Раздел I Принципы, касающиеся качества данных

1. Государства-участники примут меры, чтобы персональные данные:

(а) обрабатывались корректно и законно;

(b) собирались для объявленных, явных и законных целей, и в дальнейшем не обрабатывались каким-либо образом, несовместимым с этими целями. Дальнейшая обработка данных для исторических, статистических или научных целей не считается несовместимой с данными принципами при условии, что государства-участники обеспечат соответствующие гарантии;

(c) были адекватными, относящимися к делу и не избыточными в отношении целей, для которых они собираются и/или в дальнейшем обрабатываются;

(d) были точными и - если необходимо - актуальными; должны быть предприняты любые обоснованные шаги, чтобы неточные или неполные данные, применительно к целям, для которых они собирались или для которых они впоследствии обрабатывались, удалялись или уточнялись;

(e) хранились в форме, позволяющей идентификацию субъектов данных не долее, чем это необходимо для целей, с которыми данные собирались или впоследствии обрабатывались. Государства-участники установят необходимые гарантии для персональных данных, хранимых более длительные сроки в исторических, статистических или научных целей.

2. Контроль за выполнением пункта 1 является обязанностью контролера.

Государства-участники обеспечат, что личные данные будут обрабатываться только в случае, если:

(а) субъект данных недвусмысленно дал свое согласие; или

(b) обработка необходима для исполнения контракта, в котором субъект данных является стороной или для принятия мер до заключения контракта по просьбе субъекта данных; или

(с) обработка необходима для выполнения юридического обязательства, субъектом которого является контролер; или

(d) обработка необходима для защиты жизненных интересов субъекта данных; или

(e) обработка необходима в целях обеспечения законных интересов контролера или третьей стороны (сторон), которым раскрыты данные, кроме случаев, когда такие интересы перекрываются интересами фундаментальных прав и свобод субъекта данных, защита которых требуется согласно Статье 1(1).

Раздел III

Особые категории обработки

Статья 8. Обработка особых категорий данных

1. Государства-участники запретят обработку персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, вероисповедание или философское воззрение, членство в профессиональном союзе, а также обработку данных, касающихся здоровья или интимной жизни.

2. Пункт 1 не применяется в случае, если:

(а) субъект данных дал свое явное согласие на обработку таких данных, кроме случаев, когда законами государства-участника установлено, что указанный в п. 1 запрет не может быть отменен на основании согласия субъекта данных; или

(b) обработка необходима в целях исполнения обязательств и особых прав контролера в сфере законодательства о труде в той мере, в какой это допускается национальным законодательством, предусматривающим адекватные гарантии; или

(c) обработка необходима для защиты жизненных интересов субъекта данных или иного лица, если субъект данных физически или юридически неспособен дать свое согласие; или

(d) обработка осуществляется в ходе законной деятельности с надлежащими гарантиями фондом, ассоциацией или любой иной некоммерческой организацией в политических, философских, религиозных или профсоюзных целях и при условии, что обработка относится исключительно к членам организации или лицам, имеющим регулярный контакт с нею в связи с ее целями, и что данные не раскрываются третьим лицам без согласия субъекта данных; или

(e) обработка относится к данным, которые явно сделаны общедоступными субъектом данных, или являются необходимыми для внесения, поддержания или защиты судебных исков.

3. Пункт 1 не применяется в случае, если обработка данных требуется в целях превентивной медицины, медицинского диагноза, предоставления медицинского обслуживания, лечения или управления услугами здраво-

охранения, а также если такие данные находятся во владении лица, профессионально занимающегося медицинской деятельностью в соответствии с национальным законодательством или правилами, установленными компетентными национальными органами, устанавливающими обязательства сохранения профессиональной тайны, или иного лица, также имеющего эквивалентные обязательства по сохранению тайны.

4. При условии предоставления надлежащих гарантий, государства-участники могут по причинам особого общественного интереса установить исключения дополнительно к указанным в п. 2 либо посредством национального законодательства, либо по решению надзорного органа.

5. Обработка данных, касающихся правонарушений, уголовного наказания или мер безопасности, может осуществляться только под контролем официального органа, или - если в соответствии с национальным законодательством предусмотрены надлежащие особые гарантии - с учетом частичных исключений, установленных государством-участником в соответствии с национальными нормами, предусматривающими надлежащие особые гарантии. Однако полный реестр уголовных приговоров может вестись только под контролем официального органа.

Государства-участники могут установить, что данные, касающиеся административных санкций или судебных решений по гражданским делам, также могут обрабатываться под контролем официального органа.

6. Исключения из пункта 1, предусмотренные в пп. 4 и 5, должны сообщаться Комиссии.

7. Государства-участники определяют условия, на которых может обрабатываться национальный идентификационный номер или любой иной идентификатор общего назначения.

Статья 9. Обработка персональных данных и свобода выражения

Государства-участники установят освобождения или исключения из положений настоящей главы, главы IV и главы VI для обработки персональных данных, осуществляемой исключительно в целях журналистики или в целях художественного или литературного творчества, только если они необходимы для применения права на неприкосновенность частной жизни с правилами, регулирующими свободу слова.

Государства-участники обеспечат, что контролер или его представитель предоставят субъекту данных, у которого получены касающиеся его данные, по меньшей мере следующую информацию, кроме случаев, когда он уже обладает ею:

(a) личность контролера или его представителя, если таковой имеется;

(b) цели обработки, для которых предназначены данные;

(c) любую иную информацию, такую, как:

получатели или категории получателей данных;

является ли ответ на вопросы обязательным или добровольным, а также возможные последствия отказа от ответа;

наличие права доступа и права уточнять касающиеся его данные в той мере, в какой требуется дополнительная информация, касающаяся конкретных обстоятельств, при которых собираются данные, чтобы гарантировать корректную обработку применительно к субъекту данных.

1. Если данные были получены не у субъекта данных Государства-участники обеспечат, что контролер или его представитель на момент документирования персональных данных или в случае, когда предполагается разглашение данных третьей стороне, не позднее времени, когда данные впервые разглашаются, предоставит субъекту данных по меньшей мере следующую информацию, кроме случаев, когда он уже обладает ею:

(a) личность контролера или его представителя, если таковой имеется;

(b) цели обработки;

(c) любую иную информацию, такую, как:

категории используемых данных;

получатели или категории получателей данных;

наличие права доступа и права уточнять касающиеся его данные в той мере, в какой требуется дополнительная информация, касающаяся конкретных обстоятельств, при которых собираются данные,

гарантии корректной обработки применительно к субъекту данных.

2. Пункт 1 не применяется в тех случаях, когда, в частности, для обработки в статистических целях или же в целях исторических или научных исследований, предоставление такой информации оказывается невозможным или может повлечь непропорциональные усилия, или же если документирование или разглашение прямо определяются законом.

Государства-участники гарантируют право каждого субъекта данных получать от контролера:

(а) без принуждения и без чрезмерной отсрочки или затягивания:

подтверждение того, были ли или нет в обработке относящиеся к нему данные, и информацию по меньшей мере о целях обработки, категории используемых данных, получателях или категориях получателей, которым сообщаются данные,

сообщение с ним в доступной форме об обрабатываемых данных и о любой доступной информации, касающейся их источника,

сведения о логике, используемой в любой автоматической обработке данных, касающихся его, по меньшей мере в случае автоматических решений, указанных в ст. 15(1);

(b) по мере необходимости - уточнение, стирание или блокировку данных, не соответствующих положениям настоящей Директивы, в частности, в связи с неполным или неточным характером данных;

(c) уведомление третьих лиц, которым раскрываются данные, о любых уточнениях, стирании или блокировках данных, произведенных в соответствии с п. (b), если это не оказывается невозможным или требующим непропорциональных усилий.

1. Государства-участники могут принимать законодательные меры для ограничения сферы обязательств и прав, предусмотренных в статьях 6(1), 10, 11(1), 12 и 21, если такое ограничение является необходимой мерой для обеспечения:

(a) национальной безопасности;

(b) обороны;

(c) общественной безопасности;

(d) предотвращения, расследования, раскрытия и обвинения по уголовным преступлениям или нарушений этики в регулируемых профессиях;

(e) важных экономических или финансовых интересов государства-участника или Европейского Союза, включая финансовые, бюджетные и налоговые вопросы;

(f) мониторинговых, инспекционных или управленческих функций, связанных, хотя бы и случайно, с осуществлением официальных полномочий, указанных в п. (с), (d) и (е);

(g) защиты субъекта данных или прав и свобод иных лиц.

2. С учетом адекватных законных гарантий, в частности, того, что данные не используются для принятия мер или решений, касающихся любого конкретного лица, государства-участники могут - в случае, если явно отсутствует риск нарушения неприкосновенности частной жизни субъекта данных - законодательными мерами ограничить права, установленные в ст. 12, если данные обрабатываются исключительно в целях научных исследований, или хранятся в персонифицированной форме в течение срока, не превышающего период, необходимый исключительно для целей сбора статистики.

Государства-участники предоставят субъекту данных право:

(а) по меньшей мере в случаях, указанных в статье 7 (е) и (f), в любое время высказывать на законном основании возражение против обработки касающихся его данных, кроме случаев, когда национальным законодательством определено иное. Если возражение является обоснованным, контролер обязан прекратить обработку этих данных;

(b) бесплатно высказывать возражение против обработки касающихся его персональных данных, которые, по мнению контролера, обрабатываются для целей прямого маркетинга, или получать уведомление прежде, чем персональные данные будут впервые раскрыты третьим сторонам, или использованы по их поручению в целях прямого маркетинга, и в явной форме получать право бесплатно высказывать возражение против такого раскрытия или использования.

Государства-участники предпримут необходимые меры, чтобы гарантировать, что все субъекты данных знают о существовании права, указанного в первом абзаце пункта b.

Статья 15. Автоматизированные решения в отношении частных лиц

1. Государства-участники предоставят каждому лицу право не оказаться под воздействием решения, порождающего юридические последствия в отношении него или существенно воздействующего на него, и основанного исключительно на автоматической обработке данных, предназначенной для оценки некоторых касающихся его личных аспектов, таких как выполнение им своей работы, кредитоспособность, надежность, поведение, и т.п.

2. С учетом остальных статей настоящей Директивы, государства-участники обеспечат, что лицо может оказаться под воздействием решения указанного в п. 1, если такое решение:

(a) принято в ходе заключения или исполнения контракта, при условии, что запрос на заключение или исполнение контракта, хранящийся у субъекта данных, был удовлетворен, или что приняты надлежащие меры для обеспечения его законных интересов, такие, как соглашения, позволяющие ему высказать свою точку зрения; или

(b) санкционировано законом, также устанавливающим меры для обеспечения законных интересов субъекта данных.

Раздел VIII

Конфиденциальность и безопасность обработки

Статья 16. Конфиденциальность обработки

Любое лицо, действующее с санкции контролера или обработчика, включая самого обработчика, имеющее доступ к персональным данным, не должно вести их обработку кроме как по указанию контролера, если это не требуется от него по закону.

1. Государства-участники обеспечат, что контролер должен будет реализовать надлежащие технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения или случайной утраты, изменения, неправомерного раскрытия или доступа, в частности, когда обработка влечет передачу данных по сети, а также от всех иных незаконных форм обработки.

С учетом состояния и стоимости их реализации такие меры должны обеспечить надлежащий уровень безопасности для рисков, представленных обработкой и природой защищаемых данных.

2. Государства-участники обеспечат, что контролер должен - в случае, если обработка осуществляется по его поручению - избрать обработчика, предоставляющего достаточные гарантии в отношении мер технической безопасности и организационных мер, регулирующих осуществляемую обработку, и обеспечить соблюдение таких мер.

3. Обработка силами обработчика должна осуществляться на основе соглашения или нормативного акта, содержащего обязательства обработчика перед контролером и, в частности, оговаривающего, что:

обработчик будет действовать только по указаниям контролера,

указанные в п. 1 обязательства, определенные законом государства-участника, в котором учрежден обработчик, будут также обязательными для обработчика.

4. В целях поддержания корректности, части контракта или нормативного акта, касающиеся защиты данных, и требования в отношении мер, указанных в п. 1, должны быть оформлены в письменной или иной эквивалентной форме.

1. Государства-участники обеспечат, что контролер или его представитель, если таковой имеется, должен уведомить надзорный орган, указанный в ст. 28 перед осуществлением полностью или частично любой операции по автоматической обработке, либо набора таких операций, предназначенных служить единой цели или нескольким связанным целям.

2. Государства-участники могут в целях упрощения или освобождения от уведомления установить только в следующих случаях нижеследующие условия:

если для категорий операций по обработке, которые - с учетом обрабатываемых данных - едва ли могут существенно нарушить права и свободы субъекта данных, - они определяют цели обработки, данные или категории данных, подлежащие обработке, категорию или категории субъектов данных, получателей или категории получателей, которым раскрываются данные, и продолжительность времени, в течение которого данные хранятся, и/или

если контролер, в соответствии с национальным законом, регулирующим его деятельность, назначает должностное лицо по защите персональных данных, ответственное, в частности:

за обеспечение применения национальных положений, принятых на основании настоящей Директивы;

за ведение реестра операций по обработке, проводимых контролером, с указанием единиц информации, указанных в ст. 21(2),

таким образом гарантируя, что права и свободы субъекта данных едва ли могут быть существенно нарушены операциями по обработке.

3. Государства-участники могут установить, что п. 1 не применяется к обработке, единственной целью которой является ведение реестра, который в соответствии с законами и нормативными актами предназначен для предоставления информации общественности и который доступен либо общественности в целом, либо любому лицу, проявляющему законный интерес.

4. Государства-участники могут установить освобождение от обязанности уведомления или упрощение уведомления в случае операций по обработке, указанных в ст. 8(2)(d).

5. Государства-участники могут оговорить, что об отдельных либо всех неавтоматизированных операциях по обработке, касающихся персональных данных, должно делаться уведомление, либо установить для таких операций упрощенное уведомление.

Статья 19. Содержание уведомления

1. Государства-участники могут определить информацию, указываемую в уведомлении. Оно, по меньшей мере, должно включать:

(a) имя (наименование) и адрес контролера и его представителя, если таковой имеется;

(b) цель или цели обработки;

(c) описание категории или категорий субъекта данных и данных, или категории относящихся к ним данных;

(d) получателей или категории получателей, которым могут раскрываться данные;

(e) предполагаемую передачу в третьи страны;

(f) общее описание, позволяющее произвести предварительную оценку правомерности мер, принятых согласно ст. 17 для обеспечения безопасности обработки.

2. Государства-участники установят процедуры, согласно которым надлежит уведомлять надзорный орган о любых изменениях, касающихся информации, указанной в п. 1.

Статья 20. Предварительная проверка

1. Государства-участники определят операции по обработке, которые могут с большой вероятностью представлять особый риск для прав и свобод субъектов данных и будут контролировать, чтобы такие операции по обработке проверялись до их начала.

2. Такие предварительные проверки должны осуществляться надзорным органом вслед за получением уведомления от контролера или должностного лица, отвечающего за защиту данных, который при наличии сомнений должен обратиться за консультацией в надзорный орган.

3. Государства-участники могут также проводить такие проверки в контексте подготовки либо меры национального парламента, либо меры, основанной на такой законодательной мере, определяющих характер обработки и устанавливающих надлежащие гарантии.

1. Государства-участники примут меры для обеспечения гласности операций по обработке.

2. Государства-участники обеспечат, чтобы в надзорном органе велся реестр операций по обработке, о которых делается уведомление в соответствии со ст. 18.

Реестр должен, по меньшей мере, содержать информацию, перечисленную в ст. 19 (1) (а)-(е).

С реестром может знакомиться любое лицо.

3. Государства-участники обеспечат, применительно к операциям по обработке, не подлежащим уведомлению, что контролеры или иной орган, назначенный государствами-участниками, сделают доступной любому лицу по запросу в надлежащей форме по меньшей мере информацию, указанную в ст. 19 (1) (а)-(е).

Государства-участники могут установить, что данное положение не применяется к обработке, единственной целью которой является ведение реестра, который в соответствии с законами или нормативными актами предназначен для представления информации общественности и который доступен либо общественности в целом, либо любому лицу, имеющему законный интерес.

Глава III

ПРАВОВЫЕ СРЕДСТВА ЗАЩИТЫ,

ОТВЕТСТВЕННОСТЬ И САНКЦИИ

Статья 22. Средства защиты

Без ущерба для любых административных средств защиты, которые могут быть, среди прочего, применены при обращении к надзорному органу, указанному в ст. 28, до обращения в судебные органы, государства-участники обеспечат право любого лица на правовую защиту от любого нарушения прав, гарантированных ему национальным законодательством, применимым к соответствующей обработке.

1. Государства-участники обеспечат, чтобы любое лицо, которому был нанесен ущерб в результате незаконных операций по обработке или любых действий, несовместимых с национальными положениями, принятыми в соответствии с настоящей Директивой, имело право на получение компенсации от контролера за нанесенный ущерб.

2. Контролер может быть освобожден от этой ответственности, полностью или частично, если он докажет, что не несет ответственности за событие, которое вызвало нанесение ущерба.

Статья 24. Санкции

Государства-участники примут надлежащие меры для обеспечения полной реализации положений настоящей Директивы и, в частности, установят санкции, налагаемые в случае нарушения положений, принятых в соответствии с настоящей Директивой.

1. Государства-участники обеспечат, что передача в третьи страны персональных данных, находящихся в обработке или предназначенных для обработки после передачи, может осуществляться, только если соответствующая третья страна - без ущерба для выполнения национальных положений, принятых в соответствии с остальными положениями настоящей Директивы, - обеспечивает адекватный уровень защиты.

2. Адекватность уровня защиты, предоставляемого третьей страной, оценивается в свете всех обстоятельств, в которых производится операция или набор операций по передаче данных; особое внимание следует уделять природе данных, цели и продолжительности предполагаемых операций или операций по обработке данных, стране происхождения и стране окончательного назначения, действующим в соответствующей третьей стране положениям закона, как общим, так и частным, а также профессиональным нормам и мерам безопасности, соблюдаемым в такой стране.

3. Государства-участники и Комиссия будут информировать друг друга о случаях, когда они считают, что третья страна не обеспечивает адекватного уровня защиты в смысле п. 2.

4. Если Комиссия в соответствии с процедурой, установленной в

ст. 31 (2), определит, что третья страна не обеспечивает адекватного уровня защиты в значении п. 2 настоящей статьи, государства-участники примут необходимые меры для предотвращения любой передачи данных того же типа соответствующей третьей стране.

5. В надлежащее время Комиссия будет вести переговоры с целью исправления ситуации, проистекающей из определения Комиссии, сделанного в соответствии с п. 4.

6. Комиссия может в соответствии с процедурой, установленной в

ст. 31 (2), определить, что третья страна обеспечивает надлежащий уровень защиты в смысле п. 2 настоящей статьи в силу своего национального законодательства или международных обязательств, которые она приняла, в частности, по окончании переговоров, указанных в п. 5, для защиты неприкосновенности личной жизни и базовых свобод и прав граждан.

Государства-участники предпримут необходимые меры для выполнения решения Комиссии.

1. Посредством исключения из ст. 25 и за исключением случаев, когда местным законодательством, регулирующим конкретные случаи, установлено иное, государства-участники обеспечат, что передача персональных данных в третью страну, не обеспечивающую адекватный уровень защиты в смысле ст. 25 (2), может иметь место при условии, что:

(a) субъект данных дал свое недвусмысленное согласие на предполагаемую передачу; или

(b) передача является необходимой для исполнения контракта между субъектом данных и контролером, или для реализации доконтрактных мер, принятых в ответ на запрос субъекта данных; или

(c) передача необходима для заключения или исполнения контракта, заключенного в интересах субъекта данных между контролером и третьей стороной; или

(d) передача необходима или требуется по закону по причинам, представляющим существенный общественный интерес, или для подачи, исполнения судебных исков или защиты по таковым; или

(e) передача необходима для защиты жизненных интересов субъекта данных; или

(f) передача производится из реестра, который в соответствии с законами или нормативными актами предназначен для предоставления информации общественности и который открыт для ознакомления либо общественностью в целом, либо любым лицом, проявляющим законный интерес, в той мере, в какой условия, изложенные в законе выполняются в конкретном случае.

2. Без ущерба для положений п. 1 государство-участник может уполномочить передачу или серию передач персональных данных в третью страну, которая не обеспечивает надлежащего уровня защиты в смысле ст. 25 (2), если контролер осуществляет адекватные гарантии в отношении защиты неприкосновенности частной жизни и фундаментальных свобод и прав частного лица и в том, что касается осуществления соответствующих прав; такие гарантии могут, в частности, проистекать из надлежащих контрактных обязательств. [...]