Директива Европейского Парламента и Совета Европейского Союза
95/46/ЕС от 24 октября 1995 г.
о защите физических лиц при обработке персональных данных и о свободном обращении таких данных*(1)
(Текст в редакции Регламента Европейского парламента и Совета ЕС 1882/2003 от 29 сентября 2003 года)
Европейский Парламент и Совет Европейского Союза,
Руководствуясь Договором об учреждении Европейского экономического сообщества, и, в частности, Статьей 100а Договора,
Руководствуясь предложением Европейской Комиссии*(2),
Руководствуясь заключением Европейского Комитета по экономическим и социальным вопросам*(3),
Действуя в соответствии с процедурой, установленной в Статье 189b Договора *(4),
(1) Поскольку цели Сообщества, установленные в Договоре, с изменениями, внесенными Договором о Европейском Союзе, включают в себя создание все более тесного союза народов Европы, способствование тесным связям между государствами, входящими в Сообщество, обеспечение экономического и социального прогресса путем общих действий, направленных на устранение разделяющих Европу барьеров, поощрение постоянного улучшения условий жизни их народов, сохранение и укрепление мира и свободы и продвижение демократии, основанной на основных правах, признаваемых конституциями и законами Государств-членов ЕС и Европейской Конвенцией о защите прав человека и основных свобод;
(2) Поскольку системы обработки данных предназначены для службы человеку; поскольку независимо от гражданства или местожительства физических лиц, эти системы должны соблюдать основные права и свободы, в том числе право на неприкосновенность частной жизни, и благоприятствовать экономическому и социальному прогрессу, развитию торговли и благополучию людей;
(3) Поскольку создание и функционирование внутреннего рынка, в котором, в соответствии со Статьей 7а Договора, гарантируется свободное движение товаров, лиц, услуг и капитала, требует не только свободы передачи персональных данных из одного Государства-члена ЕС в другое, но также гарантий основных прав граждан;
(4) Поскольку в Сообществе все чаще прибегают к обработке персональных данных в различных сферах экономической и социальной жизни; поскольку прогресс, достигнутый в сфере информационных технологий, существенно упрощает обработку и обмен такими данными;
(5) Поскольку экономическая и социальная интеграция, проистекающая из создания и функционирования внутреннего рынка в значении Статьи 7а Договора безусловно приведет к существенному увеличению трансграничных потоков персональных данных между всеми участвующими в экономической и социальной жизни в Государствах-членах ЕС в частном или публичном качестве; поскольку развивается обмен персональными данными между предприятиями в различных Государствах-членах ЕС; поскольку органы власти Государств-членов ЕС призываются, в соответствии с правом Сообществ, сотрудничать и обмениваться персональными данными с целью исполнения своих обязанностей или осуществления задач от имени органа власти другого Государства-члена ЕС в контексте пространства без внутренних границ, образованного внутренним рынком;
(6) Поскольку, к тому же, увеличение научно-технического сотрудничества и скоординированное внедрение в Сообществе новых телекоммуникационных сетей неизбежно влекут за собой и облегчают трансграничную передачу персональных данных;
(7) Поскольку различия в уровне защиты в Государствах-членах ЕС прав и свобод граждан, в том числе права на неприкосновенность частной жизни, при обработке персональных данных могут препятствовать передаче таких данных с территории одного Государства-члена ЕС на территорию другого Государства-члена ЕС; поскольку эти различия могут таким образом образовывать препятствие осуществлению некоторых видов экономической деятельности на уровне Сообщества, нарушать конкуренцию и препятствовать властям в исполнении их обязанностей, предусмотренных правом Сообщества; поскольку эти различия в уровне защиты вызваны существованием широкого многообразия национальных законов, подзаконных актов и административных распоряжений;
(8) Поскольку, с целью устранения препятствий потокам персональных данных, уровень защиты прав и свобод граждан при обработке таких данных должен быть равноценным во всех Государствах-членах ЕС; поскольку эта цель очень важна для внутреннего рынка, но не может быть достигнута усилиями отдельных Государств-членов ЕС, особенно ввиду масштаба расхождений, которые существуют в настоящее время между соответствующими законами Государств-членов ЕС, и необходимости координировать эти законодательство Государств-членов ЕС с тем, чтобы обеспечить согласованный порядок регулирования трансграничной передачи персональных данных, в соответствии с целью внутреннего рынка, предусмотренной в Статье 7а Договора; поскольку для этого необходима деятельность Сообщества по сближению законодательств в данной сфере;
(9) Поскольку, принимая во внимание равноценную защиту, проистекающую из сближения национальных законодательств, Государства-члены ЕС более не смогут препятствовать свободе движения персональных данных между ними по основаниям, относящимся к защите прав и свобод граждан, и в особенности к защите права на неприкосновенность частной жизни; поскольку у Государств-членов ЕС останется известная свобода действий, которая может, в контексте реализации Директивы, использоваться также экономическими и социальными партнерами; поскольку таким образом Государства-члены ЕС смогут конкретизировать в своем национальном законодательстве общие условия, определяющие законность обработки данных; поскольку тем самым Государства-члены ЕС стремятся улучшить защиту, предоставляемую в настоящее время по их законодательству; поскольку в рамках этой свободы действий и в соответствии с правом Сообщества, при реализации Директивы могут возникнуть несоответствия, и это может повлиять на движение данных внутри Государства-члена ЕС и внутри Сообщества;
(10) Поскольку предмет национальных законодательств об обработке персональных данных состоит в защите основных прав и свобод, в частности, права на неприкосновенность частной жизни, которое признано в Статье 8 Европейской Конвенции о защите прав человека и основных свобод и среди общих принципов права Сообщества; поскольку по этой причине сближение данного законодательства не должно приводить к уменьшению предоставляемой им защиты, но должно, наоборот, стремиться обеспечить высокий уровень защиты в Сообществе;
(11) Поскольку принципы защиты прав и свобод физических лиц, в том числе права на неприкосновенность частной жизни, которые содержатся в настоящей Директиве, наполняют содержанием и расширяют принципы, содержащиеся в Конвенции Совета Европы от 28 января 1981 о защите физических лиц при автоматизированной обработке персональных данных;
(12) Поскольку принципы защиты должны применяться ко всякой обработке персональных данных любым лицом, чья деятельность регулируется правом Сообществ; поскольку из нее должна исключаться обработка данных, выполняемая физическим лицом при осуществлении деятельности исключительно личного или бытового характера, такого как переписка и ведение записей адресов;
(13) Поскольку деятельность, указанная в V и VI Разделах Договора о Европейском Союзе, касающаяся общественной безопасности, обороны, государственной безопасности и деятельности государства в сфере уголовного права выходит за рамки права Сообществ, без ущерба для обязательств, возложенных на Государства-члены ЕС в соответствии с Параграфом 2 Статьи 56, Статьей 57 или Статьей 100а Договора, учреждающего Европейское Сообщество; поскольку обработка персональных данных, которая необходима для обеспечения экономического благосостояния государства, не подпадает под действие настоящей Директивы, когда такая обработка связана с вопросами государственной безопасности;
(14) Поскольку, принимая во внимание значимость осуществляющегося в настоящее время, в рамках информационного общества, развития техники, используемой для сбора, распространения, обработки, записи, хранения или передачи звука и изображений, относящихся к физическим лицам, настоящая Директива применяется к обработке таких данных;
(15) Поскольку обработка таких данных регулируется настоящей Директивой, только если она автоматизирована или если обрабатываемые данные содержатся или предназначены для содержания в файловой системе, структурированной в соответствии с конкретными критериями, относящимися к физическим лицам, с целью обеспечения легкого доступа к соответствующим персональным данным;
(16) Поскольку обработка звука и изображений, например, в случаях видеонаблюдения, не подпадает под действие данной Директивы, если она осуществляется для целей общественной безопасности, обороны, государственной безопасности или в процессе деятельности государства, относящейся к сфере уголовного права, или иной деятельности, не регулируемой правом Сообществ;
(17) Поскольку в том, что относится к обработке звука и изображений, осуществляемой в целях журналистской деятельности, либо в целях литературного или художественного самовыражения, в частности, в аудиовизуальной сфере, принципы Директивы должны применяться ограничительно, в соответствии с нормами, сформулированными в Статье 9;
(18) Поскольку, с целью обеспечения того, что физические лица не лишены защиты, на которую они имеют право по настоящей Директиве, всякая обработка персональных данных в Сообществе должна осуществляться в соответствии с законодательством одного из Государств-членов ЕС; поскольку в этой связи обработка, осуществляемая под руководством оператора, учрежденного в Государстве-члене ЕС, должна регулироваться законодательством этого государства;
(19) Поскольку учреждение на территории Государства-члена ЕС предполагает эффективное и реальное осуществление деятельности посредством прочных договоренностей; принимая во внимание, что правовая форма такой организации, как обычного филиала, так и дочернего общества, обладающего правосубъектностью, не является определяющим фактором в данном отношении; поскольку, когда один оператор учрежден на территории нескольких Государств-членов ЕС, особенно в форме дочерних обществ, он должен гарантировать, во избежание любого обхода национальных правил, что каждая из таких организаций выполняет обязанности, установленные национальным законодательством, применимым к ее деятельности;
(20) Поскольку факт осуществления обработки данных лицом, учрежденным в третьей стране, не должен препятствовать защите физических лиц, предусмотренной в настоящей Директиве; поскольку в таких случаях обработка должна регулироваться законодательством Государства-члена ЕС, в котором находятся средства, используемые для обработки данных, и должны обеспечиваться гарантии фактического уважения прав и обязанностей, предусмотренных настоящей Директивой;
(21) Поскольку настоящая Директива не противоречит правилам территориальности, применяемым в уголовном праве;
(22) Поскольку Государства-члены ЕС определяют более точно в своем законодательстве или при введении в действие мер, принимаемых согласно настоящей Директиве, общие обстоятельства, при которых обработка является правомерной; поскольку, в частности, Статья 5, в сочетании со Статьями 7 и 8, позволяет Государствам-членам ЕС, независимо от общих правил, устанавливать особые условия обработки в конкретных отраслях и обработки различных категорий данных, предусмотренных Статьей 8;
(23) Поскольку Государства-члены ЕС управомочены гарантировать осуществление защиты физических лиц как с помощью общего закона о защите физических лиц при обработке персональных данных, так и посредством отраслевого законодательства, касающегося, например, статистических учреждений;
(24) Поскольку законодательство, относящееся к защите юридических лиц при обработке касающихся их данных, не затрагивается настоящей Директивой;
(25) Поскольку принципы защиты должны быть отражены, с одной стороны, в обязательствах, налагаемых на лица, государственные органы, предприятия, агентства или другие органы, ответственные за обработку данных в частности, в отношении качества данных, технической безопасности, уведомления надзорного органа, и обстоятельств, при которых может выполняться обработка, и, с другой стороны, в правах, предоставленных физическим лицам, чьи данные подвергаются обработке, быть уведомленными о проведении обработки, иметь доступ к данным, просить об их исправлении, и даже возражать против их обработки при определенных обстоятельствах;
(26) Поскольку принципы защиты данных должны применяться к любой информации, касающейся определенного или определяемого лица; поскольку для определения того, является ли лицо определяемым, следует учитывать всю совокупность средств, которые с разумной долей вероятности могут использоваться оператором или любым другим лицом с целью определения данного лица; поскольку принципы защиты не применяются к данным, которые сделаны анонимными таким способом, что субъект данных более не является определяемым; поскольку Кодексы поведения по смыслу Статьи 27 могут быть полезным инструментом, предоставляющим указания относительно способов, с помощью которых данные можно сделать анонимными и сохранить в том виде, в котором определение субъекта данных более невозможно;
(27) Поскольку защита физических лиц должна осуществляться при автоматической обработке данных в той же мере, что и при ручной обработке; поскольку объем данной защиты не должен фактически зависеть от используемой техники, иначе это создало бы серьезный риск обхода закона; поскольку, все же, настоящая Директива распространяется только на файловые системы, а не на неструктурированные файлы; поскольку, в частности, содержание файловой системы должно быть структурировано в соответствии с конкретными критериями, относящимися к физическим лицам, позволяющими осуществлять легкий доступ к персональным данным; поскольку, в соответствии с определением в Статье 2 (c), различные критерии для определения составляющих структурированного набора персональных данных и различные критерии, регулирующие доступ к такому набору, могут быть определены каждым Государством-членом ЕС; поскольку файлы или группы файлов, а также их титульные листы, которые не структурированы в соответствии с конкретными критериями, ни при каких обстоятельствах не подпадают под действие настоящей Директивы;
(28) Поскольку любая обработка персональных данных должна быть правомерной и добросовестной по отношению к соответствующим физическим лицам; поскольку, в частности, данные должны быть достаточными, релевантными и не избыточными по отношению к целям, для которых они обрабатываются; поскольку такие цели должны быть явно выраженными и законными и должны быть определены во время сбора данных; поскольку цели обработки, следующей за сбором данных, не должны быть несовместимыми с первоначально определенными целями;
(29) Поскольку дальнейшая обработка персональных данных для исторических, статистических или научных целей, как правило, не должна считаться несовместимой с целями, для которых эти данные были ранее собраны, при условии, что Государства-члены ЕС предоставляют надлежащие гарантии; поскольку эти гарантии должны, в частности, исключать использование данных в поддержку мер или решений в отношении любого конкретного физического лица;
(30) Поскольку, чтобы быть правомерной, обработка персональных данных должна, кроме того, осуществляться с согласия субъекта данных или быть необходимой для заключения или исполнения договора, имеющего обязательную силу для субъекта данных, или в качестве законного требования, или быть необходимой для выполнения задачи, реализуемой в общественном интересе или при осуществлении государственной власти, или в законных интересах физического либо юридического лица, при условии, что интересы или права и свободы субъекта данных не имеют преимущества; поскольку, в частности, для поддержания баланса между интересами сторон при обеспечении эффективной конкуренции, Государства-члены ЕС могут определять обстоятельства, при которых персональные данные могут использоваться и доводиться до сведения третьих лиц в контексте обычной законной деловой деятельности компаний и других юридических лиц; поскольку Государства-члены ЕС могут так же определить условия, при которых персональные данные могут доводиться до сведения третьих лиц для целей маркетинга, независимо от того, осуществляются ли они коммерческой или благотворительной организацией, либо любым другим объединением или фондом, например, политического характера, при соблюдении норм, позволяющих субъекту данных бесплатно и без необходимости указывать причины возражать против обработки относящихся к нему данных;
(31) Поскольку обработка персональных данных должна равным образом считаться правомерной, когда она выполняется, чтобы защитить интерес, который имеет важное значение для жизни субъекта данных;
(32) Поскольку национальное законодательство определяет, должен ли оператор, выполняющий задачу, реализуемую в общественном интересе или при осуществлении государственной власти, являться государственным органом, либо другим физическим или юридическим лицом, регулируемым публичным правом или частным правом, таким как профессиональное объединение;
(33) Поскольку персональные данные, которые по своему характеру способны нарушать основные свободы и неприкосновенность частной жизни, не должны обрабатываться, если только субъект данных не даст своего явно выраженного согласия; поскольку при этом исключения из данного запрета должны быть явным образом предусмотрены применительно к конкретным нуждам, в частности, когда обработка этих данных осуществляется в определенных лечебно-оздоровительных целях лицами, ограниченными законным обязательством сохранения профессиональной тайны, или в ходе правомерных действий определенных объединений или фондов, цель которых состоит в обеспечении осуществления основных свобод;
(34) Поскольку Государства-члены ЕС должны быть вправе, когда это оправдано по соображениям важных общественных интересов, отступать от запрета обработки чувствительных категорий данных там, где существенные основания общественного интереса это оправдывают, в таких областях как здравоохранение и социальная защита (особенно с целью обеспечения качества и рентабельности процедур, используемых для урегулирования претензий о компенсациях и услугах в системе медицинского страхования), научные исследования и правительственная статистика; поскольку, однако, для них обязательно предоставление конкретных и надлежащих гарантий с тем, чтобы защитить основные права и неприкосновенность частной жизни граждан;
(35) Поскольку, кроме того, обработка персональных данных государственными властями для достижения целей, сформулированных в конституционном праве или в международном публичном праве, официально признанных религиозных объединений, осуществляется по важным основаниям общественного интереса;
(36) Поскольку там, где функционирование демократической системы в отдельных Государствах-членах ЕС требует в процессе избирательных мероприятий того, что политические партии собирают данные о политических взглядах людей, обработка таких данных может быть разрешена по соображениям важного общественного интереса, при условии установления надлежащих гарантий;
(37) Поскольку обработка персональных данных в целях журналистской деятельности, либо в целях литературного или художественного самовыражения, в частности, в аудиовизуальной сфере, должна давать право на освобождение от требований отдельных норм настоящей Директивы в части, необходимой для приведения основных прав человека в соответствие со свободой информации и, в частности, с правом получать и передавать информацию, гарантированным, в особенности, в Статье 10 Европейской Конвенции о защите прав человека и основных свобод; поскольку Государства-члены ЕС должны по этой причине сформулировать исключения и ограничения, необходимые для обеспечения баланса между основными правами, касающимися общих мер в отношении законности обработки данных, мер по передаче информации третьим странам и правомочий надзорного органа; поскольку это, однако, не должно приводить Государства-члены ЕС к формулированию ограничения данных мер для обеспечения безопасности обработки данных; поскольку во всяком случае надзорный орган, ответственный за данную отрасль, должен иметь отдельные фактические правомочия, к примеру, публиковать периодический отчет или передавать вопросы на рассмотрение судебным властям;
(38) Поскольку обработка данных должна быть справедливой, субъект данных должен иметь возможность узнать о проведении обработки данных и, если данные запрашиваются у него, ему должна быть предоставлена точная и полная информация, учитывающая обстоятельства сбора данных;
(39) Поскольку отдельные действия по обработке затрагивают данные, которые оператор не получил напрямую от субъекта данных; поскольку при этом данные могут на законном основании сообщаться третьим лицам, даже если раскрытие данных не предполагалось в момент их получения от субъекта данных; поскольку во всех этих случаях субъект данных должен быть проинформирован, когда данные записываются или, самое позднее, когда они впервые сообщаются третьему лицу;
(40) Поскольку, однако, возложение этого обязательства не является необходимым, если субъект данных уже обладает такой информацией; поскольку, кроме того, такого обязательства не возникнет, если запись или раскрытие данных прямо предусмотрены законом, либо если доказано, что предоставление информации субъекту данных невозможно или повлечет за собой несоразмерные усилия, что может произойти, когда обработка осуществляется для исторических, статистических или научных целей; поскольку, в этой связи, могут приниматься во внимание число субъектов данных, возраст данных и любые принятые компенсирующие меры;
(41) Поскольку любое лицо должно быть в состоянии осуществлять право на доступ к относящимся к нему данным, которые подвергаются обработке, с тем чтобы проверить, в частности, точность данных и правомерность их обработки; поскольку, по тем же причинам, каждый субъект данных должен также иметь право знать алгоритмы, задействованные в автоматической обработке касающихся его данных, по меньшей мере, в случае автоматизированных решений, упомянутых в Статье 15 (1); поскольку осуществление данного права не должно негативно сказываться на защите коммерческой тайны и интеллектуальной собственности, и, в частности, авторского права на программное обеспечение; поскольку данные соображения не должны, тем не менее, приводить к отказу в предоставлении любой информации субъекту данных;
(42) Поскольку Государства-члены ЕС могут, в интересах субъекта данных или для защиты прав и свобод других лиц, ограничивать права на доступ и на информацию; поскольку они могут, например, установить, что доступ к медицинским данным может быть получен только через работников здравоохранения;
(43) Поскольку ограничения прав на доступ и на информацию, и отдельных обязанностей оператора могут также налагаться Государствами-членами ЕС в части, необходимой для защиты, к примеру, национальной безопасности, обороны, общественной безопасности или важных экономических или финансовых интересов Государства-члена ЕС или Европейского Союза, а также расследования преступлений, уголовного преследования и исков, связанных с нарушениями этики в регулируемых профессиях; поскольку список исключений и ограничений должен включать задачи контроля, досмотра и регулирования, необходимых в последних трех упомянутых областях, касающихся общественной безопасности, экономических или финансовых интересов и предотвращения преступлений; поскольку перечисление задач в данных трех областях не затрагивает правомерность исключений или ограничений по соображениям государственной безопасности или обороны;
(44) Поскольку Государства-члены ЕС могут также иметь основания, в соответствии с нормами права Сообщества, отступать от норм настоящей Директивы, касающихся права на доступ, обязанности уведомлять лица и качества данных, с тем чтобы гарантировать некоторые из упомянутых выше целей;
(45) Поскольку, в случаях, когда данные могут правомерно обрабатываться по соображениям общественного интереса, государственной власти, либо законных интересов физического или юридического лица, любой субъект данных при этом должен быть вправе возражать против обработки относящихся к нему данных по законным и веским основаниям, связанным с его особенным положением; поскольку, несмотря на это, Государства-члены ЕС могут устанавливать нормы национального законодательства, устанавливающие обратный порядок;
(46) Поскольку защита прав и свобод субъектов данных в отношении обработки персональных данных требует принятия соответствующих технических и организационных мер как при разработке систем обработки, так и во время самой обработки, особенно в целях поддержания безопасности и, тем самым, предотвращения любой неправомерной обработки; поскольку Государства-члены ЕС обязаны гарантировать, что операторы соблюдают данные меры; поскольку данные меры должны обеспечить надлежащий уровень безопасности, учитывая уровень технического развития и затраты по их внедрению в отношении к рискам, присущим обработке и характеру данных, подлежащих защите;
(47) Поскольку в случаях, когда сообщение, содержащее персональные данные, передается посредством телекоммуникационных услуг или услуг электронной почты, единственной целью которых является передача таких сообщений, в отношении персональных данных, содержащихся в сообщении, оператор, как правило, будет считаться лицом, от которого исходит сообщение, а не лицом, предлагающим услуги по передаче данных; поскольку, несмотря на это, лица, предлагающие подобные услуги, как правило, будут считаться операторами в отношении дополнительных персональных данных, необходимых для оказания услуги;
(48) Поскольку процедуры уведомления надзорного органа предназначены для обеспечения раскрытия целей и основных характеристик всякой операции по обработке данных в целях проверки осуществления такой операции в соответствии с национальными мерами, принятыми согласно настоящей Директиве;
(49) Поскольку, во избежание неподходящих административных формальностей, Государствами-членами ЕС может быть предусмотрено освобождение от обязанности уведомления и упрощение требуемого уведомления в случаях, когда маловероятно, что обработка данных неблагоприятно затронет права и свободы субъектов данных, при условии, что это соответствует мере, принятой Государством-членом ЕС, устанавливающей её границы; поскольку такое освобождение или упрощение может также устанавливаться Государствами-членами ЕС, где лицо, назначенное оператором, гарантирует, что осуществляемая обработка неспособна неблагоприятно затронуть права и свободы субъектов данных; поскольку такой служащий, занимающийся защитой данных, независимо от того, является ли он работником оператора, должен иметь возможность осуществлять свои должностные обязанности полностью независимо;
(50) Поскольку такое освобождение или упрощение может предусматриваться в случаях операций по обработке, единственная цель которых состоит в ведении реестра, предназначенного, в соответствии с национальным законодательством, для предоставления информации общественности и открытого для доступа общественности или любого лица, проявляющего законный интерес;
(51) Поскольку, тем не менее, освобождение от обязательства об уведомлении или его упрощение не освобождают оператора от любых других обязательств, обусловленных настоящей Директивой;
(52) Поскольку, в данном контексте, проверка ex post facto, осуществляемая компетентными властями, должна, в принципе, считаться достаточной мерой;
(53) Поскольку, тем не менее, отдельные операции по обработке могут создавать конкретные риски для прав и свобод субъектов данных, в соответствии с их характером, их масштабом или их целями, такие как недопущение физических лиц до пользования правом, льготой или договором, либо в силу специфического использования новых технологий; поскольку Государства-члены ЕС могут конкретизировать такие риски в своем законодательстве, если они того пожелают;
(54) Поскольку, по отношению ко всей обработке данных, предпринимаемой в обществе, ее объем, создающий такие конкретные риски, должен быть сильно ограничен; поскольку Государства-члены ЕС должны предусмотреть, что надзорный орган или служащий, занимающийся защитой данных во взаимодействии с этим органом, контролирует такую обработку перед тем, как она будет осуществлена; поскольку вслед за предварительной проверкой, надзорный орган может, в соответствии с национальным законодательством, дать заключение или разрешение, касающееся данной обработки; поскольку такая проверка может совершаться равным образом в процессе подготовки как законодательной меры национального парламента, так и меры, основанной на такой законодательной мере, которая определяет характер обработки и устанавливает соответствующие гарантии;
(55) Поскольку, если оператор не соблюдает права субъектов данных, национальное законодательство должно предусматривать судебную защиту этих прав; поскольку любой ущерб, который соответствующее лицо могло бы понести в результате неправомерной обработки данных, должен компенсироваться оператором, который может быть освобожден от ответственности, если он докажет, что он не отвечает за данный ущерб, в частности, в случаях, когда он установит нарушение со стороны субъекта данных или в случае обстоятельств непреодолимой силы; поскольку должны налагаться санкции на любое лицо, независимо от того, регулируется ли оно частным или публичным правом, которое нарушает национальные меры, принятые в соответствии с настоящей Директивой;
(56) Поскольку трансграничные потоки персональных данных необходимы для расширения международной торговли; поскольку защита физических лиц, гарантированная в Сообществе настоящей Директивой, не препятствует передаче персональных данных в третьи страны, которые обеспечивают достаточный уровень их защиты; поскольку достаточность уровня защиты, предоставляемой третьей страной, должна оцениваться в свете всех обстоятельств, связанных с операцией по передаче или с последовательностью операций по передаче;
(57) Поскольку, с другой стороны, должна быть запрещена передача персональных данных в третью страну, которая не обеспечивает достаточный уровень их защиты;
(58) Поскольку должны предусматриваться исключения из данного запрета в определенных случаях, когда субъект данных дал свое согласие, когда передача данных необходима в связи с договором или правом требования, когда того требует защита важного общественного интереса, например, в случаях международной передачи данных между налоговыми или таможенными органами, или между службами, компетентными в сфере социального обеспечения, или когда передача осуществляется из реестра, созданного по закону и предназначенного для доступа общественности или лиц, имеющих законный интерес; поскольку в таком случае передача данных не должна затрагивать все данные или целые категории данных, содержащихся в реестре, и, когда реестр предназначен для доступа лиц, имеющих законный интерес, передача данных должна производиться только по требованию данных лиц или если они будут их получателями;
(59) Поскольку могут быть приняты конкретные меры, чтобы компенсировать недостаток защиты данных в третьей стране в случаях, когда оператор предлагает соответствующие гарантии; поскольку, кроме того, должны предусматриваться процедуры переговоров между Сообществом и такими третьими странами;
(60) Поскольку во всяком случае передача данных в третьи страны может осуществляться только в полном соответствии с нормами, принятыми Государствами-членами ЕС согласно настоящей Директиве и, в частности, ее Статьи 8;
(61) Поскольку Государства-члены ЕС и Европейская Комиссия, в соответствующих сферах их компетенции, должны, чтобы способствовать применению настоящей Директивы, побуждать торгово-промышленные ассоциации и другие заинтересованные представительные организации разрабатывать Кодексы поведения, учитывающие конкретные характеристики обработки данных, осуществляемой в определенных отраслях, и соблюдающие национальные нормы, принятые во исполнение настоящей Директивы;
(62) Поскольку создание в Государствах-членах ЕС надзорных органов, полностью независимых в осуществлении своих функций, является важнейшим компонентом защиты физических лиц при обработке персональных данных;
(63) Поскольку такие органы должны располагать необходимыми средствами для осуществления их обязанностей, включая право проводить расследования и вмешиваться, особенно в случаях жалоб от физических лиц, и правомочия по участию в судебных процессах; поскольку такие органы должны способствовать обеспечению прозрачности при обработке данных в Государствах-членах ЕС, под юрисдикцию которых они подпадают;
(64) Поскольку властям в различных Государствах-членах ЕС потребуется взаимное содействие при исполнении их обязанностей, с тем, чтобы гарантировать, что правила защиты данных соблюдаются должным образом на всей территории Европейского Союза;
(65) Поскольку на уровне Сообщества должна быть создана рабочая группа по защите физических лиц при обработке персональных данных, полностью независимая при исполнении своих обязанностей; поскольку, принимая во внимание ее специфику, она должна консультировать Европейскую Комиссию и, в частности, способствовать единообразному применению национальных правил, принятых в соответствии с настоящей Директивой;
(66) Поскольку в отношении передачи данных в третьи страны применение настоящей Директивы требует предоставления Европейской Комиссии полномочий на исполнение и установления процедуры, изложенной в Решении Совета ЕС 87/373/ЕЭС*(5);
(67) Поскольку 20 декабря 1994 г. между Европейским парламентом, Советом ЕС и Европейской Комиссией было достигнуто соглашение о modus vivendi относительно мер по исполнению актов, принятых в соответствии с процедурой, установленной в Статье 189b Договора;
(68) Поскольку принципы, установленные в настоящей Директиве в отношении защиты прав и свобод физических лиц, в том числе права на неприкосновенность частной жизни, могут быть дополнены или уточнены в части обработки персональных данных конкретными правилами, основанными на данных принципах, особенно когда это касается определенных отраслей;
(69) Поскольку Государствам-членам ЕС следует предоставить срок не более трех лет с момента вступления в силу мер, преобразующих настоящую Директиву в национальное право, в течение которого они постепенно применят новые национальные правила ко всем уже осуществляющимся операциям по обработке данных; поскольку, чтобы способствовать рентабельности их реализации, Государствам-членам ЕС будет предоставлен дополнительный срок, истекающий через 12 лет после даты принятия настоящей Директивы, для обеспечения соответствия существующих ручных файловых систем отдельным нормам настоящей Директивы; поскольку, когда данные, содержащиеся в таких файловых системах, обрабатываются вручную в течение этого расширенного переходного периода, такие системы должны быть приведены в соответствие с этими нормами в момент такой обработки;
(70) Поскольку субъекту данных не нужно вновь давать свое согласие, чтобы после вступления в силу национальных норм, принятых в соответствии с настоящей Директивой, оператор продолжал обработку любых конфиденциальных данных, необходимых для исполнения договора, заключенного на основе свободного и сознательного согласия до вступления в силу данных норм;
(71) Поскольку настоящая Директива не препятствует Государствам-членам ЕС регулировать маркетинговую деятельность, направленную на потребителей, проживающих на их территории, насколько подобное регулирование не касается защиты физических лиц при обработке персональных данных;
(72) Поскольку настоящая Директива позволяет принимать во внимание принцип общественного доступа к официальным документам при реализации принципов, установленных в настоящей Директиве;
Приняли настоящую Директиву:
Глава I
Общие положения
Статья 1
Предмет Директивы
1. В соответствии с настоящей Директивой, Государства-члены ЕС защищают основные права и свободы физических лиц, и, в частности, их право на неприкосновенность частной жизни при обработке персональных данных.
2. Государства-члены ЕС не могут ни ограничить, ни запретить свободное обращение персональных данных между Государствами-членами ЕС по соображениям, связанным с защитой, предоставленной согласно параграфу 1.
Статья 2
Определения
Для целей настоящей Директивы:
(a) "персональные данные" означают любую информацию, относящуюся к определенному или определяемому физическому лицу ("субъекту данных"); определяемым является лицо, которое может быть определено, прямо или косвенно, в частности, через идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;
(b) "обработка персональных данных" ("обработка") означает любую операцию или последовательность операций, осуществляемых с персональными данными, с использованием автоматических средств или без такового, таких как сбор, запись, организация, хранение, модификация или замена, извлечение, консультирование, использование, раскрытие через передачу, распространение или предоставление доступа другим способом, блокирование, стирание или разрушение;
(c) "файловая система персональных данных" ("файловая система") означает любой структурированный набор персональных данных, доступных по определенным критериям, будь то централизованный, децентрализованный или распределенный по функциональному или географическому принципу;
(d) "оператор" означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; когда цели и способы обработки определены законодательством или подзаконными актами на национальном уровне или уровне Сообщества, оператор или конкретные критерии его назначения могут быть установлены национальным законодательством или законодательством Сообщества;
(e) "обработчик" означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который обрабатывает персональные данные от имени оператора;
(f) "третье лицо" означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который не является субъектом данных, оператор, обработчик и лица, управомоченные обрабатывать данные под прямым руководством оператора или обработчика;
(g) "получатель" означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, являющийся или нет третьим лицом, которому раскрывают данные; несмотря на это, органы власти, которые могут получать данные в рамках частного запроса, не рассматриваются как получатели;
(h) "согласие субъекта данных" означает любое свободно данное конкретное и сознательное указание на его желания, которым субъект данных выражает свое согласие на обработку относящихся к нему персональных данных.
Статья 3
Сфера применения
1. Настоящая Директива применяется к полной или частичной обработке персональных данных автоматизированными средствами и к обработке не автоматизированными средствами персональных данных, составляющих часть файловой системы или предназначенных составлять часть файловой системы.
2. Настоящая Директива не применяется к обработке персональных данных:
- в процессе деятельности, которая выходит за рамки права Сообщества, такой как указанная в V и VI Разделах Договора о Европейском Союзе, и, во всяком случае, в операциях по обработке, касающихся общественной безопасности, обороны, государственной безопасности (включая экономическое благосостояние государства, когда операция по обработке относится к вопросам государственной безопасности) и деятельности государства в сфере уголовного права,
- физическим лицом в процессе исключительно личной или бытовой деятельности.
Статья 4
Применимое национальное право
1. Каждое Государство-член ЕС применяет к обработке персональных данных национальные нормы, которые принимает в соответствии с настоящей Директивой, когда:
(a) обработка осуществляется в контексте деятельности учреждения оператора на территории Государства-члена ЕС; когда один оператор учрежден на территории нескольких Государств-членов ЕС, он должен принять необходимые меры, гарантирующие, что каждое из таких учреждений соблюдает обязательства, установленные применимым национальным правом;
(b) оператор учрежден не на территории Государства-члена ЕС, но в месте, в котором его национальное право применяется в силу международного публичного права;
(c) оператор не учрежден на территории Сообщества, и использует для обработки персональных данных оборудование, автоматизированное или нет, расположенное на территории указанного Государства-члена ЕС, если такое оборудование не используется только для целей транзита через территорию Сообщества.
2. В обстоятельствах, указанных в параграфе 1 (c), оператор должен назначить представителя, учрежденного на территории этого Государства-члена ЕС, без ущерба для судебных исков, которые могут быть предъявлены против самого оператора.
Глава II
Общие правила о законности обработки персональных данных
Статья 5*(6)
Государства-члены ЕС определяют более точно, в рамках положений настоящей Главы, условия, при которых обработка персональных данных является законной.
|