Директива 95/46/ЄС Європейського Парламенту і Ради "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних"

Держави-члени надають суб'єкту даних право:

(a) принаймні у випадках, передбачених у підпунктах (e) і (f) статті 7, заперечувати в будь-який час на безсумнівних законних підставах, пов'язаних з його конкретною ситуацією, проти обробки даних, які його стосуються, за винятком випадків, коли інше передбачено національним законодавством. За наявності обгрунтованого заперечення в розпочатій контролером обробці більше не можуть використовуватися такі дані;

(b) заперечувати, за вимогою і безкоштовно, проти обробки персональних даних, що його стосуються і які контролер має намір обробити з метою прямого маркетингу, чи бути проінформованим до того, як персональні дані будуть вперше надаватися третім особам чи використовуватися від їхнього імені з метою прямого маркетингу, при цьому йому чітко пропонується право на безкоштовне заперечення проти такого надання чи використання даних.

Держави-члени вживають необхідних заходів для забезпечення того, щоб суб'єкти даних були інформовані про існування права, про яке йдеться в першій частині підпункту (b).

1. Держави-члени надають кожній особі право на те, щоб стосовно неї не приймалося рішення, що має для неї правові наслідки чи значною мірою зачіпає її і яке грунтується винятково на автоматизованій обробці даних, призначеній для оцінки деяких його особистісних характеристик, як наприклад виконання нею професійних обов'язків, кредитоспроможності, надійності, поведінки і т.д.

2. Відповідно до інших статей даної Директиви, держави-члени передбачають, що стосовно особи може бути прийняте рішення, про яке йдеться в пункті 1, якщо це рішення:

(a) прийняте в ході укладання чи виконання контракту, за умови, що прохання про укладання чи виконання контракту, подане суб'єктом даних, було задоволене або існують відповідні заходи для захисту його законних інтересів, як наприклад заходи, що дозволяють йому виразити свою точку зору; чи

(b) санкціоноване законом, що також передбачає заходи для захисту законних інтересів суб'єкта даних.

Будь-яка особа, яка діє у підпорядкуванні контролеру чи оператору обробки, включаючи самого оператора обробки, який має доступ до персональних даних, не повинні обробляти їх інакше, як за вказівкою контролера, за винятком тих випадків, коли це вимагається законом.

1. Держави-члени передбачають, що контролер повинен здійснювати відповідні технічні й організаційні заходи для захисту персональних даних від випадкового або незаконного знищення чи випадкової втрати, зміни, несанкціонованого розкриття чи доступу, зокрема, якщо обробка включає передачу даних через мережу, і від усіх інших незаконних форм обробки.

Такі заходи, із врахуванням нинішнього стану речей і вартості їхнього здійснення, повинні забезпечувати рівень безпеки, співвідносний з ризиком, що супроводжує обробку, і з природою даних, що захищаються.

2. Держави-члени передбачають, що контролер повинен, у випадку обробки від свого імені, вибрати оператора обробки, що надає достатні гарантії щодо технічних заходів безпеки і організаційних заходів, що регулюють обробку, яка має проводитись, і повинен забезпечити виконання цих заходів.

3. Здійснення обробки за допомогою оператора обробки даних повинне регулюватися договором чи правовим актом, яким оператор обробки даних підпорядковується контролеру і який передбачає, зокрема, наступне:

- оператор обробки даних повинен діяти тільки за вказівками контролера,

- зобов'язання, викладені в пункті 1 і визначені законодавством держави-члена, у якому призначений оператор обробки даних, повинні також застосовуватися до оператора обробки.

4. З метою збереження доказів, розділи договору чи юридичного акта про захист даних і вимоги про заходи, згадані у пункті 1, повинні бути викладені в письмовій формі чи в іншій рівносильній формі.

1. Держави-члени передбачають, що контролер чи його представник, якщо такий існує, повинні повідомити наглядовий орган, згаданий у статті 28, про обробку до проведення будь-якої повної чи часткової автоматизованої операції з обробки даних чи сукупності таких операцій, призначених служити єдиній цілі чи декільком взаємозалежним цілям.

2. Держави-члени можуть передбачити спрощення чи звільнення від повідомлення тільки в наступних випадках і за наступних умов:

- якщо для категорій операцій з обробки, які, беручи до уваги дані, що будуть оброблятися, навряд чи можуть завдати шкоди правам і свободам суб'єктів даних, вони визначають цілі обробки даних, дані чи категорії даних, які проходять обробку, категорію чи категорії суб'єктів даних, одержувачів чи категорії одержувачів, яким будуть надані дані, і період часу, протягом якого дані будуть зберігатися, і/чи

- якщо контролер відповідно до національного права, яким він керується, призначає посадову особу із захисту персональних даних, що, серед іншого, відповідає за наступне:

- забезпечення у незалежний спосіб внутрішнього застосування національних положень, прийнятих на виконання цієї Директиви,

- ведення реєстру операцій із обробки, що проводиться контролером і містить інформацію, згадану в пункті 2 статті 21, у такий спосіб забезпечуючи те, що операції із обробки навряд чи завдадуть шкоди правам і свободам суб'єктів даних.

3. Держави-члени можуть передбачити, що пункт 1 не застосовується до обробки, єдиною метою якої є ведення реєстру, що, відповідно до законодавчих чи нормативних положень, призначений для надання інформації громадськості і відкритий для консультування або населення в цілому, або будь-якої особи, що проявляє законний інтерес.

4. Держави-члени можуть передбачити звільнення від зобов'язання щодо повідомлення чи спрощення системи повідомлення у випадку здійснення операцій із обробки, про які йдеться в підпункті (d) пункту 2 статті 8.

5. Держави-члени можуть передбачити повідомлення про деякі чи всі неавтоматизовані операції з персональними даними або передбачити спрощений порядок повідомлення про ці операції із обробки.

1. Держави-члени визначають інформацію, що повинна міститися в повідомленні. Вона повинна включати, принаймні, наступне:

(a) ім'я та адресу контролера і його представника, якщо такий є;

(b) ціль чи цілі обробки;

(c) опис категорії чи категорій суб'єктів даних або категорій їхніх персональних даних;

(d) одержувачів чи категорії одержувачів, яким можуть надаватися дані;

(e) передачі даних, що передбачаються, третім країнам;

(f) загальний опис, що дозволяє зробити попередню оцінку відповідності заходів, прийнятих згідно із статтею 17, для забезпечення безпеки обробки.

2. Держави-члени встановлюють процедури, згідно з якими наглядовий орган повинен бути сповіщений про будь-яку зміну, що зачіпає інформацію, згадану в пункті 1.

1. Держави-члени визначають операції із обробки, що можуть мати певний ризик для прав і свобод суб'єктів даних, і перевіряють, щоб ці операції із обробки вивчалися до початку обробки.

2. Такі попередні перевірки здійснюються наглядовим органом після одержання повідомлення від контролера чи посадової особи з питань захисту даних, що при виникненні сумнівів повинні радитися з наглядовим органом.

3. Держави-члени можуть також проводити такі перевірки у зв'язку з підготовкою законодавчого заходу національного парламенту або заходу, що базується на такому законодавчому заході і визначає характер обробки та встановлює відповідні гарантії.

1. Держави-члени вживають заходів для забезпечення того, що операції із обробки оголошуються.

2. Держави-члени передбачають, що наглядовий орган повинен вести реєстр операцій із обробки, повідомлення про які відбувається згідно із статтею 18.

Реєстр повинен містити, принаймні, інформацію, перераховану в підпунктах (a)-(e) пункту 1 статті 19. Будь-яка особа може перевірити такий реєстр.

3. Держави-члени передбачають у відношенні операцій із обробки, повідомлення про які не передбачаються, що контролери чи інші органи, призначені державами-членами, надають після запиту будь-якої особи у відповідній формі, принаймні, інформацію, перераховану в підпунктах (a)-(e) пункту 1 статті 19.

Держави-члени можуть передбачити, що це положення не застосовується до обробки, єдиною метою якої є ведення реєстру, що згідно із законодавчим чи нормативним положенням передбачає надання інформації населенню і який відкритий для консультування або для населення в цілому, або для будь-якої особи, що може довести свій законний інтерес.

Без шкоди для будь-якого адміністративного засобу захисту, що може бути передбачений, у тому числі захисту наглядовим органом, згаданому в статті 28, до звертання в судовий орган, держави-члени передбачають право кожної людини на засоби судового захисту від будь-якого порушення прав, гарантованих їй національним законодавством, що застосовується до відповідної обробки.

1. Держави-члени передбачають, що будь-яка особа, якій завдано шкоди в результаті незаконної операції із обробки чи будь-якої дії, несумісної із національними положеннями, прийнятими відповідно до цієї Директиви, має право на одержання компенсації від контролера за завдану шкоду.

2. Контролер може бути звільнений від цієї відповідальності цілком чи частково, якщо він доведе, що не є відповідальним за випадок, що став причиною завданої шкоди.

Держави-члени вживають відповідних заходів для забезпечення повного виконання положень даної Директиви і, зокрема встановлюють санкції, що повинні накладатися у випадку порушення положень, прийнятих відповідно до даної Директиви.

1. Держави-члени передбачають, що передача третій країні персональних даних, що проходять обробку чи призначені для проходження обробки після передачі, може відбуватися за умови, що розглянута третя країна гарантує адекватний рівень захисту, без шкоди для виконання національних положень, прийнятих відповідно до інших положень даної Директиви.

2. Адекватність рівня захисту, наданого третьою країною, розглядається у світлі всіх обставин операції з передачі даних чи сукупності операцій з передачі даних; особливу увагу варто звернути на характер даних, ціль і тривалість запропонованої операції чи операцій із обробки, країну походження даних і країну кінцевого призначення даних, загальні і галузеві норми права, що діють у розглянутій третій країні, і професійні правила та заходи безпеки, що виконуються в цій країні.

3. Держави-члени і Комісія інформують одні одного про випадки, коли вони вважають, що третя країна не забезпечує адекватного рівня захисту, передбаченого пунктом 2.

4. Якщо Комісія дійде висновку, відповідно до процедури, передбаченої в статті 31 (2), що третя країна не забезпечує адекватного рівня захисту, передбаченого пунктом 2 даної статті, держави-члени вживають заходів, необхідних для запобігання будь-якій передачі даних цього ж виду відповідній третій країні.

5. У належний час Комісія проводить переговори з метою виправлення ситуації, що склалася в результаті виявлення фактів згідно з пунктом 4.

6. Комісія може дійти висновку, згідно з процедурою, згаданою в пункті 2 статті 31, що третя країна забезпечує адекватний рівень захисту, передбаченого пунктом 2 даної статті, керуючись своїм внутрішнім законодавством чи міжнародними зобов'язаннями, які вона взяла на себе, особливо після завершення переговорів, передбачених у пункті 5, щодо захисту особистого життя та основних свобод і прав фізичних осіб. Держави-члени вживають заходів, необхідних для виконання рішення Комісії.

1. Шляхом відступу від статті 25 і крім випадків, коли інше передбачено національним законодавством, що регулює особливі випадки, держави-члени передбачають, що передача чи сукупність передач персональних даних третій країні, яка не забезпечує адекватний рівень захисту, згаданий в пункті 2 статті 25, може відбуватися за умови, що:

(a) суб'єкт даних дав свою недвозначну згоду на пропоновану передачу даних; або

(b) передача даних необхідна для виконання контракту між суб'єктом даних і контролером чи для виконання заходів, що передують договору і прийняті у відповідь на прохання суб'єкта даних; або

(c) передача даних необхідна для укладення чи виконання контракту, укладеного в інтересах суб'єкта даних між контролером і третьою стороною; або

(d) передача даних необхідна чи юридично обов'язкова на важливих підставах суспільних інтересів або для встановлення, виконання чи захисту правових вимог; або

(e) передача даних необхідна для захисту життєво важливих інтересів суб'єкта даних; або

(f) передача даних зроблена з реєстру, метою якого, відповідно до законів або положень, є надання інформації населенню і який відкритий для консультацій або населення в цілому, або будь-якої людини, що може продемонструвати законний інтерес, у тому обсязі, за якого умови, передбачені в законодавстві про консультацію, виконуються в особливому випадку.

2. Без шкоди для пункту 1, держава-член може дозволити передачу чи сукупність передач персональних даних третій країні, що не забезпечує адекватного рівня захисту, передбаченого в пункті 2 статті 25, якщо контролер надає відповідні гарантії із захисту невтручання в особисте життя та основних прав і свобод фізичних осіб і в тому, що стосується здійснення відповідних прав; такі гарантії можуть, зокрема, стать результатом відповідних умов договору.

3. Держава-член повідомляє Комісію й інші держави-члени про дозволи, які вона дає відповідно до пункту 2.

Якщо член чи Комісія заперечують проти цього на обгрунтованих підставах, що стосуються захисту невтручання в особисте життя й основних прав і свобод фізичних осіб, Комісія вживає відповідних заходів згідно з процедурою, передбаченою в пункті 2 статті 31. Держави-члени вживають необхідних заходів для виконання рішення Комісії.

4. Якщо Комісія відповідно до процедури, передбаченої в пункті 2 статті 31, вирішує, що деякі стандартні умови договору пропонують достатні гарантії, як того вимагає пункт 2, держави-члени вживають необхідних заходів для виконання рішення Комісії.

1. Держави-члени і Комісія сприяють розробці кодексів поведінки, метою яких є сприяння належному виконанню національних положень, прийнятих державами-членами відповідно до даної Директиви, з урахуванням характерних особливостей різних галузей.

2. Держави-члени передбачають, щоб профспілки та інші органи, що представляють інші категорії контролерів і які розробили проекти національних кодексів або які мають намір змінити чи доповнити існуючі національні кодекси, могли представити їх на розгляд державного органу.

Держави-члени передбачають, що такий орган повинен упевнитися, серед іншого, у тому, чи відповідають представлені проекти національним положенням, прийнятим відповідно до даної Директиви. Якщо орган вважає це за необхідне, він може поцікавитися думкою суб'єктів даних чи їхніх представників.

3. Проекти кодексів Співтовариства і зміни та доповнення до існуючих кодексів Співтовариства можуть бути надані Робочій групі, згаданій в статті 29. Ця Робоча група визначає, серед іншого, чи відповідають надані проекти національним положенням, прийнятим відповідно до даної Директиви. Якщо орган вважає це за необхідне, він може поцікавитися думкою суб'єктів даних чи їхніх представників. Комісія може забезпечити відповідне оприлюднення кодексів, схвалених Робочою групою.

1. Кожна держава-член передбачає, що один чи більше державних органів відповідають за моніторинг застосування в межах її території положень, прийнятих державами-членами відповідно до даної Директиви.

Ці органи діють у повній незалежності при здійсненні функцій, якими вони наділені.

2. Кожна держава-член передбачає, що при розробці адміністративних заходів чи положень, що стосуються захисту прав і свобод фізичних осіб при обробці персональних даних, проводяться консультації з наглядовими органами.

Кожен орган, зокрема, наділений:

- такими слідчими повноваженнями, як право доступу до даних, що є предметом операцій із обробки, і право збирати всю інформацію, необхідну для виконання його обов'язків із здійснення нагляду,

- ефективними повноваженнями на втручання, як-от надання висновків до здійснення операцій із обробки відповідно до статті 20, і забезпечення відповідного опублікування таких висновків, видання розпоряджень про блокування, стирання чи знищення даних, накладення тимчасової чи остаточної заборони на обробку даних, попередження чи винесення догани контролеру, або повноваження звертатися до національних парламентів чи інших політичних інститутів,

- право брати участь у судочинстві, якщо були порушені національні положення, прийняті відповідно до даної Директиви, чи довести ці порушення до відома судових органів.

Рішення наглядового органу, що викликали скарги, можуть бути оскаржені в суді.

4. Кожен наглядовий орган розглядає запити, зроблені будь-якою особою чи об'єднанням, що представляє інтереси цієї особи, про захист її прав і свобод при обробці персональних даних. Особа, якої це стосується, повинна бути поінформована про результати розгляду запиту.

Кожен наглядовий орган, зокрема, розглядає запити про перевірки законності обробки даних, зроблені будь-якою особою, у випадках, коли застосовуються національні положення, прийняті у відповідності до статті 13 даної Директиви. Така особа повинна в будь-якому випадку бути поінформована про те, що перевірка мала місце.

5. Кожен наглядовий орган регулярно складає звіт про свою діяльність. Звіт повинен оприлюднюватись.

6. Кожен наглядовий орган має право, незалежно від того, яке національне законодавство застосовується до відповідної обробки, виконувати на території власної держави-члена повноваження, якими він наділений відповідно до пункту 3. Кожен орган може отримати прохання про виконання його повноважень від органу іншої держави-члена.

Наглядові органи співпрацюють один з одним у тій мірі, наскільки це необхідно для виконання їхніх обов'язків, зокрема, шляхом обміну всією корисною інформацією.

7. Держави-члени передбачають, що навіть після звільнення на посадових осіб і персонал наглядового органу поширюється обов'язок зберігати професійну таємницю відносно конфіденційної інформації, до якої вони мають доступ.

1. Цим створюється Робоча група із захисту фізичних осіб при обробці персональних даних, надалі - "Робоча група". Вона має консультативний статус і незалежна у своїй діяльності. Робоча група складається з представника наглядового органу чи органів, призначеного кожною державою-членом, і представника від органа чи органів, створених для установ і органів Співтовариства, а також представника Комісії.

2. Кожен член Робочої групи призначається установою, органом чи органами, які він представляє. Якщо держава-член створила більш ніж один наглядовий орган, вони призначають спільного представника. Ті ж самі положення повинні застосовуватися до органів, створених для установ і органів Співтовариства.

3. Робоча група приймає рішення простою більшістю представників наглядових органів.

4. Робоча група вибирає свого голову. Термін повноважень голови складає два роки. Він може вибиратися повторно.

5. Секретаріат Робочої групи забезпечується Комісією.

6. Робоча група приймає свій власний регламент.

7. Робоча група розглядає питання, винесені на порядок денний головою або за його власною ініціативою, або на прохання представника наглядового органу чи органів, або на прохання Комісії.

Робоча група:

(a) розглядає будь-яке питання, що стосується застосування національних заходів, прийнятих відповідно до даної Директиви, з метою сприяння загальному застосуванню таких заходів;

(b) представляє Комісії висновки щодо рівня захисту в Співтоваристві та в третіх країнах;

(c) повідомляє Комісію про будь-яку запропоновану поправку до даної Директиви, про будь-які додаткові чи особливі заходи із захисту прав і свобод фізичних осіб при обробці персональних даних і про будь-які інші запропоновані заходи Співтовариства, що стосуються цих прав і свобод;

(d) виносить висновок про кодекси, складених на рівні Співтовариства.

2. Якщо Робоча група виявляє, що між законами чи практикою держав-членів виникають розбіжності, що можуть порушити рівень захисту осіб при обробці персональних даних у Співтоваристві, вона відповідним чином сповіщає про це Комісію.

3. Робоча група може за власною ініціативою давати рекомендації з усіх питань, які стосуються захисту осіб при обробці персональних даних у Співтоваристві.

4. Висновки і рекомендації Робочої групи передаються Комісії і комітету, передбаченому статтею 31.

5. Комісія повідомляє Робочу групу про дії, розпочаті у відповідь на її висновки і рекомендації. Повідомлення робиться у вигляді доповіді, що також подається Європейському Парламенту і Раді. Доповідь повинна бути оприлюднена.

6. Робоча група складає щорічний звіт про ситуацію відносно захисту фізичних осіб при обробці персональних даних у Співтоваристві та в третіх країнах, яку вона надає Комісії, Європейському Парламенту і Раді. Звіт повинен бути оприлюднений.

Комісії допомагає Комітет, що складається з представників держав-членів і очолюється представником Комісії. Представник Комісії подає Комітету проект заходів, яких слід вжити.

Комітет надає свій висновок про проекти в межах строку, який може бути встановлений головою залежно від ступеня невідкладності питання.

Висновок приймається більшістю, встановленою у пункті 2 статті 148 Договору. Голоси представників держав-членів у комітеті підраховуються відповідно до процедури, встановленої даною статтею. Голова не голосує.

Комісія приймає заходи, що повинні застосовуватися негайно. Однак, якщо ці заходи не збігаються з висновком Комітету, Комісія негайно повідомляє про це Раду.

У такому випадку:

- Комісія відкладає застосування прийнятих нею засобів на три місяці з моменту повідомлення про них,

- Рада, діючи кваліфікованою більшістю, може прийняти інше рішення в межах строку, передбаченого в першому абзаці.

1. Держави-члени приймають законодавчі, нормативні й адміністративні положення, необхідні для виконання даної Директиви, не пізніше ніж наприкінці трирічного періоду з моменту її прийняття.

Коли держави-члени приймають такі положення, останні повинні містити посилання на цю Директиву чи супроводжуватися таким посиланням у разі їх офіційної публікації. Методи, за якими робиться таке посилання, встановлюються державами-членами.

2. Держави-члени гарантують, що обробка даних, яка на день набуття чинності національними положеннями, прийнятими відповідно до даної Директиви, вже відбувається, буде приведена у відповідність до цих положень за трирічний період з цієї дати.

Шляхом відступу від попереднього абзацу, держави-члени можуть передбачити, що обробка даних, які на день набуття чинності національними положеннями, прийнятими на виконання цієї Директиви, вже зберігаються в неавтоматизованих картотеках, повинна бути приведена у відповідність до статей 6, 7 і 8 даної Директиви протягом 12 років з дня її прийняття. Тим не менше, держави-члени надають суб'єкту даних право на його прохання і, зокрема, під час здійснення його права на доступ, виправляти, стирати чи блокувати дані, що є неповними, неточними чи зберігаються у формі, несумісній із законними цілями, переслідуваними контролером.

3. Шляхом відступу від пункту 2, держави-члени можуть передбачати, що за умови наявності відповідних гарантій дані, що зберігаються тільки з метою історичного дослідження, не потрібно приводити у відповідність до статей 6, 7 і 8 даної Директиви.

4. Держави-члени повинні представити Комісії текст положень внутрішнього законодавства, які вони приймають у сфері, що підпадає під дію даної Директиви.

Комісія регулярно доповідає Раді і Європейському Парламенту, починаючи не пізніше ніж через три роки з дати, зазначеної в пункті 1 статті 32, про виконання даної Директиви, при необхідності додаючи до своєї доповіді відповідні пропозиції про поправки. Доповідь підлягає оприлюдненню.

Комісія вивчає, серед іншого, застосування даної Директиви до обробки звукових і візуальних даних, що стосуються фізичних осіб, і подає будь-які відповідні пропозиції, що є необхідними з погляду досягнень в інформаційних технологіях і у світлі рівня прогресу в інформаційному суспільстві.

Дана Директива адресована державам-членам.