись у відповідність до цих положень під час такої обробки;

70. Враховуючи, що суб'єкту даних не потрібно повторно давати свою згоду для того, щоб дозволити контролеру після набуття чинності національними положеннями, прийнятими відповідно до даної Директиви, продовжити обробку будь-яких чутливих даних, необхідних для виконання контракту, укладеного на основі вільної та поінформованої згоди до набуття чинності такими положеннями;

71. Враховуючи, що дана Директива не перешкоджає державам-членам у регулюванні маркетингової діяльності, орієнтованої на споживачів, що проживають на їхній території, у тій мірі, в якій таке регулювання не стосується захисту фізичних осіб при обробці персональних даних;

72. Враховуючи, що дана Директива дозволяє враховувати принцип громадського доступу до офіційних документів при здійсненні принципів, викладених у цій Директиві,

ПРИЙНЯЛИ ЦЮ ДИРЕКТИВУ:

Глава 1
Загальні положення

Стаття 1
Ціль Директиви

Відповідно до цієї Директиви, держави-члени захищають основні права і свободи фізичних осіб і, особливо, їхнє право на невтручання в особисте життя при обробці персональних даних.

Держави-члени не обмежують і не забороняють вільну передачу персональних даних між державами-членами на підставах, пов'язаних із захистом, що надається згідно з пунктом 1.

Стаття 2
Визначення

В цілях даної Директиви:

(a) "персональні дані" означають будь-яку інформацію, що стосується встановленої фізичної особи чи фізичної особи, яку можна встановити ("суб'єкт даних"); особою, яку можна встановити, є така, яка може бути встановленою прямо чи непрямо, зокрема, за допомогою ідентифікаційного коду або одного чи більше факторів, притаманних фізичним, фізіологічним, розумовим, економічним, культурним чи соціальним аспектам її особистості;

(b) "обробка персональних даних" ("обробка") означає будь-яку операцію чи сукупність операцій, здійснюваних з персональними даними (за допомогою чи без допомоги автоматизованих засобів), таких як збір, реєстрація, організація, зберігання, адаптація чи зміна, пошук, консультація, використання, розкриття за допомогою передачі, поширення чи іншого надання, упорядкування чи комбінування, блокування, стирання чи знищення;

(c) "картотека персональних даних" ("картотека") означає будь-який структурований масив персональних даних, що є доступним за визначеними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах;

(d) "контролер" означає фізичну чи юридичну особу, державний орган, агентство або будь-який інший орган, що, окремо чи разом з іншими, визначає цілі і засоби обробки персональних даних; якщо цілі і засоби обробки визначені законодавчими чи нормативними положеннями держави чи Співтовариства, контролер або особливі критерії його призначення можуть визначатися правом держави чи Співтовариства;

(e) "оператор обробки даних" означає фізичну чи юридичну особу, державний орган, агентство чи будь-який інший орган, що обробляє персональні дані від імені контролера;

(f) "третя сторона" означає будь-яку фізичну чи юридичну особу, державний орган, агентство чи будь-який інший орган, інший ніж суб'єкт даних, контролер, оператор обробки даних і особи, що, будучи безпосередньо підпорядкованими контролеру чи оператору обробки даних, уповноважені обробляти дані;

(g) "одержувач" означає фізичну чи юридичну особу, державний орган, агентство чи будь-який інший орган, якому надаються дані, незалежно до того, третя особа це чи ні; однак, органи, що можуть одержувати дані в рамках окремого запиту, не розглядаються як одержувачі;

(h) "згода суб'єкта даних" означає будь-яке вільно виражене спеціальне і поінформоване зазначення його бажань, за допомогою якого суб'єкт даних дає свою згоду на обробку персональних даних, які його стосуються.

Стаття 3
Сфера застосування

1. Дана Директива застосовується до обробки персональних даних за допомогою повного чи часткового використання автоматизованих засобів, а також до обробки неавтоматичними засобами персональних даних, що є частиною картотеки чи призначені для внесення в картотеку.

2. Дана Директива не застосовується до обробки персональних даних:

- протягом діяльності, що не входить у сферу дії права Співтовариства, такої як діяльність, передбачена Розділами V і VI Договору про Європейський Союз і, у будь-якому випадку, до операцій із обробки даних, що стосуються суспільної безпеки, оборони, державної безпеки (включаючи економічний добробут держави, якщо процес обробки стосується питань державної безпеки) і діяльності держави в сфері кримінального права,

- якщо вона проводиться фізичною особою під час діяльності виключно особистого чи побутового характеру.

Стаття 4
Застосовуване національне законодавство

1. Кожна держава-член застосовує національні положення, які вона приймає відповідно до даної Директиви, до обробки персональних даних, якщо:

(a) обробка здійснюється в контексті діяльності установи контролера на території держави-члена якщо ж один і той самий контролер заснований на території декількох держав-членів, він повинен вжити всіх необхідних заходів для забезпечення того, що кожна з цих установ дотримується зобов'язань, передбачених відповідним національним законодавством;

(b) контролер заснований не на території держави-члена, а у місці, де його національне законодавство застосовується відповідно до міжнародного публічного права;

(c) контролер не заснований на території Співтовариства, але з метою обробки персональних даних використовує автоматизоване чи будь-яке інше устаткування, розташоване на території згаданого держави-члена, за умови, що таке устаткування не використовується винятково з метою транзиту через територію Співтовариства.

2. За обставин, передбачених у підпункті (c) пункту 1, контролер повинен призначити представника на території цієї держави-члена, без шкоди для судових позовів, що можуть бути подані проти самого контролера.

Глава II
Загальні правила законності
обробки персональних даних

Стаття 5

Держави-члени в рамках положень цієї Глави більш точно визначають умови, за яких обробка персональних даних є законною.

Розділ 1
Принципи, які стосуються якості даних

Стаття 6

1. Держави-члени передбачають, що персональні дані повинні:

(a) оброблятися чесно і законно;

(b) збиратися для встановлених, чітких і законних цілей і надалі не оброблятися у спосіб, несумісний з цими цілями. Подальша обробка даних в історичних, статистичних чи наукових цілях не розглядається як несумісна, якщо держави-члени забезпечують відповідні гарантії;

(c) бути достовірними, відповідними і не надлишковими відносно цілей, заради яких вони збираються і/або надалі обробляються;

(d) бути точними і, якщо необхідно, обновлятися; слід вжити всіх розумних заходів, щоб гарантувати, що дані, які є неточними чи неповними, з урахуванням цілей, заради яких вони були зібрані чи заради яких вони надалі обробляються, стиралися чи виправлялися;

(e) зберігатися у формі, що дозволяє встановлювати особу суб'єктів даних не довше, ніж це необхідно для цілей, заради яких дані були зібрані чи заради яких вони надалі обробляються. Держави-члени встановлюють відповідні гарантії для персональних даних, що зберігаються протягом більш тривалих періодів з метою історичного, статистичного чи наукового використання.

2. Забезпечення дотримання пункту 1 покладається на контролера.

Розділ II
Критерії законності обробки даних

Стаття 7

1. Держави-члени передбачають, що персональні дані можуть оброблятися тільки за умови, що:

(a) суб'єкт даних недвозначно дав свою згоду; чи

(b) обробка необхідна для виконання контракту, стороною якого є суб'єкт даних, чи для вживання заходів на прохання суб'єкта даних до підписання контракту; чи

(c) обробка необхідна для дотримання правового зобов'язання, яким зв'язаний контролер; чи

(d) обробка необхідна для захисту життєво важливих інтересів суб'єкта даних; чи

(e) обробка необхідна для виконання завдання, здійснюваного в суспільних інтересах, чи при виконанні офіційних повноважень, якими наділений контролер або третя сторона, якій надаються дані; чи

(f) обробка необхідна в цілях законних інтересів, переслідуваних контролером чи третьою стороною або сторонами, для яких надаються дані, крім випадків, коли над такими інтересами переважають інтереси основних прав і свобод суб'єкта даних, що вимагають захисту згідно з пунктом 1 статті 1.

Розділ III
Особливі категорії обробки

Стаття 8
Обробка особливих категорій даних

1. Держави-члени забороняють обробку персональних даних, що вказують на расове чи етнічне походження, політичні погляди, релігійні чи філософські переконання, профспілкове членство, і обробку даних, що стосуються здоров'я чи статевого життя людини.

2. Пункт 1 не застосовується, якщо:

(a) суб'єкт даних дав свою недвозначну згоду на обробку цих даних, крім випадків, коли законодавство держав-членів передбачає, що заборона, згадана в пункті 1, не може бути знята при наданні згоди з боку суб'єкта даних; чи

(b) обробка необхідна з метою виконання зобов'язань і особливих прав контролера в області законодавства про працевлаштування, у тій мірі, у якій це дозволено національним законодавством, що передбачає адекватні гарантії; чи

(c) обробка необхідна для захисту життєво важливих інтересів суб'єкта даних чи іншої особи, якщо суб'єкт даних не може дати свою згоду через свою недієздатність чи неправоздатність; чи

(d) обробка проводиться в ході законної діяльності з відповідними гарантіями установою, асоціацією чи будь-яким іншим некомерційним органом у політичних, філософських, релігійних чи профспілкових цілях і за умови, що обробка стосується винятково членів цього органу чи людей, що у зв'язку з цими цілями перебувають у постійному контакті з ним, і що дані не надаються третій особі без згоди суб'єктів даних; чи

(e) обробка стосується даних, що явно оприлюднені суб'єктами даних, чи необхідна для порушення, виконання чи захисту судових позовів.

3. Пункт 1 не застосовується, якщо обробка даних необхідна з метою профілактичної медицини, медичної діагностики, надання медичних послуг чи лікування або для керування служб охорони здоров'я, і якщо ці дані обробляються медичним працівником, що, відповідно до національного законодавства чи правил, встановлених національними компетентними органами, зв'язаний зобов'язанням збереження професійної таємниці, чи іншою особою, що зв'язана подібним зобов'язанням збереження таємниці.

4. За умови надання відповідних гарантій, держави-члени можуть на важливій підставі суспільного інтересу встановлювати винятки на додачу до тих, що передбачені в пункті 2, за допомогою або національного закону, або рішення наглядового органу.

5. Обробка даних, що стосуються правопорушень, обвинувачення у кримінальних справах чи засобів безпеки, може проводитися тільки під контролем офіційного органу або якщо національне законодавство передбачає відповідні спеціальні гарантії, з винятками, що можуть бути надані державою-членом відповідно до національних положень, що передбачають відповідні спеціальні гарантії. Однак, повний реєстр обвинувачень у кримінальних справах може вестися лише під контролем офіційного органу.

Держави-члени можуть передбачити, що дані про адміністративні санкції чи про судові рішення в цивільних справах також повинні оброблятися під контролем офіційного органу.

6. Відступи від пункту 1, передбачені у пунктах 4 і 5, доводяться до відома Комісії.

7. Держави-члени визначають умови, за яких може оброблятися національний ідентифікаційний код чи будь-який інший ідентифікатор загального застосування.

Стаття 9
Обробка персональних даних і
свобода самовираження

Держави-члени передбачають винятки чи відступи від положень цієї Глави, Глави IV і Глави VI, у тому, що стосується обробки персональних даних, що проводиться виключно для цілей журналістики або художньої чи літературної творчості, за умови, що вони необхідні, для узгодження права на невтручання в особисте життя з нормами, що регулюють свободу самовираження.

Розділ IV
Інформація, що надається суб'єкту даних

Стаття 10
Інформація у разі збору даних від
суб'єкта даних

Держави-члени передбачають, що контролер чи його представник повинні надати суб'єкту даних, у якого збираються дані щодо нього самого, принаймні наступну інформацію, крім тих випадків, коли в нього вже є ця інформація:

(a) особа контролера і його представника, якщо такий є;

(b) цілі обробки, для якої призначені дані;

(c) будь-яка додаткова інформація, як наприклад:

- одержувачі чи категорії одержувачів даних,

- обов'язковість чи добровільність відповіді на питання, а також можливі наслідки за ненадання відповіді,

- існування права доступу і права на виправлення даних, які його стосуються у тій мірі, у якій така додаткова інформація необхідна, з огляду на особливі обставини, за яких дані збираються, для гарантії справедливої обробки у відношенні суб'єкта даних обробки.

Стаття 11
Інформація у разі,
якщо дані не були отримані від суб'єкта даних

1. У випадку, якщо дані не були отримані від суб'єкта даних, держави-члени передбачають, що контролер чи його представник повинні під час реєстрації персональних даних чи, якщо передбачене розголошення даних третій особі, не пізніше того часу, коли дані вперше розголошуються, надати суб'єкту даних наступну інформацію, крім тих випадків, коли в нього вже є ця інформація:

(a) особа контролера і його представника, якщо такий є;

(b) цілі обробки;

(c) будь-яка додаткова інформація, як наприклад:

- категорії використовуваних даних,

- одержувачі чи категорії одержувачів,

- існування права доступу і права на виправлення даних, які його стосуються у тій мері, у якій така додаткова інформація необхідна, з огляду на особливі обставини, за яких дані обробляються, для гарантії справедливої обробки у відношенні суб'єкта даних обробки.

2. Пункт 1 не застосовується в певних випадках, зокрема при обробці даних у статистичних цілях чи з метою історичних чи наукових досліджень, коли надання такої інформації виявляється неможливим чи може спричинити непропорційні зусилля або коли реєстрація чи надання даних чітко передбачене законодавством. У цих випадках держави-члени надають відповідні гарантії.

Розділ V
Право суб'єкта даних на доступ до даних

Стаття 12
Право доступу

Держави-члени гарантують кожному суб'єкту даних право отримати від контролера:

(a) без обмежень через розумні інтервали часу і без надмірної затримки або витрат:

- підтвердження того, обробляються чи ні дані, які його стосуються, і інформацію, принаймні, про цілі обробки, категорії розглянутих даних і про одержувачів чи категорії одержувачів, яким надаються дані,

- повідомлення йому в зрозумілій формі про те, що дані знаходяться в процесі обробки, і будь-яку іншу доступну інформацію щодо їхнього джерела,

- інформацію про логіку, використовувану під час автоматизованої обробки даних, що його стосуються, принаймні, у випадку автоматизованих рішень, згаданих у статті 15 (1);

(b) в залежності від випадку, виправлення, стирання чи блокування даних, обробка яких не відповідає положенням даної Директиви, зокрема через неповноту чи неточність даних;

(c) повідомлення третім сторонам, яким були надані дані, про будь-яке виправлення, стирання чи блокування, виконане відповідно до підпункту (b), якщо це можливо чи не вимагає непропорційних зусиль.

Розділ VI
Винятки та обмеження

Стаття 13
Винятки та обмеження

1. Держави-члени можуть вживати законодавчих заходів для обмеження обсягів обов'язків і прав, передбачених у статтях 6 (1), 10, 11 (1), 12 і 21, якщо таке обмеження є необхідним, щоб гарантувати:

(a) національну безпеку;

(b) оборону;

(c) суспільну безпеку;

(d) запобігання, розслідування, виявлення і судове переслідування кримінальних злочинів чи порушень етики визначених професій;

(e) важливий економічний чи фінансовий інтерес держави-члена чи Європейського Союзу, включаючи монетарні, бюджетні і податкові питання;

(f) моніторинг, перевірку чи регулятивну функцію, пов'язану, навіть зрідка, з виконанням офіційних повноважень у випадках, вказаних у підпунктах (c), (d) і (e);

(g) захист суб'єкта даних чи прав і свобод інших осіб.

2. За умови виконання відповідних правових гарантій, зокрема того, що дані не використовуються для вживання заходів чи прийняття рішень щодо будь-якої конкретної людини, держави-члени можуть, за явної відсутності якого-небудь ризику втручання в особисте життя, обмежити шляхом законодавчого заходу права, передбачені в статті 12, якщо дані обробляються виключно з метою наукових досліджень чи зберігаються в особовій формі протягом періоду, що не перевищує період часу, необхідного лише для цілі створення статистики.

Розділ VII
Право суб'єкта даних на заперечення

Стаття 14
Право суб'єкта даних на заперечення

Держави-члени надають суб'єкту даних право:

(a) принаймні у випадках, передбачених у підпунктах (e) і (f) статті 7, заперечувати в будь-який час на безсумнівних законних підставах, пов'язаних з його конкретною ситуацією, проти обробки даних, які його стосуються, за винятком випадків, коли інше передбачено національним законодавством. За наявності обгрунтованого заперечення в розпочатій контролером обробці більше не можуть використовуватися такі дані;

(b) заперечувати, за вимогою і безкоштовно, проти обробки персональних даних, що його стосуються і які контролер має намір обробити з метою прямого маркетингу, чи бути проінформованим до того, як персональні дані будуть вперше надаватися третім особам чи використовуватися від їхнього імені з метою прямого маркетингу, при цьому йому чітко пропонується право на безкоштовне заперечення проти такого надання чи використання даних.

Держави-члени вживають необхідних заходів для забезпечення того, щоб суб'єкти даних були інформовані про існування права, про яке йдеться в першій частині підпункту (b).

Стаття 15
Автоматизовані індивідуальні рішення

1. Держави-члени надають кожній особі право на те, щоб стосовно неї не приймалося рішення, що має для неї правові наслідки чи значною мірою зачіпає її і яке грунтується винятково на автоматизованій обробці даних, призначеній для оцінки деяких його особистісних характеристик, як наприклад виконання нею професійних обов'язків, кредитоспроможності, надійності, поведінки і т.д.

2. Відповідно до інших статей даної Директиви, держави-члени передбачають, що стосовно особи може бути прийняте рішення, про яке йдеться в пункті 1, якщо це рішення:

(a) прийняте в ході укладання чи виконання контракту, за умови, що прохання про укладання чи виконання контракту, подане суб'єктом даних, було задоволене або існують відповідні заходи для захисту його законних інтересів, як наприклад заходи, що дозволяють йому виразити свою точку зору; чи

(b) санкціоноване законом, що також передбачає заходи для захисту законних інтересів суб'єкта даних.

Розділ VIII
Конфіденційність і безпека обробки

Стаття 16
Конфіденційність обробки

Будь-яка особа, яка діє у підпорядкуванні контролеру чи оператору обробки, включаючи самого оператора обробки, який має доступ до персональних даних, не повинні обробляти їх інакше, як за вказівкою контролера, за винятком тих випадків, коли це вимагається законом.

Стаття 17
Безпека обробки

1. Держави-члени передбачають, що контролер повинен здійснювати відповідні технічні й організаційні заходи для захисту персональних даних від випадкового або незаконного знищення чи випадкової втрати, зміни, несанкціонованого розкриття чи доступу, зокрема, якщо обробка включає передачу даних через мережу, і від усіх інших незаконних форм обробки.

Такі заходи, із врахуванням нинішнього стану речей і вартості їхнього здійснення, повинні забезпечувати рівень безпеки, співвідносний з ризиком, що супроводжує обробку, і з природою даних, що захищаються.

2. Держави-члени передбачають, що контролер повинен, у випадку обробки від свого імені, вибрати оператора обробки, що надає достатні гарантії щодо технічних заходів безпеки і організаційних заходів, що регулюють обробку, яка має проводитись, і повинен забезпечити виконання цих заходів.

3. Здійснення обробки за допомогою оператора обробки даних повинне регулюватися договором чи правовим актом, яким оператор обробки даних підпорядковується контролеру і який передбачає, зокрема, наступне:

- оператор обробки даних повинен діяти тільки за вказівками контролера,

- зобов'язання, викладені в пункті 1 і визначені законодавством держави-члена, у якому призначений оператор обробки даних, повинні також застосовуватися до оператора обробки.

4. З метою збереження доказів, розділи договору чи юридичного акта про захист даних і вимоги про заходи, згадані у пункті 1, повинні бути викладені в письмовій формі чи в іншій рівносильній формі.

Розділ IX
Повідомлення

Стаття 18
Зобов'язання повідомляти наглядовий орган

1. Держави-члени передбачають, що контролер чи його представник, якщо такий існує, повинні повідомити наглядовий орган, згаданий у статті 28, про обробку до проведення будь-якої повної чи часткової автоматизованої операції з обробки даних чи сукупності таких операцій, призначених служити єдиній цілі чи декільком взаємозалежним цілям.

2. Держави-члени можуть передбачити спрощення чи звільнення від повідомлення тільки в наступних випадках і за наступних умов:

- якщо для категорій операцій з обробки, які, беручи до уваги дані, що будуть оброблятися, навряд чи можуть завдати шкоди правам і свободам суб'єктів даних, вони визначають цілі обробки даних, дані чи категорії даних, які проходять обробку, категорію чи категорії суб'єктів даних, одержувачів чи категорії одержувачів, яким будуть надані дані, і період часу, протягом якого дані будуть зберігатися, і/чи

- якщо контролер відповідно до національного права, яким він керується, призначає посадову особу із захисту персональних даних, що, серед іншого, відповідає за наступне:

- забезпечення у незалежний спосіб внутрішнього застосування національних положень, прийнятих на виконання цієї Директиви,

- ведення реєстру операцій із обробки, що проводиться контролером і містить інформацію, згадану в пункті 2 статті 21, у такий спосіб забезпечуючи те, що операції із обробки навряд чи завдадуть шкоди правам і свободам суб'єктів даних.

3. Держави-члени можуть передбачити, що пункт 1 не застосовується до обробки, єдиною метою якої є ведення реєстру, що, відповідно до законодавчих чи нормативних положень, призначений для надання інформації громадськості і відкритий для консультування або населення в цілому, або будь-якої особи, що проявляє законний інтерес.

4. Держави-члени можуть передбачити звільнення від зобов'язання щодо повідомлення чи спрощення системи повідомлення у випадку здійснення операцій із обробки, про які йдеться в підпункті (d) пункту 2 статті 8.

5. Держави-члени можуть передбачити повідомлення про деякі чи всі неавтоматизовані операції з персональними даними або передбачити спрощений порядок повідомлення про ці операції із обробки.

Стаття 19
Зміст повідомлення

1. Держави-члени визначають інформацію, що повинна міститися в повідомленні. Вона повинна включати, принаймні, наступне:

(a) ім'я та адресу контролера і його представника, якщо такий є;

(b) ціль чи цілі обробки;

(c) опис категорії чи категорій суб'єктів даних або категорій їхніх персональних даних;

(d) одержувачів чи категорії одержувачів, яким можуть надаватися дані;

(e) передачі даних, що передбачаються, третім країнам;

(f) загальний опис, що дозволяє зробити попередню оцінку відповідності заходів, прийнятих згідно із статтею 17, для забезпечення безпеки обробки.

2. Держави-члени встановлюють процедури, згідно з якими наглядовий орган повинен бути сповіщений про будь-яку зміну, що зачіпає інформацію, згадану в пункті 1.

Стаття 20
Попередня перевірка

1. Держави-члени визначають операції із обробки, що можуть мати певний ризик для прав і свобод суб'єктів даних, і перевіряють, щоб ці операції із обробки вивчалися до початку обробки.

2. Такі попередні перевірки здійснюються наглядовим органом після одержання повідомлення від контролера чи посадової особи з питань захисту даних, що при виникненні сумнівів повинні радитися з наглядовим органом.

3. Держави-члени можуть також проводити такі перевірки у зв'язку з підготовкою законодавчого заходу національного парламенту або заходу, що базується на такому законодавчому заході і визначає характер обробки та встановлює відповідні гарантії.

Стаття 21
Оголошення операцій із обробки

1. Держави-члени вживають заходів для забезпечення того, що операції із обробки оголошуються.

2. Держави-члени передбачають, що наглядовий орган повинен вести реєстр операцій із обробки, повідомлення про які відбувається згідно із статтею 18.

Реєстр повинен містити, принаймні, інформацію, перераховану в підпунктах (a)-(e) пункту 1 статті 19. Будь-яка особа може перевірити такий реєстр.

3. Держави-члени передбачають у відношенні операцій із обробки, повідомлення про які не передбачаються, що контролери чи інші органи, призначені державами-членами, надають після запиту будь-якої особи у відповідній формі, принаймні, інформацію, перераховану в підпунктах (a)-(e) пункту 1 статті 19.

Держави-члени можуть передбачити, що це положення не застосовується до обробки, єдиною метою якої є ведення реєстру, що згідно із законодавчим чи нормативним положенням передбачає надання інформації населенню і який відкритий для консультування або для населення в цілому, або для будь-якої особи, що може довести свій законний інтерес.

Глава III
Засоби судового захисту,
відповідальність та санкції

Стаття 22
Засоби захисту

Без шкоди для будь-якого адміністративного засобу захисту, що може бути передбачений, у тому числі захисту наглядовим органом, згаданому в статті 28, до звертання в судовий орган, держави-члени передбачають право кожної людини на засоби судового захисту від будь-якого порушення прав, гарантованих їй національним законодавством, що застосовується до відповідної обробки.

Стаття 23
Відповідальність

1. Держави-члени передбачають, що будь-яка особа, якій завдано шкоди в результаті незаконної операції із обробки чи будь-якої дії, несумісної із національними положеннями, прийнятими відповідно до цієї Директиви, має право на одержання компенсації від контролера за завдану шкоду.

2. Контролер може бути звільнений від цієї відповідальності цілком чи частково, якщо він доведе, що не є відповідальним за випадок, що став причиною завданої шкоди.

Стаття 24
Санкції

Держави-члени вживають відповідних заходів для забезпечення повного виконання положень даної Директиви і, зокрема встановлюють санкції, що повинні накладатися у випадку порушення положень, прийнятих відповідно до даної Директиви.

Глава IV
Передача персональних даних
третім країнам

Стаття 25
Принципи

1. Держави-члени передбачають, що передача третій країні персональних даних, що проходять обробку чи призначені для проходження обробки після передачі, може відбуватися за умови, що розглянута третя країна гарантує адекватний рівень захисту, без шкоди для виконання національних положень, прийнятих відповідно до інших положень даної Директиви.

2. Адекватність рівня захисту, наданого третьою країною, розглядається у світлі всіх обставин операції з передачі даних чи сукупності операцій з передачі даних; особливу увагу варто звернути на характер даних, ціль і тривалість запропонованої операції чи операцій із обробки, країну походження даних і країну кінцевого призначення даних, загальні і галузеві норми права, що діють у розглянутій третій країні, і професійні правила та заходи безпеки, що виконуються в цій країні.

3. Держави-члени і Комісія інформують одні одного про випадки, коли вони вважають, що третя країна не забезпечує адекватного рівня захисту, передбаченого пунктом 2.

4. Якщо Комісія дійде висновку, відповідно до процедури, передбаченої в статті 31 (2), що третя країна не забезпечує адекватного рівня захисту, передбаченого пунктом 2 даної статті, держави-члени вживають заходів, необхідних для запобігання будь-якій передачі даних цього ж виду відповідній третій країні.

5. У належний час Комісія проводить переговори з метою виправлення ситуації, що склалася в результаті виявлення фактів згідно з пунктом 4.

6. Комісія може дійти висновку, згідно з процедурою, згаданою в пункті 2 статті 31, що третя країна забезпечує адекватний рівень захисту, передбаченого пунктом 2 даної статті, керуючись своїм внутрішнім законодавством чи міжнародними зобов'язаннями, які вона взяла на себе, особливо після завершення переговорів, передбачених у пункті 5, щодо захисту особистого життя та основних свобод і прав фізичних осіб. Держави-члени вживають заходів, необхідних для виконання рішення Комісії.

Стаття 26
Відступи

1. Шляхом відступу від статті 25 і крім випадків, коли інше передбачено національним законодавством, що регулює особливі випадки, держави-члени передбачають, що передача чи сукупність передач персональних даних третій країні, яка не забезпечує адекватний рівень захисту, згаданий в пункті 2 статті 25, може відбуватися за умови, що:

(a) суб'єкт даних дав свою недвозначну згоду на пропоновану передачу даних; або

(b) передача даних необхідна для виконання контракту між суб'єктом даних і контролером чи для виконання заходів, що передують договору і прийняті у відповідь на прохання суб'єкта даних; або

(c) передача даних необхідна для укладення чи виконання контракту, укладеного в інтересах суб'єкта даних між контролером і третьою стороною; або

(d) передача даних необхідна чи юридично обов'язкова на важливих підставах суспільних інтересів або для встановлення, виконання чи захисту правових вимог; або

(e) передача даних необхідна для захисту життєво важливих інтересів суб'єкта даних; або

(f) передача даних зроблена з реєстру, метою якого, відповідно до законів або положень, є надання інформації населенню і який відкритий для консультацій або населення в цілому, або будь-якої людини, що може продемонструвати законний інтерес, у тому обсязі, за якого умови, передбачені в законодавстві про консультацію, виконуються в особливому випадку.

2. Без шкоди для пункту 1, держава-член може дозволити передачу чи сукупність передач персональних даних третій країні, що не забезпечує адекватного рівня захисту, передбаченого в пункті 2 статті 25, якщо контролер надає відповідні гарантії із захисту невтручання в особисте життя та основних прав і свобод фізичних осіб і в тому, що стосується здійснення відповідних прав; такі гарантії можуть, зокрема, стать результатом відповідних умов договору.

3. Держава-член повідомляє Комісію й інші держави-члени про дозволи, які вона дає відповідно до пункту 2.

Якщо член чи Комісія заперечують проти цього на обгрунтованих підставах, що стосуються захисту невтручання в особисте життя й основних прав і свобод фізичних осіб, Комісія вживає відповідних заходів згідно з процедурою, передбаченою в пункті 2 статті 31. Держави-члени вживають необхідних заходів для виконання рішення Комісії.

4. Якщо Комісія відповідно до процедури, передбаченої в пункті 2 статті 31, вирішує, що деякі стандартні умови договору пропонують достатні гарантії, як того вимагає пункт 2, держави-члени вживають необхідних заходів для виконання рішення Комісії.

Глава V
Кодекси поведінки

Стаття 27

1. Держави-члени і Комісія сприяють розробці кодексів поведінки, метою яких є сприяння належному виконанню національних положень, прийнятих державами-членами відповідно до даної Директиви, з урахуванням характерних особливостей різних галузей.

2. Держави-члени передбачають, щоб профспілки та інші органи, що представляють інші категорії контролерів і які розробили проекти національних кодексів або які мають намір змінити чи доповнити існуючі національні кодекси, могли представити їх на розгляд державного органу.

Держави-члени передбачають, що такий орган повинен упевнитися, серед іншого, у тому, чи відповідають представлені проекти національним положенням, прийнятим відповідно до даної Директиви. Якщо орган вважає це за необхідне, він може поцікавитися думкою суб'єктів даних чи їхніх представників.

3. Проекти кодексів Співтовариства і зміни та доповнення до існуючих кодексів Співтовариства можуть бути надані Робочій групі, згаданій в статті 29. Ця Робоча група визначає, серед іншого, чи відповідають надані проекти національним положенням, прийнятим відповідно до даної Директиви. Якщо орган вважає це за необхідне, він може поцікавитися думкою суб'єктів даних чи їхніх представників. Комісія може забезпечити відповідне оприлюднення кодексів, схвалених Робочою групою.

Глава VI
Наглядовий орган та Робоча група із захисту
фізичних осіб при обробці персональних даних

Стаття 28
Наглядовий орган

1. Кожна держава-член передбачає, що один чи більше державних органів відповідають за моніторинг застосування в межах її території положень, прийнятих державами-членами відповідно до даної Директиви.

Ці органи діють у повній незалежності при здійсненні функцій, якими вони наділені.

2. Кожна держава-член передбачає, що при розробці адміністративних заходів чи положень, що стосуються захисту прав і свобод фізичних осіб при обробці персональних даних, проводяться консультації з наглядовими органами.

Кожен орган, зокрема, наділений:

- такими слідчими повноваженнями, як право доступу до даних, що є предметом операцій із обробки, і право збирати всю інформацію, необхідну для виконання його обов'язків із здійснення нагляду,

- ефективними повноваженнями на втручання, як-от надання висновків до здійснення операцій із обробки відповідно до статті 20, і забезпечення відповідного опублікування таких висновків, видання розпоряджень про блокування, стирання чи знищення даних, накладення тимчасової чи остаточної заборони на обробку даних, попередження чи винесення догани контролеру, або повноваження звертатися до національних парламентів чи інших політичних інститутів,

- право брати участь у судочинстві, якщо були порушені національні положення, прийняті відповідно до даної Директиви, чи довести ці порушення до відома судових органів.

Рішення наглядового органу, що викликали скарги, можуть бути оскаржені в суді.

4. Кожен наглядовий орган розглядає запити, зроблені будь-якою особою чи об'єднанням, що представляє інтереси цієї особи, про захист її прав і свобод при обробці персональних даних. Особа, якої це стосується, повинна бути поінформована про результати розгляду запиту.

Кожен наглядовий орган, зокрема, розглядає запити про перевірки законності обробки даних, зроблені будь-якою особою, у випадках, коли застосовуються національні положення, прийняті у відповідності до статті 13 даної Директиви. Така особа повинна в будь-якому випадку бути поінформована про те, що перевірка мала місце.

5. Кожен наглядовий орган регулярно складає звіт про свою діяльність. Звіт повинен оприлюднюватись.

6. Кожен наглядовий орган має право, незалежно від того, яке національне законодавство застосовується до відповідної обробки, виконувати на території власної держави-члена повноваження, якими він наділений відповідно до пункту 3. Кожен орган може отримати прохання про виконання його повноважень від органу іншої держави-члена.

Наглядові органи співпрацюють один з одним у тій мірі, наскільки це необхідно для виконання їхніх обов'язків, зокрема, шляхом обміну всією корисною інформацією.

7. Держави-члени передбачають, що навіть після звільнення на посадових осіб і персонал наглядового органу поширюється обов'язок зберігати професійну таємницю відносно конфіденційної інформації, до якої вони мають доступ.

Стаття 29
Робоча група із захисту фізичних осіб
при обробці персональних даних

1. Цим створюється Робоча група із захисту фізичних осіб при обробці персональних даних, надалі - "Робоча група". Вона має консультативний статус і незалежна у своїй діяльності. Робоча група складається з представника наглядового органу чи органів, призначеного кожною державою-членом, і представника від органа чи органів, створених для установ і органів Співтовариства, а також представника Комісії.

2. Кожен член Робочої групи призначається установою, органом чи органами, які він представляє. Якщо держава-член створила більш ніж один наглядовий орган, вони призначають спільного представника. Ті ж самі положення повинні застосовуватися до органів, створених для установ і органів Співтовариства.

3. Робоча група приймає рішення простою більшістю представників наглядових органів.

4. Робоча група вибирає свого голову. Термін повноважень голови складає два роки. Він може вибиратися повторно.

5. Секретаріат Робочої групи забезпечується Комісією.

6. Робоча група приймає свій власний регламент.

7. Робоча група розглядає питання, винесені на порядок денний головою або за його власною ініціативою, або на прохання представника наглядового органу чи органів, або на прохання Комісії.

Стаття 30

Робоча група:

(a) розглядає будь-яке питання, що стосується застосування національних заходів, прийнятих відповідно до даної Директиви, з метою сприяння загальному застосуванню таких заходів;

(b) представляє Комісії висновки щодо рівня захисту в Співтоваристві та в третіх країнах;

(c) повідомляє Комісію про будь-яку запропоновану поправку до даної Директиви, про будь-які додаткові чи особливі заходи із захисту прав і свобод фізичних осіб при обробці персональних даних і про будь-які інші запропоновані заходи Співтовариства, що стосуються цих прав і свобод;

(d) виносить висновок про кодекси, складених на рівні Співтовариства.

2. Якщо Робоча група виявляє, що між законами чи практикою держав-членів виникають розбіжності, що можуть порушити рівень захисту осіб при обробці персональних даних у Співтоваристві, вона відповідним чином сповіщає про це Комісію.

3. Робоча група може за власною ініціативою давати рекомендації з усіх питань, які стосуються захисту осіб при обробці персональних даних у Співтоваристві.

4. Висновки і рекомендації Робочої групи передаються Комісії і комітету, передбаченому статтею 31.

5. Комісія повідомляє Робочу групу про дії, розпочаті у відповідь на її висновки і рекомендації. Повідомлення робиться у вигляді доповіді, що також подається Європейському Парламенту і Раді. Доповідь повинна бути оприлюднена.

6. Робоча група складає щорічний звіт про ситуацію відносно захисту фізичних осіб при обробці персональних даних у Співтоваристві та в третіх країнах, яку вона надає Комісії, Європейському Парламенту і Раді. Звіт повинен бути оприлюднений.

Глава VII
Імплементаційні заходи Співтовариства

Стаття 31
Комітет

Комісії допомагає Комітет, що складається з представників держав-членів і очолюється представником Комісії. Представник Комісії подає Комітету проект заходів, яких слід вжити.

Комітет надає свій висновок про проекти в межах строку, який може бути встановлений головою залежно від ступеня невідкладності питання.

Висновок приймається більшістю, встановленою у пункті 2 статті 148 Договору. Голоси представників держав-членів у комітеті підраховуються відповідно до процедури, встановленої даною статтею. Голова не голосує.

Комісія приймає заходи, що повинні застосовуватися негайно. Однак, якщо ці заходи не збігаються з висновком Комітету, Комісія негайно повідомляє про це Раду.

У такому випадку:

- Комісія відкладає застосування прийнятих нею засобів на три місяці з моменту повідомлення про них,

- Рада, діючи кваліфікованою більшістю, може прийняти інше рішення в межах строку, передбаченого в першому абзаці.

Заключні положення

Стаття 32

1. Держави-члени приймають законодавчі, нормативні й адміністративні положення, необхідні для виконання даної Директиви, не пізніше ніж наприкінці трирічного періоду з моменту її прийняття.

Коли держави-члени приймають такі положення, останні повинні містити посилання на цю Директиву чи супроводжуватися таким посиланням у разі їх офіційної публікації. Методи, за якими робиться таке посилання, встановлюються державами-членами.

2. Держави-члени гарантують, що обробка даних, яка на день набуття чинності національними положеннями, прийнятими відповідно до даної Директиви, вже відбувається, буде приведена у відповідність до цих положень за трирічний період з цієї дати.

Шляхом відступу від попереднього абзацу, держави-члени можуть передбачити, що обробка даних, які на день набуття чинності національними положеннями, прийнятими на виконання цієї Директиви, вже зберігаються в неавтоматизованих картотеках, повинна бути приведена у відповідність до статей 6, 7 і 8 даної Директиви протягом 12 років з дня її прийняття. Тим не менше, держави-члени надають суб'єкту даних право на його прохання і, зокрема, під час здійснення його права на доступ, виправляти, стирати чи блокувати дані, що є неповними, неточними чи зберігаються у формі, несумісній із законними цілями, переслідуваними контролером.

3. Шляхом відступу від пункту 2, держави-члени можуть передбачати, що за умови наявності відповідних гарантій дані, що зберігаються тільки з метою історичного дослідження, не потрібно приводити у відповідність до статей 6, 7 і 8 даної Директиви.

4. Держави-члени повинні представити Комісії текст положень внутрішнього законодавства, які вони приймають у сфері, що підпадає під дію даної Директиви.

Стаття 33

Комісія регулярно доповідає Раді і Європейському Парламенту, починаючи не пізніше ніж через три роки з дати, зазначеної в пункті 1 статті 32, про виконання даної Директиви, при необхідності додаючи до своєї доповіді відповідні пропозиції про поправки. Доповідь підлягає оприлюдненню.

Комісія вивчає, серед іншого, застосування даної Директиви до обробки звукових і візуальних даних, що стосуються фізичних осіб, і подає будь-які відповідні пропозиції, що є необхідними з погляду досягнень в інформаційних технологіях і у світлі рівня прогресу в інформаційному суспільстві.

Стаття 34

Дана Директива адресована державам-членам.

Вчинено в Люксембурзі 24 жовтня 1995 року.

За Європейський Парламент Президент

К. Хенш

За Раду Президент

Л. Атьєнца Сера

Офіційний журнал L 281, 23/11/1995, p. 0031 - 0050

Переклад здійснено Центром перекладів актів Європейського права при міністерстві юстиції України.