ДИРЕКТИВА
О ЗАЩИТЕ
ФИЗИЧЕСКИХ ЛИЦ
ПРИ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ
ДАННЫХ И О
СВОБОДНОМ
ПЕРЕМЕЩЕНИИ
ТАКИХ ДАННЫХ
Согласно этой Директивы, государства защищают основные права и свободы физических лиц и, особенно, их право на невмешательство в личную жизнь при обработке персональных данных.
Государства не ограничивают и не запрещают свободную передачу
персональных данных между государствами на основаниях, связанных
с защитой, предоставляемой в соответствии с пунктом 1.
(a) «персональные данные» – означают любую информацию, касается установленной физического лица или физического лица, которое можно установить («субъект данных») лицом, которое можно установить, есть такая, которая может быть установлена прямо или косвенно, в частности, за помощью идентификационного кода или одного, или более факторов, присущих физическим, физиологическим, умственным, экономическим, культурным или социальным аспектам его личности;
(b) «обработка персональных данных» («обработка») – означает любую
операцию или совокупность операций, осуществляемых с персональными
данными (с помощью или без помощи автоматизированных средств), таких как сбор, регистрация, организация, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие с помощью передачи, распространения или иного предоставления, упорядочения или комбинирование, блокирование, стирание или уничтожение;
(c) «картотека персональных данных» («картотека») – означает любой структурированный массив персональных данных, доступен по определенным критериям, независимо от того, является ли такой массив централизованным, децентрализованным или разделенным на функциональных или географических принципах;
(d) «контролёр» – означает физическое или юридическое лицо, государственный
орган, агентство или любой другой орган, отдельно или вместе с другими, определяет цели и средства обработки персональных данных; если цели и средства обработки определены законодательными или нормативными
положениями, контролёр или особые критерии его назначения могут определяться правом государства или законом;
(e) «оператор обработки данных» – означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, обрабатывает персональные данные от имени контролёра;
(f) «третья сторона» – означает любое физическое или юридическое лицо, государственный орган, агентство или любой другой орган, другой чем субъект данных, контролёр, оператор обработки данных и лица, что, будучи непосредственно подчиненными контролёру или оператору обработки данных, уполномоченные обрабатывать данные;
(g) «получатель» – означает физическое или юридическое лицо, государственный
орган, агентство или любой другой орган, которому предоставляются данные,
независимо к тому, третье лицо это или нет, однако, органы, которые могут
получать данные в рамках отдельного запроса, не рассматриваются как
получатели;
(h) «согласие субъекта данных» – означает любое свободно выраженное
специальное и информированный указания его желаний, с помощью которого субъект данных дает свое согласие на обработку персональных данных, которые его касаются.
1. Настоящая Директива применяется к обработке персональных
данных с помощью полного или частичного использования автоматизированных средств, а также к обработке неавтоматическими средствами персональных данных, является частью картотеки или предназначенные для внесения в картотеку.
2. Настоящая Директива не применяется к обработке персональных данных:
– в любом случае, к операциям по обработке данных, касающихся общественной безопасности, государственной безопасности (включая экономический благосостояние государства, если процесс обработки касается вопросов государственной безопасности) и деятельности государства в сфере уголовного права;
– если она проводится физическим лицом при деятельности исключительно личного или бытового характера.
Статья 4. Применяемое законодательство.
1. Каждое государство применяет положения законодательства, применяет в соответствии с настоящей Директивой, к обработке персональных данных, если:
(a) обработка осуществляется в контексте деятельности учреждения контролера на территории государства если же один и тот же контролёр основан на территории нескольких государств, он должен принять все необходимые меры для обеспечения того, что каждая из этих учреждений придерживается обязательств, предусмотренных соответствующим законодательством;
(b) контролёр основан не на территории государства, а в месте, где законодательство применяется в соответствии с международным публичным правом;
(c) контролёр, не основанный на территории государства, но с целью обработки персональных данных использует автоматизированное или любое другое оборудование, расположенное на территории упомянутого государства, при условии, что такое оборудование не используется исключительно с целью транзита через территорию государства.
2. При обстоятельствах, предусмотренных в подпункте (c) пункта 1, контролёр должен назначить представителя на территории этого государства, без ущерба для исполнительных исков, которые могут быть представлены против самого контролёра.
Глава II. Общие правила законности обработки персональных данных.
Статья 5.
Государства в рамках положений настоящей главы более точно
определяют условия, при которых обработка персональных данных является законной.
Раздел 1. Принципы, касающиеся качества данных.
Статья 6.
1. Государства предусматривают, что персональные данные должны:
(а) обрабатываться честно и законно;
(b) собираться для установленных, четких и законных целей и в дальнейшем не обрабатываться образом, несовместимым с этими целями.
Дальнейшая обработка данных в исторических, статистических или научных целях не рассматривается как несовместимое, если государства обеспечивают соответствующие гарантии;
(c) быть достоверными, соответствующими и не избыточными в отношении целей, ради которых они собираются и/или в дальнейшем обрабатываются;
(d) быть точными и, если необходимо, обновляться; следует принять все разумные меры, чтобы гарантировать, что данные, которые являются неточными
или неполными, с учетом целей, ради которых они были собраны или ради которых они в дальнейшем обрабатываются, стирались или исправлялись;
(e) храниться в форме, позволяющей устанавливать личность субъектов данных не дольше, чем это необходимо для целей, ради которых данные были собраны или ради которых они в дальнейшем обрабатываются. Государства должны соответствующие гарантии для персональных данных, хранящихся в течение более длительных периодов с целью исторического, статистического или научного использования.
2. Обеспечение соблюдения пункта 1 возлагается на контролёра.
Раздел II. Критерии законности обработки данных.
1. Государства предусматривают, что персональные данные могут обрабатываться только при условии, что:
(а) субъект данных недвусмысленно дал свое согласие; или
(b) обработка необходима для выполнения контракта, стороной которого является субъект данных, или для принятия мер по просьбе субъекта данных до подписания контракта; или
(c) обработка необходима для соблюдения правового обязательства, которым связан контролёр; или
(d) обработка необходима для защиты жизненно важных интересов субъекта данных; или
(e) обработка необходима для выполнения задания, осуществляемого в общественных интересах, или при выполнении официальных полномочий,
которыми наделен контролёр или третья сторона, которой предоставляются данные; или
(f) обработка необходима в целях законных интересов, преследуемых контролёром или третьей стороной, или сторонами, для которых предоставляются данные, кроме случаев, когда над такими интересами преобладают интересы основных прав и свобод субъекта данных, требующих защиты согласно пункту 1 статьи 1.
Раздел III. Особые категории обработки.
Статья 8. Обработка особых категорий данных.
1. Государства запрещают обработку персональных данных, указывающих на расовое или этническое происхождение, взгляды по убеждению, религиозные или философские убеждения и обработку данных, касающихся здоровья или половой жизни человека.
2. Пункт 1 не применяется, если:
(a) субъект данных дал свое недвусмысленное согласие на обработку этих
данных, кроме случаев, когда законодательство предусматривает, что запрет, упомянутый в пункте 1, не может быть снят при предоставлении согласия со стороны субъекта данных; или
(b) обработка необходима в целях выполнения обязательств и особых прав контролёра в области законодательства о трудоустройстве, в той мере, в которой это разрешено законодательством, предусматривающим адекватные гарантии; или
(c) обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица, если субъект данных не может дать свое согласие из–за своей недееспособности; или
(d) обработка проводится в ходе законной деятельности по соответствующими гарантиями учреждением, ассоциацией или любым другим некоммерческим органом в философских, религиозных или иных целях и при условии, что обработка касается исключительно членов этого органа или людей, в связи с этими целями находятся в постоянном контакте с ним, и данные не предоставляются третьему лицу без согласия субъектов данных; или
(e) обработка касается данных, явно обнародованы субъектами данных, необходима для возбуждения, выполнение или защиты исполнительных исков.
3. Пункт 1 не применяется, если обработка данных необходима в целях профилактической медицины, медицинской диагностики, оказания медицинских услуг или лечения, или для управления служб охраны здоровья, и если эти данные обрабатываются медицинским работником, что, в соответствии с законодательством или правилами, установленных национальными компетентными органами, связан обязательством сохранения профессиональной тайны или другим лицом, связана подобным обязательством сохранения тайны.
4. При условии предоставления соответствующих гарантий, государства
могут важной основании общественного интереса устанавливать исключения в дополнение к тем, которые предусмотрены в пункте 2, с помощью закона, или решение надзорного органа.
5. Обработка данных, касающихся правонарушений, обвинение по уголовным делам или средств безопасности, может производиться только под контролем официального органа или если законодательство предусматривает соответствующие специальные гарантии, с исключениями, которые могут
быть предоставлены государством в соответствии с положениями законодательства, предусматривающим соответствующие специальные гарантии. Однако, полный реестр обвинений по уголовным делам может вестись только под контролем официального органа.
Государства могут предусмотреть, что данные об административных санкциях или о решениях исполнительных органов по гражданским делам также должны
обрабатываться под контролем официального органа.
6. Отступления от пункта 1, предусмотренные в пунктах 4 и 5,
доводятся до сведения Комиссии.
7. Государства определяют условия, при которых может обрабатываться
национальный идентификационный код или любой другой идентификатор
общего применения.
Статья 9. Обработка персональных данных и свобода самовыражения.
Государства предусматривают исключения или отступления от положений
настоящей главы, главы IV и главы VI, в том, что касается обработки
персональных данных, проводится исключительно для целей журналистики
или художественной или литературного творчества, при условии, что они
необходимы, для согласования права на невмешательство в личную жизнь с
нормами, регулирующими свободу самовыражения.
Раздел IV. Информация, предоставляемая субъекту данных.
Статья 10. Информация в случае сбора данных от субъекта данных.
Государства предусматривают, что контролёр или его представитель
должны предоставить субъекту данных, у которого собираются данные к нему самого, по крайней мере следующую информацию, кроме случаев, когда в него уже есть эта информация:
(A) лицо контролёра и его представителя, если таковой имеется;
(B) цели обработки, для которой предназначены данные;
(C) любая дополнительная информация, например:
– получатели или категории получателей данных;
– обязательность или добровольность ответы на вопросы, а также возможные последствия за непредоставление ответа;
– существование права доступа и права на исправление данных, его касающихся в той мере, в которой такая дополнительная информация необходима, учитывая особые обстоятельства, при которых данные собираются, для гарантии справедливой обработки в отношении субъекта данных обработки.
Статья 11. Информация в случае, если данные не были получены от субъекта данных.
1. В случае, если данные не были получены от субъекта данных,
государства предусматривают, что контролёр или его представитель
должны при регистрации персональных данных или, если предусмотрено
разглашение данных третьему лицу не позднее того времени, когда данные
впервые разглашаются предоставить субъекту данных следующую информацию, кроме случаев, когда у него уже есть эта информация:
(A) лицо контролёра и его представителя, если таковой имеется;
(C) любая дополнительная информация, например:
– категории используемых данных;
– получатели или категории получателей;
– существование права доступа и права на исправление данных, его касающихся в той мере, в которой такая дополнительная информация необходима, учитывая особые обстоятельства, при которых данные обрабатываются, для гарантии справедливой обработки в отношении субъекта данных обработки.
2. Пункт 1 не применяется в определенных случаях, в частности при обработке данных в статистических целях или с целью исторических или научных исследований, когда предоставление такой информации оказывается
невозможным или может повлечь непропорциональные усилия или когда
регистрация или предоставление данных четко предусмотрено законодательством. В этих случаях государства предоставляют соответствующие гарантии.
Раздел V. Право субъекта данных на доступ к данным.
Государства обеспечивают каждому субъекту данных право получить от контролёра:
(a) без ограничений через разумные промежутки времени и без чрезмерной
задержки или расходов:
– подтверждение того, обрабатываются или нет данные, которые его касаются, и информацию, по крайней мере, о целях обработки, категории рассматриваемых данных и о получателях или категории получателей, которым предоставляются данные;
– сообщение ему в понятной форме о том, что данные находятся в процессе обработки, и любую другую доступную информацию по их источники;
– информацию о логике, используемой при автоматизированной обработки данных, касающихся его, по крайней мере, в случае автоматизированных решений, упомянутых в статье 15 (1);
(b) в зависимости от случая, исправления, стирания или блокирования данных, обработка которых не соответствует положениям данной Директивы, в частности из–за неполноты или неточности данных;
(c) сообщение третьим сторонам, которым были предоставлены данные о любое исправление, стирание или блокирование, выполнено в соответствии с подпунктом (b), если это возможно или не требует непропорциональных усилий.
Раздел VI. Исключения и ограничения.
Статья 13. Исключения и ограничения.
1. Государства могут применять законодательные меры для ограничения объемов обязанностей и прав, предусмотренных в статьях 6 (1), 10, 11 (1), 12 и 21, если такое ограничение необходимо, чтобы гарантировать:
(a) государственной безопасности;
(b) общественной безопасности;
(c) предотвращение, расследование, выявление и преследование уголовных преступлений или нарушений этики определенных профессий,
(d) важный экономический или финансовый интерес государства, включая монетарные, бюджетные и налоговые вопросы;
(e) мониторинг, контроль и регулятивную функцию, связанную, даже изредка, с выполнением официальных полномочий в случаях, указанных в подпунктах (c), (d) и
(e) защита субъекта данных или прав и свобод других лиц.
2. При условии выполнения соответствующих правовых гарантий, в частности
того, что данные не используются для принятия мер или принятия решений по любой конкретного человека, государства могут, при явном отсутствии какого–либо риска вмешательства в личную жизнь, ограничить путем законодательного мероприятия права, предусмотренные в статье 12, если данные обрабатываются исключительно с целью научных исследований сохраняются в личной форме в течение периода, не превышающего период времени, необходимого только для цели создания статистики.
Раздел VII. Право субъекта данных на возражения.
Статья 14. Право субъекта данных на возражения.
Государства должны субъекту данных право:
(a) по крайней мере в случаях, предусмотренных в подпунктах (e) и (f) статьи 7, отрицать в любое время на несомненных законных основаниях, связанных с его конкретной ситуацией, против обработки данных, касающихся его, за исключением случаев если иное не предусмотрено законодательством. При наличии обоснованного возражения в начавшейся контролёром обработке больше не могут использоваться такие данные;
(b) отрицать, по требованию и бесплатно, против обработки персональных данных, касающихся его и которые контролёр намерен обработать с целью прямого маркетинга, быть проинформирован до того, как персональные данные будут впервые предоставляться третьим лицам или использоваться от их имени с целью прямого маркетинга, при этом ему четко предлагается право на бесплатное возражение, против такого предоставления или использования данных.
Государства принимают необходимые меры для обеспечения того, чтобы субъекты данных были осведомлены о существовании права, о котором идет речь в первой части подпункта (b).
Статья 15. Автоматизированные индивидуальные решения.
1. Государства должны каждому человеку право на то, чтобы по ней не принималось решение, что имеет для нее правовые последствия или в значительной степени затрагивает ее и основанное исключительно на автоматизированной обработке данных, предназначенной для оценки некоторых
его личностных характеристик, например выполнения ею профессиональных обязанностей, финансовой способности, надежности, поведения и т.д.
2. В соответствии с другим статьям данной Директивы, государства
предусматривают, что в отношении лица может быть принято решение о
котором идет речь в пункте 1, если это решение:
(a) принято в ходе заключения или исполнения контракта, по условия, что просьба о заключении или выполнении контракта, поданное субъектом данных, было довольно или существуют соответствующие меры для защиты его законных интересов, например – меры, позволяющие ему выразить свою точку зрения; или
(b) санкционированное законом, также предусматривает меры по защите законных интересов субъекта данных.
Раздел VIII. Конфиденциальность и безопасность обработки.
Статья 16. Конфиденциальность обработки.
Любое лицо, которое действует в подчинении контролёру или оператору обработки, включая самого оператора обработки, который имеет доступ к персональным данным, не должны обрабатывать их иначе, как по указанию контролера, за исключением тех случаев, когда это требуется законом.
Статья 17. Безопасность обработки.
1. Государства предусматривают, что контролёр должен осуществлять соответствующие технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения, или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, если обработка включает передачу данных по сети, и от всех незаконных форм обработки.
Такие меры, с учетом нынешнего положения вещей и стоимости их осуществления, должны обеспечивать уровень безопасности, сопоставимый с риском, что сопровождает обработку, и с природой защищаемых данных.
2. Государства предусматривают, что контролёр должен, в случае обработки от своего имени, выбрать оператора обработки, предоставляет достаточные гарантии относительно технических мер безопасности и организационных мер, регулирующих обработку, которая должна проводиться, и должен обеспечить выполнение этих мероприятий.
3. Осуществление обработки с помощью оператора обработки данных должно регулироваться договором или правовым актом, оператор обработки данных подчиняется контролёру и предусматривающий, в частности, следующее:
– оператор обработки данных должен действовать только по указаниям
контролера;
– обязательства, изложенные в пункте 1 и определенные законодательством на территории государства, в котором назначен оператор обработки данных, должны также применяться к оператору обработки.
4. В целях сохранения доказательств, разделы договора или юридического акта о защите данных и требования о мерах, упомянутые в пункте 1, должны быть изложены в письменной форме или в другой равносильной форме.
Статья 18. Обязательства сообщать надзорный орган.
1. Государства предусматривают, что контролёр или его представитель, если таковой существует, должны сообщить надзорный орган, упомянутый в статье 28 об обработке к проведению любой полной или частичной автоматизированной операции по обработке данных или совокупности таких операций, предназначенных служить единой цели или нескольким взаимосвязанным целям.
2. Государства могут предусмотреть упрощение или освобождения от сообщения только в следующих случаях и при следующих условиях:
– если для категорий операций по обработке, которые, принимая во внимание
данные, будут обрабатываться, вряд ли могут нанести ущерб правам и свободам субъектов данных, они определяют цели обработки данных, данные или категории данных, которые проходят обработку, категорию или категории субъектов данных, получателей или категории получателей, которым будут предоставлены данные, и период времени, в течение которого данные будут храниться, и/или
– если контролёр соответствии с национальным правом, которым он
руководствуется, назначает должностное лицо по защите персональных данных, что, среди прочего, отвечает за следующее:
– обеспечение в независимый образ внутреннего применения положений законодательств, применяемых во исполнение настоящей Директивы;
– ведение реестра операций по обработке, проводимой контролёром и содержит информацию, упомянутую в пункте 2 статьи 21, в такой способ обеспечивая то, что операции по обработке вряд ли нанесут вред правам и свободам субъектов данных.
3. Государства могут предусмотреть, что пункт 1 не применяется к обработке, целью которой является ведение реестра, что, в соответствии с законодательными или нормативными положениями, предназначен для предоставления информации общественности и открыт для консультирования или населения в целом или какой–либо лица, проявляет законный интерес.
4. Государства могут предусмотреть освобождение от обязательства по уведомлению или упрощения системы сообщение случае осуществления операций по обработке, указанных в подпункте (d) пункта 2 статьи 8.
5. Государства могут предусмотреть сообщение о некоторых или все неавтоматизированные операции с персональными данными или предусмотреть упрощенный порядок уведомления об этих операциях с обработки.
Статья 19. содержание сообщения.
1. Государства определяют информацию, которая должна содержаться в сообщении.
Она должна включать, по крайней мере, следующее:
(a) имя и адрес контролёра и его представителя, если таковой имеется;
(c) описание категории или категорий субъектов данных или категорий их персональных данных;
(d) получателей или категории получателей, которым могут предоставляться данные;
(e) передачи данных, предусматриваются, третьим странам;
(f) общее описание, что позволяет сделать предварительную оценку соответствия мер, принятых согласно статье 17 для обеспечения безопасности обработки.
2. Государства должны процедуры, согласно которым надзорный орган должен быть уведомлен о любом изменении, что затрагивает информацию, упомянутую в пункте 1.
Статья 20. предварительная проверка.
1. Государства определяют операции по обработке, которые могут иметь определенный риск для прав и свобод субъектов данных, и проверяют, чтобы эти операции по обработке изучались до начала обработки.
2. Такие предварительные проверки осуществляются надзорным органом после получения сообщения от контролёра или должностного лица с вопросом защиты данных, при возникновении сомнений должны советоваться с надзорным органом.
3. Государства могут также проводить такие проверки в связи с подготовкой законодательной меры или мероприятия, основанный на таком законодательном уровне и определяет характер обработки и устанавливает соответствующие гарантии.
Статья 21. Объявления операций по обработке.
1. Государства принимают меры для обеспечения того, что операции по обработке оглашаются.
2. Государства предусматривают, что надзорный орган должен вести реестр операций по обработке, сообщение о которых происходит в соответствии со статьей 18.
Реестр должен содержать, по крайней мере, информацию, перечисленную в
подпунктах (a) – (e) пункта 1 статьи 19. Любое лицо может проверить такой реестр.
3. Государства предусматривают в отношении операций с обработки, сообщение о которых не предусматриваются, что контролеры или другие органы, предназначенные государствами, оказывают после запроса любого лица в соответствующей форме, по крайней мере, информацию, перечисленную в подпунктах (a) – (e) пункта 1 статьи 19.
Государства могут предусмотреть, что это положение не применяется к обработке, целью которой является ведение реестра, в соответствии с законодательным или нормативным положением, предусматривает предоставление информации населению и открытый для консультирования или для населения в целом или для любого лица, что может доказать свой законный интерес.
Глава III. Средства государственной защиты, ответственность и санкции.
Статья 22. Средства защиты.
Без ущерба для любого административного средства защиты, может быть предусмотрен, в том числе защиты надзорным органом, упомянутом в статье 28 до обращения в исполнительный орган государства предусматривают право каждого человека на средства государственной защиты от любого нарушения прав, гарантированных ему законодательством, применяется к соответствующей обработки.
1. Государства предусматривают, что любое лицо, которому причинен ущерб в результате незаконной операции по обработке или любого действия, несовместимой с положениями законодательства, применяемыми в соответствии с настоящей Директивой, имеет право на получение компенсации от контролера за причиненный ущерб.
2. Контролёр может быть освобожден от этой ответственности полностью или частично, если он докажет, что не является ответственным за случай, ставший причиной ущерба.
Государства принимают соответствующие меры для обеспечения полного выполнения положений данной Директивы и, в частности устанавливают санкции, должны накладываться в случае нарушения положений, принятых в соответствии с настоящей Директивой.
Глава IV. Передача персональных данных третьим странам.
Статья 25. Принципы.
1. Государства предусматривают, что передача третьей стране персональных данных, проходящих обработку или предназначены для прохождения обработки после передачи, может происходить при условии, что рассматриваемая третья страна гарантирует адекватный уровень защиты, без ущерба для выполнения положений законодательства, применяемых в соответствии с другими положениями данной Директивы.
2. Адекватность уровня защиты, предоставленного третьей страной, рассматривается в свете всех обстоятельств сделки по передаче данных или
совокупности операций по передаче данных; особое внимание следует
обратить на характер данных, цель и продолжительность предложенной операции или операций по обработке, страну происхождения данных и страну
конечного назначения данных, общие и отраслевые нормы права,
действующие в рассматриваемой третьей стране, и профессиональные правила и меры безопасности, выполняются в этой стране.
3. Государства и Комиссия информируют друг друга о случаях, когда они считают, что третья страна не обеспечивает адекватного уровня защиты, предусмотренного пунктом 2.
4. Если Комиссия приходит к выводу, в соответствии с процедурой, предусмотренной в статье 31 (2), третья страна не обеспечивает адекватного уровня защиты, предусмотренного пунктом 2 настоящей статьи, государства принимают меры, необходимые для предотвращения любой передачи данных этого же вида соответствующей третьей стране.
5. В положенное время Комиссия проводит переговоры с целью исправления сложившейся ситуации в результате выявления фактов согласно пункту 4.
6. Комиссия может прийти к выводу, согласно процедуре, упомянутой в пункте 2 статьи 31, что третья страна обеспечивает адекватный уровень защиты, предусмотренного пунктом 2 настоящей статьи, руководствуясь законодательством или международными обязательствами, которые он взял на себя, особенно после завершения переговоров, предусмотренных в пункте 5, по защите личной жизни и основных свобод, и прав физических лиц. Государства принимают меры, необходимые для выполнения решения Комиссии.
Статья 26. Отступления.
1. В отступление от статьи 25 и кроме случаев, когда иное предусмотрено законодательством, регулирующим особые случаи, государства предусматривают, что передача или совокупность передач персональных данных третьей стране, которая не обеспечивает адекватный уровень защиты, упомянутый в пункте 2 статьи 25 может происходить при условии, что:
(a) субъект данных дал свое недвусмысленное согласие на предлагаемую передачу данных; или
(b) передача данных необходима для исполнения контракта между субъектом данных и контролером или для выполнения мероприятий, предшествующих договора и принятые в ответ на просьбу субъекта данных; или
(c) передача данных необходима для заключения или исполнения
контракта, заключенного в интересах субъекта данных между контролёром и
третьей стороной; или
(d) передача данных необходима ли юридически обязательное на важных основаниях общественных интересов или для установления, исполнения или защиты правовых требований; или
(e) передача данных необходима для защиты жизненно важных интересов субъекта данных; или
(f) передача данных сделана из реестра, целью которого, в соответствии с законодательными актами или положением, является предоставление информации населению и открытый для консультаций или населения в целом или любого человека, который может продемонстрировать законный интерес, в том объеме, при котором условия, предусмотренные в законодательстве, выполняются в особом случае.
2. Без ущерба для пункта 1, государство может позволить передачу или совокупность передач персональных данных третьей стране, что не обеспечивает адекватного уровня защиты, предусмотренного в пункте 2 статьи 25, если контролёр предоставляет соответствующие гарантии по защите прав частных и основных прав и свобод физических лиц и в том, что касается осуществления соответствующих прав; такие гарантии могут, в частности, стать результатом соответствующих условий договора.
3. Государство сообщает Комиссии и другие государства о разрешении, которые оно дает в соответствии с пунктом 2.
Если государство или Комиссия возражают против этого на обоснованных основаниях, касающиеся защиты прав частных и основных прав и свобод физических лиц, Комиссия принимает соответствующие меры согласно процедуре, предусмотренной в пункте 2 статьи 31 государства принимают необходимые меры для выполнения решения Комиссии.
4. Если Комиссия в соответствии с процедурой, предусмотренной в пункте 2 статьи 31, решает, что некоторые стандартные условия договора предлагают достаточные гарантии, как того требует пункт 2, государства принимают необходимые меры для выполнения решения Комиссии.
Глава V. Кодексы поведения.
Статья 27.
1. Государства и Комиссия способствуют разработке кодексов поведения, целью которых является содействие надлежащему выполнению положений законодательства, применяемых государствами в соответствии с данной Директивы, с учетом характерных особенностей различных отраслей.
2. Государства предусматривают, чтобы органы труда и другие органы,
представляющие другие категории контролёров и которые разработали
проекты кодексов поведения или которые намерены изменить или
дополнить существующие кодексы, могли представить их на
рассмотрение Председателю всемирного верховного совета – совета безопасности.
Государства предусматривают, что такой орган должен удостовериться, среди прочего, в том, соответствуют ли представленные проекты положениям законодательства, применяемым в соответствии с данной Директивой. Если орган считает это необходимым, он может поинтересоваться мнением субъектов данных или их представителей.
3. Проекты местных положений/внутренних документов и изменения, и дополнения в существующие местные положения/внутренние документы могут быть предоставлены Рабочей группе, упомянутой в статье 29. Эта Рабочая группа определяет, среди прочего, или отвечают предоставленные проекты положениям законодательства, применяемым в соответствии с данной Директивой. Если орган считает это необходимым, он может поинтересоваться мнением субъектов данных или их представителей. Комиссия может обеспечить соответствующее обнародования местных положений/внутренних документов, одобренных Рабочей группой.
Глава VI. Надзорный орган и Рабочая группа по защите физических лиц при обработке персональных данных.
Статья 28. Надзорный орган.
1. Каждое государство предусматривает, что один или более государственных
органов отвечающих за мониторинг применения в пределах ее территории местных положений/внутренних документов, применяемых государствами–в соответствии с данной Директивой.
Эти органы действуют в полной независимости при осуществлении функций,
которыми они наделены.
2. Каждое государство предусматривает, что при разработке административных мер или положений, касающихся защиты прав и свобод физических лиц при обработке персональных данных, проводятся консультации с надзорными органами.
3. Каждый орган, в частности, наделенный:
– такими следовательными полномочиями, как право доступа к данным, что является предметом операций по обработке и право собирать всю информацию, необходимую для выполнения его обязанностей по осуществлению надзора;
– эффективными полномочиями на вмешательство, например предоставление
выводов к осуществлению операций по обработке в соответствии со статьей
20, и обеспечения соответствующего опубликования таких заключений,
издание распоряжений о блокировании, стирания или уничтожения данных,
наложение временной или окончательной запрета на обработку данных,
предупреждения или вынесения выговоры контролёру, или полномочия
обращаться в национальные публичные органы;
– право участвовать в делопроизводстве, если были нарушены местные положения/внутренние документы, применяемые в соответствии с настоящей Директивой, или доказать эти нарушения до сведения исполнительных органов.
Решение надзорного органа, вызвавшие жалобы, могут быть обжалованы в публичном органе.
4. Каждый надзорный орган рассматривает запросы, сделанные любым лицом или объединением, представляющим интересы этого лица, о защите его прав и свобод при обработке персональных данных. Лицо, которого это касается, должно быть проинформировано о результатах рассмотрения запроса.
Каждый надзорный орган, в частности, рассматривает запросы о проверке законности обработки данных, сделанные любым лицом, в случаях, когда применяются местные положения/внутренние документы, применяемые в соответствии со статьей 13 настоящей Директивы. Такое лицо должно в
любом случае быть информировано о том, что проверка должна быть на месте.
5. Каждый надзорный орган регулярно составляет отчет о своей деятельности. Отчет должен обнародоваться.
6. Каждый надзорный орган должен выполнять на территории государства полномочия, которыми он наделен в соответствии с пунктом 3. Каждый орган может получить просьбу о выполнении его полномочий от органа другого государства.
Надзорные органы сотрудничают друг с другом в той мере, насколько это необходимо для выполнения их обязанностей, в частности, путем обмена всей полезной информацией.
7. Государства предусматривают, что даже после освобождения должностных лиц и персонала надзорного органа распространяется обязанность хранить профессиональную тайну в отношении конфиденциальной информации, к которой они имеют доступ.
Статья 29. Рабочая группа по защите физических лиц при обработке персональных данных.
1. Настоящим создается Рабочая группа по защите физических лиц при
обработке персональных данных, в дальнейшем – «Рабочая группа». Она имеет
консультативный статус, в своей деятельности руководствуется Законами и актами. Рабочая группа состоит из представителя надзорного органа или органов, предназначенного каждым государством, и представителя от органа или
органов, созданных для учреждений, а также представителя Всемирного верховного совета – совета безопасности.
2. Каждый член Рабочей группы назначается учреждением, органом или органами, которые он представляет. Если государство создало более чем один надзорный орган, они назначают общего представителя. Те же положения должны применяться к иным органам, созданным для учреждений.
3. Рабочая группа принимает решения простым большинством представителей надзорных органов.
4. Рабочая группа выбирает своего председателя. Срок полномочий председателя составляет два года. Он может выбираться повторно.
5. Представительство Рабочей группы обеспечивается Государственным национальным банком.
6. Рабочая группа применяет установленные правила в законном порядке.
7. Рабочая группа рассматривает вопросы, вынесенные на повестку дня
председателем или по своей инициативе, либо по просьбе представителя надзорного органа или органов, или по просьбе Комиссии.
Статья 30.
(a) рассматривает любой вопрос, касающийся применения национальных мер, применяемых в соответствии с настоящей Директивой, с целью содействия общему применению таких мер;
(b) представляет Комиссии выводы относительно уровня защиты в сообществе и в третьих странах;
(c) сообщает в Комиссию о любой предложенной поправке к местному положению/внутреннему документу о каких–либо дополнительных или особые меры по защите прав и свобод физических лиц при обработке персональных данных и о любых других предложенных мерах, касающиеся этих прав и свобод;
(d) выносит заключение о местных положениях/внутренних документах, составленных на высоком уровне.
2. Если Рабочая группа обнаруживает, что между законами или практикой
государств возникают разногласия, которые могут нарушить уровень защиты лиц при обработке персональных данных, она соответствующим образом извещает об этом в Комиссию.
3. Рабочая группа может по своей инициативе давать рекомендации по всем вопросам, которые касаются защиты лиц при обработке персональных данных в сообществе.
4. Выводы и рекомендации Рабочей группы передаются комитету, предусмотренному статьей 31.
5. Комиссия сообщает Рабочей группе о действиях, предпринятых в ответ на ее выводы и рекомендации. Сообщение делается в виде доклада, также подается в Международный парламент. Доклад должен быть обнародован.
6. Рабочая группа составляет ежегодный отчет о ситуации относительно защиты физических лиц при обработке персональных данных в сообществе и в третьих странах, которую она предоставляет в Комиссию. Отчет должен быть обнародован.
Комиссии помогает Комитет, состоящий из представителей государств и возглавляется представителем Комиссии.
Представитель Комиссии представляет Комитету проект мер, которые следует применять.
Комиссия применяет меры, которые должны применяться немедленно. Однако, если эти меры не совпадают с заключением Комитета, Комиссия немедленно уведомляет об этом Международный парламент.
– Комиссия откладывает применение принятых им средств на три месяца с момента уведомления о них,
– Председатель, может принять другое решение в пределах срока, предусмотренного в первом абзаце.
Статья 32. Заключительные положения.
1. Государства применяют законодательные, нормативные и административные положения, необходимые для выполнения данной Директивы.
Когда государства применяют такие положения, последние должны содержать ссылку на данную Директиву или сопровождаться такой ссылкой в местном положении/внутреннем документе в случае их официальной публикации. Методы, по которым делается такое ссылки, устанавливаются государствами.
2. Государства гарантируют, что обработка данных, применяемых актов в соответствии с настоящей Директивой, будет происходить, в установленном порядке.
Государства предоставляют субъекту данных право на его просьбу и, в частности, во время осуществления его права на доступ, исправлять, стирать или блокировать данные, являются неполными, неточными или хранятся в форме,
несовместимой с законными целями, преследуемыми контролёром.
3. В отступление от пункта 2, государства могут предусматривать, что при наличии соответствующих гарантий данные, хранятся только с целью исторического исследования, не нужно приводить в соответствие со статьями 6, 7 и 8 данной Директивы.
4. Государства должны представить Комиссии текст законодательства, которое они применяют в данной сфере.
Статья 33.
Комиссия регулярно докладывает Международному парламенту, начиная не позднее чем через три года с даты, указанной в пункте 1 статьи 32, о выполнении данной Директивы, при необходимости добавляя к своему докладу соответствующие предложения. Доклад подлежит обнародованию.
Комиссия изучает, среди прочего, применения данной Директивы к обработки звуковых и визуальных данных, касающихся физических лиц, и представляет любые соответствующие предложения, необходимые с точки зрения достижений в информационных технологиях и в свете уровня прогресса в информационном сообществе.
Данная Директива адресована всем государствам.
Утверждено Председателем всемирного верховного совета – совета безопасности
