(f) необхідно опрацьовувати персональні дані у спосіб, який забезпечує належну безпеку персональних даних, включаючи захист проти опрацювання без належного дозволу або незаконного опрацювання, а також випадкової втрати, знищення або пошкодження із застосуванням належних технічних або організаційних заходів ("цілісність та конфіденційність").
2. Європейська прокуратура несе відповідальність за і повинна бути в змозі продемонструвати дотримання параграфа 1 ("підзвітність") при опрацюванні персональних даних повністю чи частково із застосуванням автоматизованих засобів та при опрацюванні персональних даних із застосуванням неавтоматизованих засобів, які формують частину картотеки або призначені для внесення до картотеки.
3. Опрацювання даних Європейською прокуратурою з будь-якою з цілей, визначених статтею 49, відмінних від тих, з якими було зібрано оперативні персональні дані, повинно дозволятися мірою, якою:
(a) Європейська прокуратура має повноваження щодо опрацювання таких оперативних персональних даних з цією метою відповідно до цього Регламенту; та
(b) опрацювання є необхідним і пропорційним для визначеної іншої мети відповідно до права Союзу; та
(c) якщо релевантно, використання оперативних персональних даних не заборонено застосовним національним процесуальним правом щодо слідчих дій, здійснених відповідно до статті 30. Застосовним національним процесуальним правом є право держави-члена, у якій було отримано дані.
Стаття 48. Адміністративні персональні дані
1. Регламент (ЄС) № 45/2001 застосовується до всіх адміністративних персональних даних, які опрацьовує Європейська прокуратура.
2. Європейська прокуратура повинна визначити часові обмеження для зберігання адміністративних персональних даних у положеннях щодо захисту даних у своєму внутрішньому регламенті.
Стаття 49. Опрацювання оперативних персональних даних
1. Європейська прокуратура опрацьовує оперативні персональні дані за допомогою автоматизованих засобів або у структурованих файлах, створених за допомогою ручних засобів, відповідно до цього Регламенту та лише з такими цілями:
(a) розслідування і переслідування у кримінальних справах, які здійснюються відповідно до цього Регламенту; або
(b) обмін інформацією з компетентними органами держави-членів ЄС та іншими установами, органами, офісами та агентствами Союзу відповідно до цього Регламенту; або
(c) співпраця з третіми країнами або міжнародними організаціями відповідно до цього Регламенту.
2. Категорії оперативних персональних даних та категорії суб’єктів персональних даних, чиї оперативні персональні дані можуть бути опрацьовані Європейською прокуратурою в рамках каталогу, як вказано у пункті (b) статті 44(4), з будь-якою метою, зазначеною у параграфі 1 цієї статті, наведені у додатку відповідно до параграфа 3.
3. Комісію уповноважено ухвалювати делеговані акти відповідно до статті 115 для визначення переліку категорій оперативних персональних даних та категорій суб’єктів даних, зазначених у параграфі 2 цієї статті, та оновлення такого переліку для врахування розвитку інформаційних технологій та в світлі прогресу в інформаційному суспільстві.
До делегованих актів, ухвалених відповідно до цього параграфа, застосовують процедуру, передбачену в статті 116, якщо того вимагають імперативні міркування нагальності.
4. Європейська прокуратура може тимчасово опрацьовувати оперативні персональні дані з метою визначення, чи такі дані є релевантними з огляду на її завдання та з цілями, зазначеними у параграфі 1. Колегія, діючи за поданням Головного прокурора ЄС та після консультацій із Європейським інспектором із захисту даних, повинна додатково уточнити умови опрацювання таких оперативних персональних даних, зокрема, у частині доступу до таких даних та їх застосування, а також часових обмежень для зберігання та видалення таких даних.
5. Європейська прокуратура опрацьовує оперативні персональні дані у спосіб, який дозволяє визначити, який орган надав дані або звідки їх було отримано.
6. При застосуванні статей 57-62, Європейська прокуратура повинна, якщо доцільно, діяти відповідно до національного процесуального права щодо обов’язку надавати інформацію суб’єкту даних та можливостей запобігти наданню такої інформації, обмежити або відтермінувати його. Якщо доцільно, провідний делегований прокурор ЄС проводить консультації з іншими делегованими прокурорами ЄС, залученими до справи, перед ухваленням рішення стосовно визначеного у статтях 57-62.
Стаття 50. Часові обмеження щодо зберігання оперативних персональних даних
1. Європейська прокуратура періодично переглядає необхідність зберігання опрацьованих оперативних персональних даних. Найпізніше такий перегляд здійснюється не пізніше, ніж через три роки після першого опрацювання оперативних персональних даних, а потім кожні три роки після цього. Якщо оперативні персональні дані зберігаються протягом періоду, який перевищує п’ять років, інформація про це повинна надаватися Європейському інспектору із захисту даних.
2. Оперативні персональні дані, опрацьовані Європейською прокуратурою, не повинні зберігатися довше за п’ять років після остаточного виправдального рішення у справі; у випадку, якщо підозрюваного було визнано винним, ці часові обмеження продовжуються до виконання призначеного покарання або настання моменту, коли його неможливо виконати відповідно до права держави-члена, яка призначила покарання.
3. Перед закінченням одного з часових періодів для зберігання, зазначених у параграфі 2, Європейська прокуратура повинна переглянути необхідність продовження зберігання оперативних персональних даних, якщо це необхідно для здійснення її завдань та на необхідний для цього період. Причини для подальшого зберігання повинні бути обґрунтовані та зафіксовані. За відсутності рішення про подальше зберігання оперативних персональних даних, такі дані повинні автоматично видалятися.
Стаття 51. Розрізнення між різними категоріями суб’єктів даних
Європейська прокуратура повинна мірою, якою це можливо, чітко розрізняти оперативні персональні дані різних категорій суб’єктів даних, як-от:
(a) осіб, щодо яких існують серйозні підстави вважати, що вони вчинили або планують вчинити кримінальний злочин;
(b) осіб, засуджених за вчинення кримінального злочину;
(c) жертв кримінальних злочинів або осіб, щодо яких певні факти дають підстави вважати, що вони могли стати жертвою злочину; та
(d) інших сторін кримінального злочину, зокрема осіб, які можуть бути викликані як свідки у розслідуваннях або подальшому кримінальному провадженні, осіб, які можуть надати інформацію стосовно злочинів або контактних осіб чи помічників осіб, зазначених у пунктах (a) і (b).
Стаття 52. Розрізнення між оперативними персональними даними та перевіркою якості персональних даних
1. Європейська прокуратура повинна розрізняти, наскільки це можливо, оперативні персональні дані, які ґрунтуються на фактах, від оперативних персональних даних, які ґрунтуються на особистих оцінках.
2. Європейська прокуратура вживає усіх належних заходів для гарантування того, що неточні, неповні або вже неактуальні оперативні персональні дані не передаються, і до них не надається доступ. З цією метою, Європейська прокуратура повинна, наскільки це практично здійсненно, перевіряти якість оперативних персональних даних перш ніж вони передаються або до них надається доступ. Наскільки це можливо, під час всіх передавань оперативних персональних даних Європейська прокуратура додає необхідну інформацію. яка дає змогу отримувачу оцінити рівень достовірності, повноти та надійності оперативних персональних даних і ступінь їх актуальності.
3. Якщо виявиться, що було передано неправильні оперативні персональні дані або дані було передано незаконним шляхом, про це без затримки повідомляють отримувача. У такому випадку до оперативних персональних даних вносяться виправлення чи їх видаляють, або опрацювання обмежується відповідно до статті 61.
Стаття 53. Особливі умови опрацювання
1. Якщо цього вимагають положення цього Регламенту, Європейська прокуратура визначає особливі умови опрацювання та повідомляє отримувача таких оперативних персональних даних про такі умови та вимоги щодо їх виконання.
2. Європейська прокуратура дотримується особливих умов опрацювання у випадках, коли такі особливі умови визначені національним органом відповідно до статті 9(3) і (4) Директиви (ЄС) 2016/680.
Стаття 54. Передавання оперативних персональних даних установам, органам, офісам та агентствам Союзу
1. Відповідно до будь-яких можливих обмежень згідно з цим Регламентом, зокрема відповідно до статті 53, Європейська прокуратура передає лише оперативні персональні дані іншій установі, органу, офісу або агентству Союзу, якщо дані необхідні для законного здійснення завдань, які охоплені компетенцією іншої установи, органу, офісу або агентства Союзу.
2. Якщо оперативні персональні дані передаються на запит іншої установи, органу, офісу або агентства Союзу, відповідальність за законність такого передавання несе як контролер, так і отримувач.
Від Європейської прокуратури вимагається перевірка компетенції іншої установи, органу, офісу або агентства Союзу, а також здійснення попередньої оцінки необхідності передавання оперативних персональних даних. Якщо виникають сумніви стосовно необхідності, Європейська прокуратура може вимагати інформації від отримувача.
Інша установа, орган, офіс або агентство Союзу забезпечує можливість подальшої верифікації необхідності передавання оперативних персональних даних.
3. Інша установа, орган, офіс або агентство Союзу опрацьовують оперативні персональні дані лише для цілей, з якими їх було передано.
Стаття 55. Опрацювання спеціальних категорій оперативних персональних даних
1. Опрацювання персональних даних, що розкривають расову чи етнічну приналежність, політичні переконання, релігійні чи філософські вірування, чи членство в професійних спілках, та опрацювання генетичних даних, біометричних даних для цілі єдиної ідентифікації фізичної особи, даних стосовно стану здоров’я чи даних про статеве життя фізичної особи чи її сексуальної орієнтації дозволяється лише у разі, коли воно є абсолютно необхідним для розслідувань Європейської прокуратури за умови дотримання належних гарантій прав і свобод суб’єкта даних і лише у разі, якщо вони доповнюють їхні оперативні персональні дані, які вже було опрацьовано Європейською прокуратурою.
2. Старший спеціаліст з питань захисту даних повинен негайно отримувати інформацію про застосування цієї статті.
Стаття 56. Автоматизоване індивідуальне вироблення й ухвалення рішень, у тому числі, профайлінг
Суб’єкт даних повинен мати право не підлягати рішенню Європейської прокуратури, що ґрунтується винятково на автоматизованому опрацюванні, в тому числі, профайлінгу, що породжує правові наслідки для чи подібним чином істотно впливає на нього або неї.
Стаття 57. Повідомлення та форми реалізації прав суб’єкта даних
1. Європейська прокуратура вживає адекватних заходів для надання будь-якої інформації, зазначеної у статті 58. Вона надає суб’єкту даних будь-яку інформацію, пов’язану зі статтями 56, 59, 62 і 75, стосовно опрацювання у стислій, зрозумілій та легко доступній формі, з використанням чітких і простих формулювань. Інформація надається за допомогою будь-яких належних засобів, включаючи електронні засоби. За загальним правилом, контролер надає інформацію у тій самій формі, що й запит на неї.
2. Європейська прокуратура сприяє здійсненню прав суб’єктів даних відповідно до статей 58-62.
3. Європейська прокуратура інформує суб’єкта даних у письмовій формі про подальшу роботу щодо його/її запиту без необґрунтованої затримки, та у будь-якому випадку щонайпізніше через три місяці після отримання запиту від суб’єкта даних.
4. Європейська прокуратура надає інформацію, визначену відповідно до статті 58, та щодо будь-якого повідомлення або дії, здійснених відповідно до статей 56, 59 до 62 і 75, безкоштовно. Якщо запити від суб’єкта даних є явно необґрунтованими чи надмірними, зокрема, через їх багатократне повторення, Європейська прокуратура може або:
(a) стягнути розумну плату, враховуючи адміністративні витрати на надання інформації або повідомлення чи вжиття дій на запит; або
(b) відмовитися від вчинення запитуваних дій.
На Європейську прокуратуру покладається додаткове зобов’язання щодо доведення явно необґрунтованого чи надмірного характеру запиту.
5. Якщо Європейська прокуратура має вагомі підстави сумніватися в ідентичності фізичної особи, що здійснює запит, вказаний у статтях 59або 61, Європейська прокуратура може надіслати запит на надання додаткової інформації, необхідної для підтвердження ідентичності суб’єкта даних.
Стаття 58. Інформація, до якої надається доступ або яка надається суб’єкту даних
1. Європейська прокуратура надає суб’єкту даних доступ принаймні до такої інформації:
(a) ідентифікаційних та контактних даних Європейської прокуратури;
(b) контактних даних старшого спеціаліста з питань захисту даних;
(c) цілей опрацювання, для досягнення яких призначено оперативні персональні дані;
(d) права подавати скаргу Європейському інспектору із захисту даних та його контактних даних;
(e) існування права звернутися до Європейської прокуратури із запитом про доступ до та корекцію або знищення оперативних персональних даних та обмеження опрацювання оперативних персональних даних стосовно суб’єкта даних.
2. Крім інформації, зазначеної у параграфі 1, Європейська прокуратура повинна у певних випадках надавати суб’єкту даних подальшу детальну інформацію для надання йому можливості здійснювати його/її права:
(a) правову основу для опрацювання;
(b) період зберігання оперативних персональних даних, або, якщо це неможливо, - критерії визначення такого періоду;
(c) якщо застосовно, категорії отримувачів, яким було або буде розкрито оперативні персональні дані, включаючи отримувачів у третіх країнах або міжнародних організаціях;
(d) якщо необхідно, подальшу інформацію, зокрема, якщо оперативні персональні дані було зібрано без відома суб’єкта даних.
3. Європейська прокуратура може відтермінувати, обмежити або запобігти наданню такої інформації суб’єкту даних відповідно до параграфа 2 мірою, якою таке обмеження є необхідним і пропорційний захід у демократичному суспільстві з належним врахуванням фундаментальних прав та законних інтересів відповідної фізичної особи з метою:
(a) запобігання перешкоджанню офіційним чи юридичним запитам, розслідуванням та процедурам;
(b) запобігання випадкам перешкоджання попередженню, виявленню, розслідуванню або переслідуванню кримінальних злочинів або виконанню кримінальних покарань;
(c) захисту громадської безпеки держав-членів Європейського Союзу;
(d) захисту національної безпеки держав-членів Європейського Союзу;
(e) захисту прав і свобод інших осіб.
Стаття 59. Право суб’єкта даних на доступ
Суб’єкт даних повинен мати право на отримання від Європейської прокуратури підтвердження факту опрацювання її або його оперативних персональних даних та якщо це так - на доступ до персональних даних та інформації про:
(a) цілі опрацювання та його правову основу;
(b) категорії відповідних оперативних персональних даних;
(c) отримувачів чи категорії отримувачів, яким оперативні персональні дані були або будуть розкриті, зокрема, отримувачів у третіх країнах або міжнародних організаціях;
(d) за можливості, період, протягом якого передбачається, що оперативні персональні дані будуть зберігати, або, якщо це неможливо, - критерії визначення такого періоду;
(e) існування права на надсилання запиту до Європейської прокуратури щодо виправлення чи знищення оперативних персональних даних, або обмеження опрацювання персональних даних про суб’єкт даних, а також права на заперечення проти такого опрацювання;
(f) право подавати скаргу Європейському інспектору із захисту даних та контактні дані Європейського інспектора із захисту даних;
(g) повідомлення оперативних персональних даних, щодо яких здійснюється опрацювання та будь-якої доступної інформації стосовно їх походження.
Стаття 60. Обмеження права на доступ
1. Європейська прокуратура може повністю або частково обмежити право суб’єкта даних на доступ мірою та до того часу, як таке часткове або повне обмеження вважатиметься необхідним та пропорційним заходом у демократичному суспільстві з належним врахуванням фундаментальних прав та законних інтересів відповідних фізичних осіб, якщо такий захід вживається з метою:
(a) запобігання перешкоджанню офіційним чи юридичним запитам, розслідуванням та процедурам;
(b) запобігання випадкам перешкоджання попередженню, виявленню, розслідуванню або переслідуванню кримінальних злочинів або виконанню кримінальних покарань;
(c) захисту громадської безпеки держав-членів Європейського Союзу;
(d) захисту національної безпеки держав-членів Європейського Союзу;
(e) захисту прав і свобод інших осіб.
2. Якщо надання такої інформації перешкоджатиме цілі параграфа 1, Європейська прокуратура повідомляє відповідний суб’єкт даних лише про те, що вона здійснила перевірки без надання будь-якої інформації, яка може розкрити йому/їй, чи оперативні персональні дані, які стосуються його/її, опрацьовуються Європейською прокуратурою.
Європейська прокуратура інформує суб’єкта даних про можливість подання скарги Європейському інспектору із захисту даних або можливість подання позову проти рішення Європейської прокуратури до Суду ЄС.
3. Європейська прокуратура документує фактичні і юридичні підстави, на яких ґрунтується рішення. Інформація надається Європейському інспектору із захисту даних на його/її запит.
Стаття 61. Право на виправлення чи видалення оперативних персональних даних та обмеження опрацювання
1. Суб’єкт даних має право виправлення його або її неточних оперативних персональних даних, яке Європейська прокуратура повинна здійснити без будь-якої необґрунтованої затримки. Зважаючи на цілі опрацювання, суб’єкт даних повинен мати право доповнити відсутні або неповні оперативні персональні дані, в тому числі, шляхом здійснення додаткової заяви.
2. Європейська прокуратура повинна видалити оперативні персональні дані без необґрунтованої затримки, і суб’єкт даних повинен мати право на видалення Європейською прокуратурою оперативних персональних даних стосовно нього/неї без необґрунтованої затримки, якщо опрацювання порушує статті 47, 49 або 55, або якщо видалення оперативних персональних даних є необхідним з метою дотримання юридичного зобов’язання, яке застосовується до Європейської прокуратури.
3. Замість видалення Європейська прокуратура повинна обмежити опрацювання, якщо:
(a) суб’єкт даних оскаржує достовірність оперативних персональних даних, та їх достовірність або недостовірність не може бути точно визначена; або
(b) оперативні персональні дані необхідно зберігати як докази.
Якщо опрацювання обмежується відповідно до пункту (a) першого підпараграфа, Європейська прокуратура інформує суб’єкта даних перед скасуванням обмеження опрацювання.
4. Якщо опрацювання було обмежено відповідно до параграфа 3, опрацювання таких оперативних персональних даних, за винятком зберігання, здійснюється лише з метою захисту прав суб’єкта даних або іншої фізичної або юридичної особи, яка бере участь у провадженні Європейської прокуратури, або для цілей, встановлених у пункті (b) параграфа 3.
5. Європейська прокуратура у письмовій формі повідомляє суб’єкта даних про будь-яку відмову щодо внесення виправлень до оперативних персональних даних або їх видалення, або стосовно обмеження опрацювання та причини відмови. Європейська прокуратура може повністю або частково обмежити обов’язок надання такої інформації мірою, якою таке обмеження є необхідним і пропорційним заходом у демократичному суспільстві з належним врахуванням фундаментальних прав та законних інтересів відповідної фізичної особи з метою:
(a) запобігання перешкоджанню офіційним чи юридичним запитам, розслідуванням та процедурам;
(b) запобігання випадкам перешкоджання попередженню, виявленню, розслідуванню або переслідуванню кримінальних злочинів або виконанню кримінальних покарань;
(c) захисту громадської безпеки держав-членів Європейського Союзу;
(d) захисту національної безпеки держав-членів Європейського Союзу;
(e) захисту прав і свобод інших осіб.
Європейська прокуратура інформує суб’єкта даних про можливість подання скарги Європейському інспектору із захисту даних або можливість подання позову проти рішення Європейської прокуратури до Суду ЄС.
6. Європейська прокуратура повідомляє про внесення виправлень до неточних оперативних персональних даних компетентний орган, який є джерелом неточних оперативних персональних даних.
7. Європейська прокуратура повинна, якщо оперативні персональні дані було виправлено або видалено, або їх опрацювання було обмежено відповідно до параграфів 1, 2 і 3, повідомити отримувачів та повідомити їх про те, що вони повинні виправити або видалити оперативні персональні дані, або обмежити опрацювання оперативних персональних даних в межах своєї відповідальності.
Стаття 62. Реалізація прав суб’єктом даних та перевірка Європейським інспектором із захисту даних
1. У випадках, зазначених у статтях 58(3), 60(2) і 61(5), права суб’єкта даних можуть також реалізовуватися через Європейського інспектора із захисту даних.
2. Європейська прокуратура інформує суб’єкта даних про можливість реалізації його/її прав через Європейського інспектора із захисту даних відповідно до параграфа 1.
3. Якщо здійснюється право, зазначене у параграфі 1, Європейський інспектор із захисту даних інформує суб’єкта даних принаймні про те, що ним було здійснено усі необхідні перевірки або перегляд. Європейський інспектор із захисту даних інформує суб’єкта даних про його/її право звернутися до Суду ЄС з метою судового перегляду рішення Уповноваженого Європейської Комісії із захисту даних.
Стаття 63. Обов’язки Європейської прокуратури
1. Зважаючи на специфіку, обсяг, контекст і цілі опрацювання, а також ризики різної ймовірності та тяжкості для прав і свобод фізичних осіб, Європейська прокуратура зобов’язана вжити необхідних технічних і організаційних заходів для того, щоб гарантувати та бути здатною продемонструвати, що опрацювання здійснюють згідно з цим Регламентом. За необхідності, такі заходи необхідно переглядати та оновлювати.
2. У разі їх пропорційності щодо опрацювання даних, вказані в параграфі 1 заходи повинні передбачати реалізацію відповідних політик щодо захисту даних Європейською прокуратурою.
Стаття 64. Спільні контролери
1. Якщо Європейська прокуратура спільно з одним чи декількома контролерами визначають цілі та засоби опрацювання, вони є спільними контролерами. Вони повинні на умовах прозорості встановити свої відповідні обов’язки стосовно дотримання своїх зобов’язань у сфері захисту даних, зокрема, щодо реалізації прав суб’єкта даних і їхніх відповідних обов’язків щодо надання інформації шляхом досягнення домовленості між ними, за винятком, якщо та наскільки, відповідні обов’язки контролерів не визначено правом Союзу або держави-члена, дія якого поширюється на контролерів. За домовленістю може бути призначено контактний пункт для суб’єктів даних.
2. Домовленість, вказана в параграфі 1, повинна належним чином відображати відповідні ролі та відносини спільних контролерів щодо суб’єктів даних. Суб’єкту даних повинно бути надано доступ до інформації про сутність домовленостей.
3. Незалежно від умов домовленостей, зазначених у параграфі 1, суб’єкт даних може скористатися своїми правами за цим Регламентом щодо та проти кожного з контролерів.
Стаття 65. Оператор
1. У разі здійснення опрацювання від імені Європейської прокуратури, Європейська прокуратура повинна залучати лише таких операторів, які надають достатні гарантії щодо вжиття необхідних технічних та організаційних заходів у спосіб, що дозволяє забезпечити відповідність опрацювання вимогам цього Регламенту та гарантувати захист прав суб’єкта даних.
2. Оператор не повинен залучати будь-якого додаткового оператора без отримання попереднього спеціального чи загального письмового дозволу Європейської прокуратури. У випадку загального письмового дозволу, оператор повинен повідомити Європейську прокуратуру про будь-які цілеспрямовані зміни щодо залучення додаткового чи заміни інших операторів, таким чином надаючи контролеру можливість заперечити проти таких змін.
3. Опрацювання оператором повинен регулювати договір або інший нормативно-правовий акт відповідно до законодавства Союзу або держави-члена, який пов’язує оператора зобов’язальними відносинами з Європейською прокуратурою та встановлює предмет і тривалість опрацювання, специфіку і цілі опрацювання, тип оперативних персональних даних і категорії суб’єктів даних, обов’язки і права Європейської прокуратури. Такий договір або інший нормативно-правовий акт передбачає, зокрема, що оператор:
(a) діє лише відповідно до розпоряджень контролера;
(b) забезпечує, що особи, які отримали дозвіл на опрацювання оперативних персональних даних, взяли на себе обов’язок збереження конфіденційності чи зобов’язані зберігати конфіденційність відповідно до встановленого законом зобов’язання;
(c) будь-якими належними способами допомагає контролеру забезпечити дотримання положень щодо прав суб’єкта даних;
(d) на розсуд Європейської прокуратури, видаляє або повертає усі оперативні персональні дані Європейській прокуратурі після надання послуг, пов’язаних із опрацюванням, і видаляє наявні копії, за винятком випадків, коли законодавство Союзу або держави-члена вимагає збереження персональних даних;
(e) надає Європейській прокуратурі всю інформацію, необхідну для підтвердження дотримання зобов’язань, встановлених у цій статті;
(f) дотримується умов, визначених параграфами 2 і 3 для залучення іншого оператора.
4. Договір або інший нормативно-правовий акт, як вказано в параграфі 3, повинен бути оформлені в письмовій формі, в тому числі, - в електронній.
5. У разі порушення оператором цього Регламенту шляхом визначення цілей і засобів опрацювання оператора необхідно вважати контролером для цілей такого опрацювання.
Стаття 66. Опрацювання з уповноваження контролера або оператора
Оператор або будь-яка особа, яка діє з уповноваження Європейської прокуратури або оператора, що має доступ до оперативних персональних даних, не повинна опрацьовувати такі дані без розпоряджень від Європейської прокуратури, хіба що цього вимагає право Союзу або право держави-члена.
Стаття 67. Захист даних за призначенням і за замовчуванням
1. Європейська прокуратура повинна, зважаючи на сучасний рівень розвитку, витрати на реалізацію, специфіку, обсяг, контекст і цілі опрацювання, а також ризики різної ймовірності та тяжкості для прав і свобод фізичних осіб, які може спричинити опрацювання, у момент визначення засобів опрацювання та в момент власне опрацювання, вжити необхідних технічних і організаційних заходів, таких як використання псевдонімів, призначених для результативної реалізації принципів захисту даних, зокрема, мінімізації даних, і включення необхідних гарантій до опрацювання для досягнення відповідності вимогам цього Регламенту та забезпечення захисту прав суб’єктів даних.
2. Європейська прокуратура повинна вжити відповідних технічних і організаційних заходів для гарантування того, що за замовчуванням, опрацьовують лише ті оперативні персональні дані, які є належними, релевантними та не надмірними по відношенню до цілі опрацювання. Зазначений обов’язок застосовується до обсягу зібраних оперативних персональних даних, ступеня їх опрацювання, періоду зберігання та доступності. Зокрема, такими заходами необхідно гарантувати ненадання за замовчуванням доступу до оперативних персональних даних без звернення особи до невизначеної кількості фізичних осіб.
Стаття 68. Облік категорій дій із опрацювання
1. Європейська прокуратура веде облік усіх категорій діяльності стосовно опрацювання даних у межах своєї відповідальності. Облік повинен містити усю зазначену нижче інформацію:
(a) її контактні дані та ім’я і контактні дані старшого спеціаліста з питань захисту даних;
(b) цілі опрацювання;
(c) опис категорій суб’єктів даних та категорій оперативних персональних даних;
(d) категорії отримувачів, яким було або буде розкрито оперативні персональні дані, включно з отримувачами у третіх країнах або міжнародних організаціях;
(e) якщо застосовно, пересилання оперативних персональних даних третій країні або міжнародній організації, включно із зазначенням такої третьої країни або міжнародної організації;
(f) якщо застосовно, передбачені часові обмеження для видалення різних категорій даних;
(g) за можливості, - загальний опис технічних і організаційних заходів безпеки, зазначених у статті 73.
2. Записи, вказані в параграфі 1, повинні бути оформлені в письмовій формі, в тому числі, - в електронній.
3. Європейська прокуратура повинна надати записи Європейському інспектору із захисту даних за його запитом.
Стаття 69. Ведення журналу автоматизованого опрацювання
1. Європейська прокуратура повинна зберігати журнали таких операцій опрацювання в автоматизованих системах опрацювання: збирання, внесення змін, ознайомлення, розкривання, включаючи трансфери, комбінування та видалення оперативних персональних даних, які застосовуються для оперативних цілей. Журнали ознайомлення та розкривання повинні давати змогу визначити обґрунтування для таких операцій та дати і часу їх здійснення, визначити особу, яка ознайомлювалася з оперативними персональними даними або розкривала їх, та, наскільки це можливо, осіб отримувачів таких оперативних персональних даних.
2. Журнали повинні використовуватися лише для перевірки законності опрацювання, самомоніторингу, забезпечення цілісності та безпеки оперативних персональних даних, та для проваджень у кримінальних справах. Такі журнали видаляються через три роки, крім випадків, якщо вони потрібні для поточного контролю.
3. Європейська прокуратура повинна надавати журнали Європейському інспектору із захисту даних за його запитом.
Стаття 70. Співпраця з Європейським інспектором із захисту даних
Європейська прокуратура співпрацює з Європейським інспектором із захисту даних за його запитом.
Стаття 71. Оцінювання впливу на захист даних
1. Якщо тип опрацювання, зокрема з використанням нових технологій, і зважаючи на специфіку, обсяг, контекст і цілі опрацювання, ймовірно призведе до виникнення високого ризику для прав і свобод фізичних осіб, Європейська прокуратура, до здійснення опрацювання, повинна здійснити оцінювання впливу передбачених операцій опрацювання на захист оперативних персональних даних.
2. Оцінювання, зазначене у параграфі 1, повинно містити принаймні загальний опис запланованих операцій з опрацювання, оцінку ризиків щодо прав і свобод суб’єктів даних, заходів, спрямованих на роботу з зазначеними ризиками, гарантій, заходів безпеки та механізмів, спрямованих на забезпечення захисту оперативних персональних даних і демонстрацію дотримання цього Регламенту з огляду на права і законні інтереси суб’єктів даних та інших відповідних осіб.
Стаття 72. Попередні консультації з Європейським інспектором із захисту даних
1. Європейська прокуратура проводить консультації з Європейським інспектором із захисту даних перед опрацюванням, яке становитиме частину нової картотеки, створення якої планується, якщо:
(a) оцінювання впливу на захист даних, відповідно до статті 71, вказує на те, що опрацювання призведе до високого ризику за відсутності заходів, які здійснюються Європейською прокуратурою для пом’якшення ризику; або
(b) тип опрацювання, зокрема, із використанням нових технологій, механізмів або процедур, характеризується високим ризиком для прав і свобод суб’єкта даних.
2. Європейський інспектор із захисту даних повинен розробити й оприлюднити перелік операцій опрацювання, на які поширюється вимога щодо проведення попередніх консультацій відповідно до параграфа 1.
3. Європейська прокуратура надає Європейському інспектору із захисту даних оцінювання впливу на захист даних відповідно до статті 71 та, на запит, будь-яку іншу інформацію, яка дає змогу Європейським інспектором із захисту даних оцінити дотримання правил під час здійснення опрацювання та, зокрема, щодо ризиків для захисту оперативних персональних даних суб’єкта даних та надання пов’язаних гарантій.
4. Якщо Європейський інспектор із захисту даних вважає, що заплановане опрацювання, вказане в параграфі 1, може порушити цей Регламент, зокрема, якщо Європейська прокуратура недостатнім чином ідентифікувала або знизила ризик, Європейський інспектор із захисту даних протягом періоду до шести тижнів після отримання запиту на проведення консультацій повинен надати Європейській прокуратурі письмові рекомендації відповідно до його повноважень згідно зі статтею 85. Цей період може бути продовжено на місяць з огляду на складність запланованого опрацювання. Європейський інспектор із захисту даних інформує Європейську прокуратуру про будь-яке таке подовження протягом одного місяця з дати отримання запиту на проведення консультацій разом з інформацією про причини такої затримки.
Стаття 73. Безпека опрацювання оперативних персональних даних
1. Європейська прокуратура, зважаючи на сучасний рівень розвитку, витрати на реалізацію, специфіку, обсяги, контекст і цілі опрацювання, а також ризики різної ймовірності та тяжкості для прав і свобод фізичних осіб, які викликає опрацювання, повинна вжити необхідних технічних і організаційних заходів для забезпечення рівня безпеки відповідно до ризику, зокрема, стосовно опрацювання спеціальних категорій оперативних персональних даних, зазначених устатті 55.
2. Щодо автоматичного опрацювання, Європейська прокуратура повинна, після оцінювання ризиків, імплементувати заходи, спрямовані на:
(a) заборону стороннім особам доступу до обладнання, яке застосовується для опрацювання даних (контроль доступу до обладнання);
(b) попередження зчитування, копіювання, модифікації або видалення носіїв даних (контроль носіїв даних);
(c) попередження несанкціонованого введення даних та несанкціонованої перевірки, модифікації або видалення збережених оперативних персональних даних (контроль зберігання);
(d) попередження використання автоматизованих систем опрацювання сторонніми особами, які застосовують обладнання для передавання даних (контроль користувачів);
(e) забезпечення наявності в осіб, які мають право користуватися автоматизованою системою опрацювання, доступу лише до тих оперативних персональних даних, які охоплені дозволом (контроль доступу до даних);
(f) забезпечення можливості перевірки і встановлення органів, яким було або може бути повідомлено оперативні персональні дані, або надано доступ до них із застосуванням обладнання для передавання даних (контроль повідомлення);
(g) забезпечення подальшої можливості перевірки і встановлення того, які оперативні персональні дані було внесено до автоматизованих систем опрацювання, а також де і ким було внесено такі дані (контроль внесення);
(h) запобігання несанкціонованому зчитуванню, копіюванню, модифікації або видаленню оперативних персональних даних протягом передавання оперативних персональних даних або транспортування носіїв даних (контроль транспортування);
(i) забезпечення можливості відновлення встановлених систем у разі перебоїв (відновлення);
(j) забезпечення виконання функцій у межах системи, повідомлення про появу помилок (надійність) та неможливості пошкодження оперативних персональних даних через несправність системи (цілісність).
Стаття 74. Нотифікація Європейського інспектора із захисту даних про порушення захисту персональних даних
1. У випадку порушення захисту персональних даних, Європейська прокуратура повинна без необґрунтованої затримки та, за можливості, не пізніше ніж протягом 72 години після того, як їй стало відомо про це, повідомити про порушення захисту персональних даних Європейському інспектору із захисту даних, окрім як у випадках, коли ймовірність того, що порушення захисту персональних даних призведе до ризику стосовно прав і свобод фізичних осіб, є низькою. Якщо Європейського інспектора із захисту даних не повідомлено протягом 72 годин, повинно бути надано супровідну інформацію про причини затримки.
2. Повідомлення, зазначене у параграфі 1, повинне принаймні:
(a) описувати специфіку порушення захисту персональних даних, у тому числі, за можливості, категорії та приблизну кількість зацікавлених суб’єктів даних і категорії та приблизну кількість записів персональних даних, яких це стосується;
(b) повідомляти ім’я і контактні дані старшого спеціаліста з питань захисту даних;
(c) містити опис імовірних наслідків порушення захисту персональних даних;
(d) описувати заходи, яких було вжито чи яких запропоновано вжити Європейською прокуратурою для реагування на порушення захисту персональних даних, у тому числі, в разі необхідності, заходи для зниження його потенційних негативних наслідків.
3. Якщо і наскільки є неможливим одночасно надати інформацію, зазначену у параграфі 2, інформацію може бути надано поетапно без подальшої необґрунтованої затримки.
4. Європейська прокуратура повинна зафіксувати будь-які порушення захисту персональних даних, зазначені у параграфі 1, збираючи факти, що стосуються порушення захисту персональних даних, його наслідків та вжитих заходів щодо виправлення ситуації. Таке документування дає змогу Європейському інспектору із захисту даних перевірити дотримання положень цієї статті.
5. Якщо порушення захисту персональних даних включає персональні дані, які було передано іншим контролером або іншому контролеру, Європейська прокуратура без необґрунтованої затримки повідомляє такому контролеру інформацію, зазначену у параграфі 3.
Стаття 75. Повідомлення суб’єкта даних про порушення захисту персональних даних
1. Якщо порушення захисту персональних даних ймовірно призведе до виникнення високого ризику для прав і свобод фізичних осіб, Європейська прокуратура повинна повідомити суб’єкта даних про порушення захисту персональних даних без необґрунтованої затримки.
2. Повідомлення суб’єкта даних, вказане в параграфі 1 цієї статті, повинне містити опис, із використанням чітких і простих формулювань, специфіки порушення захисту персональних даних та містити принаймні інформацію та рекомендації, вказані в пунктах (b), (c) і (d) статті 74(2).
3. Повідомлення суб’єкта даних, вказане в параграфі 1, є необов’язковим у разі виконання однієї з наведених нижче вимог:
(a) Європейська прокуратура вжила належних заходів технологічного та організаційного захисту, і ці заходи було застосовано до персональних даних, на які вплинуло порушення захисту персональних даних, зокрема, було вжито заходів, які роблять персональні дані незрозумілими для будь-якої особи, яка не має права доступу до них, такі як шифрування;
(b) Європейська прокуратура вжила заходів, що гарантують, що високий ризик для прав і свобод суб’єктів даних, вказаний у параграфі 1, ймовірно більше не проявиться;
(c) це призведе до диспропорційних зусиль. У такому випадку натомість здійснюється публічне повідомлення або подібний захід, за якого інформація надається всім суб’єктам даних у спосіб із однаковою ефективністю.
4. Якщо Європейська прокуратура ще не повідомила суб’єкт даних про порушення захисту персональних даних, Європейський інспектор із захисту даних, розглянувши ймовірність спричинення порушенням захисту персональних даних високого ризику, може вимагати зробити це чи може вирішити, що будь-яку з умов, вказаних у параграфі 3, виконано.
5. Повідомлення суб’єкту даних, зазначене у параграфі 1 цієї статті, може бути відтерміновано, обмежено або його може бути опущено у разі виконання умов та на підставах, зазначених у статті 60(3).
Стаття 76. Дозволений доступ до оперативних персональних даних в межах Європейської прокуратури
Лише Головний прокурор ЄС, прокурор ЄС, делеговані прокурори ЄС та персонал, який має відповідний дозвіл і допомагає їм може, з метою здійснення їхніх завдань та протягом строку, зазначеного у цьому Регламенті, мати доступ до оперативних персональних даних, опрацювання яких здійснює Європейська прокуратура.
Стаття 77. Призначення старшого спеціаліста з питань захисту даних
1. Колегія призначає старшого спеціаліста з питань захисту даних на основі пропозиції Головного прокурора ЄС. Старший спеціаліст з питань захисту даних (Data Protection Officer) - це працівник, спеціально призначений з цією метою. Під час здійснення своїх завдань старший спеціаліст з питань захисту даних повинен діяти незалежно і не отримувати жодних вказівок.
2. Старшого спеціаліста з питань захисту даних призначають на підставі професійних якостей і, зокрема, експертних знань із права та практики захисту даних, а також здатності виконувати завдання, вказані у цьому Регламенті, зокрема, в статті 79.
3. Обрання старшого спеціаліста з питань захисту даних не повинно призводити до конфлікту інтересів між його зобов’язанням як старшого спеціаліста з питань захисту даних та будь-якими іншими офіційними обов’язками, які він або вона може здійснювати, зокрема, стосовно застосування цього Регламенту.
4. Старшого спеціаліста з питань захисту даних призначають на посаду строком на чотири роки з правом повторного призначення з максимально можливим загальним строком перебування на посаді вісім років. Старшого спеціаліста з питань захисту даних може бути звільнено з посади Колегією лише за погодженням з Європейським інспектором із захисту даних, якщо старший спеціаліст з питань захисту даних більше не відповідає вимогам, необхідним для виконання його/її завдань.
5. Європейська прокуратура публікує контактні дані старшого спеціаліста з питань захисту даних і повідомляє їх Європейському інспектору із захисту даних.
Стаття 78. Посада старшого спеціаліста з питань захисту даних
1. Європейська прокуратура забезпечує належне і своєчасне залучення старшого спеціаліста з питань захисту даних до всіх питань, які стосуються захисту персональних даних.
2. Європейська прокуратура надає підтримку старшому спеціалісту з питань захисту даних у виконанні завдань, вказаних у статті 79, шляхом надання ресурсів, необхідних для реалізації таких завдань і доступу до персональних даних, операцій опрацювання, та для підтримання рівня його/її експертних знань.
3. Європейська прокуратура забезпечує, щоб старший спеціаліст з питань захисту даних не отримував жодних вказівок щодо виконання таких завдань. Старший спеціаліст з питань захисту даних не може бути звільнений або покараний Колегією за виконання своїх завдань. Старший спеціаліст з питань захисту даних безпосередньо звітує перед Головним прокурором ЄС.
4. Суб’єкти даних можуть звертатися до старшого спеціаліста з питань захисту даних щодо усіх питань, пов’язаних із опрацюванням їхніх персональних даних та реалізацією їхніх прав відповідно до цього Регламенту та Регламенту (ЄС) 45/2001.
5. Колегія ухвалює імплементаційні правила для діяльності старшого спеціаліста з питань захисту даних. Зазначені імплементаційні правила повинні, зокрема, стосуватися процедури відбору на посаду старшого спеціаліста з питань захисту даних, його або її звільнення, завдань, обов’язків і повноважень, а також запобіжних механізмів для забезпечення незалежності старшого спеціаліста з питань захисту даних.
6. Європейська прокуратура надає старшому спеціалісту з питань захисту даних персонал і ресурси, необхідні для здійснення ним/нею його/її обов’язків.
7. До старшого спеціаліста з питань захисту даних та його або її персоналу застосовується обов’язок конфіденційності відповідно до статті 108.
Стаття 79. Завдання старшого спеціаліста з питань захисту даних
1. Старший спеціаліст з питань захисту даних повинен виконувати, зокрема, такі завдання стосовно опрацювання персональних даних:
(a) забезпечувати у незалежний спосіб дотримання Європейською прокуратурою положень щодо захисту даних цього Регламенту, Регламенту (ЄС) 45/2001 і релевантних положень щодо захисту персональних даних у внутрішньому регламенті Європейської прокуратури; це включає контроль за дотриманням цього Регламенту, інших положень стосовно захисту персональних даних на рівні Союзу або держав-членів, а також політик Європейської прокуратури стосовно захисту персональних даних, включно з визначенням обов’язків, підвищенням обізнаності і тренінгами для персоналу, який бере участь у діях з опрацювання даних і пов’язаних аудитах;
(b) інформувати та надавати рекомендації Європейській прокуратурі та персоналу, який здійснює опрацювання, щодо їхніх обов’язків відповідно до цього Регламенту та інших положень про захист даних на рівні Союзу та на національному рівні;
(c) за запитом надавати рекомендації щодо оцінювання впливу на захист даних та контролювати його здійснення відповідно до статті 71;
(d) забезпечувати ведення обліку надісланих та отриманих персональних даних відповідно до положень, викладених у внутрішньому регламенті Європейської прокуратури;
(e) співпрацювати з персоналом Європейської прокуратури, відповідальним за процедури, навчання та надання порад щодо опрацювання даних;
(f) співпрацювати з Європейським інспектором із захисту даних;
(g) забезпечувати інформування суб’єктів даних про їхні права відповідно до цього Регламенту;
(h) діяти як контактний пункт для Європейського інспектора із захисту даних щодо питань, що стосуються опрацювання, у тому числі для попередніх консультацій, зазначених у статті 72, та консультацій стосовно будь-яких інших питань, у відповідних випадках;
(i) готувати щорічний звіт та надсилати такий звіт Головному прокурору ЄС та Європейському інспектору із захисту даних.
2. Старший спеціаліст з питань захисту даних повинен здійснювати функції, визначені у Регламенті (ЄС) 45/2001 стосовно адміністративних персональних даних.
3. Старший спеціаліст з питань захисту даних та штатні працівники Європейської прокуратури, які допомагають старшому спеціалісту з питань захисту даних при виконанні ним або нею своїх обов’язків, повинні мати доступ до персональних даних, які опрацьовуються Європейською прокуратурою, та до її приміщень мірою, необхідною для здійснення своїх завдань.
4. Якщо спеціаліст з питань захисту даних вважає, що положення Регламенту (ЄС) 45/2001 стосовно опрацювання адміністративних персональних даних або що положення цього Регламенту стосовно опрацювання оперативних персональних даних не було дотримано, старший спеціаліст з питань захисту даних інформує Головного прокурора ЄС, звертаючись до нього/неї із запитом щодо вирішення питання недотримання у визначений період часу. Якщо Головний прокурор ЄС не вирішує питання недотримання протягом визначеного часу, старший спеціаліст з питань захисту даних передає справу Європейському інспектору із захисту даних.
Стаття 80. Загальні принципи передавання оперативних персональних даних
1. Європейська прокуратура може передавати оперативні персональні дані третій країні або міжнародній організації із дотриманням інших положень цього Регламенту, зокрема, статті 53, лише якщо виконуються умови, викладені у статтях 80-83, зокрема:
(a) передавання є необхідним для здійснення завдань Європейської прокуратури;
(b) оперативні персональні дані передаються контролеру у третій країні або міжнародній організації, і вони є компетентним органом для цілей статті 104;
(c) якщо оперативні персональні дані, які будуть передаватися відповідно до цієї статті, було передано або доступ до них було надано Європейській прокуратурі державою-членом, Європейська прокуратура отримує попередній дозвіл на передавання від дотичних компетентних органів такої держави-члена відповідно до її національного права, якщо держава-член не дозволила такі передавання за загальним правилом або із застосуванням певних умов;
(d) Комісія ухвалила рішення відповідно до статті 81 про те, що відповідна третя країна або міжнародна організація забезпечує належний рівень захисту, або, за відсутності такого рішення про достатність, було додано належні гарантії відповідно до статті 82або вони вже існують, або, за відсутності і рішення про достатність, і відповідних гарантій, відступ для конкретних ситуацій застосовується відповідно до статті 83; та
(e) у випадку наступного передавання іншій третій країні або міжнародній організації третьою країною або міжнародною організацією, Європейська прокуратура вимагає звернення третьої країни або міжнародної організації із запитом про попередній дозвіл для здійснення такого подальшого передавання, який Європейська прокуратура може надати лише після належного врахування усіх релевантних факторів, включаючи тяжкість кримінального злочину, ціль, з якою було здійснено початкове передавання оперативних персональних даних, та рівень захисту даних у третій країні або міжнародній організації, якій здійснюється подальше передавання.
2. Європейська прокуратура може передавати оперативні персональні дані без попереднього дозволу держави-члена Європейського Союзу відповідно до пункту (c) параграфа 1, лише якщо передавання оперативних персональних даних є необхідним для попередження безпосередньої значної загрози громадській безпеці держави-члена Європейського Союзу або третьої країни, або ключовим інтересам держави-члена Європейського Союзу, і не було можливості своєчасно отримати попередній дозвіл. Орган, відповідальний за надання попереднього дозволу, повинен бути поінформований негайно.
3. Передавання оперативних персональних даних, отриманих від Європейської прокуратури, третій країні або міжнародній організації державою-членом Європейського Союзу або установою, органом, офісом або агентством Союзу забороняється. Це правило не застосовується у випадках, коли Європейська прокуратура надала дозвіл на таке передавання після оцінювання всіх значущих факторів, як-от тяжкості кримінального злочину, цілі, з якою оперативні персональні дані були первісно передані, та рівня захисту персональних даних у третій країні або міжнародній організації, якій оперативні персональні дані передаються далі. Обов’язок отримання попереднього дозволу від Європейської прокуратури не застосовується до справ, які було передано компетентним національним органам відповідно до статті 34.