Европейский парламент и совет европейского союза

ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,

принимая во внимание Договор об учреждении Европейского Сообщества и, в частности, статьи 100а этого Договора,

принимая во внимание предложение Комиссии (1),

принимая во внимание мнение Комитета по экономическим и социальным вопросам (2),

действуя в соответствии с процедурой, установленной статьей 189b Договора (3),

(1) принимая во внимание, что цели сообщества, указанные в Договоре, с учетом изменений в силу Договора о Европейском Союзе, включают создание более тесного союза между народами Европы, поощрение тесных связей между государствами, входящими в сообщество, обеспечение экономического и социального прогресса совместными действиями по устранению барьеров, разделяющих Европу, содействие постоянному улучшению условий жизни ее народов, сохранению и укреплению мира и свободы и укреплению демократии на основе фундаментальных прав, признаваемых конституциями и законами государств-участников и Европейской Конвенцией по защите прав человека и фундаментальных свобод;

(2) принимая во внимание, что системы обработки данных созданы в интересах человека; принимая во внимание, что они должны, вне зависимости от гражданства или места жительства физических лиц, уважать их фундаментальные права и свободы, в особенности право на частную жизнь, и способствовать экономическому и социальному прогрессу, расширению торговли и благосостояния граждан;

(3) принимая во внимание, что создание и функционирование внутреннего рынка, на котором, в соответствии со ст. 7а Договора, обеспечено свободное передвижение товаров, людей и услуг, требует не только того, чтобы персональные данные могли свободно передвигаться от одного государства-участника, но также и того, чтобы были гарантированы фундаментальные права частных лиц;

(4) принимая во внимание, что все более возрастающие ресурсы используются в Сообществе для обработки персональных данных в различных сферах экономической и социальной деятельности; принимая во внимание, что прогресс, достигнутый в информационной технологии, существенно облегчает обработку и обмен такими данными;

(5) принимая во внимание, что экономическая и социальная интеграция, проистекающая из создания и функционирования внутреннего рынка в значении ст. 7а Договора, неизбежно приведет к существенному росту потока персональных данных через границы между всеми, кто вовлечен частным или общественным образом в экономическую и социальную деятельность в государствах-участниках; принимая во внимание, что обмен персональными данными между предприятиями в различных государствах-участниках увеличивается; принимая во внимание, что национальные органы в различных государствах-участниках призваны в силу законов Сообщества сотрудничать и обмениваться персональными данными с тем, чтобы иметь возможность выполнять свои обязанности, либо выполнять задачи от имени властей другого государства-участника в контексте территории без внутренних границ, созданной внутренним рынком;

(6) принимая во внимание, что, кроме того, возрастание научной и технической кооперации и согласованного внедрения новых телекоммуникационных сетей в Сообществе требует и облегчает движение персональных данных через границы;

(7) принимая во внимание, что различие в степенях защиты прав и свобод граждан, в особенности права на частную жизнь, применительно к обработке персональных данных, допускаемое государствами-участниками, может воспрепятствовать передаче таких данных с территории одного государства-участника на территорию другого; принимая во внимание, что это различие может таким образом создать преграды в осуществлении ряда видов экономической деятельности на уровне Сообщества, помешать конкуренции и создать препятствия властям в исполнении ими своих обязанностей согласно законодательству сообщества; принимая во внимание, что это различие в степенях защиты связано с существованием различных национальных законодательств, нормативных актов и административных положений;

(8) принимая во внимание, что для устранения препятствий движению персональных данных, степень защиты прав и свобод частных лиц применительно к обработке таких данных должна быть эквивалентной во всех государствах-участниках; принимая во внимание, что эта цель является жизненно насущной для внутреннего рынка, но не может быть достигнута государствами-участниками самостоятельно, особенно ввиду степени различий, ныне имеющихся в соответствующем законодательстве государств-участников, и ради потребности координировать законодательство государств-участников в целях обеспечения движения персональных данных через границы последовательным образом, т.е. согласованно с целями внутреннего рынка, как указано в ст. 7а Договора; принимая во внимание, что, таким образом, необходимы действия Сообщества для сближения указанных законов;

(9) принимая во внимание, что с учетом эквивалентной защиты вследствие сближения национальных законов государства-участники не смогут более препятствовать свободному движению личных данных между ними по причинам, связанным с защитой прав и свобод частных лиц и, в частности, права на частную жизнь; принимая во внимание, что государства-участники сохранят пространство для маневра, каковой в контексте реализации настоящей Директивы может использоваться деловыми и социальными партнерами; принимая во внимание, что государства-участники таким образом смогут в своих национальных законодательствах определить общие положения, регулирующие законность обработки данных, принимая во внимание, что государства-участники тем самым будут стремиться усовершенствовать защиту, ныне предоставляемую их законодательствами; принимая во внимание, что в пределах настоящего пространства для маневра и в соответствии с законодательством сообщества могут возникнуть расхождения в реализации настоящей Директивы, что может повлиять на движение данных как в пределах государства-участника, так и в пределах сообщества;

(10) принимая во внимание, что предметом национального законодательства по обработке персональных данных является защита фундаментальных прав и свобод - в особенности права на личную жизнь, каковое признается как ст. 8 европейской Конвенцией о защите прав человека и фундаментальных свобод, так и общими принципами законодательства Сообщества; принимая во внимание, что с этой целью сближение таких законов не должно вызвать какого-либо уменьшения предоставляемой ими степени защиты, но, напротив, должно стремиться обеспечить высокий уровень защиты в Сообществе;

(11) принимая во внимание, что принципы защиты прав и свобод частных лиц, в особенности право на частную жизнь, содержащиеся в настоящей Директиве, закрепляют и усиливают принципы, содержащиеся в Конвенции Совета Европы от 28 января 1981 г. о защите частных лиц применительно к автоматической обработке персональных данных;

(12) принимая во внимание, что принципы защиты должны применяться ко всякой обработке персональных данных любым лицом, деятельность которого регулируется законодательством Сообщества; принимая во внимание, что должно делаться исключение для обработки данных физическим лицом в ходе осуществления исключительно личной или домашней деятельности, такой как переписка и ведение адресных списков;

(13) принимая во внимание, что виды деятельности, указанные в главах V и VI Договора о Европейском Сообществе в отношении общественной безопасности, обороны, государственной безопасности или деятельности государства в сфере уголовного права выходят за рамки законодательства сообщества, без ущерба для обязательств, налагаемых на государства-участники в соответствии со ст. 56(2), 57 или ст. 100а Договора об учреждении Европейского Сообщества; принимая во внимание, что обработка персональных данных, необходимая для обеспечения экономического благосостояния государства не входит в рамки настоящей Директивы, если такая обработка необходима по вопросам государственной безопасности;

(14) принимая во внимание, что, с учетом важности происходящего развития, в рамках информационного общества, техники, используемой для сбора, переноса, манипулирования, записи, хранения или передачи звуковых и графических данных, относящихся к физическим лицам, настоящая Директива должна быть применима к обработке, использующей такие данные.

(15) принимая во внимание, что обработка таких данных охватывается настоящей Директивой только в случае, если она является автоматизированной или если обрабатываемые данные помещаются или предназначены для помещения в систему хранения, структурированную в соответствии с особыми критериями, относящимися к частным лицам, для обеспечения легкого доступа к соответствующим персональным данным;

(16) принимая во внимание, что обработка звуковых и графических данных, как в случае видеонаблюдения, не входит в рамки настоящей Директивы, если осуществляется в целях общественной безопасности, обороны, национальной безопасности, или в ходе государственной деятельности, относящейся к сфере уголовного права, или иной деятельности, не входящей в рамки законодательства Сообщества;

(17) принимая во внимание, что, в той мере, в какой обработка звуковых и графических данных осуществляется журналистикой либо речь идет о целях литературного или художественного творчества, в частности, в аудиовизуальной сфере, принципы Директивы применяются с учетом ограничений в соответствии с положениями ст. 9;

(18) принимая во внимание, что для обеспечения того, чтобы частные лица не были лишены защиты, на которую они имеют право на основании настоящей Директивы, любая обработка персональных данных в Сообществе должна осуществляться в соответствии с законодательством одного из государств-участников; принимая во внимание, что в этой связи обработка, проводимая под ответственность контролера, учрежденного в одном из государств-участников, регулируется законодательством этого государства;

(19) принимая во внимание, что учреждение на территории государства-участника предполагает фактическое и реальное осуществление деятельности на стабильной договорной основе; принимая во внимание, что правовая форма такого учреждения, будь то просто филиал или дочерняя организация с правом юридического лица, не является определяющим фактором в данном отношении; принимая во внимание, что когда единый контролер учреждается на территории нескольких государств-участников, в частности, посредством дочерних организаций, он в целях избежания любого обхода национальных правил должен обеспечить, чтобы каждое из учреждений выполняло обязательства, налагаемые национальным законодательством, применимым к его деятельности;

(20) принимая во внимание, что факт производства обработки данных лицом, учрежденным в третьей стране, не препятствует защите частных лиц, предусмотренной настоящей Директивой; принимая во внимание, что в таких случаях обработка должна регулироваться законом государства-участника, в котором располагаются используемые средства, и что должны быть гарантии обеспечения того, что права и обязательства, установленные настоящей Директивой, соблюдаются на практике;

(21) принимая во внимание, что настоящая Директива не наносит ущерба правилам территориальной применимости по уголовным вопросам;

(22) принимая во внимание, что государства-участники в законах, которые они введут в ходе реализации мер, принимаемых во исполнение настоящей Директивы, более точно определят общие обстоятельства, при которых обработка является законной; принимая во внимание, что, в частности, ст. 5, в соединении со ст. 7 и 8 позволяет государствам-участникам независимо от общих правил устанавливать особые условия обработки для конкретных областей и различных категорий данных, охватываемых ст. 8;

(23) принимая во внимание, что государства-участники правомочны гарантировать реализацию защиты прав частных лиц как средствами общего законодательства по защите частных лиц применительно к обработке персональных данных, так и частных законов, например, касающихся статистических учреждений;

(24) принимая во внимание, что законодательство в отношении защиты юридических лиц применительно к защите касающихся их данных не затрагивается настоящей Директивой;

(25) принимая во внимание, что принципы защиты должны быть отражены, с одной стороны, в обязательствах, налагаемых на лиц, общественные организации, предприятия, агентства или иные учреждения, ответственные за обработку, в частности, в отношении качества данных, технической безопасности, уведомлений надзорного органа и обстоятельств, при которых может осуществляться обработка и, с другой стороны, в праве, предоставленном частным лицам, данные в отношении которых обрабатываются, быть информированными о том, что обработка имеет место, знакомиться с данными и даже возражать против обработки при определенных обстоятельствах;

(26) принимая во внимание, что принципы защиты должны применяться к любой информации, касающейся идентифицированного или идентифицируемого лица; принимая во внимание, что для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованными либо контролером, либо любым иным лицом для идентификации указанного лица; принимая во внимание, что принципы защиты не применяются к данным, сделанным обезличенными таким образом, что субъект данных более не является идентифицируемым; принимая во внимание, что кодексы поведения в значении ст. 27 могут быть полезным инструментом для руководства в том, какими способами данные могут быть обезличены и сохранены в форме, в которой идентификация субъекта данных более невозможна;

(27) принимая во внимание, что защита частных лиц должна применяться к автоматической обработке данных в той же мере, что и к ручной обработке; принимая во внимание, что рамки данной защиты не должны фактически зависеть от используемой техники, в противном случае это создаст серьезный риск обхода защиты; принимая во внимание, что, тем не менее, применительно к ручной обработке, настоящая Директива охватывает только системы хранения, а не неструктурированные досье (файлы); принимая во внимание, что, в частности, содержание системы хранения должно быть структурировано в соответствии со специфическими критериями, касающимися частных лиц, позволяя легкий доступ к персональным данным; принимая во внимание, что, в соответствии с определением в ст. 2 (с), каждым государством-участником могут устанавливаться различные критерии для определения составляющих структурированный набор персональных данных, и различные критерии, регулирующие доступ к такому набору; принимая во внимание, что досье (файлы) или наборы досье (файлов), а также их обложки, не являющиеся структурированными в соответствии с конкретными критериями, ни при каких обстоятельствах не охватываются рамками настоящей Директивы;

(28) принимая во внимание, что любая обработка персональных данных должна быть законной и справедливой по отношению к соответствующему физическому лицу; принимая во внимание, что, в частности, данные должны быть адекватными, относящимися к делу и не избыточными в отношении целей, для которых они обрабатываются; принимая во внимание, что такие цели должны быть явно выраженными и законными, и должны быть определены во время сбора данных; принимая во внимание, что цели обработки после сбора не должны быть несовместимыми с первоначально указанными целями;

(29) принимая во внимание, что дальнейшая обработка личных данных для исторических, статистических или научных целей не является, в принципе, несовместимой с целями, для которых данные первоначально собирались, при условии, что государства-участники установят надлежащие гарантии; принимая во внимание, что эти гарантии должны, в частности, определять использование данных в дополнение к мерам или решениям, касающимся любого конкретного физического лица;

(30) принимая во внимание, что обработка персональных данных, для того чтобы являться законной, должна, кроме того, осуществляться с согласия субъекта данных или быть необходимой для заключения или исполнения контракта, обязательного для субъекта данных, или в качестве законного требования, или для выполнения задачи, связанной с общественным интересом или при осуществлении официальных полномочий, или в законных интересах физического или юридического лица, при условии, что интересы либо права и свободы субъекта данных не нарушаются; принимая во внимание, что, в частности, для поддержания баланса между вовлеченными интересами при гарантировании эффективной конкуренции, государства-участники могут определить обстоятельства, при которых персональные данные могут быть обоснованно использованы или раскрыты третьей стороне в контексте законной обычной деятельности компаний и иных лиц; принимая во внимание, что государства-участники могут аналогично определить условия, на которых персональные данные раскрыты третьей стороне в целях маркетинга, осуществляемого как в коммерческом порядке, так и благотворительной организацией, или иной ассоциацией или фондом, или, например, политического характера, с учетом условий, позволяющих субъекту данных возражать против обработки данных в отношении него бесплатно и без необходимости указания причин;

(31) принимая во внимание, что обработка персональных данных должна в равной степени рассматриваться в качестве законной, если осуществляется для защиты интересов, существенных для жизни субъекта данных;

(32) принимая во внимание, что определение того, должен ли контролер осуществляющий выполнение задач в общественных интересах, или при выполнении служебных полномочий, являться государственной администрацией или иным физическим или юридическим лицом, действующим на основе публичного или частного права (например, если речь идет о профессиональной ассоциации) возлагается на национальное законодательство;

(33) принимая во внимание, что данные, которые по своей природе способны нанести ущерб фундаментальным свободам или праву на частную жизнь, не должны обрабатываться, если субъект данных не дает своего явного согласия; принимая во внимание, однако, что исключения из этого запрета, должны быть явно предусмотрены для конкретных целей, в частности, когда обработка таких данных, в частности, обработка таких данных осуществляется для определенных целей, связанных со здравоохранением, лицом, которое несет законодательное обязательство сохранения профессиональной тайны, или в ходе законной деятельности некоторыми ассоциациями или фондами, целью которых является обеспечение осуществления фундаментальных свобод;

(34) принимая во внимание, что государства-участники также должны быть уполномочены, когда это обусловлено важными общественными интересами, частично отменять запрет на обработку важных категорий данных в таких сферах, как здравоохранение и социальная защита - особенно в порядке обеспечения качества и ценовой эффективности процедур, используемых при удовлетворении требований по льготам и услугам в системе медицинского страхования, - научные исследования и государственная статистика; принимая во внимание, что их обязанностью является, однако, предоставление конкретных и надлежащих гарантий для защиты фундаментальных прав и частной жизни граждан;

(35) принимая во внимание, что, кроме того, обработка личных данных официальными органами для достижения целей, указанных в конституционном законе или международном публичном праве, официально признанных религиозных ассоциаций осуществляется по причине общественного интереса;

(36) принимая во внимание, что в ходе предвыборной деятельности, использование демократической системы в отдельных государствах-участниках требует, чтобы политические партии собирали данные о политических взглядах населения, обработка таких данных может быть разрешена по причине особого общественного интереса, при условии, что установлены соответствующие гарантии;

(37) принимая во внимание, что обработка персональных данных для целей журналистики, или литературного, или художественного творчества, в частности, в аудиовизуальной сфере, имеет право на освобождение от требований некоторых положений настоящей Директивы в той мере, в какой это необходимо для примирения фундаментальных прав граждан со свободой информации и, в особенности, права получать и передавать информацию, как гарантировано, в частности, в статье 10 европейской Конвенции о защите прав человека и фундаментальных свобод; принимая во внимание, что государства-участники должны, таким образом, установить исключения и освобождения, необходимые в целях достижения баланса между фундаментальными правами при осуществлении общих мер по законности обработки данных, мер по передаче данных в третьи страны, и полномочий надзорного органа; принимая во внимание, что это не должно, однако, приводить к установлению государствами-участниками исключений из мер по обеспечению безопасности обработки; принимая во внимание, что по меньшей мере надзорный орган, ответственный за этот сектор, должен иметь определенные полномочия по передаче, например, публиковать регулярный отчет или направлять материалы в судебные органы;

(38) принимая во внимание, что если обработка данных должна быть справедливой, то субъект данных должен иметь возможность узнать о существовании операций по обработке и, если данные получены от него, получить точную и полную информацию об обстоятельствах сбора;

(39) принимая во внимание, что определенные операции по обработке используют данные, которые контролер не собирал непосредственно у субъекта данных; принимая во внимание, кроме того, что данные могут быть законно раскрыты третьей стороне, даже если раскрытие не ожидалось в то время, когда данные собирались у субъекта; принимая во внимание, что во всех этих случаях субъект данных должен быть проинформирован, когда данные записываются или, по меньшей мере, когда данные впервые раскрываются третьей стороне;

(40) принимая во внимание, что, однако, не является необходимым налагать эту обязанность, если субъект данных уже имеет информацию; принимая во внимание, что, более того, не будет такой обязанности, если запись или раскрытие явно оговорены законом, или если предоставление информации субъекту данных оказывается невозможным, либо повлечет непропорциональные усилия, каковые могут иметь место, если обработка производится для исторических, статистических или научных целей; принимая во внимание, что в этой связи могут приниматься в расчет число субъектов данных, возраст данных и любые принятые компенсационные меры;

(41) принимая во внимание, что любое лицо должно иметь возможность доступа к касающимся его обрабатываемым данным, чтобы убедиться, в частности, в точности данных и законности обработки; принимая во внимание, что в тех же целях каждый субъект данных также должен иметь право ознакомиться с логикой автоматической обработки касающихся его данных, по меньшей мере, в случае автоматического принятия решений, как указано в ст. 15(1); принимая во внимание, что такое право не должно неблагоприятно воздействовать на коммерческие тайны или интеллектуальную собственность и, в частности, авторское право на программное обеспечение; принимая во внимание, что такие обоснования не могут, однако, приводить к тому, что субъекту данных будет отказано во всей информации;

(42) принимая во внимание, что государства-участники могут в интересах субъекта данных или для защиты прав и свобод иных лиц ограничивать право доступа к информации; принимая во внимание, что они могут, например, установить, что доступ к медицинским данным может быть предоставлен только профессиональным медикам;

(43) принимая во внимание, что ограничения прав на доступ и информацию и некоторых обязательств контролера могут аналогичным образом налагаться государствами-участниками в той мере, в какой они необходимы для обеспечения, например, национальной безопасности, обороны, общественной безопасности, или важных экономических или финансовых интересов государства-участника, или Сообщества, а также для уголовного расследования и преследования, и действий в отношении нарушения профессиональной этики; принимая во внимание, что список исключений и ограничений должен включать задачи мониторинга, инспекции или регулирования, необходимые в трех последних сферах, касающихся общественной безопасности, экономических или финансовых интересов и предотвращения преступлений; принимая во внимание, что перечисление задач в этих трех сферах не влияет на законность исключений или ограничений по причинам государственной безопасности или обороны;

(44) принимая во внимание, что государства-участники также могут в соответствии с положениями законодательства Сообщества исключить из положений настоящей Директивы, касающихся права доступа, обязанности информировать частных лиц и качества данных в вышеизложенных целях;

(45) принимая во внимание, что в случаях, когда данные могут законно обрабатываться по причинам общественного интереса, официальных полномочий или законного интереса физического или юридического лица, любой субъект данных должен, тем не менее, иметь право возражать, при наличии законных причин, связанных с его конкретной ситуацией, против обработки любых данных, касающихся его; принимая во внимание, что государства-участники могут, тем не менее, устанавливать противоположные национальные положения;

(46) принимая во внимание, что защита прав и свобод субъектов данных в отношении обработки персональных данных требует, чтобы были приняты надлежащие технические и организационные меры, как при разработке системы обработки, так и в процессе самой обработки, в частности, для поддержания безопасности и предотвращения, тем самым, любой несанкционированной обработки; принимая во внимание, что государства-участники обязаны обеспечить, чтобы контролеры соблюдали эти меры; принимая во внимание, что эти меры должны обеспечить надлежащий уровень безопасности; принимая во внимание состояние и стоимость их реализации по отношению к рискам, связанным с обработкой и характером защищаемых данных;

(47) принимая во внимание, что если сообщение, содержащее персональные данные, передается средствами телекоммуникаций или электронной почты, единственной целью которой является передача таких сообщений, в отношении персональных данных, содержащихся в сообщении, лицом, от которого исходит сообщение, как правило, считается контролер, а не лицо, предоставляющее услуги по передаче; принимая во внимание, тем не менее, что те, кто предлагают такие услуги, как правило считаются контролерами в отношении обработки дополнительных персональных данных, необходимых для осуществления такой услуги;

(48) принимая во внимание, что процедуры по уведомлению надзорного органа предназначены обеспечивать раскрытие целей и основных деталей любой операции по обработке в целях удостоверения, что такая операция соответствует национальным мерам, принятым согласно настоящей Директиве;

(49) принимая во внимание, что для избежания излишних административных формальностей, государства-участники могут установить исключения из обязательства уведомлять и упростить требуемое уведомление в случаях, когда представляется маловероятным, что обработка может неблагоприятно воздействовать на права и свободы субъектов данных, при условии, что это соответствует мерам, принятым государством-участником, с указанием пределов обработки; принимая во внимание, что исключение или упрощение могут быть аналогично установлены государством-участником, если лицо, назначенное контролером, гарантирует; что осуществляемая обработка едва ли сможет неблагоприятно воздействовать на права и свободы субъектов данных; принимая во внимание, что такое лицо, занимающееся защитой данных, вне зависимости от того, является ли оно сотрудником контролера или нет, должно быть в состоянии осуществлять свои функции полностью независимо;

(50) принимая во внимание, что исключения или упрощения могут быть предусмотрены для операций по обработке, единственная цель которых состоит в ведении реестра, предназначенного, в соответствии с национальным законодательством, предоставлять информацию общественности и открытого для ознакомления общественности или любым лицом, демонстрирующим законный интерес;

(51) принимая во внимание, что тем не менее упрощение или исключение из обязанности уведомления не освобождает контролера от любых иных обязательств, проистекающих из настоящей Директивы;

(52) принимая во внимание, что в данном контексте удостоверение постфактум компетентными органами должно, как правило, считаться достаточной мерой;

(53) принимая во внимание, что, однако, определенные операции по обработке могут создать определенные угрозы правам и свободам субъектов данных по своей природе, своим пределам или своим целям, как, например, лишение граждан права, льготы или исключение из контракта, или по причине особого использования новых технологий; принимая во внимание, что государства-участники, если пожелают, могут определить такие угрозы в своих законодательствах;

(54) принимая во внимание, что, применительно ко всей обработке, осуществляемой в обществе, объем, представляющий такие особые угрозы, должен быть весьма ограниченным; принимая во внимание, что государства-участники должны установить, что такой надзорный орган, либо официальное лицо по обработке данных совместно с этим органом должны проверить такую обработку до ее осуществления; принимая во внимание, что вслед за такой предварительной проверкой надзорный орган может в соответствии со своим национальным законодательством о контроле, выдать заключение или санкцию в отношении обработки; принимая во внимание, что такая проверка может аналогично иметь место в ходе подготовки либо меры национального парламента, либо меры, основанной на такой законодательной мере, определяющей характер обработки и устанавливающей надлежащие гарантии:

(55) принимая во внимание, что если контролер не соблюдает права субъекта данных, национальное законодательство должно устанавливать средства судебной защиты; принимая во внимание, что любой ущерб, который может быть нанесен лицу вследствие незаконной обработки, должен быть компенсирован контролером, который может быть освобожден от ответственности, если он докажет, что не несет ответственности за ущерб, в частности, в случаях, когда он докажет вину со стороны субъекта данных, или в случае форс-мажора; принимая во внимание, что санкции должны налагаться на любое лицо, действующее в рамках публичного или частного права, которое не соблюдает национальные меры, принятые на основании настоящей Директивы;

(56) принимая во внимание, что поток персональных данных через границы необходим для расширения международной торговли; принимая во внимание, что защита частных лиц, гарантированная в Сообществе настоящей Директивой, не препятствует передаче персональных данных в третьи страны, которые обеспечивают адекватный уровень защиты; принимая во внимание, что адекватность уровня защиты, предоставляемой третьей страной, должна оцениваться в свете всех обстоятельств, связанных с операцией по передаче или набором операций по передаче;

(57) принимая во внимание, что, с другой стороны, передача персональных данных в третью страну, не обеспечивающую надлежащего уровня защиты, должна быть запрещена;

(58) принимая во внимание, что должны быть предусмотрены исключения из этого запрета в определенных обстоятельствах, если субъект данных дает свое согласие, если передача необходима в связи с контрактом или судебным иском, если этого требует защита важных общественных интересов, например, в случаях международной передачи данных между налоговыми или таможенными органами, или между службами по вопросам социального обеспечения, или если передача делается из реестра, который ведется в соответствии с законом и предназначенного для ознакомления общественности, лица или лиц, имеющего обоснованный интерес; принимая во внимание, что в этом случае такая передача не использует всей совокупности данных или целых категорий данных, содержащихся в реестре, и если реестр предназначен для ознакомления лиц, имеющих обоснованный интерес, передача должна осуществляться только по просьбе таких лиц, если они будут реципиентами;

(59) принимая во внимание, что определенные меры могут быть приняты для компенсации недостаточной защиты в третьей стране в случаях, если контролер предлагает надлежащие гарантии; принимая во внимание, что, сверх того, должны быть установлены процедуры для переговоров между Сообществом и такими третьими странами;

(60) принимая во внимание, что в любом случае передачи в третьи страны могут быть осуществлены только в полном соответствии с положениями, принятыми государствами-участниками в соответствии с настоящей Директивой и, в частности, ее ст. 8;

(61) принимая во внимание, что государства-участники и Сообщество в своих соответствующих компетенциях могут рекомендовать вовлеченным торговым ассоциациям и иным представительным организациям составить кодексы поведения, чтобы облегчить применение настоящей Директивы, принимая во внимание специфические характеристики обработки, проводимой в определенных секторах, и с учетом национальных положений, принятых для ее реализации;

(62) принимая во внимание, что учреждение государствами-участниками надзорных органов, осуществляющих свои функции полностью независимо, является необходимым компонентом защиты частных лиц в связи с обработкой персональных данных;

(63) принимая во внимание, что такие органы должны иметь необходимые средства для осуществления своих обязанностей, включая права расследования и вмешательства, в частности, в случае жалоб со стороны частных лиц, и право участвовать в судебных процедурах; принимая во внимание, что такие органы должны обеспечить прозрачность обработки в государствах-участниках, к юрисдикции которых они относятся;

(64) принимая во внимание, что органы в различных государствах-участниках будут нуждаться в содействии друг другу при исполнении своих обязанностей с тем, чтобы надлежащим образом обеспечить соблюдение правил защиты по всему Европейскому Союзу;

(65) принимая во внимание, что на уровне сообщества должна быть создана рабочая группа по защите частных лиц в связи с обработкой персональных данных, каковая должна быть полностью независима при осуществлении своих функций; принимая во внимание, что с учетом своего особого характера она должна давать рекомендации Комиссии и, в частности, содействовать единообразному применению национальных норм, принятых в соответствии с настоящей Директивой;

(66) принимая во внимание, что в отношении передачи данных в третьи страны применение настоящей Директивы требует от Комиссии придания полномочий на реализацию и учреждение процедуры, как указано в Решении Совета 87/373/ЕЕС (4);

(67) принимая во внимание, что соглашение о modulus vivendi между европейским парламентом. Советом и Комиссией в отношении мер по реализации актов, принятых в соответствии с процедурой, указанной в ст. 189b Договора о Европейском Сообществе, было достигнуто 20 декабря 1994 г.;

(68) принимая во внимание, что принципы, изложенные в настоящей Директиве в отношении прав и свобод частных лиц, в особенности их права на неприкосновенность частной жизни, в отношении обработки персональных данных, могут быть расширены или уточнены, в частности, в той мере, в какой это касается определенных секторов, особыми нормами, основанными на этих принципах;

(69) принимая во внимание, что государства-участники вправе в течение срока, не превышающего трех лет со дня вступления в силу национальных норм, реализующих данную Директиву, постепенно применять такие новые национальные нормы ко всем уже ведущимся операциям по обработке; принимая во внимание, что для облегчения ее эффективной по затратам реализации государствам-участникам предоставляется дополнительный срок в 12 лет со дня даты принятия настоящей Директивы, чтобы обеспечить соответствие существующих ручных систем хранения с определенными положениями Директивы; принимая во внимание, что если данные, содержащиеся в таких системах хранения обрабатываются в течение этого расширенного переходного срока вручную, то такие системы должны быть приведены в соответствие с настоящими положениями на момент обработки;

(70) принимая во внимание, что для субъекта данных не является необходимым давать свое согласие повторно, чтобы позволить контролеру продолжать обрабатывать после вступления в силу национальных норм, принятых в соответствии с настоящей Директивой, любые важные данные, необходимые для исполнения контракта, заключенного на основе свободного и осознанного согласия до вступления в силу этих положений;

(71) принимая во внимание, что настоящая Директива не препятствует государству-участнику регулировать маркетинговую деятельность, нацеленную на потребителей, проживающих на его территории в той мере, в какой такое регулирование не касается защиты частных лиц в связи с обработкой персональных данных;

(72) принимая во внимание, что настоящая Директива допускает принцип публичного доступа к официальным документам, учитываемым при реализации принципов, изложенных в настоящей Директиве,

ПРИНЯЛИ НАСТОЯЩУЮ ДИРЕКТИВУ:

Глава I
ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Предмет Директивы

1. В соответствии с настоящей Директивой, государства-участники защищают фундаментальные права и свободы физических лиц, и, в частности, их право на неприкосновенность частной жизни применительно к обработке персональных данных.

2. Государства-участники не будут ни ограничивать, ни запрещать свободный поток персональных данных между государствами-участниками по причинам, связанным с защитой, допускаемой в п. 1.

Статья 2. Определения

Для целей настоящей Директивы:

(а) “персональные данные” означают любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом (“субъектом данных”); идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности;

(b) “обработка персональных данных” (“обработка”) означает любую операцию или набор операций, выполняемых над персональными данными, как автоматическими средствами, так и без таковых, такие как сбор, запись, организация, хранение, актуализация или изменение, извлечение, консультирование, использование, раскрытие посредством передачи, распространения или предоставления иного доступа, группировка, блокирование, стирание или разрушение;

(с) “картотека персональных данных” (“картотека”) означает любой структурированный набор личных данных, являющийся доступным в соответствии с определенными критериями, централизованный, децентрализованный или распределенный на функциональной или географической основе;

(d) “контролер” означает физическое или юридическое лицо, официальный орган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; в случае, когда цели или средства обработки определяются национальным законодательством или законами, или нормами Сообщества, контролер или особые критерии его назначения могут устанавливаться национальным законом или законом Сообщества;

(e) “обработчик” означает физическое или юридическое лицо, официальный орган, агентство или иной орган, который обрабатывает персональные данные по поручению контролера;

(f) “третья сторона” означает любое физическое или юридическое лицо, официальный орган, агентство или иной орган, кроме субъекта данных, контролера, обработчика и лиц, которые уполномочены обрабатывать данные с прямой санкции контролера или обработчика;

(g) “получатель” означает физическое или юридическое лицо, официальный орган, агентство или иной орган, которому раскрываются данные, являющееся или не являющееся третьей стороной; однако власти, могущие получать данные в рамках частного запроса, не должны считаться получателями;

(h) “согласие субъекта данных” означает любое свободно данное конкретное и сознательное указание о своей воле, которым субъект данных оповещает о своем согласии на обработку касающихся его персональных данных.

1. Настоящая Директива применяется к обработке персональных данных, полностью или частично автоматическими средствами, и обработке средствами, отличными от автоматических, персональных данных, составляющих часть картотеки или предназначенных составлять часть картотеки.

2. Настоящая Директива не применяется к обработке персональных данных:

в ходе деятельности, выходящей за рамки закона Сообщества, таких как указано в Разделах V и VI Соглашения о Европейском Союзе, и в любом случае к операциям по обработке, касающимся общественной безопасности, обороны, государственной безопасности (включая экономическое благосостояние государства, если операции по обработке относятся с вопросам государственной безопасности) и деятельности государства в сферах уголовного права,

физическим лицом в ходе чисто личной или бытовой деятельности.

Статья 4. Применимое национальное законодательство

1. Каждое государство-участник применяет национальные положения, которые оно принимает на основании настоящей Директивы для обработки персональных данных в случае, если:

(a) обработка осуществляется в контексте деятельности учреждения контролера на территории государства-участника; если тот же контролер учреждается на территории нескольких государств-участников, он должен предпринять необходимые меры в обеспечение того, чтобы каждое из этих учреждений выполняло обязательства, установленные применимым национальным законодательством;

(b) контролер учрежден не на территории государства-участника, а в месте, где его национальное законодательство применяется на основании международного публичного права;

(c) контролер учрежден не на территория Сообщества и, в целях обработки персональных данных, использует оборудование, автоматизированное или иное, расположенное на территории указанного государства-участника, если такое оборудование не используется только для целей транзита по территории Сообщества.

2. При обстоятельствах, указанных в пункте 1 (с), контролер должен назначить представителя, учрежденного на территории такого государства-участника, без ущерба для судебных исков, которые могут быть возбуждены против самого контролера.

Государства-участники, в пределах положений настоящей Главы, определят подробнее условия, в соответствии с которыми обработка персональных данных является законной.