Приватне життя і поліція - Римаренко Ю. І. - 9.4. Директива 95/46/ЄС

Мета даного Протоколу - покращити застосування принципів, що містяться в Конвенції Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних (ETS № 108, "Конвенція") шляхом впровадження двох нових діючих положень, а саме про створення одного чи більше органів нагляду кожною Стороною та про транскордонне переміщення персональних даних в країни або організації, які не є сторонами Конвенції. Додатковий протокол до Конвенції 108 супроводжується пояснювальним звітом (прийнятим 23 травня 2001 р.), який не є інструментом для офіційної інтерпретації Протоколу, втім може мати такий характер з метою сприяння застосуванню положень Протоколу. Протокол відкрито для підпису в Страсбурзі 8 листопада 2001 р.

Стаття 1 Протоколу подовжує термін дії органів нагляду, визначених Статтею 13 Конвенції 108, які відповідають за забезпечення дотримання положень національного законодавства, що втілюють принципи, викладені в Конвенції та Протоколі. З цією метою органи нагляду мають, зокрема, наступні повноваження:

O розслідування та втручання, а також

* право брати участь у судовому розгляді або повідомляти компетентні судові органи про порушення умов внутрішньодержавного права,

* розглядати заяви будь-якої особи відносно захисту його/її прав і основних свобод відносно обробки персональних даних, в межах своєї компетенції,

O виконувати свої функції в повній незалежності. Рішення органів нагляду можуть бути оскаржені у суді.

Стаття 2 передбачає, що передача персональних даних користувачам, які підпадають під юрисдикцію Держави або організації, яка не є Стороною Конвенції, може відбуватися за умови, що ця Держава або організація забезпечить адекватний рівень захисту відповідної передачі даних. Відхилення від цього положення дозволяється при передачі даних у таких випадках:

(а) якщо внутрішньодержавне право забезпечує це у зв'язку з:

* специфічними інтересами суб'єкта даних, або

O перевагою законних інтересів, в особливості важливих суспільних інтересів, або

(б) якщо гарантії, що, зокрема, можуть походити з договірних положень, надаються контролером, відповідним за передачу, та визнаються достатніми компетентними органами відповідно до внутрішньодержавного права.

9.4. Директива 95/46/ЄС

Директива 95/46/ЄС Європейського Парламенту та Ради Європи від 24 жовтня 1995 р. про захист фізичних осіб при обробці персональних даних та вільного переміщення таких даних (Офіційний журнал Європейського Співтовариства від 23 листопада 1995 р., № 281 с.31) направлена на забезпечення високого рівня безпеки в Співтоваристві.

Директиви зобов'язують Держави-члени дотримуватися встановлених ці* лей протягом визначеного періоду, при цьому дозволяючи державним органам робити вибір стосовно форми та засобів, які будуть використані. Директиви мають бути відображені у національному законодавстві згідно з процедурами кожної окремої Держави. У випадку, якщо національне законодавство є більш жорстким, ніж директива, особа, яка має безпосередній інтерес, може клопотати про застосування положень Європейської Комісії. У тому випадку, якщо національні закони є більш поблажливими, третя сторона може іноді подавати клопотання по відношенню до відповідної Держави, але не щодо окремої особи.

Речення 5-9 Преамбули до Директиви 95/46/ЄС показують, що вона була прийнята на основі Статті 100 а Договору про Європейський Союз (на сьогоднішній день, Після внесення поправок - Стаття 95 ЄС) з метою сприяння вільному переміщенню персональних даних шляхом гармонізації законодавчих актів, розпоряджень та адміністративних положень Держав-членів стосовно захисту окремих осіб при обробці таких даних.

Директива 95/46/ЄС стосується захисту основних прав та свобод у внутрішньодержавних законодавствах щодо обробки персональних даних, в першу чергу права на приватне життя (див. П. 2.1.1), яке визнається Статтею 8 Європейської конвенції про захист прав людини та основних свобод та загальними принципами законодавства Європейського співтовариства. Директива також уточнює принципи, викладені в Конвенції Ради Європи від 28 січня 1981 р. (Конвенція 108, див. п. 2.1.2) про захист фізичних осіб при автоматизованій обробці персональних даних. Директива 97/66/ЄС уточнює положення даної Директиви в телекомунікаційному секторі. Обидві Директиви стосуються обробки персональних даних, включаючи переміщення даних щодо абонентів та користувачів мережею Інтернет. Статті 6, 7, 13,17 (1) та (2) Директиви 95/46/ЄС та Статті 4, 5, 6 та 14 Директиви 97/66/ЄС стосуються законності такої обробки телекомунікаційними операторами та постачальниками послуг. Ці положення дозволяють операторам та постачальникам послуг обробляти такі дані за досить обмеженими умовами. Стаття 6(1) передбачає, що персональні дані можуть збиратися лише для встановлених, чітких і законних цілей і надалі не можуть оброблятися у спосіб, несумісний з цими цілями. Стаття 6(1) передбачає, що персональні дані можуть зберігатися не довше, ніж це необхідно для цілей, заради яких дані були зібрані чи заради яких вони надалі обробляються. Стаття 5 гарантує конфіденційність передачі даних через державні телекомунікаційні мережі. Держави-члени повинні ввести заборону на прослуховування, запис, зберігання та інші види перехоплення даних іншими (крім користувачів) особами без згоди користувача цих даних, за винятком випадків, визначених законом у відповідності зі Статтею 14 (1). Існує загальне правило, згідно з яким дані, що передаються телекомунікаційними каналами, мають бути стерті або мають зберігатися анонімно після закінчені їх передачі (Стаття 6 (1) Директиви 97/66/ЄС). Національні правила стосовного того. Скільки мають зберігатися дані, варіюються від 14 днів (у Норвегії) до 18 місяців (у Сполученому Королівстві).

Після Глави І "Загальні положення" (Стаття 1 "Ціль Директиви", Стаття 2 "Визначення", Стаття 3 "Сфера застосування" та Стаття 4 "Національне законодавство, що застосовується" - остання також включає в себе вимоги до контролера), Директива 95/46/ЄС містить Главу II, що визначає основні правила законності обробки персональних даних, які викладені нижче:

Стаття 6

1. Держави-члени передбачають, що персональні дані повинні:

(а) оброблятися чесно і законно;

(б) збиратися для встановлених, чітких і законних цілей і надалі не оброблятися у спосіб, несумісний з цими цілями. Подальша обробка даних в історичних, статистичних чи наукових цілях не розглядається як несумісна, якщо держави-члени забезпечують відповідні гарантії;

(в) бути достовірними, відповідними і не надлишковими відносно цілей, заради яких вони збираються і/або надалі обробляються;

(г)бути точними і, якщо необхідно, обновлятися; слід вжити всіх розумних заходів, щоб гарантувати, що дані, які є неточними чи неповними, з урахуванням цілей, заради яких вони були зібрані чи заради яких вони надалі обробляються, стиралися чи виправлялися;

(г) зберігатися у формі, що дозволяє встановлювати особу суб'єктів даних не довше, ніж це необхідно для цілей, заради яких дані були зібрані чи заради яких вони надалі обробляються. Держави-члени встановлюють відповідні гарантії для персональних даних, що зберігаються протягом більш тривалих періодів з метою історичного, статистичного чи наукового використання.

2. Забезпечення дотримання пункту 1 покладається на контролера.

Стаття 7

1. Держави-члени передбачають, що персональні дані можуть оброблятися тільки за умови, що:

(а) суб'єкт даних недвозначно дав свою згоду; чи

(б) обробка необхідна для виконання контракту, стороною якого є суб'єкт даних, чи для вживання заходів на прохання суб'єкта даних до підписання контракту;чи

(в) обробка необхідна для дотримання правового зобов'язання, яким зв'язаний контролер; чи

(г) обробка необхідна для захисту життєво важливих інтересів суб'єкта даних; чи

(г) обробка необхідна для виконання завдання, здійснюваного в суспільних інтересах, чи при виконанні офіційних повноважень, якими наділений контролер або третя сторона, якій надаються дані; чи

(д) обробка необхідна в цілях законних інтересів, переслідуваних контролером чи третьою стороною або сторонами, для яких надаються дані, крім випадків, коли над такими інтересами переважають інтереси основних прав і свобод суб'єкта даних, що вимагають захисту згідно з пунктом 1 статті 1.

Стаття 8. Обробка особливих категорій даних

1. Держави-члени забороняють обробку персональних даних, що вказують на расове чи етнічне походження, політичні погляди, релігійні чи філософські переконання, профспілкове членство, і обробку даних, що стосуються здоров'я чи статевого життя людини.

2. Пункт 1 не застосовується, якщо:

(а) суб'єкт даних дав свою недвозначну згоду на обробку цих даних, крім випадків, коли законодавство держав-членів передбачає, що заборона, згадана в пункті 1, не може бути знята при наданні згоди з боку суб'єкта даних;чи

(б) обробка необхідна з метою виконання зобов'язань і особливих прав контролера в області законодавства про працевлаштування, у тій мірі, у якій це дозволено національним законодавством, що передбачає адекватні гарантії; чи

(в) обробка необхідна для захисту життєво важливих інтересів суб'єкта даних чи іншої особи, якщо суб'єкт даних не може дати свою згоду через свою недієздатність чи неправоздатність; чи

(г) обробка проводиться в ході законної діяльності з відповідними гарантіями установою, асоціацією чи будь-яким іншим некомерційним органом у політичних, філософських, релігійних чи профспілкових цілях і за умови, Що обробка стосується винятково Членів цього органу чи людей, що у зв'язку з цими цілями перебувають у постійному контакті з ним, і що дані не надаються третій особі без згоди суб'єктів даних; чи

(г) обробка стосується даних, що явно оприлюднені суб'єктами даних, чи необхідна для порушення, виконання чи захисту судових позовів.

3. Пункт 1 не застосовується, якщо обробка даних необхідна з метою профілактичної медицини, медичної діагностики, надання медичних послуг чи лікування або для керування служб охорони здоров'я, і якщо ці дані обробляються медичним працівником, що, відповідно до національного законодавства чи правил, встановлених національними компетентними органами, зв'язаний зобов'язанням збереження професійної таємниці, чи іншою особою, що зв'язана подібним зобов'язанням збереження таємниці.

4. За умови надання відповідних гарантій, держави-члени можуть на важливій підставі суспільного інтересу встановлювати винятки на додачу до тих, що передбачені в пункті 2, за допомогою або національного закону, або рішення наглядового органу.

5. Обробка даних, що стосуються правопорушень, обвинувачення у кримінальних справах чи засобів безпеки, може проводитися тільки під контролем офіційного органу або якщо національне законодавство передбачає відповідні спеціальні гарантії, з винятками, що можуть бути надані державою-членом відповідно до національних положень, що передбачають відповідні спеціальні гарантії. Однак, повний реєстр обвинувачень у кримінальних справах може вестися лише під контролем офіційного органу. Держави-члени можуть передбачити, що дані про адміністративні санкції чи про судові рішення в цивільних справах також повинні оброблятися під контролем офіційного органу.

6. Відступи від пункту 1, передбачені у пунктах 4 і 5, доводяться до відома Комісії.

7. Держави-члени визначають умови, за яких може оброблятися національний ідентифікаційний код чи будь-який інший ідентифікатор загального застосування.

Стаття 9. Обробка персональних даних і свобода самовираження

Держави-члени передбачають винятки чи відступи від положень цієї Глави, Глави IV і Глави VI, у тому, що стосується обробки персональних даних, що проводиться виключно для цілей журналістики або художньої чи літературної творчості, за умови, що вони необхідні, для узгодження права на невтручання в особисте життя з нормами, що регулюють свободу самовираження.

Стаття 10. Інформація у разі збору даних від суб'єкта даних

Держави-члени передбачають, що контролер чи його представник повинні надати суб'єкту даних, у якого збираються дані щодо нього самого, принаймні наступну інформацію, крім тих випадків, коли в нього вже є така інформація:

(а) особа контролера і його представника, якщо такий є;

(б) цілі обробки, для якої призначені дані;

(в) будь-яка додаткова інформація, така як наприклад:

* одержувачі чи категорії одержувачів даних,

* обов'язковість чи добровільність відповіді на питання, а також можливі наслідки за ненадання відповіді,

* існування права доступу і права на виправлення даних, які його стосуються у тій мірі, у якій така додаткова інформація необхідна, з огляду на особливі обставини, за яких дані збираються, для гарантії справедливої обробки у відношенні суб'єкта даних обробки.

Стаття 11. Інформація у разі, якщо дані не були отримані від суб'єкта даних

1. У випадку, якщо дані не були отримані від суб'єкта даних, держави-члени передбачають, що контролер чи його представник повинні під час реєстрації персональних даних чи, якщо передбачене розголошення даних третій особі, не пізніше того часу, коли дані вперше розголошуються, надати суб'єкту даних наступну інформацію, крім тих випадків, коли в нього вже є така інформація:

(а) особа контролера і його представника, якщо такий є;

(б) цілі обробки;

(в) будь-яка додаткова інформація, така як наприклад:

* категорії даних, що використовуються,

* одержувачі чи категорії одержувачів,

O існування права доступу і права на виправлення даних, які його стосуються у тій мірі, у якій така додаткова інформація необхідна, з огляду на особливі обставини, за яких дані обробляються, для гарантії справедливої обробки у відношенні суб'єкта даних обробки. 3. Параграф 1 не застосовується в певних випадках, зокрема при обробці даних у статистичних цілях чи з метою історичних чи наукових досліджень, коли надання такої інформації виявляється неможливим чи може спричинити непропорційні зусилля або коли реєстрація чи Надання даних Чітко передбачене законодавством. У цих випадках держави-члени надають відповідні гарантії.

Стаття 12. Право доступу

Держави-члени гарантують кожному суб'єкту даних право отримати від контролера:

(а) без обмежень через розумні інтервали часу і без надмірної затримки або витрат:

O підтвердження того, обробляються чи ні дані, які його стосуються, і інформацію, принаймні, про цілі обробки, категорії розглянутих даних і про одержувачів чи категорії одержувачів, яким надаються дані,

O повідомлення йому в зрозумілій формі про те, що дані знаходяться в процесі обробки, і будь-яку іншу доступну інформацію щодо їхнього джерела,

O інформацію про логіку, що використовується під час автоматизованої обробки даних, що його стосуються, принаймні, у випадку автоматизованих рішень, згаданих у статті 15(1);

(б) в залежності від випадку, виправлення, стирання чи блокування даних, обробка яких не відповідає положенням даної Директиви, зокрема через неповноту чи неточність даних;

(в) повідомлення третім сторонам, яким були надані дані, про будь-яке виправлення, стирання чи блокування, виконане відповідно до підпункту (б), якщо це можливо чи не вимагає непропорційних зусиль.

Стаття 13. Винятки та обмеження

1. Держави-члени можуть вживати законодавчих заходів для обмеження обсягів обов'язків і прав, передбачених у Статтях 6 (1), 10, 11 (1), 12 і 21, якщо таке обмеження є необхідним, щоб гарантувати:

(а) національну безпеку;

(б)оборону;

(в) суспільну безпеку;

(г) запобігання, розслідування, виявлення і судове переслідування кримінальних злочинів чи порушень етики визначених професій;

(г) важливий економічний чи фінансовий інтерес держави-члена чи Європейського Союзу, включаючи монетарні, бюджетні і податкові питання;

(д) моніторинг, перевірку чи регулятивну функцію, пов'язану, навіть зрідка, з виконанням офіційних повноважень у випадках, вказаних у підпунктах (в), (г) і (г);

(е) захист суб'єкта даних чи прав і свобод інших осіб. 2. За умови виконання відповідних правових гарантій, зокрема того, що дані не використовуються для вживання заходів чи прийняття рішень щодо будь-якої конкретної людини, держави-члени можуть, за явної відсутності якого-небудь ризику втручання в особисте життя, обмежити шляхом законодавчого заходу права, передбачені в Статті 12, якщо дані обробляються виключно з метою наукових досліджень чи зберігаються в особовій формі протягом періоду, що не перевищує період часу, необхідного лише для цілі створення статистики.

Стаття 14. Право суб'єкта даних на заперечення Держави-члени надають суб'єкту даних право:

(а) принаймні у випадках, передбачених у підпунктах (г) і (д) Статті 7, заперечувати в будь-який час на безсумнівних законних підставах, пов'язаних з його конкретною ситуацією, проти обробки даних, які його стосуються, за винятком випадків, коли інше передбачено національним законодавством. За наявності обгрунтованого заперечення в розпочатій контролером обробці більше не можуть використовуватися такі дані;

(б) заперечувати, за вимогою і безкоштовно, проти обробки персональних даних, що його стосуються і які контролер має намір обробити з метою прямого маркетингу, чи бути проінформованим до того, як персональні дані будуть вперше надаватися третім особам чи використовуватися від їхнього імені з метою прямого маркетингу, при цьому йому чітко пропонується право на безкоштовне заперечення проти такого надання чи використання даних.

Держави-члени мають вжити необхідні заходи для забезпечення того, щоб суб'єкти даних були інформовані про існування права, про яке йдеться в першій частині підпункту (б).

Стаття 15. Автоматизовані індивідуальні рішення

1. Держави-члени надають кожній особі право на те, щоб стосовно неї не приймалося рішення, що має для неї правові наслідки чи значною мірою зачіпає її і яке грунтується винятково на автоматизованій обробці даних, призначеній для оцінки деяких його особистісних характеристик, як наприклад виконання нею професійних обов'язків, кредитоспроможності, надійності, поведінки, тощо.

2. Відповідно до інших Статей даної Директиви, держави-члени передбачають, що стосовно особи може бути прийняте рішення, про яке йдеться в пункті 1, якщо це рішення:

(а) прийняте в ході укладання чи виконання контракту, за умови, що прохання про укладання чи виконання контракту, подане суб'єктом даних, було задоволене або існують відповідні заходи для захисту його законних інтересів, як наприклад заходи, що дозволяють йому виразити свою точку зору; чи

(б) санкціоноване законом, що також передбачає заходи для захисту законних інтересів суб'єкта даних.

Стаття 16. Конфіденційність обробки

Будь-яка особа, яка діє у підпорядкуванні контролеру чи оператору обробки, включаючи самого оператора обробки, який має доступ до персональних даних, не повинні обробляти їх інакше, як за вказівкою контролера, за винятком тих випадків, коли це вимагається законом.

Стаття 17. Безпека обробки

1. Держави-члени передбачають, що контролер повинен здійснювати відповідні технічні й організаційні заходи для захисту персональних даних від випадкового або незаконного знищення чи випадкової втрати, зміни, несанкціонованого розкриття чи доступу, зокрема, якщо обробка включає передачу даних через мережу, і від усіх інших незаконних форм обробки. Такі заходи, із врахуванням нинішнього стану речей і вартості їхнього здійснення, повинні забезпечувати рівень безпеки, співвідносний з ризиком, що супроводжує обробку, і з природою даних, що захищаються.

2. Держави-члени передбачають, що контролер повинен, у випадку обробки від свого імені, вибрати оператора обробки, що надає достатні гарантії щодо технічних заходів безпеки і організаційних заходів, що регулюють обробку, яка має проводитись, і повинен забезпечити виконання цих заходів.

3. Здійснення обробки за допомогою оператора обробки даних повинне регулюватися договором чи правовим актом, яким оператор обробки даних підпорядковується контролеру і який передбачає, зокрема, наступне:

O оператор обробки даних повинен діяти тільки за вказівками контролера,

* зобов'язання, викладені в параграфі 1 і визначені законодавством дер-жави-члена, у якому призначений оператор обробки даних, повинні також застосовуватися до оператора обробки.

4. З метою збереження доказів, розділи договору чи юридичного акта про захист даних і вимоги про заходи, згадані в параграфі 1, повинні бути викладені в письмовій формі чи в іншій рівносильній формі.

Стаття 18. Зобов'язання повідомляти наглядовий орган

1. Держави-члени передбачають, що контролер чи його представник, якщо такий існує, повинні повідомити наглядовий орган, згаданий у Статті 28, про обробку до проведення будь-якої повної чи часткової автоматизованої операції з обробки даних чи сукупності таких операцій, призначених служити єдиній цілі чи декільком взаємозалежним цілям.

2. Держави-члени можуть передбачити спрощення чи звільнення від повідомлення тільки в наступних випадках і за наступних умов:

O якщо для категорій операцій з обробки, які, беручи до уваги дані, що будуть оброблятися, навряд чи можуть завдати шкоди правам і свободам суб'єктів даних, вони визначають цілі обробки даних, дані чи категорії даних, які проходять обробку, категорію чи категорії суб'єктів даних, одержувачів чи категорії одержувачів, яким будуть надані дані, і період часу, протягом Якого дамі Будуть зберігатися, і/чи

O якщо контролер відповідно до національного права, яким він керується, призначає посадову особу із захисту персональних даних, що, серед іншого, відповідає за наступне:

O забезпечення у незалежний спосіб внутрішнього застосування національних положень, прийнятих на виконання цієї Директиви,

O ведення реєстру операцій із обробки, що проводиться контролером і містить інформацію, згадану в пункті 2 Статті 21, у такий спосіб забезпечуючи те, що операції із обробки навряд чи завдадуть шкоди правам і свободам суб'єктів даних.

3. Держави-члени можуть передбачити, що параграф 1 не застосовується до обробки, єдиною метою якої є ведення реєстру, що, відповідно до законодавчих чи нормативних положень, призначений для надання інформації громадськості і відкритий для консультування або населення в цілому, або будь-якої особи, що проявляє законний інтерес.

4. Держави-члени можуть передбачити звільнення від зобов'язання щодо повідомлення чи спрощення системи повідомлення у випадку здійснення операцій із обробки, про які йдеться в підпункті (г) пункту 2 Статті 8.

5. Держави-члени можуть передбачити повідомлення про деякі чи всі неав-томатизовані операції з персональними даними або передбачити спрощений порядок повідомлення про ці операції із обробки.

Стаття 19. Зміст повідомлення

1. Держави-члени визначають інформацію, що повинна міститися в повідомленні. Вона повинна включати, принаймні, наступне:

(а) ім'я та адресу контролера і його представника, якщо такий є;

(б) ціль чи цілі обробки;

(в) опис категорії чи категорій суб'єктів даних або категорій їхніх персональних даних;

(г) одержувачів чи категорії одержувачів, яким можуть надаватися дані; (г) передачі даних, що передбачаються, третім країнам;

(д) загальний опис, що дозволяє зробити попередню оцінку відповідності заходів, прийнятих згідно із Статтею 17, для забезпечення безпеки обробки.

2. Держави-члени встановлюють процедури, згідно з якими наглядовий орган повинен бути сповіщений про будь-яку зміну, що зачіпає інформацію, згадану в пункті 1.

Стаття 20. Попередня перевірка

1. Держави-члени визначають операції із обробки, що можуть мати певний ризик для прав і свобод суб'єктів даних, і перевіряють, щоб ці операції із обробки вивчалися до початку обробки.

2. Такі попередні перевірки здійснюються наглядовим органом після одержання повідомлення від контролера чи посадової особи з питань захисту даних, що при виникненні сумнівів повинні радитися з наглядовим органом.

3. Держави-члени можуть також проводити такі перевірки у зв'язку з підготовкою законодавчого заходу національного парламенту або заходу, що базується на такому законодавчому заході і визначає характер обробки та встановлює відповідні гарантії.

Стаття 21. Оголошення операцій із обробки

1. Держави-члени вживають заходів для забезпечення того, що операції із обробки оголошуються.

2. Держави-члени передбачають, що наглядовий орган повинен вести реєстр операцій із обробки, повідомлення про які відбувається згідно із Статтею 18. Реєстр повинен містити, принаймні, інформацію, перераховану в підпунктах (а)-(г) пункту 1 Статті 19. Будь-яка особа може перевірити такий реєстр.

3. Держави-члени передбачають у відношенні операцій із обробки, повідомлення про які не передбачаються, що контролери чи інші органи, призначені державами-членами, надають після запиту будь-якої особи у відповідній формі, принаймні, інформацію, перераховану в підпунктах (а)-(г*) пункту 1 статті 19.

Держави-члени можуть передбачити, що це положення не застосовується до обробки, єдиною метою якої є ведення реєстру, що згідно із законодавчим чи нормативним положенням передбачає надання інформації населенню і який відкритий для консультування або для населення в цілому, або для будь-якої особи, що може довести свій законний інтерес. Національне законодавство країн має надавати гарантії щодо судового захисту від будь-якого порушення прав (Стаття 22 "Засоби захисту"). Будь-яка особа, якій завдано шкоди в результаті незаконної операції із обробки, має право на одержання компенсації від контролера за завдану шкоду (Стаття 23 "Відповідальність"). У випадку порушення необхідно вжити відповідні заходи та встановити необхідні санкції (Стаття 24 "Санкції").

Згідно зі Статтею 25 ("Принципи"), передача третій країні персональних даних може відбуватися за умови, що розглянута третя країна гарантує адекватний рівень захисту. Адекватність рівня захисту розглядається у світлі всіх обставин операції з передачі даних, при цьому увагу необхідно звернути на характер даних, ціль і тривалість запропонованої операції чи операцій із обробки, країну походження даних і країну кінцевого призначення даних, загальні і галузеві норми права, що діють у розглянутій третій країні, і професійні правила та заходи безпеки, що виконуються в цій країні. Відступи від цих принципів (Стаття 26) можливі лише за умови, що:

(а) суб'єкт даних дав свою недвозначну згоду на пропоновану передачу даних; або

(б) передача даних необхідна для виконання контракту між суб'єктом даних і контролером чи для виконання заходів, що передують договору і прийняті у відповідь на прохання суб'єкта даних; або

(в) передача даних необхідна для укладення чи виконання контракту, укладеного в інтересах суб'єкта даних між контролером і третьою стороною; або

(г) передача даних необхідна чи юридично обов'язкова на важливих підставах суспільних інтересів або для встановлення, виконання чи захисту правових вимог; або

(г) передача даних необхідна для захисту життєво важливих інтересів суб'єкта даних;або

(д) передача даних зроблена з реєстру, метою якого, відповідно до законів або положень, є надання інформації населенню і який відкритий для консультацій або населення в цілому, або будь-якої людини, що може продемонструвати законний інтерес, у тому обсязі, за якого умови, передбачені в законодавстві про консультацію, виконуються в особливому випадку.

Один чи більше держаних незалежних органів (Стаття 26) відповідають за моніторинг застосування даної Директиви. Кожен орган зокрема наділений наступними повноваженнями:

O такими слідчими повноваженнями, як право доступу до даних, що є предметом операцій із обробки, і право збирати всю інформацію, необхідну для виконання його обов'язків із здійснення нагляду;

O ефективними повноваженнями на втручання, такими як надання висновків до здійснення операцій із обробки і забезпечення відповідного опублікування таких висновків, видання розпоряджень про блокування, стирання чи знищення даних, накладення тимчасової чи остаточної заборони на обробку даних, попередження чи винесення догани контролеру, або повноваження звертатися до національних парламентів чи інших політичних інститутів;

O право брати участь у судочинстві, якщо були порушені національні положення, прийняті відповідно до даної Директиви, чи довести ці порушення до відома судових органів.

Рішення наглядового органу, що викликали скарги, можуть бути оскаржені в суді. Суди мають розглядати запити щодо захисту прав і свобод при обробці персональних даних. Навіть після їх звільнення на посадових осіб і персонал наглядового органу поширюється обов'язок зберігати професійну таємницю відносно конфіденційної інформації, до якої вони мають доступ.

Стаття 13 дозволяє Державам-членам обмежувати обсяги дії Статті 6 Директиви 95/46/ЄС (див. п. 2.1.3.2.1.1 "Принципи, які стосуються якості даних") у тому випадку, якщо такі обмеження є необхідними заходами для забезпечення національної та суспільної безпеки, або запобігання, розслідування, виявлення та судового переслідування кримінальних злочинів. Застосування цих принципів також роз'яснено в Статті 5 та Статті 6 (пункти 2-5) Директиви 97/66/ЄС. Законодавчі акти, що існують у більшості Держав-чле-нів, детально визначають умови, за якими поліція та сили національної безпеки отримують доступ до даних, які зберігаються приватними телекомунікаційними операторами та компаніями, що надають послуги доступу до мережі Інтернет, для своїх власних громадських цілей. Згідно зі Статтею З (2) Директиви 95/46/ЄС ("Сфера застосування"), ця Директива не застосовується при обробці персональних даних:

O протягом діяльності, що не входить у сферу дії права Співтовариства, такої як діяльність, передбачена Розділами V (Положення щодо загальної зовнішньої політики та політики безпеки) і VI (Положення щодо співробітництва в сфері юстиції та внутрішніх справ) Договору про Європейський Союз і, у будь-якому випадку, до операцій із обробки даних, що стосуються суспільної безпеки, оборони, державної безпеки (включаючи економічний добробут держави, якщо процес обробки стосується питань державної безпеки) і діяльності держави в сфері кримінального права;

O якщо вона проводиться фізичною особою під час діяльності виключно особистого чи побутового характеру.

Це означає, що до сфери застосування Директиви 95/46/ЄС входить:

O діяльність, про яку йде мова в Розділах V та VI Договору про Європейський Союз, і яка стосується суспільної безпеки, оборони, державної безпеки або діяльності Держави в сфері кримінального права, виходить за рамки застосування права Співтовариства,

* обробка звукових даних та зображень, як у випадку з відеонаглядом, якщо такий проводиться з метою суспільної безпеки, оборони, національної безпеки, або у випадку діяльності Держави в сфері кримінального права, або будь-якої іншої діяльності, яка виходить за рамки права Співтовариства,

* правил територіальності, що застосовуються в кримінальних справах,

* спеціальні умови обробки для певних секторів та різних категорій даних, до яких застосовуються правила територіальності, що застосовуються в кримінальних справах,

* обмеження щодо прав доступу до інформації та певних обов'язків контролера у випадку, якщо вони необхідні для забезпечення наприклад національної безпеки, оборони, суспільної безпеки, або важливих економічних або фінансових інтересів Держав-членів або Європейського Союзу, а також кримінальні розслідування та переслідування, та дії проти порушень етики визначених професій,

* моніторинг, перевірка чи регулятивні функції, необхідні в трьох зазначених вище сферах, пов'язаних з суспільною безпекою, економічними або фінансовими інтересами, та запобіганнями злочинам, та

* легітимність виключень та обмежень для забезпечення державної безпеки та оборони.

Умови, визначені Директивою, співпадають з наступними елементами прецедентного права (Алкема, №.9):

* судовий контроль та інші види контролю, незалежні від адміністрації;

* процедурні та технічні положення для здійснення такого контролю;

* правові обмеження стосовно цілей та методів збору інформації;

* значимість для цілі, з якою збираються дані;

* юридичне визначення категорій осіб, дані про яких можуть бути зібрані, та випадків, в яких дані підлягають обробці;

* визначені обмеження щодо терміну зберігання даних;

* юридичне визначення умов, за якими дані мають бути знищені.

Суд та Комісія здебільшого розглядали відносини між Державою та окремими особами, в той час як Директива 95/46/ЄС розглядає відносини між приватними сторонами, включаючи корпоративні органи, а також інших юридичних осіб. Інші судові справи виходять з сфери кримінального права, поліцейського розслідування та нагляду, а також реєстрації ув'язнених. Стандарти, встановленні Статтею 8 Європейської конвенції про захист прав людини та Конвенції 108 є загалом лише мінімальними стандартами. Згідно зі Статтею 60 Конвенції, Директива ЄС 1995 містить більш жорсткі вимоги. У випадку конфлікту з іншими першочерговими правами, наприклад правом на вираження своє точки зору, можуть виникнути певні проблеми. Не існує абсолютного пріоритету права на повагу особистого життя. Фактично, необхідно знайти баланс між правом на особисте життя та іншим основними правами. У випадку, якщо національне законодавство не є досить жорстким, механізм контролю Конвенції має виконувати наглядову роль.



Схожі статті




Приватне життя і поліція - Римаренко Ю. І. - 9.4. Директива 95/46/ЄС

Предыдущая | Следующая