ББК 67.400.7 УДК 342.721(035) З 40 Утверждено к печати Ред акционным советом Фонда защиты гласности Автор предисловия -...
20 downloads
224 Views
1MB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
ББК 67.400.7 УДК 342.721(035) З 40 Утверждено к печати Ред акционным советом Фонда защиты гласности Автор предисловия - А.К. Симонов Составитель и автор комментариев - Е.К. Волчинская Издание выпущено в свет благодаря содействию организации “National Endowment for Democracy” Защита персональных данных: Опыт правового регулирования. М.: Галерия, 2001. - 236 с. В книге освещаются такие вопросы, как: границы вторжения в частную жизнь, юридическая ответственность за нарушение права личности на неприкосновенность частной жизни, опыт законодательного закрепления права личности на неприкосновенность частной жизни. Книга представляет собой первое о течественное справочно -мето дическое издание, посвященное сравнительно-правовому исследованию практики реализации соответствующих прав личности в международном законодательстве и национальном законодательстве стран западной демократии в контексте перспектив развития законодательства России. Издание адресовано юристам, представителям органов законодательной и испо лнительной власти РФ, преподавателям, аспирантам и сту дентам факультетов журналистского и юридического профиля, сотрудникам российских СМИ. ББК 67.400.7 УДК 342.721(035) (c) Фонд защиты гласности, 2001 (c) Волчинская Е.К., составление, комментарий, 2001 (c) ИД “Галерия”, оформление, 2001
Содержание: Пр едисло вие Введение Часть I М ЕЖ ДУ НА РОД НЫ Е Д О КУМ ЕНТ Ы 1. Основные по ложения Организации по э кономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными. 2. Ко нвенция Со вета Евр о пы о защите ли ч но сти в связи с авто м атич еско й об р аб о тко й пер со нальных данны х 3. Дир ек тива 9 5/ 4 6/ ЕС Евр о пейско го пар лам ента и Со вета Евр о пейско го Со ю за о т 2 4 о ктяб р я 1 99 5 го да о защите пр ав ч астных лиц пр им енительно к о б р аб о тке пер со наль ных данны х и о сво б о дно м движении таки х данны х 4. Дир ек тива 9 7/ 6 6/ EC Евр о пейско го пар лам ента и Со вета Евр о пейско го Со ю за о т 1 5 де каб р я 199 7 го да, касаю щаяся испо льзо вания пер со нальных данны х и защиты непр ико сно венно сти ч ас тно й жизни в сф ер е телеко м м у никаций Часть I I НА Ц ИО НА ЛЬН Ы Е З А КО НЫ 1. З ако но дате льство Г ер м ании 2. З а ко но да те л ьс тво Со е дине нны х Шт а то в А м ер и ки 3. З ако но дате льство Велико б р итании 4. З ако но дате льство Швеции 5. З а ко но да те л ьс тво Фр а нци и 6. З ако но дате льство Венгр ии 7. З ако но дате льство Испании 8. Ко м м ентар ий к м ежду наро дным до кум ентам и нацио нальным зако нам Часть I II РА З В ИТИ Е РО С СИ Й СК ОГ О З А КО НОДА Т ЕЛЬ СТ ВА 1. Проект Федеральный закон Об информации персонального характера 2. По я сни те ль ная за пис ка к пр о е к ту ф е дер а ль но го за ко на “Об инф о р м аци и п ер со на льно го хар а к тер а”
3. Ко м м ентар ий к пр о екту ф едер ально го зако на “Об инф о рм ации пер со нально го хар актер а” 4. М О Д ЕЛ Ь Н ЫЙ З А К О Н “ О П ЕР С О НА Л Ь Н Ы Х ДА Н Н Ы Х”
Предисловие Нами интересуются. Нас обсчитывают, группируют, систематизирую т, программируют и тасуют, нас вычисляю т и обнаруживают, прячут и выставляю т на обозрение, продаю т и покупаю т. Над нами трудятся паспортистки и милиционеры, банковские служащие и рекламщики, секретные службы и избирательные комиссии, политтехнологи и просто жулики, а мы об этом знаем мало, интересуемся еще меньше, а понятия личной безопасности и неприкосновенности частной жизни связываем то лько со встречами с ху лиганами или охранителями правопорядка, типа РУБОП. А ведь именно нам, учитывая наш исторический опыт, следовало бы первыми озаботиться, чтобы обладателями сведений о себе были мы сами, чтобы законы охраняли нас от произвола государства, его органов и частных лиц по сбору сведений о нас. И во т почему: “...Необ ходимо выработать план, постоянно корректируя его и дополняя. Надо всю интеллигенцию разбить по группам. Примерно: 1) беллетристы, 2) публицисты и политики, 3) экономисты (здесь необхо димы подгруппы: а) финансисты, б) топливники, в) транспортники, г) торговля, д) кооперация и т.д.), 4) профессора и преподаватели и т.д., и т.п. Сведения должны собираться всеми нашими отделами и стекаться в отдел интеллигенции. На каждого интеллигента должно быть дело, каждая группа и подгруппа должны быть освещаемы всесторонне компетентными товарищами, между ко торыми эти группы должны распределяться нашим отделом...”. Еще компьютеров не изобрели, на дворе 22-й год, а главный чекист, товарищ Дзержинский, уже наставляет своего зама по ЧК товарища Уншлихта, как создать базу данных по тенциальных врагов Советской власти. Мы настолько смирились с этим многолетним государственным рентгеном, что в нас не выработалась “энергия него дования”, когда кто попало и по любому поводу нагло сует нос в нашу жизнь, биографию, дела. И потому сегодня у нас, как нигде, по компьютерам и на дискетах, за деньги и для развлечения публики гуляю т сведения, неизвестно как и неизвестно зачем собранные частными и государственными доброхо тами. Причем не только полученные неофициальным (потому - незаконным) путем из официальных источников, но и собранные с грубейшим нарушением наших прав через замочные скважины (подслушка, негласное наб людение, пер люстрация). А вот иски о вмешательстве в частную жизнь подаю т практически только кандидаты и депу таты, т.е. те самые люди, в отношении которых
должны быть ослаблены обязательные для жизни обыкновенных граждан ограничения. Правовая защита персональных данных - это в сущности наш до говор с государством, его учреждениями, банками, телефонными компаниями, интернет-магазинами и т.д. о том минимуме сведений, ко торые мы готовы сообщить о себе, ч тобы быть гражданами э того государства, клиентами этого банка, ч ленами этого кооператива, служащими этого учреждения или пользователями этого провайдера. И договор об ответственности каждо го, кто решится выйти за рамки заключенного между нами договора и станет собирать иные сведения, считающиеся по закону частью нашего “privacy”, неточно переводимого на русский и совмещающего в себе понятия “личная жизнь” и “частное дело”. Мы собрали в э той книге опыт стран, где правила заключения таких договоров уже созданы и выполняю тся. Мы добавили к ним документы, принятые международным сообществом, ибо в компьютерный век при невероятной легкости, с которой информация пересекает границы отдельных государств, защита неприкосновенности частной жизни в сфере телекоммуникаций требу ет всеобщих до говоренностей. Такие договоренности достигаю тся, поскольку цивилизованный мир стоит на страже интересов отдельной личности. И, наконец, мы включили в книгу проект закона РФ “Об информации персонального характера”, ко торый вот уже почти пять лет блуждает в кулуарах Государственной Думы. Нам, оказывается, некуда торопиться, у нас, видимо, все с неприкосновенностью частной жизни в полном порядке! Мы издаем эту книгу как призыв к депутатам: нельзя бо льше тянуть, закон нужен, нужен был вчера и даже позавчера. И мы издаем ее для избирателей, чтобы они знали, какой защиты лишаю т нас их избранники. Наши книги расхо дятся по десяткам городов России. Мы просим каждого, кто заинтересовался книгой “Защита персональных данных. Опыт правового регулирования” о братиться к своим депутатам, избранным от их города, округа, республики, края, с требованием как можно скорее принять российский закон “Об информации персонального характера” (“О персональных данных”). Конечно же, эта книга адресована тем, кто причастен к процессу законотворчества или интересуется им. Давайте попробуем вместе сдвину ть проблему с мертвой точки и принять закон! Алексей СИМОНОВ, президент Фонда защиты гласности
Введение “Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь,произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств”. (Статья 12 Всеобщей декларации прав человека 1948 года) Информация, непосредственно связанная с конкретным человеком (факты его биографии, номинативные (назывные) данные, национальность, место жительства, сведения о заболеваниях, информация о семейной жизни, привычках, увлечениях, нравственные, политические, сексуальные и религиозные пристрастия и многое другое), составляет большую или даже большую часть цирку лирующей в обществе информации. Мы оставляем соответствующие “информационные следы” в паспортном столе, в отделах кадров, в социальных службах, органах исполнительной власти, в общественных организациях, в сфере услуг и других сферах общественной жизни. Часто сообщение подобной информации нахо дится в рамках наших интересов или является необхо димым условием получения определенного социально го статуса либо определенных услуг (например, хо тим получить престижную работу, максимальную пенсию, оперативную медицинскую помощь и т.п.). В ряде случаев сообщение такой информации нежелательно (интимная жизнь) или не оправдано серьезными причинами (для получения гостиничных услуг и др.). Распространение такой информации без согласия человека может способствовать формированию его положительного имиджа (например, информация о наградах или иных заслу гах), а может нанести непоправимый урон, моральный вред, особенно если такая информация недостоверна. Поэтому информация персонального характера, относится к так называемой чувствительной информации и обращение с ней требует особой регламентации. Эта необ хо димость давно учитывается законо дателем. Наприм ер, информация об усыновлении является семейной тайной усыновителей, профессиональной тайной для органов опеки и судебных органов, принимающих решение об усыновлении. Она может составлять и личную тайну усыновляемого ребенка, если он способен сознательно у частвовать в процессе. Информация о незапатентованном коммерчески выгодном
изобретении и изобретателе может составлять коммерческую тайну организации, использующей изобретение. Информация о наличии вклада в банк определенного лица и о размере этого вклада является банковской тайной. Наконец, в рамках защиты государственной тайны о храняется информация о некоторых категориях лиц, допущенных к государственной тайне (в том числе, осуществляющих разведывательную, контрразведывательную и оперативно-розыскную деятельность). Информацию персонального характера мы также доверяем врачам, адвокатам, связистам, провайдерам, нотариусам и представителям других профессий, которые обязаны со хранять ее в тайне (профессиональная тайна). Эту информацию собирают органы государственной власти и органы местного самоуправления для реализации возложенных на них функций, например, органы социального обеспечения, налоговые органы, органы о храны правопорядка и другие. Служащие данных органов также обязаны охранять персональные данные других лиц, ставшие им известными в связи с выполнением служебных обязанностей (служебная тайна). В последнее время появились новые виды предпринимательской деятельности, непосредственно связанные с использованием персональных данных, например, так называемый прямой маркетинг (когда профессиональные предложения товаров и услуг представляю тся непосредственно потенциальному покупателю, потребителю ) или издание многочисленных энциклопедий (справочников) персоналий. Это вроде бы легальная деятельность, которая тем не менее не регу лируется с позиций защиты персональных данных. Таким образом, большая часть информации персонального характера охраняется тем или иным режимом ограниченного доступа. Однако э того оказывается недостаточно для защиты интересов личности, с которой связана такая информация. Развитие современных информационных технологий, сопровождающееся созданием многочисленных и мощных компьютерных баз данных, аккумулирующих информацию о людях, легкость распространения информации из таких баз (в том числе по Интернету), простота их копирования, объединения (“слияния”), возможность модификации информации и т.п. породили дополнительные угрозы интересам личности, в том числе, угрозу стать “прозрачной” как для государства, так и для общества, то есть возможность лишиться некоторой естественной информационной приватности, лишиться части прав на защиту “privacy” в терминологии англосаксонских стран1.
Характер распространения в обществе персональной информации, с одной стороны, отражает уровень нравственности это го общества, способности встать на защиту интересов любого члена. Например, по данным исследовательско го отчета по вопросам обеспечения тайны частной жизни, по дго товленного на средства корпорации NCR, 75% британцев готовы предоставить свои персональные данные для использования различными фирмами2. Видимо, британцы не слишком опасаются, что сообщенная информация пойдет им не во благо, иначе сработал бы инстинкт самосохранения. Однако прагматичные островитяне хо тят по лучить в обмен на свои персональные данные индивидуализированное обслуживание или вознаграждение в виде какихлибо скидок. Притчей во языцех стало беспрецедентное распространение на “черном” рынке компьютерных баз (обычно на CD-ROM 'ах), со держащих: адреса и телефоны жителей больших и малых городов, паспортные данные всех прописанных в городе; название, телефон, юридический и фактический адрес юридических лиц, регистрационный номер, данные об учредителях, суммы уставного капитала, номера счетов в банках, фамилии имена и отчества руководителей и главных бу хгалтеров; данные на абонентов компаний сотовой связи; реестры акционеров предприятий; адреса и телефоны бизнесменов; данные о владельцах городской недвижимости; медицинские данные; данные ГИБДД. Неда вно к ним прибавились предлагаемые анонимным продавцом CD (рассылка прайс листов по факсу или по электронной почте), включающие, наряду с перечисленными выше, данные по всем экспортно -импортным операциям, произведенным в России за период 1999 - первый квар тал 2000 г. и даже базы данных органов вну тренних дел (лица, нахо дящиеся в розыске, имеющие судимость, данные о по хищенных паспортах, телефонно-адресная информация, изъятая из баз данных по требованию субъекта, и др.). Стоит такая информация 1000-3000 рублей. Происхождение ее очевидно, спрос, видимо, прису тствует. Масштабы прямого маркетинга также не оставляю т сомнений в незаконном получении маркетологами информации о покупательной возможности адресата. Сю да же можно отнести и вошедший в практику избирательных кампаний “политический прямой маркетинг” персональное обращение участников избирательных кампаний (кандидатов) непосредственно к избирателю. С другой стороны, отношение к персональной информации характеризует развитость гражданского общества, способность его добиться необ хо димой открытости власти, в том числе,
информированности общества о персоналиях, осуществляю щих государственную власть. В разных странах существуют различные представления о том, кого относить к данной категории и какая информация о сильных мира сего может или должна быть доступна обществу. По -видимому, высшую степень “о ткрытости” продемонстрировали США в связи с подробностями интимной жизни президента Клинтона. А во Франции информация о диагнозе заболевания президента считалась закры той. Эта проблема дискутируется и в России. В течение всего срока полномочий Б. Ельцина страна хо тела знать о состоянии его здоровья, а теперь хочет знать о наличии счетов в иностранных банках и размерах вкладов. Э тот интерес распространяется также на руко водителей законодательной и исполнительной власти в центре и в регионах. Вероятно, такой интерес оправдан в российских условиях, когда избирательная система находится в стадии становления. Вместе с тем в о тсутствие четкого законодательства потребность общества в такой информации часто покрывается ву льгарным “сливом компромата”, опубликованием в СМИ недостоверной информации или добытой явно незаконным способом. Стремительное увеличение числа по льзователей Интернета обеспечивает неизбежную трансляцию указанны х проблем в “виртуальную реальность”, где они проявляю тся чаще традиционно, но в беспрецедентных масштабах в силу технологии распространения информации. Тот же анонимный продавец баз данных предлагает 100 000 номеров факсов и адресов э лектронной почты для массовой рассылки. Многие владельцы Интернет-сайтов, оказывающие различные услуги, обязываю т клиентов регистрироваться, сообщая при этом достаточно развернутые сведения о себе. Например, для по лучения номера журнала Ford и вступления в члены Ford Club необ ходимо заполнить анкету, содержащую не только Ф.И.О., пол, адрес, дату рождения, но и подробные сведения об имеющемся автомобиле, а также о потенциальной способности приобрести иную модель Ford 3. Известна нашумевшая история о мошеннике из Нью -Джерси (США ), который признал себя виновным в создании 331 фальшивого счета кредитных карточек, для которых он испо льзовал персональные данные высокопоставленных американских военных. По этим карточкам он приобрел через Интернет компьютеров и ювелирных изделий на сумму 161 000 долларов. Но самое примечательное в этой истории происхождение персональных данных. Оказывается, имена военачальников и их social security numbers (аналог российских “паспортных данных”) нахо дились на общедоступном web -сайте адвоката
Глена Робертса, ко торый их получал из бю ллетеня Congressional Record, публиковавшего регулярно сведения о назначениях военных на новые должности 4. Особую проблему представляю т дети, работающие с Интернетом, поскольку в силу возрастной доверчивости они легко сообщают по запросам свои персональные данные, включая планы родителей на выходные дни, информацию о политических взглядах ро дителей, марках автомобилей и т.п. 5 Неконтролируемое распространение адресов электронной почты провоцирует распространение “спама”, когда абонент получает в свой почтовый ящик большое ко личество различных сообщений (необязательно рекламного характера), которые он не запрашивал, и/или от неизвестных ему отправителей. В по добной ситуации подчас просто парализуется работа фирм, происходят сбои почтовой программы, нещадно “воруется” оплачиваемое абонентом время пользования сетью. По данным упомянутого выше исследования, в Великобритании потребитель получает по одному непрошеному маркетинговому посланию каждый рабочий день (с использованием всех видов связи), при этом 88% посланий либо представляю т для получателей незначительный интерес, либо не представляю т никакого интереса. Покупатель виртуального магазина вынужден сообщать свои персональные данные (так же, как в существовавшей прежде системе “Книга - почтой”). Однако владельцы таких магази нов не всегда обеспечивают о храну персональных данных и, строго говоря, не обязаны это делать в отсутствие закона. Например, один дотошный покупатель крупного Интернет-магазина случайно обнаружил “дыру” в системе, обеспечивающей регистрацию покупателей, в силу чего можно было узнать о приобретениях других покупателей, а также их персональные данные, ко торые не должны быть общедоступны. Очевидно, что подобная информация может быть использована во вред покупателю, в том числе и для рассылки спама 6 . Для всех примеров можно найти прото типы в “материальном” мире. Особенностью же Интернета является техническая возможность получать персональные данные об абоненте (клиенте) в процессе предоставления услуги, не ставя его в известность. А гентство Инфоарт сообщило, ч то новая техно логия компании Novo Media Group позволяет владельцам web узлов генерировать подробные демографические и “психографические” отчеты о посетителях web-узла. Э той возможностью скорее всего воспользуются фирмы, размещающие рекламу своей продукции на узлах сети Интернет для адресных рассыло к рекламной информации, планирования маркетинговых акций 7.
Эти примеры приведены только для того, чтобы продемонстрировать наличие проблемы, которая требует ка к просветительской работы в обществе, так и законодательного регулирования. При этом законодательство, регламентирующее обращение с персональной информацией, должно обеспечить труднодостижимый баланс между свободным доступом к информации, свободой слова и защитой частной жизни. Реалии нашей жизни ежедневно, если не сказать ежеминутно, подтверждаю т необ хо димость разработки адекватного законодательства о защите э того аспекта частной жизни. Хо тя в настоящее время наблюдаю тся попытки ряда провайдеров и владельцев web-сайтов обеспечить защиту персональных данных клиентов или по льзователей информации путем саморегулирования 8, полагаться на такое решение проблемы нельзя, поскольку приведенные примеры свидетельствуют лишь о доброй воле некоторых и о тсутствии таковой у большинства. Граница между частной жизнью и жизнью, имеющей социальный характер, достаточно условна и зависит от различных внеправовых факторов (традиции, религия, мнение обывателя), поэтому наряду с правовыми инструментами необходимо закреплять право на неприкосновенность частной жизни в этических профессиональных кодексах. Настоящее издание дает неко торое представление о подхо дах международного сообщества и отдельных стран к законодательному регулированию работы с персональными данными и о соответствующих попытках российских законодателей. Фонд защиты гласности благодарит за бо льшую и непростую работу переводчиков - Е. Максимову, В. Семенову, В. Шелховского.
Часть I М ЕЖДУН АРОДНЫЕ Д ОКУМЕН ТЫ Основные положения Организации по э кономическому сотруд ничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными. ВВ ЕДЕНИЕ Развитие автоматизированных систем обработки данных, позволяющих в считанные секунды передавать огромные объемы данных через национальные границы и даже через континенты, поставило на повестку дня вопрос о защите неприкосновенности частной жизни применительно к персональным данным. Механизмы защиты неприкосновенности частной жизни уже введены либо в ближайшее время будут введены в действие примерно в половине стран - членов ОЭСР (Австрия, Канада, Дания, Франция, Германия, Люксембург, Норвегия, Швеция и США уже приняли соответствующие законы; Бельгия, Исландия, Нидерланды, Испания и Швейцария подготовили законопроекты), что позволит про тивостоять таким нарушениям основных прав человека, как незаконное хранение персональных данных, хранение неточных персональных данных, а также несанкционированное использование или опубликование таких данных. С другой стороны, существует опасность того, ч то расхождения в национальных законодательствах могу т помешать свободному обмену персональными данными между странами; объемы передачи этих данных в последние годы существенно возросли и бу дут продолжать увеличиваться по мере повсеместного внедрения новых компьютерных и телекоммуникационных техно логий. Ограничение этих по токов могут вызвать серьезные проблемы в важных секторах экономики - в частности, в банковском деле и страховании. В связи с э тим страны - члены ОЭСР сочли необ хо димым разработать Основные положения, ко торые могли бы помочь унифицировать национальные законы о неприкосновенности частной жизни и, обеспечивая соблю дение соответствующих прав человека, вместе с тем не допустили бы блокирования международных обменов данными. Страны - члены ОЭ СР достигли консенсуса по основным принципам, которые должны быть о тражены в уже действующих национальных законодательствах либо составить базу для законов, которые будут приняты в странах, где их до сих пор не было. Основные положения, принятые в форме рекомендаций Совета ОЭСР, были разработаны группой правительственных э кспертов,
возглавляемой достопочтенным судьей М.Д. Кирби, председателем австралийской Комиссии по реформированию судебной системы. Рекомендации были приняты и вступили в силу 23 сентября 1980 г. К ним прилагается пояснительный меморандум, в котором содержится информация о ходе дискуссии и аргументация в пользу принятия тех или иных формулировок. РЕКОМЕНДАЦИИ СОВ ЕТА, КАСАЮ ЩИЕСЯ ОСНОВ НЫХ ПОЛОЖЕНИЙ О ЗАЩИТЕ НЕПРИКОСНОВ ЕННОСТИ Ч АСТНОЙ ЖИЗНИ И МЕЖДУ НАРОДНЫХ ОБ МЕНОВ ПЕРСОНАЛЬ НЫМИ ДАННЫМИ (23 сентября 1980 г.) СОВЕТ ОЭСР, руководствуясь статьями 1(c), 3(a) и 5(b) Конвенции об Организации по экономическому сотрудничеству и развитию о т 14 декабря 1960 г., учитывая, ч то, несмотря на возможные различия в национальных законах и направлениях по литики, страны-ч лены в равной степени заинтересованы в защите неприкосновенности частной жизни и индивидуальных свобод, а также в нахождении баланса между такими важными, но про тиворечащими друг другу ценностями, как неприкосновенность частной жизни и свобода обменов информацией; что автоматизированные системы обработки данных и международные обмены персональными данными создают новые формы отношений между странами и требуют разработки совместимых между собой правил и практических методов работы; что международные обмены персональными данными способствуют экономическому и социальному развитию; что внутренние законы о защите неприкосновенности частной жизни и международных обменов персональными данными могу т затруднять эти международные обмены; имея намерение развивать свободные обмены информацией между странами-членами и избегать необоснованного возведения препятствий на пути развития экономических и социальных отношений между странами членами, рекомендует странам-членам: 1. учитывать в своих внутренних законодательствах принципы защиты неприкосновенности частной жизни и индивидуальных свобод, изложенные в Основным положениях, содержащихся в Приложении к настоящим Рекомендациям, которое является нео тъемлемой частью упомянутых Рекомендаций;
2. пытаться избегать возведения во имя защиты неприкосновенности частной жизни - необоснованных препятствий на пути международных обменов персональными данными; 3. сотрудничать в реализации Основных положений, изложенных в Приложении; 4. как можно скорее договориться о разработке конкретных процедур для проведения консультаций и развития сотру дничества в целях практического исполнения настоящих Основных положений. Приложение к Рекомендациям Совета ОЭСР от 23 сентября 1980 г. ОСНОВ НЫЕ ПОЛОЖЕНИЯ О ЗАЩИТЕ НЕПРИКОСНОВ ЕННОСТИ Ч АСТНОЙ ЖИЗНИ И МЕЖДУ НАРОДНЫХ ОБ МЕНОВ ПЕРСОНАЛЬ НЫМИ ДАННЫМИ Часть I ОБЩИЕ ПОЛ ОЖЕНИЯ Определения 1. В целях настоящих Основных по ложений: a) “распорядитель данных” означает лицо, которое в соответствии с внутренним законодательством полномочно принимать решения о содержании и испо льзовании персональных данных независимо от того, осуществляется ли сбор, хранение, обработка и распространение таких данных самим указанным лицом или действующим от его имени агентом; б) “персональные данные” означают любую информацию, относящуюся к индивидууму (“субъекту данных”), чья личность либо известна, либо может быть установлена; в) “международные обмены персональными данными” означают передачу персональных данных через национальные границы. Масштаб применения Основных положений 2. Настоящие Основные положения применяются к персональным данным как в государственном, так и в частном секторе, которые либо в связи с процедурой их обработки, либо в связи с их характером или контекстом их испо льзования несут в себе у грозу нарушения неприкосновенности частной жизни и индивидуальных свобод. 3. Настоящие Основные положения не следует толковать как документ, создающий препятствия для:
a) применения к различным категориям персональных данных различных о хранительных мер в зависимости от их характера либо контекста, в котором эти данные собираются , хранятся, обрабатываются или распространяю тся; б) исключения из сферы применения настоящих Основных положений персональных данных, ко торые явным образом не несут в себе какой бы то ни было угрозы для неприкосновенности частной жизни и индивидуальных свобод; в) применения настоящих Основных положений то лько к персональным данным, по двергающимся автоматизированной обработке. 4. Исключения из Принципов, записанных в Частях II и III настоящих Основных положений, в том числе относящихся к национальному суверенитету, национальной безопасности и государственной политике (“государственному порядку”), до лжны быть: a) как можно менее многочисленны; б) доведены до сведения общественности. 5. В странах с федеративным устройством реализация настоящих Основных по ложений может быть затруднена разделением властных полномочий внутри Федерации. 6. Настоящие Основные по ложения следует считать минимальным набором стандартов, наряду с которым могут применяться дополнительные меры защиты неприкосновенности частной жизни и индивидуальных свобод. Часть II ОСНОВ НЫЕ ПРИНЦИПЫ НАЦИОНАЛЬ НОМ УРОВ НЕ
ПРИМЕНЕНИЯ
НА
Принцип ограничения объема собираемых данных 7. Объем собираемых персональных данных должен иметь пределы; все эти данные должны быть по лучены законным и честным образом если возможно, то с ведома или согласия субъекта данных. Принцип качества данных 8. Персональные данные до лжны соответствовать целям, в ко торых они будут использоваться; в той мере, в ко торой это необхо димо в соответствии с упомянутыми целями, персональные данные до лжны быть точными, полными и регулярно обновляемыми.
Принцип конкретизации целей 9. Цели, в которых собираются персональные данные, должны быть конкретизированы не позднее момента сбора указанных данных, а их последующее испо льзование до лжно ограничиваться достижением упомянутых либо схо дных (совместимых) целей, ко торые должны указываться каждый раз, когда эти цели пересматриваю тся. Принцип ограничений на использование д анных 10. Персональные данные не должны разглашаться, предоставляться в пользование или иным образом использоваться в иных целях, чем те, что перечислены в пункте 9, за исключением случаев, когда: a) субъект данных дает на то свое согласие; б) это разрешено законом. Принцип обеспечения безопасности 11. Персональные данные до лжны быть обеспечены должными механизмами защиты от рисков, связанных с потерей, несанкционированным доступом, уничтожением, использованием, изменением или разглашением данных. Принцип открытости 12. Процесс развития, а также практика и политика в отноше нии персональных данных должны осуществляться в рамках общей по литики открытости. В постоянной го товности должны быть средства для установления факта наличия и характера персональных данных, основных целей их использования, а также личности и обычного местонахождения распорядителя данных. Принцип индивид уального участия 13. Индивидуум должен иметь право: а) получать о т распорядителя данных либо иным образом, подтверждения того, имеются ли у распорядителя данных персональные данные, относящиеся к упомянутому индивидууму; б) получать относящиеся к нему персональные данные: - в разумные сроки;
- если взимается плата, то по тарифу, не являющемуся чрезмерно высоким; - в рамках разумной процедуры; - в у добной для понимания форме; в) в случае отказа от удовлетворения заявки, не предоставление информации, поданной в соответствии с пунктами (а) и (б), получать разъяснения о мотивах отказа и опротестовывать такой о тказ; г) опротестовывать о тносящиеся к нему данные; в случае удовлетворения протеста требовать того, ч то бы таковые данные были уничтожены, исправлены или дополнены. Принцип ответственности 14. Распорядитель данных до лжен нести о тветственность за принятие мер, обеспечивающих соблюдение вышеперечисленных принципов. Часть III ОСНОВ НЫЕ ПРИНЦИПЫ ПРИМЕНЕНИЯ НА МЕЖДУ НАРОДНОМ УРОВ НЕ: СВ ОБОДА ОБ МЕНОВ И ЗАКОННЫЕ ОГРАНИЧ ЕНИЯ 15. Страны-члены должны учитывать возможные последствия, которые использование персональных данных внутри страны и их реэкспорт могут иметь для других стран-членов. 16. Страны-члены должны принимать разумные и должные меры к обеспечению того, чтобы международные обмены персональными данными, в том числе их транзит через территорию каждой страны -члена, были непрерывными и безопасными. 17. Каждой из стран-членов следует воздерживаться о т введения ограничений на обмены персональными данными между собой и другой страной-членом, за исключением случаев, когда последняя еще не начала соблюдать большинство пунктов настоящих Основных положений, а также под угрозой того, что реэкспорт таких данных может привести к нарушению действующих в первой стране внутренних законов о неприкосновенности частной жизни. Страна-ч лен может также вводить ограничения в отношении тех категорий персональных данных, касательно которых ее вну тренними законами о неприкосновенности частной жизни предусмотрены конкретные правила, связанные с характером таких данных, в случае если другая страна-член не обеспечивает их эквивалентной защиты.
18. Странам-членам следует избегать принятия законов, политических установок и практических правил во имя защиты неприкосновенности частной жизни и индивидуальных свобод, которые могут создать препятствия для международных обменов персональными данными свер х меры, необ ходимой для обеспечения такой защиты. Часть IV СОБЛЮДЕНИЕ НА НАЦИОНАЛЬ НОМ УРОВ НЕ 19. При соблю дении на национальном уровне принципов, изложенных в Частях II и III настоящих Основных по ложений, странам членам следует вво дить в действие юридические, административные или иные процедуры или меры защиты неприкосновенности частной жизни и индивидуальных свобод, касающиеся персональных данных. В частности, странам-членам следует: а) принять надлежащие внутренние законы; б) поощрять и поддерживать саморегулирование путем принятия кодексов поведения или иных правил; в) обеспечить наличие разумных механизмов реализации индивидуальных прав; г) предусмотреть необ хо димые санкции и иные средства защиты прав на случай неисполнения мер, обеспечивающих соблю дение принципов, перечисленных в Частях II и III; д) обеспечить недискриминационное о тношение к субъектам данных. Часть V МЕЖДУ НАРОДНОЕ СОТРУДНИЧ ЕСТВ О 20. Странам-членам следует предоставлять другим странам -членам по их просьбе детальную информацию о соблюдении принципов, перечисленных в настоящих Основных по ложениях. Странам -членам также следует принимать меры к тому, чтобы процедуры международных обменов персональными данными и защиты неприкосновенности частной жизни и индивидуальных свобод были простыми и совместимыми с процедурами, принятыми в других странах-ч ленах, соблюдаю щих настоящие Основные по ложения. 21. Странам-членам следует ввести в действие процедуры, способствующие: - обменам информацией, относящейся к настоящим Основным положениям;
- взаимопомощи в осуществлении процедур и проведении расследований по вопросам, представляю щим обоюдный интерес. 22. Странам-членам следует разрабатывать принципы - вну тренние и международные, - на ко торых будут базироваться применимые законы о международных обменах персональными данными. ПОЯСНИТ ЕЛЬ НЫЙ МЕМОРАНДУ М Введение Одной из характерных черт деяте льности стран - членов ОЭСР на протяжении последнего десятилетия была разработка законов о защите неприкосновенности частной жизни. Эти законы принимались разными странами в различных формах, а во многих государствах они до сих пор находятся в процессе разработки. Расхождения в законо дательствах могут создавать препятствия для свободных обменов информацией между странами. В последние годы информационные потоки значительно возросли и буду т продо лжать увеличиваться по мере внедрения новых компьютерных и коммуникационных технологий. ОЭСР, которая уже неско лько лет работала в э той области, решила заняться проблемой сближения национальных законодательств и в 1978 г. поручила группе экспертов разработать основные положения правил для регулирования международных информационных обменов и защиты персональных данных и неприкосновенности частной жизни, ч то позволило бы привести национальные законо дательства в соответствие друг с другом. К настоящему времени работа группы уже завершена. Основные положения - это широкомасштабный до кумент, отражающий итоги много летних дискуссий и законотворчества в странах - членах ОЭСР. Группа экспертов, готовившая Основные положения, сочла необходимым сопроводить их Пояснительным меморандумом, содержащим детальные разъяснения по отдельным пунктам документа, а также по важнейшим проблемам защиты неприкосновенности частной жизни и индивидуальных свобод. Меморандум высвечивает ключевые вопросы, поднимавшиеся в ходе дискуссий, и дает разъяснения о выборе тех или иных вариантов их решения. В первой части Меморандума содержится общая информация по вопросам, представляющим интерес для стран -членов. В нем подчеркивается необ ходимость объединения усилий всех стран и обобщаются результаты работы, уже проведенной ОЭ СР и рядом других международных организаций к настоящему времени. В заключение
первой части дается перечень основных проблем, с которыми группа экспертов столкнулась в процессе работы. Вторая часть имеет два подраздела. В первом содержатся комментарии по некоторым общим вопросам Основных положений; во втором - детальные комментарии по отдельным пунктам. Настоящий Меморандум является информационным документом, подго товленным для того, чтобы объяснить и в общих чер тах обрисовать работу экспертной группы. По отношению к Основным положениям он является вспомогательным документом, ко торый не изменяет смысла Основных по ложений, а помогает их правильно интерпретировать и применять на практике. I. Общая информация ПРОБЛЕМЫ 1. 70-е го ды XX века можно определить как период интенсивной исследовательской и законо творческой деятельности по вопросам защиты неприкосновенности частной жизни в сфере сбора и использования персональных данных. Судя по многочисленным официальным документам, эти проблемы весьма серьезно воспринимаются в политических кругах; сто ль же очевидно, ч то нахо ждение баланса между противоположными интересами - э то весьма сложная и деликатная задача, которая вряд ли может быть решена раз и навсегда. Поскольку общественность имеет тенденцию обращать внимание на риски и возможные негативные последствия, ассоциируемые с компьютерной обработкой персональных данных, неко торые страны приняли законы, относящиеся исключительно к компью терам и компьютеризированным видам деятельности. Другие страны подошли к вопросам защиты неприкосновенности частной жизни с более широких позиций, не ограничивая себя конкретными видами техно логии обработки данных. 2. Предметом дискуссии прежде всего являются механизмы защиты индивидуума от вмешательства в его частную жизнь в “классическом” смысле, т.е. от незаконного испо льзования или разглашения его интимных персональных данных. Однако все более и более очевидной становится необ ходимость создания и других, более или менее связанных между собой механизмов защиты. Среди прочего, речь идет об обязанности хранителей персональных данных информировать общественность о том, каким образом эти данные использую тся, а также о праве субъектов данных требовать того, ч тобы их персональные данные были дополнены или исправлены. В общем и целом, наблюдается
тенденция к более широкому толкованию традиционной концепции неприкосновенности частной жизни (“права на невмешательство в частную жизнь”) и выявлению более сложного синтеза интересов, который, вероятно, было бы более правильно определить как неприкосновенность частной жизни и индивидуальных свобод. 3. Что касается юридических проблем, связанных с автоматизированной обработкой данных (А ОД), то защита неприкосновенности частной жизни и индивидуальных свобод является вопросом, вызывающим наиболее оживленные дебаты. Среди причин столь широкой обеспокоенности этой проблемой можно назвать повсеместное использование компьютеров для обработки персональных данных, существенно расширившиеся возможности для хранения, сравнения, связывания, отбора и доступа к персональным данным, а также комбинированное использование компьютеров и телекоммуникационных технологий, способное единовременно предоставлять персональные данные в распоряжение многих тысяч пользователей в разных точках земного шара и позволяющее составлять обширные базы данных и создавать комплексные - национальные и международные - сети данных. Ряд проблем требует особо пристального внимания, например, проблемы, связанные с создаваемыми в настоящее время международными сетями данных, а также необ ходимость нахо дить баланс между противоречивыми интересами - защитой неприкосновенности частной жизни, с одной стороны, и уважением права на свободный обмен информацией, с другой, - для полномасштабного использования потенциала современных технологий обработки данных в той мере, в ко торой это предс тавляется желательным. ДЕЯТЕЛЬНОСТЬ НА НАЦИОНАЛЬНОМ УРОВНЕ 4. Бо лее трети стран - членов ОЭСР приняли к настоящему времени один или несколько законов, которые призваны, среди прочего, обеспечить защиту индивидуума от незаконного использования его персональных данных и гарантировать ему право доступа к данным для проверки их точности и правильности. В федеративных государствах подобные законы принимались как на национальном уровне, так и на уровне отдельных штатов или провинций. В разных странах э ти зако ны называются по-разному. Например, в странах континентальной Европы они называются “законами о данных” или “законами о защите данных” (lo is sur la protection des donnОes), тогда как в англоговорящих странах они более известны как “законы о защите неприкосновенности частной жизни” (p rivacy protection laws). Большинство законов такого рода были
приняты после 1973 г., и нынешний период можно определить как период продолжающегося и даже расширенного законо творчества. Страны, в которых соответствующие законы уже вступили в силу, исследуют новые области, нуждающиеся в защите, либо пересматривают и дополняют существующие законодательства. В ряде других государств, интересующихся данной тематикой, э ксперты либо уже разработали соответствующие законопроекты, либо обсуждают проблемы с целью разработки необхо димых законов. Эти усилия, предпринимающиеся на национальном уровне, и не в последнюю очередь многочисленные научные доклады и публикации, подготовленные государственными комитетами или аналогичными организациями, помогают осознать суть проблем и оценить все “за” и “против” различных вариантов их решения. На нынешнем этапе это создает прочную основу для международного сотрудничества. 5. Подхо ды разных стран к вопросам защиты неприкосновенности частной жизни и индиви дуальных свобод имеют много общего. Например, можно выявить ряд базовых интересов или ценностей, которые, по общему мнению, являются составными элементами системы защиты. Среди ключевых принципов в э той сфере можно назвать следующие: ограничение объема запрашиваемых персональных данных целями, стоящими перед собирающей эти данные стороной, а также другими подобными критериями; ограничение возможностей для использования персональных данных перечнем открыто заявленных целей; создание механизмов, позволяющих индивидууму узнавать о наличии в обращении и о содержании его персональных данных, а также требовать исправления этих данных; указание реквизитов лиц, несущих ответственность за соблюдение соответствующих правил и решений, касающихся защиты неприкосновенности частной жизни. Вообще говоря, законы о защите неприкосновенности частной жизни и индивидуальных свобод в сфере персональных данных пытаю тся о хватить все последовательные этапы цикла, начиная со сбора данных и заканчивая их уничтожением, и обеспечить при этом максимально полное информирование, участие и контроль со стороны индивидуума. 6. Различия в национальных подходах, проявляющиеся в настоящее время в законах, законопроектах и законо дательных предложениях, касаются таких аспектов, как масштаб действия законо дательного акта, акцентирование в нем различных э лементов системы защиты, детальное соблюдение вышеперечисленных принципов, а также система контроля за исполнением законодательства. Так, существуют различные точки зрения на лицензионные требования и механизмы контроля в форме специальных органов надзора (“инспекций по проверке персональных данных”). Кроме
того, в качестве примеров можно указать на различия в категоризации данных, не по длежащих разглашению , и в методах обеспечения открытости и индивидуального участия. Разумеется, традиционные различия между юридическими системами разных стран также служат источником несоответствий - как с точки зрения подхо дов к законотворчеству, так и в смысле детальной разработки регулятивных рамок для защиты персональных данных. МЕЖДУНАРОДНЫЕ АСПЕКТЫ НЕПРИКОС НОВЕ ННОСТИ ЧАСТНОЙ ЖИЗНИ И БА НКИ ДА ННЫХ 7. В силу различных причин проблемы разработки механизмов защиты частных лиц с процессе использования их персональных данных не могут решаться исключительно на национальном уровне. Колоссальное увеличение объемов международных информационных обменов и создание международных банков данных (баз данных, предназначенных для использования в качестве источников справочной информации и т.п.) указываю т на необ хо димость объединен ия усилий на международном уровне и вместе с тем поддерживают тезис о том, что следует нахо дить баланс между свободой информационных обменов и соблюдением требований, касающихся защиты данных и ограничений на их сбор, обработку и распространение. 8. Одной из главных проблем международного уровня является достижение консенсуса во взглядах на фундаментальные принципы, на которых до лжна основываться система защиты интересов индивидуума. Такой консенсус устранил или уменьшил бы необходимость в регулировании экспорта данных и способствовал бы разрешению проблем, вытекающих из несоответствия национальных законо дательств. Более того, он мог бы стать первым шагом на пути к разработке более детальных, обязательных для исполнения международных соглашений. 9. Есть и другие причины для то го, чтобы рассматривать регулирование процессов обработки персональных данных в международном контексте: вышеназванные принципы затрагивают ценности, которые многие страны го товы активно отстаивать у себя дома и рекомендовать к принятию другими государствами; они помогут уменьшить затраты на международную передачу данных; разные страны равным образом заинтересованы в том, чтобы не допустить образования регионов, где национальные законы об использовании данных можно было бы легко обойти; фактически, если учитывать международную мобильность лю дей, товаров и коммерческой и научной деятельности, введение общепринятых норм обработки данных может оказаться
полезным даже там, где речь не идет о прямой передаче данных через государственные границы. МЕЖДУНАРОДНАЯ ДЕ ЯТЕЛЬНОСТЬ В СООТВЕТСТВУЮЩЕЙ С ФЕРЕ 10. Существует ряд международных соглашений по различным аспектам деятельности в сфере телекоммуникаций, которые, способствуя развитию со трудничества между государствами, признаю т суверенное право каждой страны регулировать деятельность собственных телекоммуникационных сетей (Международная конвенция электросвязи, 1973 г.). Проблема защиты компью терных данных и программ изучалась, в частности, Всемирной организацией интеллектуальной собственности, которая разработала типовые проекты национальных законов о защите компьютерных программ. Специальные соглашения по развитию информационного сотрудничества заключены и в неко торых других областях, в том числе в сфере контроля за соблю дением законности, медицинских услуг, статистики и юридических услуг (например, в отношении сбора свидетельских показаний). 11. Ряд международных соглашений с более широких позиций затрагивает вопросы, являю щиеся предметом нашего обсуждения, а именно: защита неприкосновенности частной жизни и свободное распространение информации. К этим соглашениям относятся: Европейская конвенция по правам человека от 4 ноября 1950 г. и Международный пакт о гражданских и политических правах (ООН, 19 декабря 1966 г.) 12. Однако в связи с неадекватностью существующих международных инструментов, касающихся обработки данных и прав индивидуума, некоторые международные организации провели детальные исследования по обсуждаемым нами проблемам с целью более успешного их решения. 13. В 1973 и 1974 гг. Комитет министров Совета Европы принял две резолюции о защите неприкосновенности частной жизни в связи с созданием электронных банков данных - одну для частного, другую для государственного сектора. Обе резолюции рекомендуют правительствам стран - членов Совета Европы принять меры к обеспечению соблюдения базовых принципов защиты, о тносящихся к получению данных, качеству данных и праву частного лица на по лучение информации о своих персональных данных и способах их использования. 14. Позднее Совет Европы, выпо лняя инструкции своего Комитета министров, начал подго товку международной Конвенции о защите
неприкосновенности частной жизни в отношении зарубежной обработки персональных данных и передачи данных через государственные границы. Он также инициировал разработку типовых правил для банков медицинских данных и правил поведения для профессионалов, занимающихся обработкой компьютерных данных. Конвенция была принята Комитетом министров 17 сентября 1980 г. Она устанавливает базовые принципы защиты персональных данных, ко торые должны соблюдаться странами-членами; снимает ряд ограничений на международные обмены данными между подписавшими контракт сторонами на основе взаимности; содействует развитию сотрудничества между национальными органами, регулирующими вопросы защиты данных; предлагает образовать Консультативный комитет по вопросам применения и дальнейшей разработки Конвенции. 15. Европейское Сообщество проанализировало проблемы приведения национальных законодательств своих стран-ч ленов в соответствие друг с другом в отношении международных обменов данными и возможных нарушений механизмов конкуренции, а также проблемы безопасности и конфиденциальности данных и характер международных обменов данными. В начале 1978 г. один из подкомитетов Европейского пар ламента провел публичные слушания по вопросам обработки данных и соблюдения прав индивидуума. Его работа завершилась весной 1979 г. составлением отчета Европарламенту. Э тот отчет, принятый Европейским парламентом в мае 1979 г., со держит резолюцию о защите прав индивидуума в свете технического прогресса в сфере обработки данных. ДЕЯТЕЛЬНОСТЬ ОЭСР 16. Программа ОЭСР в области международных обменов данными явилась результатом исследований по вопросам применения компьютерной техники в государственном секторе, начатых в 1969 г. Группа экспертов (Комиссия по банкам банных) проанализировала и исследовала различные аспекты проблемы неприкосновенности частной жизни применительно к сфере цифровой информации, государственного управления, международных обменов данными, а также с точки зрения возможных общеполитических последствий. Чтобы собрать факты, проливающие свет на характер исследуемых проблем, Комиссия по банкам данных организовала в Вене в 1997 г. симпозиум, в ходе которого представители разных сфер деятельности, в том числе государственные чиновники, промышленники, пользователи международных сетей передачи данных, поставщики услуг в об ласти обработки информации и
представители заинтересованных межправительственных организаций поделились друг с другом мнениями и опытом. 17. В рамках общей концепции возможного международного сотрудничества были определены некоторые основополагающие принципы. Они свидетельствовали о признании: (а) необ ходимости постоянных, непрерывных обменов информацией между странами; (б) законной заинтересованности стран в недопущении обменов данными, которые представляю т угрозу для их безопасности, противоречат их законам о государственном устройстве или благопристойности, либо нарушают права их граждан; (в) экономической ценности информации и важности защиты “торговли данными” с помощью общепринятых правил честной конкуренции; (г) необ ходимости создания механизмов безопасности для сведения к минимуму нарушений целостности данных, составляю щих собственность, и случаев незаконного использования персональных данных; (д) важности соблюдения странами набора основополагающих принципов, относящихся к защите персональных данных. 18. В начале 1978 г. в рамках ОЭ СР была создана Специальная экспертная группа по преодолению барьеров в сфере международных обменов данными и защите неприкосновенности частной жизни, которой было поручено разработать базовые правила регулирования международных обменов данными и защиты неприкосновенности частной жизни и персональных данных для приведения национальных законодательств в соответствие друг с другом, не исключая возможности последующего принятия международной конвенции. Эта работа должна была осуществляться в тесном контакте с Советом Европы и Европейским Сообществом и завершиться к 1 ию ля 1979 г. 19. Экспертная группа во главе с достопоч тенным судьей Кирби, которой помогал д-р Питер Сейпель, выступавший в качестве консультанта, предложила несколько проектов документов и обсудила ряд докладов, в том числе содержавших сравнительный анализ различных подхо дов к разработке законов в данной области. Особое внимание группа уделила следующим ключевым вопросам: а) Специфическая, секретная информация Эксперты обсуждали вопрос о том, должны ли Основные по ложения носить обобщенный характер или следует разработать о тдельные положения для различных типов данных и видов деятельности (например, для отчетности по кредитам). Су дя по всему, составить перечень типов данных, ко торые при всех обстоятельствах могли бы рассматриваться как секретные, не представляется возможным. б) Автоматизированная обработка данных (АОД)
Заявления о том, что АОД является главным источником озабоченности, вызываю т сомнения и многими опровергаются. в) Юридические лица Неко торые - но отнюдь не все - национальные законодательства охраняю т данные, относящиеся к юридическим лицам, в такой же степени, как и данные о физических лицах. г) Санкции и иные средства защиты прав Подхо ды к вопросу о механизмах контроля достаточно многообразны: например, схемы, предусматривающие надзор и лицензирование со стороны специально созданных органов, можно противопоставить тем, ч то основаны на добровольном соблюдении правил хранителями персональных данных и обращении в суд как традиционном способе защиты прав. д) Основные механизмы исполнения Выбор основополагающих принципов и необ ходимого уровня их детализации является достаточно сложной проблемой. Например, нет единства во взглядах на то, в какой степени вопросы безопасности данных (защита данных о т несанкционированного использования, пожара и т.п.) следует считать составными элементами системы мер по защите неприкосновенности частной жизни; существую т разногласия по вопросу о том, в течение какого времени данные могут со храняться и каковы критерии для их уничтожения; то же самое относится и к требованиям соответствия персональных данных заявленным целям и х использования. В частности, трудно провести четкую линию раздела между уровнем основополагающих принципов и целей, с о дной стороны, и “менее важными” вопросами о механизмах реализации э тих принципов, которые можно оставить на усмотрение каждой из стран, с другой. е) Выбор применимого законодательства Проблемы выбора юрисдикции, выбора применимого законодательства и признания решений зарубежных судов оказались сложными для решения в контексте международных обменов данными. Однако главным вопросом стал вопрос о том, нужно ли - и если да, то в какой степени - пытаться на нынешнем этапе предлагать возможные варианты решений в рамках Основных положений, не являющихся обязательными для испо лнения. ж) Исключения Вопрос об исключениях из правил также стал предмето м разногласий. Нужны ли исключения вообще? Если да, то следует ли предложить конкретные категории исключений или сформулировать общие пределы для применения исключений? з) Возможные “перекосы”
Наконец, существует вну тренний конфликт между защитой персональных данных и свободными обменами этими данными. Можно сделать упор либо на то, либо на другое; интересы, связанные с защитой неприкосновенности частной жизни, может быть трудно отделить от прочих интересов, относящихся к торговле, культуре, национальному суверенитету и т.п. 20. В процессе работы Экспертная группа поддерживала тесные контакты с соответствующими органами Совета Европы, прилагая максимум усилий к тому, чтобы избежать ненужных разночтений в текстах, разрабатываемых двумя организациями; этим и о бъясняется тот факт, ч то наборы основополагающих принципов во многом схо дны. Тем не менее, есть и некоторые различия. Во -первых, Основные по ложения, разработанные ОЭСР, носят рекомендательный характер, тогда как Совет Европы предложил Конвенцию, ко торая бу дет юридически обязательной для исполнения ратифицировавшими ее странами. Это, в свою очередь, означает, что Совет Европы более детально проработал вопрос об исключениях. Что касается сферы применения, то Конвенция Совета Европы главным образом затрагивает автоматизированные системы обработки данных, то гда как Основные положения ОЭСР применяются к персональным данным, угрожающим неприкосновенности частной жизни и индивидуальным свободам, вне зависимости от методов и механизмов, используемых при их обработке. По уровню детализации базовые принципы, предложенные двумя организациями, не являю тся идентичными; есть ряд различий и в используемой ими терминологии. Институциональные рамки долгосрочного сотрудничества более детально проработаны в конвенции Совета Европы по сравнению с Основными положениями ОЭ СР. 21. Экспертная группа также сотрудничала с Комиссией европейских сообществ, как и требовалось в соответствии с ее мандатом. II. Основные положения ОБЩ ИЕ ПОЛОЖЕНИЯ 22. В Преамбуле к Рекомендациям перечислены основные проблемы, требующие практическо го решения. Рекомендации заявляю т о намерении стран-членов ОЭ СР защищать неприкосновенность частной жизни и индивидуальные свободы и с уважением относиться к международным обменам персональными данными. 23. Основные по ложения, изложенные в Приложении к Рекомендациям, состоят из пяти частей. Часть I содержит ряд
определений и конкретизирует масштабы применения Основных положений, подчеркивая, что они представляют собой минимальный набор стандартов. В Части II перечисляются восемь основополагающих принципов (пункты 7-14), относящихся к защите неприкосновенности частной жизни и индивидуальных свобод на национальном уровне. В Части III изложены принципы применения Основных положений на международном уровне, т.е. принципы, главным образом определяющие характер о тношений между странами-членами. 24. Часть IV дает общую характеристику механизмам реализации принципов, изложенных в предыдущих разделах, подчеркивая, ч то применение этих принципов должно быть недискриминационным. Часть V касается вопросов взаимопомощи между странами-членами, осуществляемой главным образом через обмены информацией и использование совместимых процедур защиты персональных данных. В заключение дается ссылка на вопросы применимого законодательства, которые могут возникать при обменах персональными данными между несколькими странами-членами. ЦЕЛИ 25. Центральным элементом Основных по ложений являю тся принципы, изложенные в Части II Приложения. Странам -членам рекомендуется соблю дать упомянутые принципы в целях: a) достижения странами-членами определенных минимальных стандартов защиты неприкосновенности частной жизни и индивидуальных свобод в отношении персональных данных; б) сведения к минимуму различий между соответствующими правилами и практикой, принятыми в странах-ч ленах; в) обеспечения соблюдения интересов других стран-ч ленов в процессе защиты персональных данных, а также невозведения ненужных препятствий на пути обменов персональными данными между странами членами; г) устранения, насколько это возможно, причин, которые могут побудить страны-ч лены ограничить международные обмены персональными данными в связи с возможными рисками, ассоциируемыми с такими обменами. Как указывается в Преамбуле, речь идет о дву х основополагающих ценностях: о защите неприкосновенности частной жизни и индивидуальных свобод и о развитии свободных обменов персональными данными. Основные положения пытаю тся найти баланс между этими двумя ценностями; соглашаясь с необ хо димостью введения некоторых
ограничений на международные обмены персональными данными, они стремятся сузить круг причин для введения таких ограничений и тем самым укрепить процесс свободных информационных обменов между странами. 26. Наконец, в Частях IV и V Основных положений изложены принципы, которые до лжны обеспечить: а) принятие эффективных мер для защиты неприкосновенности частной жизни и индивидуальных свобод на национальном уровне; б) недопущение практики, открывающей возможность для дискриминационного о тношения к частным лицам; в) создание основы для долгосрочного международного сотрудничества и обеспечения совместимости процедур, регулирующих международные обмены персональными данными. УРОВЕНЬ ДЕТАЛИЗАЦИИ 27. Уровень детализации Основных положений различается в зависимости о т дву х главных факторов, а именно: (а) от уровня консенсуса, достигнутого по предлагаемым вариантам решений; (б) от объема знаний и опыта, подсказывающих решения, ко торые должны быть приняты на данном этапе. Например, принцип индивидуального участия (пункт 13) подробно трактует различные аспекты защиты интересов частного лица, тогда как по ложение, касающееся проблем выбора законодательства и т.п. (пункт 22), всего лишь о тмечает начальную точку процесса поэтапной разработки детализированных общих подхо дов и международных соглашений. В целом Основные положения создают общие рамки для совместных усилий стран-членов: обозначенные в Основных по ложениях цели могут достигаться различными путями в зависимости о т юридических инструментов и стратегий, выбранных странами-членами для их осуществления. В заключение следует указать на необ ходимость постоянного пересмотра Основных положений как отдельными странами-членами, так и ОЭ СР в целом. По мере накопления ими опыта может потребоваться дальнейшая разработка Основных положений и внесение в них соответствующих поправок. СТРАНЫ, НЕ ВХОДЯЩ ИЕ В ОЭСР 28. Рекомендации адресованы странам -членам ОЭ СР, и это отражено в нескольких положениях, действие ко торых прямо ограничено отношениями между странами-членами (см. пункты 15, 17 и 20). Однако было бы желательно, ч тобы Основные положения были широко признаны
в мире; ни одна фраза в них не может трактоваться в том смысле, что страны-члены не могут применять соответствующие положения к странам, не вхо дящим в ОЭСР. Учитывая активизацию международных обменов данными и необходимость принятия согласованных решений, будут приниматься меры к тому, чтобы не входящие в ОЭСР страны и заинтересованные международные организации также обратили внимание на настоящие Основные положения. ДОЛГОСРОЧНЫЕ РЕГУЛИРОВАНИЯ
ПЕРСПЕКТИВЫ
В
СФЕРЕ
29. Как уже отмечалось выше, защита неприкосновенности частной жизни и индивидуальных свобод представляет собой одну из сфер, где пересекаются различные юридические аспекты процесса обработки данных. Настоящие Основные положения представляю т собой еще один, дополнительный международный инструмент регулирования таких областей жизни, как права человека, телекоммуникации, международная торговля, авторские права и различные информационные услуги. В случае необхо димости принципы, изложенные в Основных поло жениях, могут стать предметом дальнейшей разработки в рамках деятельности ОЭ СР в области информации, компьютерной техники и коммуникационной политики. 30. Некоторые из стран-членов по дчеркиваю т преимущества принятия широкомасштабной и обязательной для испо лнения международной конвенции. Мандат Экспер тной группы обязывал ее разработать основные положения базовых правил осуществления международных обменов данными и защиты неприкосновенности частной жизни и индивидуальных свобод, не исключая возможности последующего принятия международной конвенции, ко торая была бы обязательной для исполнения. Настоящие Основные по ложения могут послужить о тправной точкой для разработки международной конвенции, когда это станет необ хо димо. ЮРИДИЧЕСКИЕ ЛИЦА , ГРУППЫ И ПРОЧ ИЕ ОРГАНИЗА ЦИИ 31. Некоторые страны считаю т, что механизмы защиты данных, относящихся к частным лицам, могут быть аналогичны тем, ч то необхо димы для защиты данных, касающихся деловых предприятий, ассоциаций и групп, обладающих или не обладающих статусом юридического лица. Опыт ряда стран также свидетельствует о том, что четко разграничить персональные и неперсональные данные достаточно
сложно. Например, данные, относящиеся к небольшой компании, могут одновременно затрагивать ее владельца или владельцев и содержать бо лее или менее секретную персональную информацию. В подобных случаях рекомендуется распространять действие механизмов защиты, применяемых главным образом к персональным данным, и на корпоративные структуры. 32. По анало гии можно спорить и о том, в какой степени люди, входящие в ту или иную группу (например, граждан с психическими заболеваниями, иммигрантов, этнических меньшинств и т.п.), нуждаются в допо лнительных гарантиях то го, что информация, относящаяся к э той группе, не будет подлежать распространению. 33. С другой стороны, Основные положения о тражают мнение о том, что понятия личной безопасности и неприкосновенности частной жизни во многих аспектах являю тся особенными и не могут трактоваться так же, как понятия безопасности группы людей или корпоративной безопасности и конфиденциальности. Они требуют иных механизмов защиты и иных политических рамок для формулирования решений и поиска балансов интересов. Некоторые члены Экспертной группы предлагали предусмотреть возможность распространения действия Основных положений на юридические лица (корпорации, ассоциации и т.п.). Э то предложение не было поддержано достаточным большинством голосов. Таким образом, масштаб действия Основных положений ограничен данными, о тносящимися к частным лицам; страны-члены должны самостоятельно проводить линии раздела и принимать политические решения, относящиеся к корпорациям, группам и прочим коллективным структурам (см. ниже, пункт49 2). АВТОМАТИЗИРОВАННАЯ ОБРА БОТКА ДАННЫХ
И
НЕАВТОМАТИЗИРОВАННАЯ
34. В прошлом деятельность ОЭСР по защите неприкосновенности частной жизни и в смежных областях была сосредо точена на автоматической обработке данных и компьютерных сетях. Э кспертная группа обращала особое внимание на вопрос о том, следует или не следует ограничивать действие настоящих Основных положений системами автоматизированной и компьютерной обработки персональных данных. В по льзу такого ограничения говорит целый ряд факторов, в том числе серьезная угроза неприкосновенности частной жизни индивидуума, возникающая в связи с появлением автоматизированных систем и компьютерных банков данных и со все более явным преобладанием автоматизированных методов обработки данных, особенно в процессе
международных обменов данными; следует также учитывать конкретные рамки информационной, компьютерной и коммуникационной политики, в которых Э кспертная группа выпо лняла порученную ей работу. 35. С другой стороны, Экспертная группа пришла к выводу, что ограничение действия Основных по ложений то лько системами автоматизированной обработки данных имело бы ряд недостатков. Во первых, на уровне определений достаточно трудно провести четкую линию раздела между автоматизированной и неавтоматизированной обработкой данных. Существую т, например, “смешанные” типы систем, которые могут предусматривать, а могут и не предусматривать автоматизированную обработку данных. Э ти трудности усугубляются постоянным совершенствованием техно логий: например, вводятся в действие новейшие методы полуавтоматической обработки данных на основе микрофильмов или микрокомпьютеров, которые начинают все более широко использоваться частными лицами в целях, которые являю тся, с одной стороны, безобидными, а с другой, не поддаю щимися контролю. Более того, если действие Основных положений будет касаться только компьютеров, то результатом этого может стать о тсутствие системного подхо да, “провалы” и создание широких возможностей для того, ч тобы хранители данных могли об ходить правила, принятые во исполнение Основных положений, испо льзуя неавтоматизированные методы обработки данных в целях, которые могут оказаться небезопасными. 36. В связи с вышеописанными трудностями Основные положения не даю т определения понятию “автоматизированная обработка данных”, хо тя соответствующая концепция упоминается в Преамбуле и в пункте 3 Приложения. Предполагается, что советы относительно интерпретации этой концепции могут быть получены из иных источников - например, из стандартных технических словарей. 37. Важнее всего то, ч то принципы защиты неприкосновенности частной жизни и индивидуальных свобод, изложенные в Основных положениях, применимы к обработке данных в самом широком ее понимании, вне зависимости от конкретных техно логий, используемых в этом процессе. Следовательно, Основные положения применимы к персональным данным в общем или, точнее говоря, к персональным данным, ко торые либо в связи со способом их обработки, либо в силу своего характера или контекста представляю т собой источник угрозы неприкосновенности частной жизни и индивидуальным свободам. 38. Следует, о днако, о тметить, что Основные положения не являю тся набором неких общих принципов защиты неприкосновенности частной жизни; вмешательство в частную жизнь посредством, например, съемки
скрытой камерой, причинения физическо го ущерба или оклеветания выходит за рамки этого до кумента, если упомянутые действия так или иначе не связаны с обработкой персональных данных. Таким образом, Основные положения касаю тся сбора и использования больших объемов данных, приспособленных для поиска необхо димой информации для принятия решений, проведения научных исследований, опросов и т.п. Следует подчеркну ть, ч то Основные по ложения нейтральны по отношению к техноло гиям, исполь зуемым в каждом конкретном случае; методы автоматизированной обработки данных являются лишь одним из вопросов, затрагиваемых Основными по ложениями, хо тя и весьма важным вопросом, если рассматривать его в контексте международных обменов данными.
Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных ПОЯСНИТ ЕЛЬ НАЯ ЗАПИСКА Защита информации Целью настоящей Конвенции является усиление защиты данных, точнее говоря, правовая защита личности при автоматической обработке персональной информации. Необ ходимость таких правовых норм объясняется ростом использования компьютерной техники для целей управления. По сравнению с обработкой документации вручную автоматизированные базы данных имеют несоизмеримо большую накопительную способность и создают возможности для значительно более широкого набора операций, которые осуществляю тся с большой скоростью. В ближайшие го ды предпо лагается дальнейший рост автоматической обработки данных в сфере управления как следствие снижения издерже к по обработке информации, доступности обрабатывающих устройств и создания нового телекоммуникационного оборудования для передачи информации. “Информационная власть” обязывает пользователей данных как в частном, так и в публичном секторах к соо тветствующей социальной ответственности. В современном обществе многие решения, затрагивающие личность, принимаются на основе информации, накапливаемой в компьютеризированных базах данных: платежных ведомостях, документах по социальному обеспечению, историях болезни и т.п. Важно, чтобы те, кто отвечает за такие базы данных, смогли бы обеспечить положение, при котором неоспоримые достижения, которых можно добиться с помощью автоматической обработки данных, не привели бы в то же время к ослаблению позиции тех лиц, сведения о которых накапливаю тся. Это обязывает их придерживаться требований, касающихся качественных характеристик вверенной им информации, воздерживаться от накопления информации, которая не является необхо димой для поставленной цели, принимать меры против несанкционированного раскрытая или злоупотребления информацией и охранять данные, оборудование и программное обеспечение от физического повреждения. Существующие правовые системы государств - членов Совета Европы не в полной мере отвечают правилам, которые мо гли бы помочь достижению э тих целей. Хотя у них есть законы о неприкосновенности
личной сферы, обязательствах, вытекающих из причинения вреда, секретности или конфиденциальности определенной информации, тем не менее ощущается отсутствие общих правил, регламентирующих накопление и испо льзование персональной информации и, в особенности, по вопросу о том, каким образом лицо может осуществлять контроль над информацией о нем, которая собирается и используется другими лицами. Передача персональных д анных через г раницы Встает также вопрос о том, в какой мере национальные законы о защите данных обеспечивают адекватную защиту для личности, ко гда касающаяся ее информация передается через границы. Компьютеры в сочетании с телекоммуникациями открывают новые возможности для обработки информации на международном уровне. Они позволяют преодолеть разного рода барьеры, препятствующие коммуникации: расстояние, время, язык и издержки. Компьютерные сети позволяют пользователям получать доступ к информационным системам отдаленны х стран или связывать их. В принципе, для пользователей данных, так же как для субъектов данных, не до лжно быть разницы в том, осуществляю тся ли операции по обработке данных в одной или нескольких странах. Должны применяться одни и те же фундаментальные правила, и субъектам информации должны быть предоставлены одни и те же гарантии защиты их прав и интересов. Однако на практике защита лиц ослабевает, когда расширяю тся географические границы. В связи с э тим была выражена обеспокоенность тем, что пользователи данных могу т уклоняться о т контроля за защитой информации, частично или полностью перемещая свои операции в “информационные укрытия”, то есть в страны, где действую т менее строгие законы о защите данных или где они вовсе отсу тствуют. Учитывая э ту опасность, некоторые страны предусмотрели в своем внутреннем праве специальный контроль, например, в форме лицензий на экспорт. Однако такой контроль может нарушать свободу международного обмена информацией, которая составляет фундаментальный принцип и для о тдельных граждан, и для наций. Следовало найти формулу, которая обеспечила бы защиту данных на международном уровне, в то же время не ущемляя это т принцип. Необходимость международ ного соглашения Даже в отношениях между государствами, имеющими схо дные системы защиты данных, возникаю т правовые проблемы, связанные как с самим правовым регулированием, так и с практическим его применением.
Когда в автоматическую обработку персональных данных вовлечены стороны из разных стран (например, банк данных в о дной стране свя зан с терминалами в других странах), не всегда легко определить, юрисдикции какого государства она подчиняется и чье национальное право следует применять. Кроме того, лица, проживающие в о дной стране, могут сталкиваться с трудностями, ко гда они хо тят воспользоваться своим правом в отношении автоматизированных баз данных в других странах. В силу изложенных выше причин была выдвину та идея о создании на международном уровне механизмов, которые позволяли бы государствам иметь информацию и консультировать друг друга по вопросам защиты данных. В 1976 году Комитет Министров Совета Европы поручил Комитету экспертов по защите данных, созданному под эгидой Европейского комитета по правовому сотрудничеству, подготовить Конвенцию о защите неприкосновенности личной сферы в связи с обработкой данных, осуществляемой на международном уровне. С ноября 1976 года по май 1979 го да Комитет по защите данных провел четыре заседания. Рабочая группа, составленная из экспертов, представляю щих Австрию, Бельгию, Францию, ФРГ, Италию, Ни дерланды, Испанию, Швецию , Швейцарию и Великобританию , несколько раз собиралась между пленарными заседаниями Комитета с тем, чтобы разработать общую философию, а также у точнить детали проекта Конвенции. В апреле 1980 года другой комитет экспер тов пересмотрел и доработал текст. Он был одобрен Европейским комитетом по правовому сотрудничеству и утвержден Комитетом Министров, ко торый решил открыть Конвенцию для подписания 28 января 1981 го да. ПРЕАМБУЛ А Государства - члены Совета Европы, подписывающие данный документ, принимая во внимание, ч то целью Совета Европы является достижение более тесного объединения его членов на основе уважения принципов правового государства, а равно прав и основных свобод человека; принимая во внимание настоятельную необ хо димость усиления гарантий прав и основных свобод каждого человека и в особенности права на неприкосновенность его личной сферы, вызванную все возрастающим перемещением через границы персональных данных, обработанных с применением автоматизированных средств;
одновременно подтверждая свою приверженность свободе информации независимо от границ; признавая необ ходимость совмещения фундаментальных ценностей уважения неприкосновенности личной сферы и свободного обмена информацией между народами, согласились со следующим: Глава I ОБЩИЕ ПОЛ ОЖЕНИЯ Статья 1. Предмет и цель Целью настоящей Конвенции является обеспечение на территории каждой из Сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства, и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных (“защита данных”). Статья 2. Определения Для целей настоящей Конвенции: а. “персональные данные” означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (“субъекта данных”); b. “автоматизированная база данных” означает любой набор данных, к ко торым применяется автоматическая обработка; с. “автоматическая обработка” включает следующие операции, если они полностью или частично осуществляю тся с применением автоматизированных средств: накопление данных, проведение логических или/и арифметических операций с такими данными, их изменение, стирание, восстановление или распространение; d. “контролер базы данных” означает физическое или юридическое лицо, государственный орган, ведомство или любую другую организацию, ко торая в соответствии с национальным правом наделена полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных бу дут накапливаться и какие операции с ними буду т осуществляться. Статья 3. Область применения 1. Стороны обязуются применять настоящую Конвенцию к автоматизированным базам персональных данных и к автоматической обработке персональных данных в публичном и частном секторах. 2. Каждое государство в момент подписания или при депонировании документа о ратификации, утверждении, о добрении или присоединении
может посредством заявления, направленного в адрес Генерального секретаря Совета Европы, сделать объявление о том, ч то: а. оно не будет применять настоящую Конвенцию к определенным категориям автоматизированных баз персональных данных, перечень которых до лжен быть депонирован. Такой перечень, однако, не должен включать те категории автоматизированных баз данных, на которые распространяется действие по ложений национального права о защите данных. В каждом последующем случае, когда положения национального права о защите данных буду т распространены на допо лнительные категории автоматизированных баз данных, оно будет вносить поправки в этот перечень посредством нового заявления; b. оно будет применять настоящую Конвенцию также к информации, относящейся к группам лиц, ассоциациям, фондам, компаниям, корпорациям и любым другим организациям, состоящим непосредственно или опосредованно из конкретных лиц, безотносительно к тому, обладает ли такая организация статусом юридического лица; с. оно будет применять эту Конвенцию также к базам персональных данных, которые не про хо дят автоматической обработки. 3. Каждое государство, ко торое расширило область применения настоящей Конвенции посредством какого-либо из заявлений, предусмотренных подпунктом 2b или с настоящей статьи, может указать в таком заявлении, ч то такое расширенное применение будет распространяться только на определенные категории автоматизированных баз персональных данных, перечень ко торых должен быть депонирован. 4. Сторона, которая посредством заявления, предусмотренного подпунктом 2а настоящей статьи, установила исключения для определенных категорий автоматизированных баз персональных данных, не может требовать, чтобы Сторона, не установившая подобных исключений, применяла настоящую Конвенцию к таким категориям. 5. Подобным же образом Сторона, которая не использовала возможности расширенного применения Конвенции, пре доставленные подпунктами 2b и 2с настоящей статьи, не может требовать, ч тобы Сторона, которая расширила применение настоящей Конвенции, применяла ее в э той части. 6. Заявления, предусмотренные пунктом 2 настоящей статьи, начинают действовать с момента вступления Конвенции в силу в отношении выступившего с такими заявлениями государства, если они были сделаны в момент подписания либо депонирования документа о ратификации, утверждении, о добрении или присоединении, либо если они были сделаны в более позднее время, через три месяца после их получения Генеральным секретарем Совета Европы. Эти заявления могут
быть отозваны как в целом, так и в части посредством уведомления, направленного в адрес Генерального секретаря Совета Европы. Отзыв начинает действовать через три месяца после даты получения такого уведомления. Глава II ОСНОВ НЫЕ ПРИНЦИПЫ ЗАЩИТЫ ДАННЫХ Статья 4. Обязанности сторон 1. Каждая Сторона принимает необ ходимые меры для того, чтобы основные принципы защиты данных, изложенные в настоящей главе, были реализованы в ее национальном праве. 2. Э ти меры принимаются не позднее вступления настоящей Конвенции в силу в отношении такой Стороны. Статья 5. Требования, предъявляемые к данным Персональные данные, про ходящие автоматическую обработку: а. должны быть получены и обработаны добросовестным и законным образом; b. должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с э тими целями; с. должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются; d. должны быть точными и в случае необ ходимости обновляться; е. должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для ко торой эти данные накапливаю тся. Статья 6. Особые ка тегории данных Персональные данные о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, а равно персональные данные, касающиеся здоровья или сексуальной жизни, могут подвергаться автоматической обработке только в тех случаях, ко гда национальное право предусматривает надлежащие гарантии. Это же правило применяется к персональным данным, касающимся судимости. Статья 7. Охрана данных Настоящая Конвенция обязывает Стороны принимать надлежащие меры для о храны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения. Статья 8. Дополнительные гарантии для субъекта данных Любому лицу должно быть предоставлено право :
а. быть осведомленным о существовании автоматизированной базы персональных данных, о ее главных целях, а также о контролере базы данных, его месте жительства либо юридическом адресе; b. периодически и без излишних затрат времени или средств обращаться с запросом о том, накапливаю тся ли в автоматизированной базе данных касающиеся его персональные данные, и получать информацию о таких данных в доступной форме; с. требовать у точнения или унич тожения таких данных, если они были обработаны с нарушением положений национального права, реализующих основные принципы, изложенные в статьях 5 и 6 настоящей Конвенции; d. прибегнуть к судебной защите нарушенного права, если его запрос либо требование о предоставлении информации, уточнении или уничтожении данных, упомянутые в пункте b настоящей статьи, не были удовлетворены. Статья 9. Исключения и ограничения 1. Не допускаю тся исключения из положений статей 5, 6 и 8 настоящей Конвенции, кроме тех, ко торые определены в настоящей статье. 2. Изъятие из положений статей 5, 6 и 8 настоящей Конвенции допускается, ко гда такое изъятие предусмотрено законом Стороны и представляет собой необ ходимую в демократическом обществе меру, установленную : a. для о храны государственной и общественной безопасности, денежных интересов государства или для пресечения преступлений; b. для защиты субъекта данных или прав и свобод других лиц. 3. Применительно к автоматизированным базам персональных данных, используемым для статистических и исследовательских целей, законом могут быть установлены ограничения в осуществлении правомочий, указанных в пунктах b, с и d статьи 8, при условии исключения риска нарушения неприкосновенности личной сферы субъектов данных. Статья 10. Са нкции и средства судебной защиты права Каждая Сторона обязуется установить надлежащие санкции и средства су дебной защиты на случай нарушения положений национального права, реализующих основные принципы защиты данных, изложенные в настоящей главе. Статья 11. Расширенная защита Ни о дно из положений настоящей главы не должно быть исто лковано как ограничивающее или иным образом влияющее на возможность
Стороны предоставить субъектам данных более широкую защиту, нежели та, которая обусловлена настоящей Конвенцией. Глава III ПЕРЕДАЧ А ИНФОРМАЦИИ Ч ЕРЕЗ ГРАНИЦЫ Статья 12. Передача персональных данных через границы и национальное право 1. Нижеследующие положения буду т применяться к передаче через национальные границы персональных данных, про ходящих автоматическую обработку или предназначенных для автоматической обработки, независимо от способа такой передачи. 2. Сторона не будет запрещать или ставить по д специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, всхо дя исключительно из соображени й защиты неприкосновенности личной сферы. 3. Тем не менее каждая Сторона вправе отступить от по ложений пункта 2: а. в той мере, в какой ее законодательство устанавливает специальные правила в о тношении определенных категорий персональных данных или автоматизированных баз персональных данных - кроме случаев, когда правилами другой Стороны предусмотрена равноценная защита; b. когда передача осуществляется с ее территории на территорию государства, не являющегося Стороной Конвенции, через территорию другой Стороны - с той целью , ч тобы такая передача не совершалась в обхо д законодательства Стороны, указанной в начале настоящего пункта. Глава IV ВЗАИМНАЯ ПОМОЩЬ Статья 13. Со трудничество сторон 1. Стороны соглашаются с тем, что они будут оказывать друг другу взаимную помощь, направленную на выполнение настоящей Конвенции. 2. С этой целью : а. каждая Сторона назначает о дин или несколько органов, наименование и адрес каждого из которых сообщаются Генеральному секретарю Совета Европы; b. каждая Сторона, назначившая более о дного органа, определяет в сообщении, о котором упоминается в предшествующем подпункте, компетенцию каждого органа.
3. Ор ган, назначенный Стороной, по ходатайству органа, назначенного другой Стороной: а. предоставляет информацию о Правовых положениях и административной практике Стороны в сфере защиты информации; b. в соответствии со своим национальным правом и исключительно в целях защиты неприкосновенности личной сферы принимает все надлежащие меры для предоставления фактической информации, касающейся отдельных случаев автоматической обработки, осуществляемой на ее территории, за исключением самих персональных данных, про хо дящих такую обработку. Статья 14. Помощь субъектам данных, проживающим за рубежом 1. Каждая сторона должна оказывать помощь любому лицу, проживающему за рубежом, в осуществлении правомочий, предусмотренных его национальным правом, реализующим принципы, изложенные в статье 8 настоящей Конвенции. 2. Если такое лицо проживает на территории другой Стороны, ему будет предоставлена возможность передать свое хо датайство через посредничество органа, назначенного э той Стороной. 3. Хо датайство о помощи должно содержать все необ ходимые реквизиты, в том числе касающиеся: а. имени, адреса и других о тносящихся к делу характеристик, позволяющих идентифицировать лицо, по давшее хо датайство; b. автоматизированной базы персональных данных, к ко торой относится хо датайство, и ее контролера; с. цели хо датайства. Статья 15. Гарантии, предоставляемые назначенным органом при оказании помощи 1. Орган, назначенный Стороной, получивший от органа, назначенного другой Стороной, информацию, сопровождающую хо датайство о помощи либо по лученную в ответ на ее собственное хо датайство о помощи, не должен использовать э ту информацию для иных целей, нежели те, которые опреде лены в хо датайстве о помощи. 2. Каждая Сторона обязана следить за тем, ч тобы сотрудники назначенного органа или лица, действующие о т его имени, были связаны обязательством соблю дения секретности или конфиденциальности в отношении такой информации. 3. Не допускается, ч тобы назначенный орган подавал предусмотренное пунктом 2 статьи 14 хо датайство от имени субъекта данных, проживающего за рубежом, по своему усмотрению и без прямо выраженного согласия заинтересованного лица. Статья 16. Отказ в удовлетворении ходатайства о помощи
Назначенный орган, ко торому адресовано ходатайство о помощи, упомянутое в статьях 13 и 14 настоящей Конвенции, не может отказать в его удовлетворении, кроме тех случаев, ко гда: а. он не обладает полномочиями в сфере защиты данных, необхо димых для у довлетворения ходатайства; b. ходатайство не соответствует положениям настоящей Конвенции; с. удовлетворение хо датайства было бы несовместимо с требованиями, касающимися соблю дения суверенитета, государственной тайны или общественного порядка Стороны, ко торой он был назначен, или с правами и основными свободами лиц, нахо дящихся под юрисдикцией этой Стороны. Статья 17. Процедуры и издержки, связанные с оказа нием помощи 1. Взаимная помощь, которую Стороны оказывают друг другу на основании статьи 13, и помощь, которую они оказывают субъектам данных, проживающим за рубежом, на основании статьи 14, не связаны с уплатой каких-либо издержек или взносов, кроме тех, которые причитаются экспер там. Такие издержки или взносы оплачивает Сторона, назначившая орган, обратившийся с ходатайством о помощи. 2. Субъект данных не может быть принужден к оплате иных издержек или взносов, связанных с действиями, предпринятыми от его имени на территории другой Стороны, кроме предусмотренных законом для жителей данной Стороны. 3. Другие моменты, связанные с оказанием помощи, в том числе, касающиеся форм и процедур, а также языка, который бу дет использоваться, устанавливаю тся непосредственно Сторонами по соглашению. Глава V КОНСУЛЬ ТАТИВ НЫЙ КОМИТЕТ Статья 18. Создание ко митета 1. После вступления настоящей Конвенции в силу создается Консультативный комитет. 2. Каждая Сторона назначает в комитет своего представителя и его помощника. Любое государство - ч лен Совета Европы, не являющееся Стороной Конвенции, имеет право быть представленным в комитете в качестве наб лю дателя. 3. Консультативный комитет может по едино гласному решению пригласить для участия в заседании любое государство, не вхо дящее в Совет Европы и не являю щееся Стороной Конвенции. Статья 19. Функции комитета
Консультативный комитет: а. может вносить предложения, направленные на облегчение и улучшение применения настоящей Конвенции; b. может вносить предложения о внесении поправок в настоящую Конвенцию в соответствии со статьей 21; с. до лжен давать заключение по пово ду любой предложенной поправки к настоящей Конвенции, переданной ему в соответствии с пунктом 3 статьи 21; d. no просьбе Стороны может высказывать свое мнение по любому вопросу, касающемуся применения настоящей Конвенции. Статья 20. Процедура 1. Консультативный комитет созывается Генеральным секретарем Совета Европы. Его первое заседание должно состояться не позднее двенадцати месяцев после вступления настоящей Конвенции в силу. В последующий период он должен собираться не реже одного раза в два года и в каждом случае, когда его созыва требует третья часть представителей Сторон. 2. Большинство представителей Сторон составляет кворум для проведения заседания Консультативного комитета. 3. После каждого заседания Консультативный комитет направляет Комитету Министров Совета Европы доклад о своей работе и о состоянии дел с выпо лнением Конвенции. 4. Консультативный комитет самостоятельно принимает свой регламент, руководствуясь по ложениями настоящей Конвенции. Глава VI ВНЕС ЕНИЕ ПОПРАВОК Статья 21. Внесение поправок 1. Поправки к настоящей Конвенции могут предлагаться Стороной, Комитетом Министров Совета Европы или Консультативным комитетом. 2. Каждое предложение о внесении поправок передается Генеральным секретарем Совета Европы государствам - членам Совета Европы, а также каждому государству, не вхо дящему в Совет Европы, которое присоединилось или ко торому предлагается присоединиться к настоящей Конвенции в соответствии с положениями статьи 23. 3. Помимо этого, каждая поправка, предлагаемая Стороной или Комитетом Министров Совета Европы, передается в Консультативный комитет, ко торый должен предоставить Комитету Министров свое заключение по поводу предлагаемой поправки.
4. Комитет Министров до лжен рассмотреть предлагаемую поправку и заключение, предоставленное Консультативным комитетом, и может одобрить поправку. 5. Текст поправки, о добренной Комитетом Министров в соответствии с пунктом 4 настоящей статьи, рассылается Сторонам на предмет утверждения. 6. Каждая поправка, одобренная в соответствии с пунктом 4 настоящей статьи, вступает в силу на тридцатый день после того, как все Стороны информируют Генерального секретаря о том, что они ее утвердили. Глава VII ЗАКЛЮЧ ИТЕЛЬ НЫЕ ПОСТАНОВЛ ЕНИЯ Статья 22. Вступление в силу 1. Настоящая Конвенция о ткрыта для по дписания госу дарствам членам Совета Европы. Она подлежит ратификации, у тверждению или одобрению. Документы о ратификации, утверждении или одобрении вручаются на хранение Генеральному секретарю Совета Европы. 2. Настоящая Конвенция вступает в силу в первый день месяца , следующего за окончанием трехмесячного периода после даты, когда пять государств - членов Совета Европы выразят согласие принять на себя обязательства, вытекающие из Конвенции, в соответствии с по ложениями предшествующего пункта. 3. В отношении государства - члена Совета Европы, ко торое выразит согласие принять на себя вытекающие из Конвенции обязательства в последующий период, Конвенция вступает в силу в первый день месяца, следующего за окончанием трехмесячного периода после даты депонирования документа о ратификации, принятии или о добрении. Статья 23. Присоединение государств, не входящих в Совет Европы 1. После вступления в силу настоящей Конвенции, Комитет Министров Совета Европы может предложить любому государству, не входящему в Совет Европы, присоединиться к настоящей Конвенции, для чего требуется решение, принятое большинством, предусмотренное в статье 20d Устава Совета Европы, и единогласное го лосование представителей договаривающихся Сторон, уполномоченных заседать в Комитете. 2. В отношении присоединившегося государства Конвенция вступает в силу в первый день месяца, следующего за окончанием трехмесячного периода после даты депонирования у Генерального секретаря Совета Европы документа о присоединении.
Статья 24. Территориальное условие 1. Каждое государство может в момент подписания или при депонировании документа о ратификации, утверждении, одобрении или присоединении указать территорию или территории, на которые будет распространяться действие настоящей Конвенции. 2. Каждое государство может в любой последующий момент посредством заявления, направленного в адрес Генерального секретаря Совета Европы, распространить действие настоящей Конвенции на любую другую территорию, указанную в заявлении. В о тношении такой территории Конвенция вступает в силу в первый день месяца, следующего за окончанием трехмесячного периода после даты по лучения такого заявления Генеральным секретарем. 3. Заявление, сделанное в соответствии с двумя предшествующими пунктами, может быть о тозвано посредством уведомления, напра вленного в адрес Генерального секретаря. Отзыв начинает действовать с первого дня месяца, следующего за истечением шестимесячного периода после даты получения такого уведомления Генеральным секретарем. Статья 25. Оговорки В отношении положений настоящей Ко нвенции не может быть сделано никаких оговорок. Статья 26. Дено нсация 1. Каждая Сторона может в любое время денонсировать настоящую Конвенцию посредством уведомления, направленного в адрес Генерального секретаря Совета Европы. 2. Такая денонсация начинает действовать с первого дня месяца, следующего за истечением шестимесячного периода после даты получения уведомления Генеральным секретарем. Статья 27. Извещения Генеральный секретарь Совета Европы извещает государства, входящие в Европейский Союз, и каждое государство, присоединившееся к настоящей Конвенции: а. о каждом подписании; b. о депонировании каждого до кумента о ратификации, утверждении, одобрении или присоединении; с. о каждой дате вступления настоящей Конвенции в силу в соответствии со статьями 22,23 и 24; d. о любых других актах, уведомлениях или сообщениях, касающихся настоящей Конвенции. В у достоверение э того нижеподписавшиеся, будучи должным образом на то уполномочены, подписали настоящую Конвенцию .
Совершено в Страсбурге, 28 января 1981 го да, на английском и французском языках, причем оба текста являются равно аутентичными, в единственном экземпляре, ко торый подлежит хранению в ар хивах Совета Европы. Генеральный секретарь Совета Европы направляет заверенные копии всем государствам - членам Совета Европы и каждому государству, которому предлагается присоединиться к настоящей Конвенции
Директива 95/46/ЕС Ев ропейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частн ых лиц применительно к обработке персональных данных и о свободном движении таких данных ЕВРОПЕЙСКИЙ ПАРЛАМ ЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА, принимая во внимание Договор об учреждении Европейского Сообщества и, в частности, статьи 100а э того Договора, принимая во внимание предложение Комиссии (1), принимая во внимание мнение Комитета по экономическим и социальным вопросам (2), действуя в соответствии с процедурой, установленной статьей 189b Договора (3), (1) принимая во внимание, что цели сообщества, указанные в Договоре, с учетом изменений в силу Договора о Европейском Союзе, включаю т создание более тесного союза между народами Европы, поощрение тесных связей между государствами, вхо дящими в сообщество, обеспечение экономического и социального прогресса совместными действиями по устранению барьеров, разделяющих Европу, содействие постоянному улучшению условий жизни ее народов, сохранению и укреплению мира и свободы и укреплению демократии на основе фундаментальных прав, признаваемых конституциями и законами государств-участников и Европейской Конвенцией по защите прав человека и фундаментальных свобод; (2) принимая во внимание, что системы обработки данных созданы в интересах человека; принимая во внимание, что они должны, вне зависимости от гражданства или места жительства физических лиц, уважать их фундаментальные права и свободы, в особенности право на частную жизнь, и способствовать экономическому и социальному прогрессу, расширению торговли и благосостояния граждан; (3) принимая во внимание, ч то создание и функционирование внутреннего рынка, на ко тором, в соответствии со ст. 7а Договора, обеспечено свободное передвижение товаров, лю дей и услуг, требует не только того, ч тобы персональные данные могли свободно передвигаться от одного государства-участника, но также и того, чтобы были гарантированы фундаментальные права частных лиц; (4) принимая во внимание, что все более возрастающие ресурсы используются в Сообществе для обработки персональных данных в
различных сферах экономической и социальной деятельности; принимая во внимание, что прогресс, достигну тый в информационной техно логии, существенно облегчает обработку и обмен такими данными; (5) принимая во внимание, что экономическая и социальная интеграция, проистекаю щая из создания и функционирования внутреннего рынка в значении ст. 7а Договора, неизбежно при ведет к существенному росту потока персональных данных через границы между всеми, кто вовлечен частным или общественным образом в экономическую и социальную деятельность в государствах-участниках; принимая во внимание, что обмен персональными данными между предприятиями в различных государствах-участниках увеличивается; принимая во внимание, что национальные органы в различных государствах-участниках призваны в силу законов Сообщества сотрудничать и обмениваться персональными данными с тем, ч тобы иметь возможность выполнять свои обязанности, либо выполнять задачи от имени властей другого государства-участника в контексте территории без внутренних границ, созданной внутренним рынком; (6) принимая во внимание, что, кроме того, возрастание научной и технической кооперации и согласованного внедрения новых телекоммуникационных сетей в Сообществе требует и облегчает движение персональных данных через границы; (7) принимая во внимание, ч то различие в степенях защиты прав и свобод граждан, в особенности права на частную жизнь, применительно к обработке персональных данных, допускаемое государствамиучастниками, может воспрепятствовать передаче таких данных с территории о дного госу дарства -участника на территорию другого; принимая во внимание, что это различие может таким образом создать преграды в осуществлении ряда видов экономической деятельности на уровне Сообщества, помешать конкуренции и создать препятствия властям в исполнении ими своих обязанностей согласно законодательству сообщества; принимая во внимание, что это различие в степенях защиты связано с существованием различных национальных законо дательств, нормативных актов и административных положений; (8) принимая во внимание, что для устранения препятствий движению персональных данных, степень защиты прав и своб од частных лиц применительно к обработке таких данных до лжна быть эквивалентной во всех государствах-участниках; принимая во внимание, что эта цель является жизненно насущной для вну треннего рынка, но не может быть достигнута государствами-участниками самостоятельно, особенно ввиду степени различий, ныне имеющихся в соответствующем законодательстве государств -участников, и ради потребности
координировать законодательство государств-участников в целях обеспечения движения персональных данных через границы последовательным образом, т.е. согласованно с целями внутреннего рынка, как указано в ст. 7а Договора; принимая во внимание, что, таким образом, необхо димы действия Сообщества для сближения указанных законов; (9) принимая во внимание, ч то с учетом эквивалент ной защиты вследствие сближения национальных законов государства-участники не смогут более препятствовать свободному движению личных данных между ними по причинам, связанным с защитой прав и свобод частных лиц и, в частности, права на частную жизнь; приним ая во внимание, что государства -участники со хранят пространство для маневра, каковой в контексте реализации настоящей Директивы может использоваться деловыми и социальными партнерами; принимая во внимание, что государства -участники таким образом смогут в своих национальных законодательствах определить общие положения, регу лирующие законность обработки данных, принимая во внимание, что государства участники тем самым будут стремиться усовершенствовать защиту, ныне предоставляемую их законодательствами; принимая во внимание, что в пределах настоящего пространства для маневра и в соответствии с законодательством сообщества могут возникнуть расхождения в реализации настоящей Директивы, что может повлиять на движение данных как в пределах государства-участника, так и в пределах сообщества; (10) принимая во внимание, что предметом национального законодательства по обработке персональных данных является защита фундаментальных прав и свобод - в особенности права на личную жизнь, каковое признается как ст. 8 европейской Конвенцией о защите прав человека и фундаментальных свобод, так и общими принципами законодательства Сообщества; принимая во внимание, ч то с э той целью сближение таких законов не должно вызвать какого -либо уменьшения предоставляемой ими степени защиты, но, напротив, до лжно стремиться обеспечить высокий уровень защиты в Сообществе; (11) принимая во внимание, ч то принципы защиты прав и свобод частных лиц, в особенности право на частную жизнь, со держащиеся в настоящей Директиве, закрепляю т и усиливаю т принципы, содержащиеся в Конвенции Совета Европы от 28 января 1981 г. о защите частных лиц применительно к автоматической обработке персональных данных; (12) принимая во внимание, что принципы защиты до лжны применяться ко всякой обработке персональных данных лю бым лицом, деятельность ко торого регулируется законодательством Сообщества;
принимая во внимание, что должно делаться исключение для обработки данных физическим лицом в хо де осуществления исключительно личной или домашней деятельности, такой как переписка и ведение адресных списков; (13) принимая во внимание, ч то виды деятельности, указанные в главах V и VI До говора о Европейском Сообществе в о тношении общественной безопасности, обороны, государственной безопасности или деятельности государства в сфере уголовного права выхо дят за рамки законодательства сообщества, без ущерба для обязательств, налагаемых на государства-участники в соответствии со ст. 56(2), 57 или ст. 100а Договора об учреждении Европейского Сообщества; принимая во внимание, что обработка персональных данных, необ ходимая для обеспечения экономического благосостояния государства не вхо дит в рамки настоящей Директивы, если такая обработка необ ходима по вопросам государственной безопасности; (14) принимая во внимание, что, с учетом важности проис ходящего развития, в рамках информационного общества, техники, используемой для сбора, переноса, манипулирования, записи, хранения или передачи звуковых и графических данных, относящихся к физическим лицам, настоящая Директива до лжна быть применима к обраб отке, использующей такие данные. (15) принимая во внимание, ч то обработка таких данных охватывается настоящей Директивой только в случае, если она является автоматизированной или если обрабатываемые данные помещаются или предназначены для помещения в систему хранения, структурированную в соответствии с особыми критериями, относящимися к частным лицам, для обеспечения легкого доступа к соответствующим персональным данным; (16) принимая во внимание, ч то обработка звуковых и графических данных, как в случае ви деонаблю дения, не вхо дит в рамки настоящей Директивы, если осуществляется в целях общественной безопасности, обороны, национальной безопасности, или в ходе государственной деятельности, относящейся к сфере уголовно го права, или иной деятельности, не вхо дящей в рамки законодательства Сообщества; (17) принимая во внимание, что, в той мере, в какой обработка звуковых и графических данных осуществляется журналистикой либо речь идет о целях литературного или ху дожественного творчества, в частности, в аудиовизуальной сфере, принципы Директивы применяются с учетом ограничений в соответствии с положениями ст. 9; (18) принимая во внимание, что для обеспечения того, чтобы частные лица не были лишены защиты, на ко торую они имеют право на основании настоящей Директивы, любая обработка персональных данных в
Сообществе должна осуществляться в соответствии с законодательством одного из государств-участников; принимая во внимание, что в этой связи обработка, проводимая под ответственность контролера, учрежденного в одном из государств-участников, регулируется законодательством этого государства; (19) принимая во внимание, ч то учреждение на территории государства -участника предполагает фактическое и реальное осуществление деятельности на стабильной до говорной основе; принимая во внимание, что правовая форма такого учреждения, будь то просто филиал или дочерняя организация с правом юридического лица, не является определяющим фактором в данном отношении; принимая во внимание, что когда единый контролер учреждается на территории нескольких государств-участников, в частности, посредством дочерних организаций, он в целях избежания любого об хода национальных правил должен обеспечить, ч тобы каждое из учреждений выпо лняло обязательства, налагаемые национальным законодательством, применимым к его деятельности; (20) принимая во внимание, ч то факт произво дства обработки данных лицом, учрежденным в третьей стране, не препятствует защите частных лиц, предусмотренной настоящей Директивой; принимая во внимание, что в таких случаях обработка до лжна регулироваться законом государства -участника, в ко тором располагаются используемые средства, и что должны быть гарантии обеспечения того, что права и обязательства, установленные настоящей Директивой, соблю даются на практике; (21) принимая во внимание, что настоящая Директива не наносит ущерба правилам территориальной применимости по у головным вопросам; (22) принимая во внимание, что государства -участники в законах, которые они введу т в ходе реализации мер, принимаемых во исполнение настоящей Директивы, более точно определят общие обстоятельства, при которых обработка является законной; принимая во внимание, что, в частности, ст. 5, в соединении со ст. 7 и 8 позволяет государствам участникам независимо от общих правил устанавливать особые условия обработки для конкретных областей и различных категорий данных, охватываемых ст. 8; (23) принимая во внимание, что государства-участники правомочны гарантировать реализацию защиты прав частных лиц как средствами общего законодательства по защите частных лиц применительно к обработке персональных данных, так и частных законов, например, касающихся статистических учреждений;
(24) принимая во внимание, что законодательство в отношении защиты юридических лиц применительно к защите касающихся их данных не затрагивается настоящей Директивой; (25) принимая во внимание, ч то принципы защиты до лжны быть отражены, с одной стороны, в обязательствах, налагаемых на лиц, общественные организации, предприятия, агентства или иные учреждения, ответственные за обработку, в частности, в отношении качества данных, технической безопасности, уведомлений надзорного органа и обстоятельств, при которых может осуществляться обработка и, с другой стороны, в праве, предоставленном частным лицам, данные в отношении которых обрабатываются, быть информированными о том, что обработка имеет место, знакомиться с данными и даже возражать против обработки при определенных обстоятельствах; (26) принимая во внимание, что принципы защиты до лжны применяться к любой информации, касающейся идентифицированного или идентифицируемого лица; принимая во внимание, ч то для определения то го, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованными либо контролером, либо любым иным лицом для идентификации указанного лица; принимая во внимание, что принципы защиты не применяются к данным, сделанным обезличенными таким образом, что субъект данных бо лее не является идентифицируемым; принимая во внимание, ч то кодексы поведения в значении ст. 27 могут быть полезным инструментом для руководства в том, какими способами данные могут быть обезличены и со хранены в форме, в которой идентификация субъекта данных более невозможна; (27) принимая во внимание, ч то защита частных лиц до лжна применяться к автоматической обработке данных в той же мере, что и к ручной обработке; принимая во внимание, что рамки данной защиты не должны фактически зависеть от испо льзуемой техники, в про тивном случае это создаст серьезный риск об хода защиты; принимая во внимание, что, тем не менее, применительно к ручной обработке, настоящая Директива о хватывает то лько системы хранения, а не неструктурированные досье (файлы); принимая во внимание, ч то, в частности, содержание системы хранения до лжно быть структурировано в соответствии со специфическими критериями, касающимися частных лиц, позволяя легкий доступ к персональным данным; принимая во внимание, что, в соо тветствии с определением в ст. 2 (с), каждым государством участником могут устанавливаться различные критерии для определения составляю щих структурированный набор персональных данных, и различные критерии, регулирующие доступ к такому набору; принимая во
внимание, что досье (файлы) или наборы досье (файлов), а также их обложки, не являющиеся структурированными в соо тветствии с конкретными критериями, ни при каких обстоятельствах не о хватываются рамками настоящей Директивы; (28) принимая во внимание, что любая обработка персональных данных должна быть законной и справедливой по отношению к соответствующему физическому лицу; принимая во внимание, что, в частности, данные до лжны быть адекватными, о тносящимися к делу и не избыточными в отношении целей, для которых они обрабатываю тся; принимая во внимание, что такие цели должны быть явно выраженными и законными, и должны быть определены во вр емя сбора данных; принимая во внимание, что цели обработки после сбора не должны быть несовместимыми с первоначально указанными целями; (29) принимая во внимание, что дальнейшая обработка личных данных для исторических, статистических или научных целей не является, в принципе, несовместимой с целями, для которых данные первоначально собирались, при условии, что государства -участники установят надлежащие гарантии; принимая во внимание, что э ти гарантии должны, в частности, определять испо льзование данных в дополнение к мерам или решениям, касающимся любого конкретного физического лица; (30) принимая во внимание, что обработка персональных данных, для того ч тобы являться законной, должна, кроме того, осуществляться с согласия субъекта данных или быть необ хо дим ой для заключения или исполнения контракта, обязательного для субъекта данных, или в качестве законного требования, или для выпо лнения задачи, связанной с общественным интересом или при осуществлении официальных полномочий, или в законных интересах физическо го или юридического лица, при условии, что интересы либо права и свободы субъекта данных не нарушаются; принимая во внимание, что, в частности, для поддержания баланса между вовлеченными интересами при гарантировании эффективной конкуренции, государства -участники могут определить обстоятельства, при ко торых персональные данные могут быть обоснованно использованы или раскрыты третьей стороне в контексте законной обычной деятельности компаний и иных лиц; принимая во внимание, что государства-участники могут аналогично определить условия, на которых персональные данные раскрыты третьей стороне в целях маркетинга, осуществляемого как в коммерческом порядке, так и б лаго творительной организацией, или иной ассоциацией или фондом, или, например, политического характера, с учетом условий, позволяющих субъекту данных возражать против обработки данных в отношении него бесплатно и без необ хо димости указания причин;
(31) принимая во внимание, что обработка персональных данных должна в равной степени рассматриваться в качестве законной, если осуществляется для защиты интересов, существенных для жизни субъекта данных; (32) принимая во внимание, что определение того, должен ли контролер осуществляющий выпо лнение задач в общественных интересах, или при выполнении служебных по лномочий, являться государственной администрацией или иным физическим или юридическим лицом, действующим на основе публичного или частного права (например, если речь идет о профессиональной ассоциации) возлагается на национальное законо дательство; (33) принимая во внимание, ч то данные, которые по своей природе способны нанести ущерб фундаментальным свободам или праву на частную жизнь, не до лжны обрабатываться, если субъект данных не дает своего явного согласия; принимая во внимание, однако, что исключения из этого запрета, должны быть явно предусмотрены для конкретных целей, в частности, когда обработка таких данных, в частности, обработка таких данных осуществляется для определенных целей, связанных со здравоо хранением, лицом, которое несет законодательное обязательство сохранения профессиональной тайны, или в хо де законной деятельности некоторыми ассоциациями или фондами, целью которых является обеспечение осуществления фундаментальных свобод; (34) принимая во внимание, ч то государства-участники также должны быть уполномочены, когда э то обусловлено важными общественными интересами, частично отменять запрет на обработку важных категорий данных в таких сферах, как здравоохранение и социальная защита - особенно в порядке обеспечения качества и ценовой эффективности процедур, используемых при удовлетворении требований по льго там и услугам в системе медицинского страхования, - научные исследования и государственная статистика; принимая во внимание, ч то их обязанностью является, однако, предоставление конкретных и надлежащих гарантий для защиты фундаментальных прав и частной жизни граждан; (35) принимая во внимание, ч то, кроме того, обработка личных данных официальными органами для достижения целей, указанных в конституционном законе или международном публичном пра ве, официально признанных религиозных ассоциаций осуществляется по причине общественного интереса; (36) принимая во внимание, что в ходе предвыборной деятельности, использование демократической системы в отдельных государствахучастниках требует, чтобы политические партии собирали данные о
политических взглядах населения, обработка таких данных может быть разрешена по причине особого общественного интереса, при условии, ч то установлены соо тветствующие гарантии; (37) принимая во внимание, ч то обработка персо нальных данных для целей журналистики, или литературного, или художественного творчества, в частности, в аудиовизуальной сфере, имеет право на освобождение от требований некоторых положений настоящей Директивы в той мере, в какой э то необ ходимо для примирения фундаментальных прав граждан со свободой информации и, в особенности, права получать и передавать информацию, как гарантировано, в частности, в статье 10 европейской Конвенции о защите прав человека и фундаментальных свобод; принимая во внимание, ч то государства -участники до лжны, таким образом, установить исключения и освобождения, необ ходимые в целях достижения баланса между фундаментальными правами при осуществлении общих мер по законности обработки данных, мер по передаче данных в третьи страны, и полномочий надзорного органа; принимая во внимание, что это не должно, о днако, приво дить к установлению государствами-участниками исключений из мер по обеспечению безопасности обработки; принимая во внимание, что по меньшей мере надзорный орган, ответственны й за этот сектор, до лжен иметь определенные полномочия по передаче, например, публиковать регулярный отчет или направлять материалы в су дебные органы; (38) принимая во внимание, что если обработка данных должна быть справедливой, то субъект данных до лжен иметь возможность узнать о существовании операций по обработке и, если данные получены от него, получить точную и полную информацию об обстоятельствах сбора; (39) принимая во внимание, ч то определенные операции по обработке используют данные, которые контро лер не собирал непосредственно у субъекта данных; принимая во внимание, кроме того, что данные могут быть законно раскрыты третьей стороне, даже если раскрытие не ожидалось в то время, когда данные собирались у субъекта; принимая во внимание, ч то во всех э тих случаях субъект данных должен быть проинформирован, когда данные записываются или, по меньшей мере, когда данные впервые раскрываю тся третьей стороне; (40) принимая во внимание, что, однако, не является необхо димым налагать э ту обязанность, если субъек т данных уже имеет информацию; принимая во внимание, что, более того, не бу дет такой обязанности, если запись или раскрытие явно оговорены законом, или если предоставление информации субъекту данных оказывается невозможным, либо повлечет непропорциональные усилия, каковые могут иметь место, если обработка
производится для исторических, статистических или научных целей; принимая во внимание, что в этой связи могут приниматься в расчет число субъектов данных, возраст данных и любые принятые компенсационные меры; (41) принимая во внимание, что любое лицо должно иметь возможность доступа к касающимся его обрабатываемым данным, ч тобы убедиться, в частности, в точности данных и законности обработки; принимая во внимание, что в тех же целях каждый субъект данных та кже должен иметь право ознакомиться с логикой автоматической обработки касающихся его данных, по меньшей мере, в случае автоматического принятия решений, как указано в ст. 15(1); принимая во внимание, что такое право не должно неб лагоприятно воздействовать на коммерческие тайны или интеллектуальную собственность и, в частности, авторское право на программное обеспечение; принимая во внимание, что такие обоснования не могут, однако, приво дить к тому, что субъекту данных будет о тказано во всей информации; (42) принимая во внимание, что государства-участники могут в интересах субъекта данных или для защиты прав и свобод иных лиц ограничивать право доступа к информации; принимая во внимание, что они могут, например, установить, что доступ к медицинским данным может быть предоставлен то лько профессиональным медикам; (43) принимая во внимание, что ограничения прав на доступ и информацию и некоторых обязательств контролера могут аналогичным образом налагаться госу дарствами-участниками в той мере, в какой они необхо димы для обеспечения, например, национальной безопасности, обороны, общественной безопасности, или важных экономических или финансовых интересов госу дарства -участника, или Сообщества, а также для уго ловного расследования и преследования, и действий в о тноше нии нарушения профессиональной этики; принимая во внимание, что список исключений и ограничений должен включать задачи мониторинга, инспекции или регулирования, необ ходимые в трех последних сферах, касающихся общественной безопасности, экономических или финансовых интересов и предотвращения преступлений; принимая во внимание, что перечисление задач в этих трех сферах не влияет на законность исключений или ограничений по причинам государственной безопасности или обороны; (44) принимая во внимание, что государства-участники также могут в соответствии с положениями законодательства Сообщества исключить из положений настоящей Директивы, касающихся права доступа, обязанности информировать частных лиц и качества данных в вышеизложенных целях;
(45) принимая во внимание, ч то в случаях, когда данные могут законно обрабатываться по причинам общественно го интереса, официальных полномочий или законного интереса физического или юридического лица, любой субъект данных до лжен, тем не менее, иметь право возражать, при наличии законных причин, связанных с его конкретной ситуацией, против обработки любых данных, касающихся его; принимая во внимание, ч то государства-участники могут, тем не менее, устанавливать противоположные национальные по ложения; (46) принимая во внимание, ч то защита прав и свобод субъектов данных в о тношении обработки персональных данных требует, ч тобы были приняты надлежащие технические и организационные меры, как при разработке системы обработки, так и в процессе самой обработки, в частности, для поддержания безопасности и предо твращения, тем самым, любой несанкционированной обработки; принимая во внимание, что государства -участники обязаны обеспечить, ч тобы контролеры соблюдали эти меры; принимая во внимание, что эти меры должны обеспечить надлежащий уровень безопасности; принимая во внимание состояние и стоимость их реализации по отношению к рискам, связанным с обработкой и характером защищаемых данных; (47) принимая во внимание, ч то если сообщение, содержащее персональные данные, передается средствами телекоммуникаций или электронной почты, единственной целью ко торой является передача таких сообщений, в отношении персональных данных, содержащихся в сообщении, лицом, от ко торого исходит сообщение, как правило, считается контролер, а не лицо, предоставляющее услуги по передаче; принимая во внимание, тем не менее, что те, кто предлагают такие услуги, как правило считаю тся контролерами в отношении обработки дополнительных персональных данных, необ хо димых для осуществления такой услуги; (48) принимая во внимание, ч то процедуры по уведомлению надзорного органа предназначены обеспечивать раскрытие целей и основных деталей любой операции по обработке в целях у достоверения, что такая операция соответствует национальным мерам, принятым согласно настоящей Директиве; (49) принимая во внимание, что для избежания излишних административных формальностей, государства-участники могут установить исключения из обязательства уведомлять и упростить требуемое уведомление в случаях, когда представляется маловероятным, что обработка может неблагоприятно воздействовать на права и свободы субъектов данных, при условии, ч то это соответствует мерам, принятым государством-участником, с указанием пределов обработки; принимая во
внимание, что исключение или упрощение могут быть аналогично установлены государством-участником, если лицо, назначенное контролером, гарантирует; что осуществляемая обработка едва ли сможет неблагоприятно воздействовать на права и свободы субъектов данных; принимая во внимание, что такое лицо, занимающееся защитой да нных, вне зависимости от того, является ли оно сотрудником контролера или нет, должно быть в состоянии осуществлять свои функции полностью независимо; (50) принимая во внимание, что исключения или упрощения могут быть предусмотрены для операций по обработке, единственная цель которых состоит в ведении реестра, предназначенного, в соответствии с национальным законодательством, предоставлять информацию общественности и открытого для ознакомления общественности или любым лицом, демонстрирующим законный интерес; (51) принимая во внимание, что тем не менее упрощение или исключение из обязанности уведомления не освобождает контролера от любых иных обязательств, проистекаю щих из настоящей Директивы; (52) принимая во внимание, что в данном контексте удостоверение постфактум компетентными органами должно, как правило, считаться достаточной мерой; (53) принимая во внимание, что, однако, определенные операции по обработке могут создать определенные угрозы правам и свободам субъектов данных по своей природе, своим пределам или своим целям, как, например, лишение граждан права, льго ты или исключение из контракта, или по причине особого использования новых технологий; принимая во внимание, что государства-участники, если пожелаю т, могут определить такие угрозы в своих законодательствах; (54) принимая во внимание, ч то, применительно ко всей обработке, осуществляемой в обществе, объем, представляющий такие особые угрозы, должен быть весьма ограниченным; принимая во внимание, ч то государства -участники должны установить, что такой надзорный орган, либо официальное лицо по обработке данных совместно с этим органом должны проверить такую обработку до ее осуществления; принимая во внимание, что вслед за такой предварительной проверкой надзорный орган может в соответствии со своим национальным законодательством о контроле, выдать заключение или санкцию в отношении обработки; принимая во внимание, что такая проверка может анало гично иметь место в хо де подготовки либо меры национального парламента, либо меры, основанной на такой законо дательной мере, определяющей характер обработки и устанавливающей надлежащие гарантии:
(55) принимая во внимание, что если контролер не соблюдает права субъекта данных, национальное законодательство должно устанавливать средства судебной защиты; принимая во внимание, что любой ущерб, который может быть нанесен лицу вследствие незаконной обработки, должен быть компенсирован контролером, который может быть освобожден от ответственности, если он докажет, ч то не несет ответственности за ущерб, в частности, в случаях, когда он докажет вину со стороны субъекта данных, или в случае форс-мажора; принимая во внимание, что санкции до лжны налагаться на любое лицо, действующее в рамках публичного или частно го права, которое не соблюдает национальные меры, принятые на основании настоящей Директивы; (56) принимая во внимание, что поток персональных данных через границы необ ходим для расширения международной торговли; принимая во внимание, что защита частных лиц, гарантированная в Сообществе настоящей Директивой, не препятствует передаче персональных данных в третьи страны, которые обеспечивают адекватный уровень защиты; принимая во внимание, что адекватность уровня защиты, предоставляемой третьей страной, до лжна оцениваться в свете всех обстоятельств, связанных с операцией по передаче или набором операций по передаче; (57) принимая во внимание, ч то, с другой стороны, передача персональных данных в третью страну, не обеспечивающую надлежащего уровня защиты, должна быть запрещена; (58) принимая во внимание, что должны быть предусмотрены исключения из этого запрета в определенных обстоятельствах, если субъект данных дает свое согласие, если передача необхо дима в связи с контрактом или судебным иском, если этого требует защита важных общественных интересов, например, в случаях международной передачи данных между налоговыми или таможенными органами, или между службами по вопросам социального обеспечения, или если передача делается из реестра, ко торый ведется в соответствии с законом и предназначенного для ознакомления общественности, лица или лиц, имеющего обоснованный интерес; принимая во внимание, что в этом случае такая передача не использует всей совокупности данных или целых категорий данных, содержащихся в реестре, и если реестр предназначен для ознакомления лиц, имеющих обосно ванный интерес, передача должна осуществляться только по просьбе таких лиц, если они будут реципиентами; (59) принимая во внимание, что определенные меры могут быть приняты для компенсации недостаточной защиты в третьей стране в случаях, если контролер предлагает надлежащие гарантии; принимая во
внимание, что, свер х того, до лжны быть установлены процедуры для переговоров между Сообществом и такими третьими странами; (60) принимая во внимание, что в любом случае передачи в третьи страны могут быть осуществлены только в полном соответствии с положениями, принятыми госу дарствами-участниками в соответствии с настоящей Директивой и, в частности, ее ст. 8; (61) принимая во внимание, что государства-участники и Сообщество в своих соответствующих компетенциях могут рекомендовать вовлеченным торговым ассоциациям и иным представительным организациям составить кодексы поведения, ч тобы облегчить применение настоящей Директивы, принимая во внимание специфические характеристики обработки, проводимой в определенных секторах, и с учетом национальных положений, принятых для ее реализации; (62) принимая во внимание, что учреждение государствамиучастниками надзорных органов, осуществляющих свои функции полностью независимо, является необ ходимым компонентом защиты частных лиц в связи с обработкой персональных данных; (63) принимая во внимание, ч то такие органы должны иметь необхо димые средства для осуществления своих обязанностей, включая права расследования и вмешательства, в частности, в случае жалоб со стороны частных лиц, и право участвовать в судебных процедурах; принимая во внимание, что такие органы до лжны обеспечить прозрачность обработки в государствах-участниках, к юрисдикции которых они относятся; (64) принимая во внимание, что органы в различных государствахучастниках буду т нуждаться в содействии друг другу при исполнении своих обязанностей с тем, чтобы надлежащим образом обеспечить соблюдение правил защиты по всему Европейскому Союзу; (65) принимая во внимание, что на уровне сообщества должна быть создана рабочая группа по защите частных лиц в связи с обработкой персональных данных, каковая должна быть по лностью независима при осуществлении своих функций; принимая во внимание, что с учетом своего особого характера она должна давать рекомендации Комиссии и, в частности, содействовать единообразному применению национальных норм, принятых в соответствии с настоящей Директивой; (66) принимая во внимание, что в отношении передачи данных в третьи страны применение настоящей Директивы требует о т Комиссии придания полномочий на реализацию и учреждение процедуры, как указано в Решении Совета 87/373/ ЕЕС (4); (67) принимая во внимание, ч то соглашение о modulus vivendi между европейским парламентом. Советом и Комиссией в отношении мер по
реализации актов, принятых в соответствии с процедурой, указанной в ст. 189b Договора о Европейском Сообществе, было достигнуто 20 декабря 1994 г.; (68) принимая во внимание, ч то принципы, изложенные в настоящей Директиве в отношении прав и свобод частных лиц, в особенности их права на неприкосновенность частной жизни, в о тношении обработки персональных данных, могут быть расширены или уточнены, в частности, в той мере, в какой это касается определенных секторов, особыми нормами, основанными на этих принципах; (69) принимая во внимание, что государства-участники вправе в течение срока, не превышаю щего трех лет со дня вступления в силу национальных норм, реализующих данную Директиву, постепенно применять такие новые национальные нормы ко всем уже ведущимся операциям по обработке; принимая во внимание, ч то для облегчения ее эффективной по затратам реализации государствам -участникам предоставляется дополнительный срок в 12 лет со дня даты принятия настоящей Директивы, чтобы обеспечить соответствие существующих ручных систем хранения с определенными положениями Директивы; принимая во внимание, что если данные, со держащиеся в таких системах хранения обрабатываются в течение этого расширенного переходного срока вручную, то такие системы должны быть приведены в соответствие с настоящими по ложениями на момент обработки; (70) принимая во внимание, ч то для субъекта данных не является необхо димым давать свое согласие повторно, чтобы позволить контролеру продолжать обрабатывать после вступления в силу национальных норм, принятых в соответствии с настоящей Директивой, любые важные данные, необ хо димые для исполнения контракта, заключенного на основе свободного и осознанного согласия до вступления в силу этих по ложений; (71) принимая во внимание, что настоящая Директива не препятствует государству-участнику регулировать маркетинговую деятельность, нацеленную на потребителей, проживающих на его территории в той мере, в какой такое регулирование не касается защиты частных лиц в связи с обработкой персональных данных; (72) принимая во внимание, что настоящая Директива допускает принцип публичного доступа к официальным документам, учитываемым при реализации принципов, изложенных в настоящей Директиве, ПРИНЯЛИ НАСТОЯ ЩУЮ ДИРЕКТИВУ: Глава I ОБЩИЕ ПОЛ ОЖЕНИЯ
Статья 1. Предмет Директивы 1. В соответствии с настоящей Директивой, го сударства-участники защищаю т фундаментальные права и свободы физических лиц, и, в частности, их право на неприкосновенность частной жизни применительно к обработке персональных данных. 2. Государства-участники не бу дут ни ограничивать, ни запрещать свободный поток персональных данных между государствамиучастниками по причинам, связанным с защитой, допускаемой в п. 1. Статья 2. Определения Для целей настоящей Директивы: (а) “персональные данные” означают любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом (“субъектом данных”); идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психо логической, ментальной, экономической, культурной или социальной идентичности; (b) “обработка персональных данных” (“обработка”) означает любую операцию или набор операций, выполняемых над персональными данными, как автоматическим и средствами, так и без таковых, такие как сбор, запись, организация, хранение, актуализация или изменение, извлечение, консультирование, использование, раскрытие посредством передачи, распространения или предоставления иного доступа, группировка, бло кирование, стирание или разрушение; (с) “картотека персональных данных” (“карто тека”) означает любой структурированный набор личных данных, являю щийся доступным в соответствии с определенными критериями, централизованный, децентрализованный или распределенный на функциональной или географической основе; (d) “контролер” означает физическое или юридическое лицо, официальный орган, агентство или иной орган, ко торый самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; в случае, когда цели или средства обработки определяю тся национальным законо дательством или законами, или нормами Сообщества, контролер или особые критерии его назначения могут устанавливаться национальным законом или законом Сообщества; (e) “обработчик” означает физическое или юридическое лицо, официальный орган, агентство или иной орган, который обрабатывает персональные данные по поручению контролера;
(f) “третья сторона” означает любое физическое или юридическое лицо, официальный орган, агентство или иной о рган, кроме субъекта данных, контролера, обработчика и лиц, которые уполномочены обрабатывать данные с прямой санкции контролера или обработчика; (g) “получатель” означает физическое или юридическое лицо, официальный орган, агентство или иной орган, которо му раскрываются данные, являющееся или не являющееся третьей стороной; однако власти, могущие получать данные в рамках частного запроса, не должны считаться получателями; (h) “согласие субъекта данных” означает любое свободно данное конкретное и сознательное указание о своей воле, ко торым субъект данных оповещает о своем согласии на обработку касающихся его персональных данных. Статья 3. Пределы 1. Настоящая Директива применяется к обработке персональных данных, полностью или частично автоматическими средствами, и обработке средствами, отличными от автоматических, персональных данных, составляющих часть кар тотеки или предназначенных составлять часть кар тотеки. 2. Настоящая Директива не применяется к обработке персональных данных: в ходе деятельности, выхо дящей за рамки закона Сообщества, таких как указано в Разделах V и VI Соглашения о Европейском Союзе, и в любом случае к операциям по обработке, касающимся общественной безопасности, обороны, государственной безопасности (включая экономическое благосостояние государства, если операции по обработке относятся с вопросам государственной безопасности) и деятельности государства в сферах уго ловного права, физическим лицом в хо де чисто личной или бытовой деятельности. Статья 4. Применимое национальное законодательство 1. Каждое государство-участник применяет национальные положения, ко торые оно принимает на основании настоящей Директивы для обработки персональных данных в случае, если: (a) обработка осуществляется в контексте деятельности учреждения контролера на территории государства -участника; если тот же контролер учреждается на территории неско льких государств-участников, он должен предпринять необ ходимые меры в обеспечение того, чтобы каждое из этих учреждений выполняло обязательства, установленные применимым национальным законо дательством;
(b) контролер учрежден не на территории государства-участника, а в месте, где его национальное законо дательство применяется на основании международного публичного права; (c) контролер учрежден не на территория Сообщества и, в целях обработки персональных данных, использует оборудование, автоматизированное или иное, расположенное на территории указанного государства -участника, если такое оборудование не используется только для целей транзита по территории Сообщества. 2. При обстоятельствах, указанных в пункте 1 (с), контролер до лжен назначить представителя, учрежденного на территории такого государства -участника, без ущерба для судебных исков, ко торые могут быть возбуждены против самого контролера. Глава II ОБЩИЕ НОРМЫ О ЗАКОННОСТИ ОБРАБОТКИ Л ИЧ НЫХ ДАННЫХ Статья 5 Государства-участники, в пределах положений настоящей Главы, определят по дробнее условия, в соответствии с которыми обработка персональных данных является законной. Раздел I Принципы, касающиеся качества д анных Статья 6 1. Государства-участники примут меры, чтобы персональные данные: (а) обрабатывались корректно и законно; (b) собирались для объявленных, явных и законных целей, и в дальнейшем не обрабатывались каким -либо образом, несовместимым с этими целями. Дальнейшая обработка данных для исторических, статистических или научных целей не считается несовместимой с данными принципами при условии, ч то государства-участники обеспечат соответствующие гарантии; (c) были адекватными, о тносящимися к делу и не избыточными в отношении целей, для которых они собираются и/или в дальнейшем обрабатываются; (d) были точными и - если необ ходимо - актуальными; до лжны быть предприняты любые обоснованные шаги, чтобы неточные или неполные данные, применительно к целям, для которых они соб ирались или для которых они впоследствии обрабатывались, удалялись или у точнялись;
(e) хранились в форме, позволяющей идентификацию субъектов данных не долее, чем это необходимо для целей, с ко торыми данные собирались или впоследствии обрабатывались. Государства-участники установят необ ходимые гарантии для персональных данных, хранимых более длительные сроки в исторических, статистических или научных целей. 2. Контроль за выполнением пункта 1 является обязанностью контролера. Раздел II Критерии д ля легитимизации обработки данных Статья 7 Государства-участники обеспечат, ч то личные данные буду т обрабатываться только в случае, если: (а) субъект данных недвусмысленно дал свое согласие; или (b) обработка необ хо дима для исполнения контракта, в котором субъект данных является стороной или для принятия мер до заключения контракта по просьбе субъекта данных; или (с) обработка необ ходима для выполнения юридического обязательства, субъектом ко торого является контролер; или (d) обработка необ хо дима для защиты жизненных интересов субъекта данных; или (e) обработка необ ходима в целях обеспечения законных интересов контролера или третьей стороны (сторон), ко торым раскрыты данные, кроме случаев, когда такие интересы перекрываются интересами фундаментальных прав и свобод субъекта данных, защита которых требуется согласно Статье 1(1). Раздел III Особые категории обработки Статья 8. Обработка особых категорий данных 1. Государства-участники запретят обработку персональных данных, раскрывающих расовое или э тническое происхож дение, политические взгляды, вероисповедание или философское воззрение, членство в профессиональном союзе, а также обработку данных, касающихся здоровья или интимной жизни. 2. Пункт 1 не применяется в случае, если: (а) субъект данных дал свое явное согласие на обработку таких данных, кроме случаев, когда законами государства -участника
установлено, ч то указанный в п. 1 запрет не может быть о тменен на основании согласия субъекта данных; или (b) обработка необхо дима в целях исполнения обязательств и особых прав контролера в сфере законодательства о труде в той мере, в какой это допускается национальным законодательством, предусматривающим адекватные гарантии; или (c) обработка необходима для защиты жизненных интересов субъекта данных или иного лица, если субъект данных физически или юридически неспособен дать свое согласие; или (d) обработка осуществляется в хо де законной деятельности с надлежащими гарантиями фондом, ассоциацией или любой иной некоммерческой организацией в политических, философских, религиозных или профсоюзных целях и при условии, ч то обработка относится исключительно к членам организации или лицам, имеющим регулярный контакт с нею в связи с ее целями, и что данные не раскрываются третьим лицам без согласия субъекта данных; или (e) обработка относится к данным, ко торые явно сделаны общедоступными субъектом данных, или являю тся необ хо димыми для внесения, по ддержания или защиты су дебных исков. 3. Пункт 1 не применяется в случае, если обработка данных требуется в целях превентивной медицины, медицинского диагноза, предоставления медицинского обслуживания, лечения или управления услугами здраво охранения, а также если такие данные нахо дятся во владении лица, профессионально занимающегося медицинской деятельностью в соответствии с национальным законода тельством или правилами, установленными компетентными национальными органами, устанавливающими обязательства со хранения профессиональной тайны, или ино го лица, также имеющего эквивалентные обязательства по сохранению тайны. 4. При условии предоставления надлежащих гарантий, государства участники могут по причинам особого общественного интереса установить исключения дополнительно к указанным в п. 2 либо посредством национального законодательства, либо по решению надзорного органа. 5. Обработка данных, касающихся правонарушений, уголовного наказания или мер безопасности, может осуществляться только под контролем официального органа, или - если в соответствии с национальным законодательством предусмотрены надлежащие особые гарантии - с учетом частичных исключений, установленных государством-участником в соответствии с национальными нормами, предусматривающими надлежащие особые гарантии. Однако полный
реестр уголовных приговоров может вестись то лько по д контролем официального органа. Государства-участники могут установить, что данные, касающиеся административных санкций или судебных решений по гражданским делам, также могут обрабатываться под контролем официального органа. 6. Исключения из пункта 1, предусмотренные в пп. 4 и 5, до лжны сообщаться Комиссии. 7. Государства-участники определяю т условия, на ко торых может обрабатываться национальный идентификационный номер или любой иной идентификатор общего назначения. Статья 9. Обработка персональных данных и свобода выражения Государства-участники установят освобождения или исключения из положений настоящей главы, главы IV и главы VI для обработки персональных данных, осуществляемой исключительно в целях журналистики или в целях ху дожественного или литературного творчества, то лько если они необ ходимы для применения пра ва на неприкосновенность частной жизни с правилами, регулирующими свободу слова. Раздел IV Информация, перед аваемая субъекту данных Статья 10. Информация в случаях сбора данных у субъекта данных Государства-участники обеспечат, что контролер или его представитель предоставят субъекту данных, у которого получены касающиеся его данные, по меньшей мере следующую информацию, кроме случаев, когда он уже обладает ею : (a) личность контролера или его представителя, если таковой имеется; (b) цели обработки, для ко торых предназначены данные; (c) любую иную информацию, такую, как: получатели или категории получателей данных; является ли ответ на вопросы обязательным или добровольным, а также возможные последствия о тказа от ответа; наличие права доступа и права уточнять касающиеся его данные в той мере, в какой требуется дополнительная информация, касающаяся конкретных обстоятельств, при ко торых собираются данные, ч тобы гарантировать корректную обработку применительно к субъекту данных. Статья 11. Информация в случаях, когда данные были получены не у субъекта данных
1. Если данные были получены не у субъекта данных Государства участники обеспечат, что контролер или его представитель на момент документирования персональных данных или в случае, ко гда предполагается разглашение данных третьей стороне, не позднее времени, когда данные впервые разглашаю тся, предоставит субъекту данных по меньшей мере следующую информацию, кроме случаев, когда он уже обладает ею: (a) личность контролера или его представителя, если таковой имеется; (b) цели обработки; (c) любую иную информацию, такую, как: категории используемых данных; получатели или категории получателей данных; наличие права доступа и права уточнять касающиеся его данные в той мере, в какой требуется дополнительная информация, касающаяся конкретных обстоятельств, при ко торых собираются данные, гарантии корректной обработки применительно к субъекту данных. 2. Пункт 1 не применяется в тех случаях, ко гда, в частности, для обработки в статистических целях или же в целях историче ских или научных исследований, предоставление такой информации оказывается невозможным или может повлечь непропорциональные усилия, или же если документирование или разглашение прямо определяю тся законом. Раздел V Право субъекта данных на доступ к д анным Статья 12. Право доступа Государства-участники гарантируют право каждого субъекта данных получать о т контролера: (а) без принуждения и без чрезмерной отсрочки или затягивания: подтверждение того, были ли или нет в обработке о тносящиеся к нему данные, и информацию по меньшей мере о целях обработки, категории используемых данных, получателях или категориях получателей, ко торым сообщаются данные, сообщение с ним в доступной форме об обрабатываемых данных и о любой доступной информации, касающейся их источника, сведения о логике, испо льзуемой в любой автоматической обработке данных, касающихся его, по меньшей мере в случае автоматических решений, указанных в ст. 15(1);
(b) по мере необ ходимости - у точнение, стирание или б локировку данных, не соответствующих положениям настоящей Директивы, в частности, в связи с неполным или неточным характером данных; (c) уведомление третьих лиц, которым раскрываются данные, о любых уточнениях, стирании или бло кировках данных, произведенных в соответствии с п. (b), если э то не оказывается невозможным или требующим непропорциональных усилий. Раздел VI Исключения и ограничения Статья 13 1. Государства -участники могут принимать законодательные меры для ограничения сферы обязательств и прав, предусмотренных в статьях 6(1), 10, 11(1), 12 и 21, если такое ограничение является необ хо димой мерой для обеспечения: (a) национальной безопасности; (b) обороны; (c) общественной безопасности; (d) предо твращения, расследования, раскрытия и обвинения по уголовным преступлениям или нарушений эти ки в регулируемых профессиях; (e) важных экономических или финансовых интересов государства участника или Европейского Союза, включая финансовые, бюджетные и налоговые вопросы; (f) мониторинговых, инспекционных или управленческих функций, связанных, хо тя бы и случайно, с осуществлением официальных полномочий, указанных в п. (с), (d) и (е); (g) защиты субъекта данных или прав и свобод иных лиц. 2. С учетом адекватных законных гарантий, в частности, того, что данные не использую тся для принятия мер или решений, касающихся любого конкретного лица, государства -участники могут - в случае, если явно отсу тствует риск нарушения неприкосновенности частной жизни субъекта данных - законо дательными мерами ограничить права, установленные в ст. 12, если данные обрабатываю тся исключительно в целях научных исследований, или хранятся в персонифицированной форме в течение срока, не превышающего период, необхо димый исключительно для целей сбора статистики. Раздел VII Право субъекта данных на возражения
Статья 14. Право субъекта данных на возражения Государства-участники предоставят субъекту данных право: (а) по меньшей мере в случаях, указанных в статье 7 (е) и (f), в любое время высказывать на законном основании возражение про тив обработки касающихся его данных, кроме случаев, когда национальным законодательством определено иное. Если возражение является обоснованным, контролер обязан прекратить обработку этих данных; (b) бесплатно высказывать возражение против обработки касающихся его персональных данных, которые, по мнению контролера, обрабатываются для целей прямого маркетинга, или получать уведомление прежде, чем персональные данные бу дут впервые раскрыты третьим сторонам, или использованы по их поручению в целях прямого маркетинга, и в явной форме получать право бесплатно высказывать возражение против такого раскрытия или испо льзования. Государства-участники предпримут необ ходимые меры, чтобы гарантировать, что все субъекты данных знаю т о существовании права, указанного в первом абзаце пункта b. Статья 15. Автоматизированные решения в отношении частных лиц 1. Государства -участники предоставят каждому лицу право не оказаться по д воздействием решения, порождающего юридические последствия в отношении него или существенно воздействующего на него, и основанного исключительно на автоматической обработке данных, предназначенной для оценки неко торых касающихся его личных аспектов, таких как выполнение им своей работы, кредитоспособность, надежность, поведение, и т.п. 2. С учетом остальных статей настоящей Директивы, государства участники обеспечат, что лицо может оказаться под воздействием решения указанного в п. 1, если такое решение: (a) принято в ходе заключения или испо лнения контракта, при условии, ч то запрос на заключение или испо лнение контракта, хранящийся у субъекта данных, был удовлетворен, или ч то приняты надлежащие меры для обеспечения его законных интересов, такие, как соглашения, позво ляющие ему высказать свою точку зрения; или (b) санкционировано законом, также устанавливающим меры для обеспечения законных интересов субъекта данных. Раздел VIII Конфиденциальность и безопасность обработки
Статья 16. Ко нфиденциальность обработки Любое лицо, действующее с санкции контролера или обработчика, включая самого обработчика, имеющее доступ к персональным данным, не должно вести их обработку кроме как по указанию контролера, если это не требуется от него по закону. Статья 17. Безопасность обработки 1. Государства-участники обеспечат, ч то контролер должен будет реализовать надлежащие технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения или случайной утраты, изменения, неправомерного раскрытия или доступа, в частности, когда обработка влечет передачу данных по сети, а также от всех иных незаконных форм обработки. С учетом состояния и стоимости их реализации такие меры должны обеспечить надлежащий уровень безопасности для рисков, представленных обработкой и природой защищаемых данных. 2. Государства-участники обеспечат, ч то контролер должен - в случае, если обработка осуществляется по его поручению - избрать обработчика, предоставляющего достаточные гарантии в отношении мер технической безопасности и организационных мер, регулирующих осуществляемую обработку, и обеспечить соблю дение таких мер. 3. Обработка силами обработчика должна осуществляться на основе соглашения или нормативного акта, со держащего обязательства обработчика перед контролером и, в частности, оговаривающего, ч то: обработчик будет действовать то лько по указаниям контролера, указанные в п. 1 обязательства, определенные законом государства участника, в котором учрежден обработчик, будут также обязательными для обработчика. 4. В целях по ддержания корректности, части контракта или нормативного акта, касающиеся защиты данных, и требования в отношении мер, указанных в п. 1, должны быть оформлены в письменной или иной эквивалентной форме. Раздел IX Уведомление Статья 18. Обязанность уведомлять надзорный орган 1. Государства-участники обеспечат, что контролер или его представитель, если таковой имеется, должен уведомить надзорный орган, указанный в ст. 28 перед осуществлением полностью или частично любой операции по автоматической обработке, либо набора таких операций, предназначенных служить единой цели или нескольким связанным целям.
2. Государства -участники могут в целях упрощения или освобождения от уведомления установить то лько в следующих случаях нижеследующие условия: если для категорий операций по обработке, которые - с учетом обрабатываемых данных - едва ли могут существенно нарушить права и свободы субъекта данных, - они определяю т цели обработки, данные или категории данных, по длежащие обработке, категорию или категории субъектов данных, по лучателей или категории получателей, ко торым раскрываются данные, и продо лжительность времени, в течение которого данные хранятся, и/или если контролер, в соответствии с национальным законом, регулирующим его деятельность, назначает до лжностное лицо по защите персональных данных, ответственное, в частности: за обеспечение применения национальных положений, принятых на основании настоящей Директивы; за ведение реестра операций по обработке, проводимых контролером, с указанием единиц информации, указанных в ст. 21(2), таким образом гарантируя, что права и свободы субъекта данных едва ли могут быть существенно нарушены операциями по об работке. 3. Государства-участники могут установить, ч то п. 1 не применяется к обработке, единственной целью ко торой является ведение реестра, который в соответствии с законами и нормативными актами предназначен для предоставления информации общественности и который доступен либо общественности в целом, либо любому лицу, проявляющему законный интерес. 4. Государства-участники могу т установить освобождение о т обязанности уведомления или упрощение уведомления в случае операций по обработке, указанных в ст. 8(2)(d). 5. Государства -участники могут оговорить, ч то об отдельных либо всех неавтоматизированных операциях по обработке, касающихся персональных данных, должно делаться уведомление, либо установить для таких операций упрощенное уведомление. Статья 19. Содержание уведомления 1. Государства-участники могут определить информацию, указываемую в уведомлении. Оно, по меньшей мере, должно включать: (a) имя (наименование) и адрес контролера и его представителя, если таковой имеется; (b) цель или цели обработки; (c) описание категории или категорий субъекта данных и данных, или категории относящихся к ним данных;
(d) получателей или категории получателей, ко торым могут раскрываться данные; (e) предполагаемую передачу в третьи страны; (f) общее описание, позволяю щее произвести предварительную оценку правомерности мер, принятых согласно ст. 17 для обеспечения безопасности обработки. 2. Государства -участники установят процедуры, согласно которым надлежит уведомлять надзорный орган о любых изменениях, касающихся информации, указанной в п. 1. Статья 20. Предварительная проверка 1. Государства -участники определят операции по обработке, ко торые могут с большой вероятностью представлять особый риск для прав и свобод субъектов данных и бу дут контролировать, чтобы такие операции по обработке проверялись до их начала. 2. Такие предварительные проверки должны осуществляться надзорным органом вслед за получением уведомления от контролера или должностного лица, отвечающего за защиту данных, ко торый при наличии сомнений должен обратиться за консу льтацией в надзорный орган. 3. Государства -участники могут также проводить такие проверки в контексте по дго товки либо меры национального парламента, либо меры, основанной на такой законодательной мере, определяющих характер обработки и устанавли вающих надлежащие гарантии. Статья 21. Гласность операций по обработке 1. Государства-участники примут меры для обеспечения гласности операций по обработке. 2. Государства -участники обеспечат, ч тобы в надзорном органе велся реестр операций по обработке, о которых делается уведомление в соответствии со ст. 18. Реестр должен, по меньшей мере, содержать информацию, перечисленную в ст. 19 (1) (а)-(е). С реестром может знакомиться любое лицо. 3. Государства-участники обеспечат, применительно к операциям по обработке, не подлежащим уведомлению, что контролеры или иной орган, назначенный государствами-участниками, сделаю т доступной любому лицу по запросу в надлежащей форме по меньшей мере информацию, указанную в ст. 19 (1) (а)-(е). Государства-участники могут установить, ч то данное положение не применяется к обработке, единственной целью ко торой является ведение ре-
естра, ко торый в соответствии с законами или нормативными актами предназначен для представления информации общественности и ко торый доступен либо общественности в целом, либо любому лицу, имеющему законный интерес. Глава III ПРАВОВЫЕ СРЕДСТВА ЗАЩИТЫ, ОТВ ЕТСТВ ЕННОСТЬ И САНКЦИИ Статья 22. Средства защиты Без ущерба для любых административных средств защиты, ко торые могут быть, среди прочего, применены при обращении к надзорному органу, указанному в ст. 28, до обращения в судебные органы, государства -участники обеспечат право любого лица на правовую защиту от любого нарушения прав, гарантированных ему национальным законодательством, применимым к соответству ющей обработке. Статья 23. Ответственность 1. Государства -участники обеспечат, чтобы любое лицо, ко торому был нанесен ущерб в результате незаконных операций по обработке или любых действий, несовместимых с национальными положениями, принятыми в соответствии с настоящей Директивой, имело право на получение компенсации от контролера за нанесенный ущерб. 2. Контролер может быть освобожден от этой о тветственности, полностью или частично, если он докажет, ч то не несет ответственности за событие, которое вызвало нанесение ущерба. Статья 24. Са нкции Государства-участники примут надлежащие меры для обеспечения полной реализации по ложений настоящей Директивы и, в частности, установят санкции, налагаемые в случае нарушения положений, принятых в соответствии с настоящей Директивой. Глава IV ПЕРЕДАЧ А ПЕРСОНАЛЬ НЫХ ДАННЫХ В ТРЕТЬ И СТРАНЫ Статья 25. Принципы 1. Государства -участники обеспечат, ч то передача в третьи страны персональных данных, нахо дящихся в обработке или предназначенных для обработки после передачи, может осуществляться, только если соответствующая третья страна - без ущерба для выполнения национальных положений, принятых в соответствии с остальными
положениями настоящей Директивы, - обеспечивает адекватный уровень защиты. 2. А декватность уровня защиты, предоставляемого третьей страной, оценивается в свете всех обстоятельств, в которых производится операция или набор операций по передаче данных; особое внимание следует уделять природе данных, цели и продо лжительности предполагаемых операций или операций по обработке данных, стране происхождения и стране окончательно го назначения, действующим в соответствующей третьей стране положениям закона, как общим, так и частным, а также профессиональным нормам и мерам безопасности, соблюдаемым в такой стране. 3. Государства-участники и Комиссия будут информировать друг друга о случаях, ко гда они считаю т, что третья страна не обеспечивает адекватного уровня защиты в смысле п. 2. 4. Если Комиссия в соответствии с процедурой, установленной в ст. 31 (2), определит, ч то третья страна не обеспечивает адекватного уровня защиты в значении п. 2 настоящей статьи, государства -участники примут необходимые меры для предотвращения любой передачи данных того же типа соответствующей третьей стране. 5. В надлежащее время Комиссия будет вести переговоры с целью исправления ситуации, проистекающей из определения Комиссии, сделанно го в соответствии с п. 4. 6. Комиссия может в соответствии с процедурой, установленной в ст. 31 (2), определить, что третья страна обеспечивает надлежащий уровень защиты в смысле п. 2 настоящей статьи в силу своего национального законо дательства или международных обязательств, которые она приняла, в частности, по окончании переговоров, указанных в п. 5, для защиты неприкосновенности личной жизни и базовых свобод и прав граждан. Государства-участники предпримут необ хо димые меры для выполнения решения Комиссии. Статья 26. Исключения 1. Посредством исключения из ст. 25 и за исключением случаев, когда местным законодательством, регулирующим конкретные случаи, установлено иное, государства-участники обеспечат, ч то передача персональных данных в третью страну, не обеспечивающую адекватный уровень защиты в смысле ст. 25 (2), может иметь место при условии, ч то: (a) субъект данных дал свое недвусмысленное согласие на предполагаемую передачу; или
(b) передача является необ хо димой для исполнения контракта между субъектом данных и контролером, или для реализации доконтрактных мер, принятых в о твет на запрос субъекта данных; или (c) передача необхо дима для заключения или исполнения контракта, заключенного в интересах субъекта данных между контролером и третьей стороной; или (d) передача необ ходима или требуется по закону по причинам, представляю щим существенный общественный интерес, или для подачи, исполнения су дебных исков или защи ты по таковым; или (e) передача необ ходима для защиты жизненных интересов субъекта данных; или (f) передача производится из реестра, ко торый в соответствии с законами или нормативными актами предназначен для предоставления информации общественности и ко торый открыт для ознакомления либо общественностью в целом, либо любым лицом, проявляющим законный интерес, в той мере, в какой условия, изложенные в законе выполняются в конкретном случае. 2. Без ущерба для положений п. 1 государство -участник может уполномочить передачу или серию передач персональных данных в третью страну, которая не обеспечивает надлежащего уровня защиты в смысле ст. 25 (2), если контролер осуществляет адекватные гарантии в отношении защиты неприкосновенности частной жизни и фундаментальных свобод и прав частного лица и в том, что касается осуществления соответствующих прав; такие гарантии могу т, в частности, проистекать из надлежащих контрактных обязательств. [...] Глава V КОДЕКСЫ ПОВ ЕДЕНИЯ Статья 27 1. Государства -участники и Комиссия должны поощрять составление кодексов поведения, призванных со действовать реализации национальных положений, принятых государствами-участниками во исполнение настоящей Директивы с учетом специфики различных секторов. 2. Государства-участники создаю т условия для того, ч тобы торговые ассоциации и иные структуры, представляющие другие категории контрольных органов, которые либо подготовили проекты национальных кодексов поведения, либо намерены внести изменения или дополнения в действующие кодексы, могли вносить и х на рассмотрение национальных органов власти. Государства-участники создают условия для то го, чтобы
названные органы власти могли, помимо прочего, давать заключения о том, соответствуют ли внесенные на их рассмотрение проекты национальным положениям, принятым во исполнение настоящей Директивы. Если необ ходимо, то органы власти могут консультироваться с субъектами данных или их представителями. 3. Проекты кодексов Сообщества, а также изменения или дополнения к существующим кодексам Сообщества могут представляться на рассмотрение в Рабочую группу, упомянутую в Статье 29. Рабочая группа, помимо прочего, дает заключения о том, соответствую т ли внесенные на ее рассмотрение проекты национальным положениям, принятым во исполнение настоящей Директивы. Если необ хо ди мо, она может консультироваться с субъектами данных или их представителями. Комиссия может обеспечивать надлежащий уровень гласности в отношении кодексов, о добренных Рабочей группой. Глава VI ОРГАН НАДЗОРА И РАБОЧАЯ ГРУ ППА ПО ЗАЩИТЕ ИНДИВ ИДУУ МОВ В ОТНОШЕНИИ ОБРАБОТКИ ИХ ПЕРСОНАЛЬ НЫХ ДАННЫХ Статья 28. Орган надзора 1. Каждое государство-участник назначает о дин или неско лько государственных органов для надзора за соблю дением на своей территории положений, принятых государствами-участниками во исполнение нас тоящей Директивы. При выполнении возложенных на них обязанностей указанные органы действуют в условиях полной независимости. 2. Каждое государство-участник создает условия для проведения консультаций с органами надзора при разработке административных мер или правил, касающихся защиты прав и свобод индивидуумов в отношении обработки их персональных данных. 3. Каждый орган надзора наделяется, в частности, следующими полномочиями: - полномочиями для проведения расследований, в том числе правом доступа к данным, являющимся предметом операций по обработке данных, а также правом получения любой информации, необходимой для исполнения его обязанностей по надзору; - реальными полномочиями для вмешательства в процесс обработки, в том числе правом вынесения суждений до начала операций по обработке данных в соответствии со ст. 20, а также обеспечения надлежащего уровня гласности в о тношении таких суждений; правом
отдавать распоряжения относительно блокирования, стирания или уничтожения данных, налагать временный или постоянный запрет на обработку данных, выносить предупреждения и налагать взыскания на контрольный орган, а также передавать такого рода дела на рассмотрение национальных парламентов или иных политических структур; - полномочиями для возбуждения юридических де л в случаях нарушения национальных по ложений, принятых во исполнение настоящей Директивы, а также для привлечения внимания су дебных органов к упомянутым нарушениям. Решения органа надзора, повлекшие за собой подачу жалоб, могут быть опротестованы в судебном порядке. 4. Каждый орган надзора обязан рассматривать жалобы, по данные любым лицом или представляющей это лицо ассоциацией касательно защиты его прав и свобод в о тношении обработки персональных данных. Заинтересованное лицо должно быть проинформировано о результатах рассмотрения жалобы. Каждый орган надзора обязан, в частности, рассматривать иски любого лица о проверке законности обработки данных в случаях, когда действуют национальные по ложения, принятые во исполнение ст. 13 настоящей Директивы. В любом случае податель иска должен быть проинформирован о факте проведения проверки. 5. Каждый орган надзора обязан составлять регу лярные отчеты о своей деятельности. Отчеты по длежат опубликованию . 6. Вне зависимости от национального закона, применимого к конкретной операции по обработке данных, каждый орган надзора вправе пользоваться на территории его собственно го государства -участника полномочиями, возложенными на него в соответствии с п. 3. Каждый орган надзора может воспользоваться своими полномочиями по прос ьбе соответствующего органа другого государства-участника. Органы надзора должны со трудничать между собой в той степени, в которой это необхо димо для исполнения ими своих обязанностей, в частности, пу тем обмена любой полезной информацией. 7. Государства-участники обеспечивают соблюдение членами и сотрудниками органов надзора профессиональной тайны в о тношении конфиденциальной информации, к которой они имеют доступ, даже после окончания срока их службы в указанных органах. Статья 29. Рабочая группа по защите индивидуумов в отношении обработки их персональных данных 1. Настоящим создается Рабочая группа по защите индивидуумов в отношении обработки их персональных данных, далее именуемая “Рабочей группой”. Она имеет статус консультативного органа и действует в качестве независимой структуры.
2. Рабочая группа состоит из представителя органа или органов надзора, созданного каждым государством -участником, представителя органа или органов, учрежденных для институтов и структур Сообщества, и представителя Комиссии. Каждый член Рабочей группы назначается институтом или органом (органами), которые он представляет. Если государство-участник учредило более одного органа надзора, последние назначают одного общего представителя. Это же правило применяется и в отношении органов, учрежденных для институ тов и структур Сообщества. 3. Рабочая группа принимает решения простым большинством голосов представителей органов надзора. 4. Рабочая группа избирает председателя. Срок полномочий председателя составляет два го да. Председатель может быть переизбран на новый срок. 5. Секретариат Рабочей группы обеспечивается силами Комиссии. 6. Рабочая группа утверждает свой регламент работы. 7. Рабочая группа рассматривает вопросы, внесенные в повестку дня председателем либо по его собственной инициативе, либо по просьбе представителя органов надзора, либо по просьбе Комиссии. Статья 30 1. Рабочая группа обязана: (a) рассматривать любые вопросы, относящиеся к применению национальных положений, принятых во исполнение настоящей Директивы с целью обеспечения равного выполнения различными странами указанных положений; (b) производить для Комиссии оценку уровня защиты персональных данных вну три Сообщества и в третьих странах; (c) консультировать Комиссию по любым проектам поправок к настоящей Директиве, любым дополнительным или конкретным мерам по защите прав и свобод физических лиц в о тношении обработки их персональных данных и любым иным мерам, предлагаемым к принятию Сообществом и затрагивающим упомянутые права и свободы; (d) давать оценку кодексам поведения, разрабатываемым на уровне Сообщества. 2. Если Рабочая группа приходит к заключению о том, что различия между законами или практическими действиями различных государствучастников могут стать для Сообщества источником неравенства в том, что касается защиты индивидуумов в отношении обработки их персональных данных, она обязана должным образом проинформировать Комиссию.
3. Рабочая группа может по собственной инициативе выступать с рекомендациями по всем вопросам, касающимся защиты лиц в о тношении обработки их персональных данных вну три Сообщества. 4. Оценки и рекомендации Рабочей группы доводятся до сведения Комиссии и Комитета, упомянутого в ст. 31. 5. Комиссия информирует Рабочую группу о мерах, принимаемых в ответ на сделанные ею оценки и рекомендации. С этой целью она составляет о тчет, который направляется также в Европейский пар ламент и Совет ЕС. Отчет по длежит опубликованию . 6. Рабочая группа составляет ежего дный отчет о ситуации в сфере защиты физических лиц в отношении обработки их персональны х данных внутри Сообщества и в третьих странах, ко торый она представляет Комиссии, Европейскому парламенту и Совету. Отчет по длежит опубликованию. Глава VII РЕАЛ ИЗАЦИЯ МЕР, ПРИНИМАЕМЫХ СООБЩЕСТВ ОМ Статья 31. Коми тет 1. Комиссия получает помощь от Комитета, создаваемого из представителей государств -участников по д председательством представителя Комиссии. 2. Представитель Комиссии представляет в Комитет проект предлагаемых мер. Комитет дает свое заключение о проекте в сроки, устанавливаемые председателем в зависимости от актуальности рассматриваемого вопроса. Заключение утверждается бо льшинством голосов в соответствии со ст. 148 (2) Договора. Голоса представителей государств-участников взвешиваю тся в соответствии с процедурой, описанной в названной статье. Председатель не голосует. Комиссия утверждает меры, которые подлежат немедленной реализации. Однако, если указанные меры вступаю т в противоречие с мнением Комитета, они немедленно доводятся Комиссией до сведения Совета. В э том случае: - Комиссия откладывает реализацию утвержденных ею мер на три месяца со дня доведения их до сведения Совета; - Совет квалифицированным большинством голосов может принять иное решение в течение периода времени, указанного в предыдущем подпункте. ЗАКЛЮЧ ИТЕЛЬ НЫЕ ПОЛ ОЖЕНИЯ Статья 32
1. Государства -участники вводят в силу законы, правила и административные по ложения, необ ходимые для реализации настоящей Директивы, не позднее трех лет со дня принятия последней. При принятии указанных мер делается ссылка на настоящую Директиву; таковая ссылка также может сопровождать официальную пуб ликацию указанных мер. Формы ссылки определяю тся государствами-ч ленами. 2. Государства-участники создают условия для того, чтобы обработка персональных данных, уже осуществляемая на дату вступления в силу национальных положений, принятых во исполнение настоящей Директивы, была приведена в соответствие с у казанными положениями в течение трех лет с указанной даты. В порядке частичной отмены предыдущего абзаца, государства участники могут устанавливать, что обработка данных, уже содержащихся в обрабатываемых вручную картотеках на дату вступления в силу национальных по ложений, принятых во исполнение настоящей Директивы, должна быть приведена в соответствие со ст. 6, 7 и 8 настоящей Директивы в течение 12 лет со дня принятия последней. При этом государства-участники до лжны обеспечить субъекту данных возможность требовать - в частности, при использовании им своего права доступа - исправления, стирания или бло кирования данных, являющихся неполными, неточными или хранящимися не в соответствии с законными целями, преследуемыми контрольным органом. 3. В порядке частичной отмены пункта 2, государства -участники могут устанавливать, при наличии соответствующих гарантий защиты, что данные, со храняемые исключительно в целях проведения исторических исследований, могут не приво диться в соответствие со ст. 6, 7 и 8 настоящей Директивы. 4. Государства-участники представляют в Комиссию текст положений национальных законов, принимаемых ими в сфере действия настоящей Директивы. Статья 33 Комиссия регулярно, не позднее чем через три года после даты, указанной в ст. 32 (1), представляет в Совет ЕС и Европарламент отчеты о реализации настоящей Директивы, прилагая к ним, если это необ хо димо, приемлемые предложения о внесении поправок. Отч еты по длежат опубликованию. В частности, Комиссия анализирует практику применения настоящей Директивы к звуковым и графическим данным, относящимся к физическим лицам, и вносит любые необхо димые предложения с учетом развития информационных технологий и уров ня прогресса информационного общества.
Статья 34 Настоящая Директива адресована государствам -участникам. Принята в Лю ксембурге 24 октября 1995 го да. От имени Европарламента: Председатель K. ХЕНШ От имени Совета ЕС: Председатель Л. АТЬЕНСА СЕРНА (1) “Официальный журнал”, № С 277, 5.11.90, с. 3 и “Официальный журнал”, № С 311, 27.11.92, с. 30. (2) “Официальный журнал”, № С 159, 17.06.91, с. 38 (3) Заключение Европейского пар ламента о т 11 марта 1992 г.: (Официальный журнал, № С 342. 20.12.93, с. 30): Общая позиция совета от 20 февраля 1995 г. (Официальный журнал, № С 93, 13.04.95, с. 1) и Решение Европейского парламента о т 15 июня 1995 г. (Официальный журнал, № С 166, 03.07.95) (4) Официальный журнал, № С 197, 18.07.87, с. 33.
Директива 97/66/EC Европейского парламента и Совета Европейского Союза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций ДИРЕКТИВА 97/ 66/ EC ЕВРОПЕЙСКОГ О ПАРЛАМЕНТА И СОВЕТА ЕВРОПЕЙСКОГО СОЮЗА от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций. ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕС, исходя из по ложений До говора об образовании Европейского содружества и, в частности, статьи 100a упомянутого Договора, принимая во внимание предложение Комиссии (1), принимая во внимание мнение Комитета по экономическим и социальным опросам (2), действуя в соответствии с процедурой, предписанной статьей 189b Договора (3) в свете формулировок, одобренных совместными усилиями членов Согласительной комиссии 6 ноября 1997 года, (1) учитывая, что Директива 95/46/ EC Европейского парламента и Европейско го совета от 24 октября 1995 о защите прав частных лиц при использовании персональных данных и о свободной передаче этих данных (4) обязывает страны-ч лены обеспечивать при испо льзовании персональных данных соблю дение прав и свобод физических лиц, в особенности их права на невмешательство в частную жизнь, в целях обеспечения свободных обменов персональными данными в рамках Европейско го Сообщества; (2) учитывая, ч то конфиденциальность коммуникационных контактов гарантируется международными документами о правах человека (в частности, Европейской конвенцией о защите прав и основных свобод человека) и конституциями стран-членов; (3) учитывая, ч то в общедоступные телекоммуникационные сети Сообщества в настоящее время внедряю тся новые, более совершенные цифровые технологии, предъявляющие особые требования к защите конфиденциальности персональных данных и неприкосно венности частной жизни пользователей; учитывая, что развитие информационной сферы характеризуется внедрением новых видов телекоммуникационных услуг; учитывая, что успешное международное развитие этих услуг, таких как выбор видеопрограмм по заказу и интерак тивное телевидение, в
значительной степени зависит от уверенности пользователей в том, что их частная жизнь не станет объектом вмешательства извне; (4) учитывая, ч то в данное положение относится, в частности, к внедрению Цифровой сети интегрированных услуг и цифровых мобильных сетей; (5) учитывая, что в своей Резолюции о т 30 июня 1988 го да о развитии общего рынка телекоммуникационных услуг и оборудования на перио д до 1992 года (5) Совет призвал принять меры к защите персональных данных в целях создания благоприятных условий для дальнейшего развития телекоммуникационных систем в рамках Сообщества; учитывая, ч то Совет вновь подчеркнул важность защиты персональных данных и прав частных пользователей в своей Резолюции от 18 ию ля 1989 года об усилении координации при внедрении Цифровой сети интегрированных услуг в рамках Европейского Сообщества на перио д до 1992 го да (6); (6) учитывая, ч то Европейский парламент обратил внимание на важность защиты персональных данных и прав частных по льзователей телекоммуникационны х сетей, в частности, при внедрении Цифровой сети интегрированных услуг; (7) учитывая, ч то развитие общедоступных телекоммуникационных сетей должно сопровождаться выдвижением специальных юридических, нормативных и технических требований для обеспечения соб людения основных прав и свобод физических лиц, а также законных интересов юридических лиц, в частности, в связи с усилением риска, связанно го с автоматическим хранением и использованием данных о по дписчиках и пользователях; (8) учитывая, что юридические, нормативные и технические требования, выдвигаемые странами-членами в сфере телекоммуникаций в целях обеспечения защиты персональных данных, прав частных лиц и законных интересов юридических лиц, должны быть четко сбалансированы, чтобы не создавать помех для развития внутреннего телекоммуникационного рынка в соответствии с задачей, поставленной в Статье 7a Договора; учитывая, что достижение такого баланса возможно при выдвижении ограниченного количества требований, необ ходимых для того, чтобы гарантировать беспрепятственное развитие новых телекоммуникационных услуг и сетей в странах-ч ленах; (9) учитывая, ч то страны-члены, заинтересованные провайдеры и пользователи, при содействии компетентных органов Сообщества, должны со трудничать в процессе внедрения и разви тия соо тветствующих технологий там, где это необ ходимо для применения гарантий, предусматриваемых положениями настоящей Директивы;
(10) учитывая, ч то новые услуги включают интерактивное телевидение и выбор видеопрограмм по заказу; (11) учитывая, что в сфере телекоммуникационных услуг все вопросы защиты основных прав и свобод, не затронутые в настоящей Директиве, в том числе обязанности контролирующего органа и права частных лиц, регу лируются на основании Директивы 95/46/ EC; учитывая, что Директива 95/ 46/ EC применяется к телекоммуникационным услугам, не доступным для широкой публики; (12) учитывая, что настоящая Директива, как и статья 3 Директивы 95/ 46/ EC, не затрагивает вопросов защиты основных прав и свобод при осуществлении тех видов деятельности, которые не регулируются законодательством Сообщества; учитывая, ч то страны-члены самостоятельно принимают меры, которые, по их мнению, необхо димы для обеспечения общественной безопасности, обороноспособности, государственной безопасности (включая экономическое благосостояние государства в случаях, когда упомянутая деятельность затрагивает сферу государственной безопасности) и соблю дения уголовного законодательства; учитывая, что настоящая Директива не ограничивает права стран-ч ленов законным образом вмешиваться в телекоммуникационный процесс для достижения любой из вышеперечисленных целей; (13) учитывая, ч то подписчики на общедоступные телекоммуникационные услуги могут быть как физическими, так и юридическими лицами; учитывая, что положения настоящей Директивы призваны защищать, в дополнение к Директиве 95/46/ EC, основные права физических лиц, а также законные интересы юридических лиц; учитывая, что эти положения ни в коем случае не могут налагать на страны -члены каких бы то ни было обязательств, касающихся расширенного применения Директивы 95/46/ EC для защиты законных интересов юридических лиц; учитывая, ч то таковая защита обеспечивается в рамках действующего законодательства Сообщества и национальных законов; (14) учитывая, что применение ряда положений, касающихся идентификации и ограничений на идентификацию номеров исхо дящего и входящего звонков, а также автоматического переключения звонков на абонентские линии, подключенные к аналоговым АТС, не должно быть обязательным в тех случаях, когда такое применение представляется технически невозможным или экономически нецелесообразным; учитывая важность того, ч тобы заинтересованные стороны имели информацию о такого рода случаях, а страны-члены уведомляли о них Комиссию;
(15) учитывая, ч то провайдеры услуг должны принимать меры к тому, чтобы обеспечить безопасность предоставляемых ими услуг (если необхо димо, то совместными с провайдером сети усилиями) и информировать подписчиков об особом риске, связанном с нарушением безопасности сети; учитывая, что безопасность оцениваетс я в свете положений статьи 17 Директивы 95/46/ EC; (16) учитывая необхо димость принятия мер к тому, чтобы исключить нелегальный доступ к коммуникациям для защиты конфиденциальности коммуникационных контактов через общедоступные телекоммуникационные сети и систему общедоступных телекоммуникационных услуг; учитывая, ч то национальное законодательство в ряде стран-ч ленов запрещает лишь намеренный нелегальный доступ к коммуникациям; (17) учитывая, ч то данные о подписчиках, используемые для осуществления телефонны х соединений, содержат персональную информацию о физических лицах и касаю тся их права на тайну личной переписки, либо затрагиваю т законные интересы юридических лиц; учитывая, ч то такие данные могут со храняться то лько в той мере, в которой это необ ходимо для оказания услуги в целях выставления счетов и оплаты телефонных соединений в течение ограниченного времени; учитывая, ч то дальнейшее испо льзование этих данных, ко торое провайдер общедоступных телекоммуникационных услуг может захо теть предпринять в целях маркетинга своих телекоммуникационных услуг, может иметь место лишь в том случае, если по дписчик дает на это свое согласие на условии того, ч то провайдер общедоступных телекоммуникационных услуг предоставит ему точную и полную информацию о том, как именно он намерен использовать эти данные впредь; (18) учитывая, что введение детализированных счетов дает подписчикам более широкие возможности для проверки правильности сумм, выставляемых к оплате провайдером услуг; в то же время учитывая потенциальную угрозу тайне частной жизни по льзователей общедоступных телекоммуникационных услуг; учитывая в этой связи, ч то для обеспечения невмешательства в частную жизнь по льзователей страны-члены должны содействовать разработке дополнительных видов телекоммуникационных услуг, таких как альтернативные платежные инструменты, обеспечивающие анонимный или строго индивидуальный доступ к публичным телекоммуникационным услугам, например, через систему оплаты посредством телефонных или кредитных карт; учитывая, с другой стороны, что страны-члены могут в тех же целях требовать того, чтобы часть цифр из телефонных номеров, с которыми осуществлялось
соединение, не пропечатывалась бы в выставляемых к оплате детализированных счетах; (19) учитывая то, что при идентификации номера телефона исходящего звонка необ ходимо обеспечить право звонящего сохранить в тайне номер телефона, с ко торого производится звонок, а также право адресата не откликаться на звонки с неизвестных телефонов; учитывая то, что в некоторых случаях представляется уместным не указывать номер телефона, с которого производился звонок; учитывая то, что некоторые подписчики, в частности, службы помощи и аналогичные организации, заинтересованы в том, ч тобы гарантировать анонимность звонящих им лиц; учитывая то, ч то при идентификации номера телефона лица, которому адресован звонок, необхо димо обеспечить право и законную заинтересованность это го лица в том, ч тобы воздержаться от указания номера телефона, с которым звонящий реально соединен, в особенности в случае переадресации звонка; учитывая обязанность провайдеров общедоступных телекоммуникационных услуг информировать своих подписчиков о наличии в сети определителей номеров исхо дящих и входящих звонков и обо всех видах услуг, основанных на идентификации исходящих и вхо дящих номеров, а также об имеющихся средствах обеспечения анонимности; учитывая, что такая информация позволяет подписчикам сделать обдуманный выбор средства обеспечения невмешательства в их частную жизнь, ко торым они хо тели бы воспользоваться; учитывая, ч то средства обеспечения анонимности, предлагаемые индивидуальным абонентам, не обязательно должны быть представлены в виде автоматической сетевой услуги, но могут просто быть запрошены у провайдера общедоступных телекоммуникационных услуг; (20) учитывая необ хо димость создания механизмов защиты подписчиков о т неприятностей, ко торые могут быть вызваны автоматической переадресацией им звонков другими лицами; учитывая, что в таких случаях по дписчики до лжны иметь возможность прекратить переадресацию им чужих звонков, просто о братившись с соответствующей просьбой к провайдеру общедоступных телекоммуникационных услуг; (21) учитывая большие тиражи и общедоступность телефонных справочников; учитывая то, что обеспечение права физических лиц на невмешательство в их частную жизнь и соблюдение законных интересов юридических лиц до лжно давать подписчикам возможность самостоятельно определять объемы персональной информации, подлежащей опубликованию в справочнике; учитывая то, ч то страны -
члены могут ограничивать круг подписчиков, ко торым предоставляется такая возможность, лишь физическими лицами; (22) учитывая необ ходимость защиты подписчиков от непрошеных звонков и телефаксов; учитывая то, что страны-члены могут ограничивать круг подписчиков, подлежащих такой защите, лишь физическими лица ми; (23) учитывая необ ходимость того, ч тобы телекоммуникационное оборудование, вво димое с целью защиты информации, было совместимым по своим техническим характеристикам с системами, используемыми на внутреннем рынке; (24) учитывая, в частности, то, что по аналогии с положениями статьи 13 Директивы 95/46/ EC страны-члены при определенных обстоятельствах могут ограничивать круг обязательств и прав подписчиков, например, предоставляя провайдеру публичных телекоммуникационных услуг возможность отменять запрет на определение и сообщение номера телефона звонящего лица в соответствии с требованиями национально го законодательства в целях предупреждения или выявления уголовных правонарушений или обеспечения интересов государственной безопасности; (25) учитывая, ч то национальное законо дательство должно обеспечивать механизмы юридической защиты пользователей и подписчиков в тех случаях, когда нарушены их права; учитывая то, ч то любое лицо, действующее на основании как частного, так и пуб личного права и не подчиняющееся национальным законам и правилам, принимаемым в соответствии с настоящей Директивой, должно подвергаться штрафным санкциям; (26) учитывая то т факт, ч то при применении настоящей Директивы полезно исхо дить из опыта Рабочей группы по защите персональных данных физических лиц, состоящей из представителей органов надзора стран-членов и образованной в соответствии со статьей 29 Директивы 95/ 46/ EC; (27) учитывая, что в условиях современного технического прогресса и связанного с ним развития услуг по заказу возникает необ ходимость в техническом уточнении и категоризации данных, со держащихся в Приложении к настоящей Директиве, в целях применения статьи 6 настоящей Директивы совместно с Комитетом, состоящим из представителей стран-ч ленов и созданным в соответствии со статьей 31 Директивы 95/ 46/EC для обеспечения четкого применения положений настоящей Директивы независимо от технологических нововведений; учитывая, ч то эта процедура применяется исключительно в о тношении уточнений, необ ходимых для адаптации Приложения к новым техническим достижениям с учетом изменений в уровне рыночного и
потребительского спроса; учитывая обязанность Комиссии своевременно информировать Европейский парламент о своем намерении применить указанную процедуру, а также то т факт, ч то в любой иной с итуации должна применяться процедура, предписанная статьей 100a Договора; (28) учитывая, ч то для обеспечения соблю дения по ложений настоящей Директивы необ хо димо принять определенные правила использования данных, уже фактически осуществляемого на дату вступления в силу национального законо дательства, принятого во исполнение настоящей Директивы, ПРИНЯЛИ НАСТОЯ ЩУЮ ДИРЕКТИВУ: Статья 1. Предмет и сфера применения 1. Настоящая Директива призвана гармонизировать по ложения законодательств стран-ч ленов, имеющие целью обеспечить эквивалентный уровень защиты основных прав и свобод, в частности, права на невмешательство в частную жизнь при использовании персональных данных в секторе телекоммуникаций, и обеспечить свободную передачу таких данных, а также телекоммуникационного оборудования и услуг в рамках сообщества. 2. По ложения настоящей Директивы уточняют и дополняю т Директиву 95/46/ EC с точки зрения целей, изложенных в пункте 1. Бо лее того, они обеспечивают защиту законных интересов по дписчиков, являющихся юридическими лицами. 3. Настоящая Директива не применяется в о тношении видов деятельности, выхо дящих за рамки законо дательства сообщества, в частности, предусмотренных разделами V и VI Договора об образовании Европейско го Союза, а также любых видов деятельности, касающихся общественной безопасности, обороны, государственной безопасности (включая экономическое благосостояние государства в тех случаях, ко гда упомянутая деятельность затрагивает вопросы государственной безопасности) и деятельности государства в сферах, р егулируемых уголовным законодательством. Статья 2. Определения В дополнение к определениям, содержащимся в Директиве 95/46/ EC, в целях настоящей Директивы: (а) “подписчик” означает любое физическое или юридическое лицо, которое выступает в качестве одной из сторон при подписании с провайдером общедоступных телекоммуникационных услуг до говора на предоставление таких услуг; (b) “пользователь” означает любое физическое лицо, пользующееся общедоступными телекоммуникационными услугами в личных или
деловых целях без обязательного условия предварительной подписки на указанные услуги; (с) “общедоступная телекоммуникационная сеть” означает передающие системы и - там, где э то возможно, - коммутационное оборудование и иные ресурсы, позволяющие передавать сигналы между терминалами по проводам, радио, оптическим или иным электромагнитным каналам, ко торые полностью или частично используются для оказания общедоступных телекоммуникационных услуг; (d) “телекоммуникационные услуги” означаю т услуги, предоставление ко торых по лностью или частично состоит в передаче направленных сигналов по телекоммуникационным сетям, за исключением каналов теле- и радиовещания. Статья 3. Услуги 1. Настоящая Директива применяется в отношении персональных данных, используемых в связи с оказанием общедоступных телекоммуникационных услуг посредством общедоступных телекоммуникационных сетей в рамках сообщества, в частности, посредством Цифровой сети интегрированных услу г и публичных цифровых мобильных сетей. 2. Статьи 8, 9 и 10 применяются в отношении телефонных линий подписчиков, подключенных к цифровым АТС, а также, где э то технически возможно и экономически целесообразно, в отношении телефонных линий подписчиков, по дключенных к аналоговым АТС. 3. Информация обо всех случаях, где выпо лнение требований статей 8, 9 и 10 технически невозможно или требует чрезвычайно высоких капиталовложений, должна дово диться странами-членами до сведения Комиссии. Статья 4. Безопасность 1. Провайдер общедоступных телекоммуникационных услуг обязан принимать соответствующие технические и организационные меры к обеспечению безопасности своих услуг; при необ хо димости он должен принимать такие меры вместе с провайдером общедоступной телекоммуникационной сети в отношении безопасности сети. Бу дучи увязаны с современным уровнем развития сети и объемом затрат на их осуществление, указанные меры до лжны обеспечивать уровень безопасности, соответствующий уровню потенциального риска. 2. В случае особого риска нарушения безопасности сети провайдер общедоступных телекоммуникационных услуг обязан информировать подписчиков о наличии такого риска и о возможных путях его преодоления, в том числе о предполагаемых затратах.
Статья 5. Конфиденциальность коммуникаций 1. Страны -члены обязаны на основе национальных законов обеспечивать конфиденциальность коммуникаций, осуществляемых посредством общедоступной телекоммуникационной сети и общедоступных телекоммуникационных услуг. В частности, они должны налагать запрет на прослушивание, подслушивание, запись и иные виды перехватов или контроля над коммуникациями любыми иными лицами, кроме пользователей, без согласия последних, за исключением тех случаев, когда это юридически разрешено в соответствии со статьей 14 (1). 2. Пункт 1 не распространяется на разрешенную законом запись коммуникаций, осуществляемую в процессе законной деловой практики в целях фиксирования факта заключения коммерческой сделки или осуществления любых иных видов деловых коммуникаций. Статья 6. Траффик и данные, относящиеся к выставлению счетов 1. Траффиковые данные о подписчиках и пользователях, используемые для осуществления телефонных соединений и со храняемые провайдером общедоступной телекоммуникационной сети и/или общедоступных телекоммуникационных услуг, должны по завершении звонка быть стер ты или сделаны анонимными без ущерба для положений пунктов 2, 3 и 4. 2. Данные, упомянутые в Приложении, могут использоваться в целях выставления подписчикам счетов и получения с них платежей за телефонные соединения. Такое испо льзование разрешается только до окончания периода, в течение которого можно законным образом опротестовать счет или истребовать платеж. 3. Провайдер общедоступных телекоммуникационных услуг может использовать данные, упомянутые в пункте 2, в целях маркетинга предлагаемых им услуг, если подписчик дал на э то свое согласие. 4. Круг лиц, использующих данные, связанные с траффиком и выставлением счетов, должен быть ограничен лицами, действующими под контролем провайдеров общедоступных телекоммуникационных сетей и/или общедоступных телекоммуникационных услуг в сфере управления траффиком или процессом выставления счетов, работы с клиентскими запросами, отслеживания незаконных операций и маркетинга предлагаемых провайдером телекоммуникационных услуг; действия э тих лиц должны ограничиваться мерами, необходимыми для реализации целей упомянутых видов деятельности. 5. Пункты 1, 2, 3 и 4 применяются без ущерба для возможности информирования компетентных органов о содержании данных, используемых для выставления счетов и осуществления траффика, в
соответствии с применимым законодательством в целях разрешения споров - в частности, споров, связанных с осуществлением телефонных соединений или выставлением счетов. Статья 7. Детализированные счета 1. Подписчики имеют право по лучать недетализированные счета. 2. Действуя на основе национальных законодательств, страны-ч лены должны стремиться нахо дить баланс между соблюдением прав подписчиков, получающих детализированные счета, и невмешательством в частную жизнь звонящих пользователей и по лучающих звонки подписчиков - например, обеспечивая этим пользователям и подписчикам достаточно широкий выбор альтернативных вариантов коммуникаций и платежей. Статья 8. Указание и ограничения на указание номера исходящего и входящего звонков 1. В тех случаях, когда комплекс услуг включает указание номера телефона, с ко торого производился исхо дящий звонок, звонящий пользователь должен иметь простую и бесплатную возможность распорядиться не указывать номер, с которого производился тот или иной звонок. Звонящий подписчик должен иметь такую же возможность в отношении номера закрепленной за ним абонентской линии. 2. В тех случаях, когда комплекс услуг включает указание номера телефона, с ко торого производился исходящий звонок, подписчик, которому адресован звонок, должен иметь простую и бесплатную возможность распорядиться не указывать номера телефонов вхо дящих звонков - при условии разумного пользования данной услугой. 3. В тех случаях, когда комплекс услуг включает указание номера телефона, с которого производился исхо дящий звонок, и когда номер телефона звонящего лица указывается до осуществления соединения, подписчик, ко торому адресован звонок, должен иметь простую возможность отказаться о т разговора с теми по льзователями или подписчиками, которые распорядились не указывать номера телефонов, с которых они звонят. 4. В тех случаях, когда комплекс услуг включает указание номера телефона, с ко торым производится соединение, подписчик, которому адресован звонок, до лжен иметь простую и бесплатную возможность распорядиться не указывать звонящему пользователю номер, с ко торым его соединяю т. 5. По ложения пункта 1 применяются и в о тношении звонков, производимых с территории сообщества в третьи страны; положения пунктов 2, 3 и 4 применяются и в о тношении вхо дящих звонков, осуществляемых с территории третьих стран.
6. В тех случаях, когда комплекс услуг включает указание номера телефона, с которого исхо дит звонок и/или с которым осуществляется соединение, страны-ч лены должны обязать провайдеров общедоступных телекоммуникационных услуг информировать клиентов как об этих услугах, так и о возможностях, упомянутых в пунктах 1, 2, 3 и 4. Статья 9. Исключения Страны-члены обязаны обеспечивать прозрачность процедур, с помощью которых провайдер общедоступной телекоммуникационной сети и/или общедоступных телекоммуникационных услуг может отказаться выполнять распоряжение не указывать номер телефона исходящего звонка: (а) временно, по заявлению подписчика, отслеживающего враждебные или беспокоящие его звонки; в э том случае, в соответствии с национальным законодательством, данные, идентифицирующие звонящего по дписчика, бу дут со хранены, и их можно будет запросить у провайдера общедоступной телекоммуникационной сети и/или общедоступных телекоммуникационных услуг; (б) в отношении всех звонков на телефоны, закрепленные за организациями, ко торой соответствующая страна-ч лен признает в качестве организации, с которыми связываю тся в чрезвычайных ситуациях - в частности, за правоо хранительными органами, службами скорой помощи и пожарными командами - с тем, чтобы они имели возможность отвечать на такие звонки. Статья 10. Автома тическая переадресация звонков Страны-члены обязаны обеспечить всем подписчикам простую и бесплатную возможность прекратить автоматическую переадресацию на их терминалы звонков третьих лиц. Статья 11. Справочники телефо нных номеров подписчи ков 1. Содержащиеся в печатных или электронных справочниках телефонных номеров подписчиков персональные данные, которые являю тся общедоступными или могут быть затребованы через справочные службы, должны ограничиваться информацией, достаточной для идентификации конкретного по дписчика, если подписчик не выразил однозначного согласия на опубликование каких-либо дополнительных персональных данных. Подписчик до лжен иметь право бесплатно потребовать изъятия своих данных из печатного или э лектронного справочника, запретить использование своих персональных данных в целях прямого маркетинга, опубликовать свой адрес лишь частично и не указывать свою принадлежность к тому или иному полу, если э то возможно с лингвистической точки зрения.
2. Безо тносительно к пункту 1, с траны-члены могут разрешать операторам брать плату с по дписчиков, желающих избежать внесения их персональных данных в справочники, на том условии, что сумма, о которой идет речь, не станет о трицательным стимулом для реализации данного права подписчиков и, учитывая требования к качеству общедоступного справочника в свете мирового уровня услуг, не превысит реальных издержек оператора на адаптирование и обновление списка подписчиков, чьи данные не буду т вноситься в общедоступный справочник. 3. Права, упомянутые в пункте 1, предоставляются подписчикам физическим лицам. Страны-ч лены также обязаны гарантировать в рамках законодательства сообщества и применимых национальных законов достаточную степень защиты законных интересов подписчиков, не являющихся физическими лицами, касательно внесения их данных в общедоступные справочники. Статья 12. Непрошеные звонки 1. Использование автоматических телефонных систем, работающих без участия человека (автодозвон), или факсимильных аппаратов (факсов) в целях осуществления прямого маркетинга разрешается только в отношении по дписчиков, давших на это свое предварительное согласие. 2. Страны-ч лены обязаны принимать меры к тому, чтобы можно было бесплатно запретить производство непрошеных звонков в целях осуществления прямого маркетинга иными средствами, чем те, ч то упомянуты в пункте 1, без согласия подписчиков, в адрес которых производятся такие звонки, или по дписчикам, не желающим получать такие звонки; выбор между этими вариантами должен определяться на основе национального законодательства. 3. Права, упомянутые в пунктах 1 и 2, предоставляю тся подписчикам - физическим лицам. Страны-члены также обязаны гарантировать, в рамках законодательства Сообщества и применимых национальных законов, достаточную степень защиты законных интер есов подписчиков, не являю щихся физическими лицами, касательно непрошенных звонков в их адрес. Статья 13. Технические требования и стандартизация 1. При реализации положений настоящей Директивы страны -ч лены обязаны обеспечивать, в соответствии с пунктами 2 и 3, невыдвижение специальных технических требований в отношении терминалов или иного телекоммуникационного оборудования, которые могли бы помешать размещению оборудования на рынке или свободным обменам таким оборудованием внутри стран-членов и между ними.
2. В тех случаях, когда положения настоящей Директивы могут быть реализованы только при выдвижении специальных технических требований, страны-члены обязаны информировать об этом Комиссию в соответствии с Директивой 83/189/ EEC (7), предписывающей процедур у представления информации в сфере технических стандартов и правил. 3. Там, где это необхо димо, Комиссия обеспечивает разработку общеевропейских стандартов выполнения специальных технических требований в соответствии с законодательством сообщества о сближе нии законов стран-членов об оборудовании телекоммуникационных терминалов, включая общее признание их совместимости, а также на основании решения совета N 87/ 95/ EEC от 22 декабря 1986 года о стандартизации в сфере информационных технологий и телекоммуникаций (8). Статья 14. Расширение масштаба применения неко торых положений Директивы 95/46/EC 1. Страны-члены могут принимать законо дательные меры к ограничению круга обязательств и прав, вытекающих из статей 5 и 6, а также пунктов 1, 2, 3 и 4 статьи 8, если это о граничение необ ходимо для обеспечения национальной безопасности, обороноспособности, общественной безопасности либо для предо твращения или расследования уголовных преступлений, обнаружения и привлечения к ответственности преступников, либо для предо твращения самовольного испо льзования телекоммуникационных систем, упомянутого в статье 13(1) Директивы 95/ 46/ EC. 2. Положения главы III Директивы 95/46/ EC, касающиеся юридических мер, ответственности и санкций, применяются с учетом положений национальных законов, принятых во исполнение настоящей Директивы, а также с учетом вытекающих из настоящей Директивы прав физических лиц. 3. Рабочая группа по защите физических лиц в процессе использования персональных данных, образованная в соответствии со статьей 29 Директивы 95/46/ EC, выполняет задачи, перечисленные в статье 30 вышеупомянутой Директивы, также с учетом необ ходимости защиты основных прав и свобод и законных интересов в сфере телекоммуникаций, что является предметом настоящей Директивы. 4. С помощью комитета, образованного в соответствии со статьей 31 Директивы 95/ 46/ EC, комиссия вносит технические у точнения в Приложение в соответствии с процедурой, предписанной настоящей статьей. Вышеупомянутый Комитет собирается специально для решения вопросов, упомянутых в настоящей Директиве. Статья 15. Исполнение положений Директивы
1. Страны-члены вво дят в действие законы, нормативные акты и административные положения, необ хо димые для испо лнения ими настоящей Директивы, не позднее 24 октября 1998 го да. В порядке частичной отмены положения части первой пункта 1 настоящей статьи страны-ч лены вво дят в действие законы, нормативные акты и административные положения, необ хо димые для испо лнения ими статьи 5 настоящей Директивы, не позднее 24 октября 2000 го да. Принимаемые странами-членами законы, нормативные акты и административные положения должны содержать ссылку на настоящую Директиве или сопровождаться такой ссылкой в момент их официального опубликования. Процедура оформления ссылки должна быть принята странами-членами. 2. В порядке частичной отмены положения статьи 6(3), согласия на использование данных, фактически осуществляемое на момент вступления в силу национальных правил, принятых во исполнение настоящей Директивы, не требуется. В этих случаях по дписчики должны быть проинформированы о таком использовании данных; если в течение периода времени, определяемого соответствующей страной-членом, они не опротестуют данную практику, то э то будет рассматриваться как выражение ими согласия на упомянутое использование данных. 3. Статья 11 не применяется к справочникам, изданным до момента вступления в силу национальных правил, принятых во исполнение настоящей Директивы. 4. Страны-ч лены обязаны представить в Комиссию текст по ложений национальных законов, принимаемых ими в области, подпадающей под действие настоящей Директивы. Статья 16. Адресаты Настоящая Директива адресована странам -членам. Принята в Брюсселе 15 декабря 1997 года. От имени Европейского парламента: Председатель Х.М . ХИЛЬ-РОБЛЕС От имени Совета ЕС: Председатель Ж .-К. ЮНКЕР ПРИЛОЖЕНИЕ Список данных В целях, изложенных в статье 6 (2), могут использоваться следующие данные: Данные, содержащие: - номер или идентификацию станции подписчика, - адрес по дписчика и тип станции,
- общее количество единиц к оплате за истекший перио д, - номер телефона по дписчика, с ко торым производилось соединение, - тип, время начала и продолжительность звонков и/или объем переданных данных, - дату звонка/услуги, - иную информацию, касающуюся платежей (например, аванс, оплата в кредит, о тключение, напоминания). (1) “Официальный журнал ЕС”, раздел C 200, 22.7.1994, с. 4. (2) “Официальный журнал ЕС”, раздел C 159, 17.6.1991, с. 38. (3) Мнение Европейско го парламента от 11 марта 1992 г. (“Официальный журнал ЕС”, раздел C 94, 13.4.1992, с. 198). Общая позиция Совета ЕС от 12 сентября 1996 г. (“Официальный журнал ЕС”, раздел C 315, 24.10.1996, с. 30) и Решение Европейского парламента от 16 января 1997 г. (“Официальный журнал ЕС”, раздел C 33, 3.2.1997, с. 78). Решение Европейского парламента от 20 ноября 1997 г. (“Официальный журнал ЕС”, раздел C 371, 8.12.1997). Решение Совета ЕС от 1 декабря 1997 г. (4) “Официальный журнал ЕС”, раздел L 281, 23.11.1995, с. 31. (5) “Официальный журнал ЕС”, раздел C 257, 4.10.1988, с. 1. (6) “Официальный журнал ЕС”, раздел C 196, 1.8.1989, с. 4. (7) “Официальный журнал ЕС”, раздел L 109, 26.4.1983, с. 8. Директива с последними изменениями, внесенными Директивой 94/10/EC (“Официальный журнал ЕС”, раздел L 100, 19.4.1994, с. 30). (8) “Официальный журнал ЕС”, раздел L 36, 7.2.1 987, с. 31. Решение с последними изменениями, внесенными Актом о присоединении 1994 г.
Часть II Н АЦИ ОН АЛЬ НЫЕ З АКОНЫ Законодательство Германии Статья 10 Основного закона (с поправками от 24 июня 1968 года) гласит: “(1) Письма, почтовые о тправления и теле коммуникации являю тся неприкосновенными. (2) Любые ограничения могут вво диться только соответствующим законодательным актом. Если то или иное ограничение направлено на защиту свободного демократическо го строя или существования или безопасности Федерации, то законодательный акт может предусматривать, ч то лицо, на ко торое оно распространяется, может не уведомляться о наличии такого ограничения, а обращение в суд может заменяться рассмотрением дела органами или вспомогательными структурами, назначаемыми парлам ентом”. Попытки включить в Основной закон по ложение о защите информации обсуждались при пересмотре Конституции после воссоединения Западной и Восточной Германии, но были успешно заблокированы консервативно настроенным тогда политическим большинством. В 1983 году Федеральный конституционный су д, рассматривая про тест против принятия закона о государственной переписи населения, официально признал право каждого гражданина на “информационное самоопределение”, ограничиваемое “преобладающими общественными интересами”. Основная мысль решения сводилась к следующему: “Тот, кто не может с точностью определить, какая часть доступной ему информации известна тем или иным сегментам его социального окружения, и кто не имеет возможности в той или иной степени оценить уровень осведомленности своих потенциальных коммуникационных пар тнеров, может испытывать серьезные затруднения при составлении планов и принятии решений. Право на информационное самоопределение противопоставлено общественному порядку и соответствующему ему юридич ескому порядку, при котором граждане могут в определенный момент перестать понимать, кто, что, когда и в каких ситуациях знает о них самих”. “Право на информационное самоопределение”, упомянутое в этом историческом решении суда, прямо вытекает из Статьи 2 Конституции Германии, берущей под защиту право на неприкосновенность частной жизни. Первый в Германии закон о защите персональных данных был принят в земле Гессен в 1970 году. До э того подобных законов нигде в мире не было. За ним последовало принятие в 19 77 го ду Федерального закона о защите персональных данных, который в 1990 го ду был пересмотрен. Главная цель э того закона - “защищать индивидуума от посягательств на неприкосновенность его частной жизни
(PersЪnlichkeitsrecht) путем манипулирования его персо нальными данными”. Действие закона распространяется на сбор, обработку и использование персональных данных, собираемых государственными федеральными органами (в отсутствие механизмов государственного регулирования) и негосударственными учреждениями, если о ни обрабатывают и использую т персональные данные в коммерческих или профессиональных целях. В настоящее время правительство разрабатывает поправки к закону с тем, чтобы привести его в соответствие с Директивой ЕС. Все 16 земель Германии имеют собственные законы о защите персональных данных, распространяющиеся на государственный сектор административного управления землями. Федеральная комиссия по защите персональных данных (Bundesbeauftragter fЯr den Datenschutz) отвечает за исполнение закона. Соответствующие комиссии, обеспечивающие исполнение местных законов о защите персональных данных, есть в каждой земле Германии. В частном секторе, однако, надзор осуществляется органом, указанным в законе, действующим в каждой из земель (обычно назначается комиссар по защите персональных данных). В 1996 го ду Берлинский комиссар по защите персональных данных достиг соглашения с Citibank об испо льзовании Railway Cards в том же качестве, в ко тором используются кредитные карты Visa. Это соглашение может стать важной предпосылкой для международных обменов персональными данными с США и другими государствами, где нет законов о неприкосновенности частной жизни, после вступления в силу Директивы ЕС в октябре 1998 года. [...] В апреле 1998 го да, после шести лет ожесточенных политиче ских дебатов, германский парламент большинством в две трети го лосов утвердил поправку к 13-й статье Конституции, разрешающую полиции устанавливать подслушивающие устройства даже в частных жилищах (при наличии судебного ордера). Поправка касалась “Закона об усилении борьбы с организованной преступностью”, вступившего в силу 9 мая. Кроме того, почти все германские законы, которые прямо или через поправки затрагиваю т проблему обращения с персональными данными физических лиц, содержат либо ссылки на соответству ющий закон о защите персональных данных, либо специальные положения о правилах обращения с персональными данными, отражающие право на неприкосновенность частной жизни. Совсем недавно был принят ряд законов, касающихся неприкосновенности коммуникационных об менов. Принятое в 1996 го ду Постановление о защите персональных данных, передаваемых по телекоммуникационным каналам, о храняет неприкосновенность соответствующей информации. Закон об
информационных и коммуникационных (мультимедиа) услугах 1997 года устанавливает механизмы защиты информации, передаваемой по компьютерным сетям. Этим же законом определяю тся требования, предъявляемые к цифровым подписям. Федеральный Вер ховный суд Германии вынес в марте 1999 го да решение о том, ч то Co mmerzbank A G не имеет права включать в тексты своих контрактов положение о том, что клиенты согласны получать телефонные “консультации”. В апреле 1998 года был принят закон, разрешающий Федеральной криминальной службе содержать национальный банк генетических данных, о тносящихся к расследованию уго ловных дел и личностям осужденных правонарушителей. Месяц спустя Федеральная пограничная служба, первоначально созданная в виде военизированных по дразделений полиции для о храны государственных границ, а ныне отвечающая, среди прочего, за железные дороги и станции, получила разрешение проверять документы и багаж граждан без каких бы то ни было конкретных подозрений. В Германии нет общего закона, гарантирующего свободу информации. Земля Бранбенберг в 1998 году приняла закон о свободе информации, открывающий гражданам доступ к госу дарственным базам данных. Надзор за его исполнением возложен на комиссара по защите информации и персональных данных. Начиная с 1990 го да в стране действует закон о доступе частных лиц и исследователей к ар хивам “Штази” - бывшей службы безопасности Восточной Германии. В соответствии с э тим законом создана Федеральная комиссия по разбору архивов служб государственной безопасности бывшей ГДР (Комиссия Гаука) со штатом в 3000 сотрудников, ко торые заняты восстановлением уничтоженных документов и составлением файлов. С тех пор, как ар хивы стали общедоступными, от граждан поступило 1,6 млн заявок на доступ к файлам и 2,7 млн заяво к на получение справочной информации. Многие файлы были унич тожены в 1989 году, но в 1990 го ду Центр альному разведывательному управлению США у далось узнать от информаторов в Советском Союзе имена и клички, а также получить расчетные ведомости 4000 секретных агентов “Штази”, работавших в разных странах. Правительство США отказывается передать файлы германскому правительству, опасаясь того, ч то это может повредить лю дям, чьи имена названы в списке. Германия является членом Совета Европы, подписавшим и ратифицировавшим Конвенцию о защите частных лиц в отношении автоматической обработки персональных данных (ETS No. 108). Она подписала и ратифицировала Европейскую конвенцию о защите прав и основных свобод человека. Германия также является членом Организации
по экономическому сотрудничеству и развитию , принявшим Директиву ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными.
Законод ательс тво Америки
Соедине нн ых
Штато в
В тексте Конституции США нет отдельно го положения, закрепляющего право на неприкосновенность частной жизни. Согласно постановлению Вер ховного суда, граждане имеют ограниченное конституционное право на неприкосновенность частной жизни, основанное на ряде по ложений Билля о правах. Речь идет, в частности, о свободе от государственного надзора за теми сферами деятельности индивидуума, которые “в силу очевидных пр ичин принято относить к частной жизни”, а также о праве самостоятельно решать вопросы, касающиеся женитьбы, деторождения, контрацепции, семейных отношений, воспитания детей и образования. Однако учетные записи, находящиеся в распоряжении третьих сторон, в том числе книги финансового учета или счета за телефонные переговоры, чаще всего под защиту не по дпадаю т, за исключением тех случаев, ко гда законодательный орган принимает специальный закон. Суд также признал право на анонимность и право политических организаций не раскрывать имена своих членов государственным органам. США не имеют закона, обеспечивающего всестороннюю защиту неприкосновенности частной жизни. Закон о неприкосновенности частной жизни, принятый в 1974 го ду, о храняет учетные записи американских государственных ведомств и обязывает э ти ведомства придерживаться практики обменов правдивой и объективной информацией. Действенность этого закона существенно ослабляется административным то лкованием положения, разрешающего раскрывать персональные данные в целях “повседневного использования”, не противоречащего тем целям, в которых соответствующая информация собиралась первоначально. В последние го ды по разным причинам были частично сняты и многие ограничения на использование номера карточки социального обеспечения. В США нет ведомства, осуществляющего надзор за неприкосновенностью частной жизни. Бю джетно -контрольное управление играет ограниченную роль в разработке политики для федеральных ведомств и не отличается ни активностью, ни эффективностью. Федеральная торговая комиссия (ФТК) наделена полномочиями для надзора за исполнением законов о защите информации о потребительских кредитах и за соблю дением правил честной торговли, но не за обеспечением прав, гарантирующих неприкосновенность частной жизни, кроме тех, что связаны с нарушениями правил честной торговли. Получая тысячи жалоб, ФТК лишь в трех случаях выступила с изложением своих
позиций по спорным вопросам. Она также организовала серию семинаров и социальных исследований, ко торые в большинстве случаев показали, что при работе в сети Интернет неприкосновенность частной жизни не обеспечивается до лжным образом в различных секторах, но, по мнению ФТК, каждому сектору необхо димо какое-то время для о тлаживания механизмов саморегулирования. В США принят ряд фе деральных законов о защите конкретных категорий персональной информации, в том числе книг финансового учета, кредитных ведомостей, журналов учета клиентов фирм проката видеокассет, абонентов кабельного телевидения и образовательных программ, регистрационны х журналов автовладельцев и абонентов телефонных компаний. Однако такие виды деятельности, как продажа данных медицинского и банковского учета, мониторинг на рабочих местах и видеонаблю дение за частными лицами, в настоящее время действующим федеральным законодательством не запрещены. В то же время на уровне отдельных штатов для разных сфер деятельности приняты законы, способные создавать допо лнительные механизмы защиты для граждан э тих штатов. Закон о выплате компенсаций за вторжение в частную жизнь был впервые принят в 1905 году, и все 50 штатов США, кроме дву х, законодательно признают право граждан подавать в суд в случае вмешательства в их частную жизнь. Контроль над телефонными, устными и электронными коммуникациями со стороны органов, расследующих уголо вные дела, осуществляется на основании Сво дного закона о борьбе с преступностью и поддержании общественного порядка (1968 г.) и Закона о неприкосновенности коммуникационных обменов, осуществляемых с помощью электронных средств (1986 г.). По лиция обязана де йствовать на основе судебного ордера, полученного с соблю дением ряда юридических требований. Контроль над коммуникациями в целях обеспечения национальной безопасности осуществляется на основании Закона о контроле над деятельностью иностранных разведок, содержащего менее жесткие требования. Федеральные законы об испо льзовании подслушивающих устройств были изменены в 1994 го ду после принятия вызвавшего оживленные дебаты законопроекта, ко торый обязывал телефонные компании приспособить используемое ими оборудование для осуществления контроля над электронными коммуникациями. [...] В последние го ды в Соединенных Штатах иду т оживленные дебаты по вопросу о необходимости разработки законов о неприкосновенности частной жизни для частного сектора. Предыдущему составу конгресса было представлено более сотни законопроектов о невмешательстве в частную жизнь, в том числе о неприкосновенности генетических и
медицинских данных; информации, распространяемой по сети Интернет; частной жизни детей и т.п. Одобрен был лишь один законопроект, касающийся получения персональной информации через Интернет от детей. В настоящее время Белый дом и частный сектор всецело полагаю тся на саморегулирование и считают, что новые законы не нужны - кроме небольших поправок к правилам ведения медицинского учета. Сейчас конгрессмены пытаются улучшить закон о неприкосновенности финансовой жизни граждан, запретив банкам продавать персональные данные клиентов без их разрешения, однако это предложение встретило серьезное сопротивление со стороны банкиров. В ряде штатов, в том числе в Калифорнии, Нью-Йорке и Массачусетсе, наблюдается всплеск общественной активности в связи с рассмотрением там законопроектов о всесторонней защите частной жизни граждан. [...] Закон о свободе информации был принят в 1966 го ду. Он обеспечивает любому гражданину широкий доступ к информации, имеющейся в распоряжении федеральных государственных структур; закрытыми являются лишь ар хивы судебных органов и Белого дома. Поправки, связанные с принятием в 1996 году Закона о свободе электронной информации, обеспечили гражданам свободный доступ к электронным базам данных. Кроме того, в каждом штате действует собственный закон о доступе к правительственной информации. Являясь членом Организации по экономическому сотрудничеству и развитию , США не выполняю т, однако, Директивы ОЭ СР о защите неприкосновенности частной жизни и международных обменов персональными данными во многих секторах, в том числе в сфере финансов и здравоо хранения. Сто пятьдесят американских компаний, подписавших Директиву ОЭ СР в 1981 го ду и пообещавших придерживаться практики обменов правдивой и объективной информацией, перестали держать слово еще в начале 80-х го дов, как только угроза принятия соответствующего законодательства миновала.
Законодательство Великобритании Соединенное Королевство не имеет собственного текста конституции. В 1998 го ду британский парламент у твердил Акт о правах человека, придающий Европейской конвенции по правам человека силу национального закона; это т процесс должен завершиться законодательным у тверждением права на неприкосновенность частной жизни. Акт вступил в силу в октябре 2000 го да. В ию ле 1998 го да парламент принял Закон о защите информации, приводящий аналогичный закон 1984 года в соответствие с требованиями Директивы о защите информации, принятой Европейским Союзом. Действие закона распространяется на учетные записи, ведущиеся государственными учреждениями и частными компаниями. Он налагает ряд ограничений на использование персональных данных и на доступ к учетным записям, а также обязывает юридические лица, ведущие такие записи, регистрироваться в Комиссариате по защите информации. Комиссариат по защите информации является независимым агентством, обеспечивающим соблюдение требований закона. Во исполнение предыдущей версии Закона о защите инфо рмации было зарегистрировано 225 000 организаций и бизнес -структур, хо тя считается, что эта цифра намного меньше общего числа юридических лиц, подлежащих регистрации. В 1997-1998 гг. Комиссариат принял бо лее 4000 жалоб и издал руководящие инструкции для на домных работников, финансовых посредников и агентств по отслеживанию долговых обязательств. Положения о неприкосновенности частной жизни содержатся и в ряде других законодательных актов, например, в законах, регламентирующих ведение медицинских записей и хранение информации о потребительских кредитах. В эту же группу входят Закон о реабилитации правонарушителей (1974 г.), Закон о телекоммуникациях (1984 г.), Закон о полиции (1997 г.), Раздел VI Закона о вещании (1996 г.) и Закон о защите от преследований (1997 г.). Неко торые положения перечисленных законов исправлены или частично отменены в связи с принятием Закона о защите информации в редакции 1998 го да. Закон о свидетельских показаниях для полиции и органов следствия по уголовным делам (1984 г.) дает полиции право вхо дить в частные жилища и производить там обыски без ордера в случае ареста хозяина за совершение любого правонарушения. И хотя до ареста полиция не вправе требовать о т человека предъявления документов, ей разрешено останавливать и обыскивать на улице всякого, кто вызывает подозрения.
Каждый арестованный сдает пробу ДНК для включения в национальную базу данных. [...] Закон о перехвате коммуникационных сообщений, принятый в 1985 году, устанавливает ряд ограничений, имеющих отношение к контролю над телекоммуникационными средствами. [...] В июне 1999 года Министерство вну тренних дел издало рекомендации по установке подслушивающих устройств, предусматривающие внесение многочисленных поправок в действующее законодательство. В частности, предполагается обеспечить содействие установке подслушиваю щих устройств со стороны провайдеров Интернет-услуг; продление срока действия таких устройств до трех месяцев; разрешение на использование подслушивающих устройств с возможностями роуминга. Однако такие важные проблемы, как контроль со стороны судебных органов и государственный надзор за перехватами информации, в рекомендациях совершенно не затрагиваю тся. [...] На протяжении во т уже двадцати с лишним лет неодно кратно предпринимались шаги к принятию закона о свободе информации. “Кодекс практики доступа к правительственной информации”, принятый в 1994 году, о ткрывает доступ к государственным ар хивам, но предусматривает 15 серьезных исключений. Те, чьи заявки на получение информации были отклонены, могу т обратиться с жалобой через парламентского министра к парламентскому омбудсмену. В мае 1999 года правительство Великобритании вынесло на обсуждение проект закона, разрешающего доступ к правительственным ар хивам и предусматривающего введение поста комиссара по вопросам информации, призванного обеспечивать исполнение закона. Однако проект, со держащий ряд существенных исключений, считается даже более слабым, чем действующий кодекс, документом. Он был жестко раскритикован многими политиками, придерживающимися самых разных политических воззрений, а также неправительственными организациями. “Кампания в защиту свободы информации”, “Хартия -88” и 23 других организации в июне 1999 го да развернули акцию с требованием пересмотра проекта закона. В ответ на критику министр внутренних де л Джек Строу заявил о своем намерении переписать ряд положений, но исправленный вариант проекта до сих пор не опубликован. Парламент Шо тландии также пообещал в качестве о дной из первоочередных мер принять более сильный закон о свободе информации. Действующ ий британский закон о свободе информации предусматривает ряд ограничений. Репрессивный закон “О соблюдении государственных секретов” лежит в основе обвинений, выдвигаемых в настоящее время против Тори Герагти, автора книги “Ирландская война”, которая детал ьно
описывает технику слежки, испо льзуемую в Северной Ирландии и Великобритании полицией и спецслужбами. Соединенное Королевство является ч леном Совета Европы, подписавшим и ратифицировавшим Конвенцию о защите частных лиц в отношении автоматической обработки персональных данных (ETS No. 108) вместе с Европейской конвенцией о защите прав и основных свобод человека. Кроме того, Великобритания вхо дит в Организацию по экономическому сотрудничеству и развитию; она приняла Директиву ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными. Каждый из британских про текторатов - остров Мэн, остров Гернси и остров Джерси - имеет собственный закон и собственную комиссию по защите персональных данных.
Законодательство Швеции ЗАКОН ОБ ОХРАНЕ ИНФОРМАЦИИ (1973:289) Вступительные положения Статья 1. Для целей настоящего Закона Персональные данные означаю т любую информацию, касающуюся того или иного лица. Файл персональных данных означает любой файл, список или иные подвергаемые электронной обработке записи, со держащие информацию, касающуюся субъекта данных. Субъект данных означает любое лицо, являющееся субъектом данных в файле персональных данных. Контролер файла означает любое лицо, для целей деятельности которого ведется файл персональных данных, нахо дящийся под его контролем. Статья 2 Файлы персональных данных могут создаваться и вестись то лько лицами, зарегистрировавшимися в Комиссии по проверке данных и получившими от Комиссии свидетельство о регистрации (лицензию). Отдельное разрешение Комиссии по проверке данных требуется, помимо лицензии, создания и ведения файлов персональных данных, содержащих: 1) информацию, о которой говорится в статье 4; 2) информацию, о которой говорится в пункте (2) статьи 6; 3) информацию о лицах, которые не связаны с контролером файлов отношениями, вытекающими из их членства или найма, клиентскими отношениями или любыми иными подобными отношениями; 4) персональные данные, полученные из другого файла персональных данных, кроме случаев, когда э ти данные были занесены или раскрыты в соответствии с действующими законами или положениями, решением Комиссии по проверке данных или с согласия субъекта данных. Пункты (1) или (2) не применяются к файлам, персональных данных, созданным или ведущимся отдельным лицом исключительно для использования в личных целях. Создание файлов персональных данных также включает сбор данных для включения в файл (Закон 982:446). Статья 2а Разрешение Комиссии по проверке данных не требуется для файлов персональных данных: 1) созданных по решению риксдага или правительства;
2) созданных и ведущихся согласно правилам, принятым в соответствии со статьей 19; или 3) файлов, ведение ко торых поручено архивному органу. Без ущерба для положений пункта (2) 1 статьи 2: 1) ассоциации могут создавать и вести файлы персональных данных, содержащие информацию о политических взглядах, религиозных и иных убеждениях их членов, если такими взглядами и убеждениями мотивировано их ч ленство; 2) органы здравоо хранения могут для целей оказания медицинской помощи или лечения создавать и вести файлы персональных данных, содержащие информацию об истории болезни пациента или общем состоянии его здоровья; 3) органы системы социального обеспечения могут создавать и вести файлы персональных данных, со держащие информацию о финансовой помощи и услугах, оказанных социальными службами; 4) терапевты и стоматологи могут создавать и вести файлы персональных данных, со держащие информацию об истории болезни пациента или общем состоянии его здоровья, ко торую они получают при осуществлении своей профессиональной деятельности; 5) работодатели могут создавать и вести файлы персональных данных, со держащие информацию об историях болезни своих сотрудников, касающуюся периодов их о тсутствия на рабочем месте по причине болезни, для использования такой информации при расчете заработной платы либо для того, ч тобы иметь возможность принять решение о начале реабилитационного расследования в соответствии со статьей 3 главы 22 Закона о национальном страховании (1962:381). Закон (1994:1485). Статья 3 Комиссия по проверке данных выдает разрешение на создание и ведение файлов персональных данных, если то лько на основе правил, принятых согласно статьям 5 и 6, не будет установлено, что это может привести к вмешательству в частную жизнь субъекта данных. При оценке риска вмешательства в частную жизнь учитывается, в частности, характер и объем информации, подлежащей включению в файл, то, как и из каких источников предпо лагается получать такую информацию, а также отношение или вероятное отношение к файлу тех, данные о ком могут быть в него включены. Кроме того, принимаются специальные меры для того, чтобы в файл не включались данные или субъекты данных, включение ко торых противоречило бы цели файла. Закон (1979:334).
Статья 3а Разрешения на создание и ведение ф айлов персональных данных, касающихся лиц, не являющихся членами, сотру дниками или клиентами контролера файлов, или лиц, нахо дящихся с контролером файлов в аналогичных о тношениях, могут выдаваться только при наличии особых на то оснований. Закон (3979:334) . Статья 4 Разрешения на создание и ведение файлов персональных данных, содержащих информацию о лицах, ко торые подозреваются в совершении уголовных преступлений или осуждены за их совершение, или о тбывают наказание, или подверглись любому другому наказанию за уголовные преступления, или в о тношении которых применялись прину дительные меры в соответствии с Законом (1990:527), содержащим специальные положения, касающиеся попечительства над несовершеннолетними, Законом о случаях установления попечительства над правонарушителями (1988:870), Законом о принудительном психиатрическом лечении (1991:1128), Законом о судебной психиатрической экспертизе (1991:1129), Законом о попечительстве над неко торыми умственно отсталыми лицами (1967:940) и Законом об иностранцах (1989:529), могут выдаваться лишь в исключительных случаях, за исключением разрешений для органов, которые должны вести такие записи в соответствии с законом или подзаконными актами. Разрешение на создание и ведение файлов персональных данных, содержащих информацию об историях болезни субъектов, состоянии их здоровья или их сексуальной жизни, или о финансовой помощи или услугах, оказанных социальными службами, или о лицах, в о тношении которых были применены меры в соответствии с Законом об иностранцах, могут выдаваться только при наличии особых на то оснований, за исключением разрешений для органов, ко торые до лжны вести такие записи в соо тветствии с законом или подзаконными актами. Разрешения на создание и ведение файлов персональных данных, содержащих информацию о расовой принадлежности, политических взглядах или религиозных или других убеждениях, могут выдаваться только при наличии особых на то оснований. Закон (1991:1958). Статья 5 При выдаче разрешения на создание и ведение файла персональных данных Комиссия по проверке данных оговаривает условия, касающиеся цели такого файла. При наличии особых на то оснований разрешение может выдаваться на определенный срок. Закон (1982:446). Статья 6
При выдаче разрешения на создание и ведение файла персональных данных Комиссия по проверке данных, когда это необ хо димо для предотвращения риска вмешательства в частную жизнь, оговаривает условия, касающееся: 1) сбора данных для файла; 2) персональных данных, ко торые могут включаться в файл; 3) процедур автоматической обработки данных; 4) технического оборудования; 5) степени, в которой персональные данные файла могут подвергаться автоматической обработке; 6) уведомления соответствующих лиц; 7) персональных данных, ко торые могут быть открыты для доступа; 8) раскрытия и другого использования персональных данных; 9) со хранения и уничтожения персональных данных; 10) контроля и безопасности; 11) исправлений и других мер, ко торые должны приниматься в тех случаях, когда персональные данные являю тся неточными или вводящими в заб луждение. При оценке необходимости установления условий для того или иного файла учитывается, в частности, то, со держит ли это т файл персональные данные, представляющие собой качественные оценки или другую оценочную информацию о субъектах данных. Правила раскрытия персональных данных, касающиеся того или иного файла, никоим образом не до лжны ограничивать обязательства соответствующего органа согласно Закону о свободе прессы. Закон (1994:1485). Статья 6а Положения статей 5 и 6, касающиеся обязательства Комиссии по проверке данных устанавливать условия для соответствующих файлов, применяются также к файлам персональных данных, упомянутым в подпункте (1) статьи 2, если они содержат информацию, упомянутую в пункте (2) статьи 2, и если правительство или рикстаг не приня ли соответствующих норм в э той области. Закон (1994:1485). Обязательства контролеров файлов Статья 7 Файлы персональных данных создаю тся и ведутся таким образом, чтобы не допустить вмешательства в частную жизнь. В этой связи принимаются специальные меры для обеспечения того, ч тобы: 1) файл велся с определенной целью; 2) файл не содержал информации, не совместимой с его целями;
3) соответствующие органы не продавали данные без согласия субъектов данных, за исключением случаев, когда такая продажа разрешена в соответствии с законом или по дзаконными актами или по специальному решению правительства; 4) данные не приобретались, не раскрывались и не использовались иным образом, не совместимым с целями файла или с положениями законодательных или подзаконных актов, или без согласия субъектов данных; 5) данные файла были защищены от случайного или несанкционированного уничтожения, а также о т несанкционированного изменения или распространения. Персональные идентификационные номера могут фигурировать в файлах персональных данных лишь в тех случаях, когда это явно уместно с учетом целей файла, необ ходимости правильной идентификации или по другим веским причинам. Персональные идентификационные номера могут фигурировать в компьютерных распечатках лишь в тех случаях, когда на э то есть особые причины. Закон (1991:187). Статья 7а Контролеры файлов веду т постоянно обновляемый список файлов персональных данных, за ко торые они отвечают. Это т список содержит следующую информацию: 1) наименование каждого файла; 2) его назначение; 3) помещение, где обычно осуществляется автоматическая обработка данных; 4) номер лицензии, выданной контролеру файлов Комиссией по проверке данных; 5) раскрываю тся ли персональные данные для их автоматической обработки за границей; 6) фигурируют ли в файлах персональные идентификационные номера; Органы, уполномоченные продавать персональные данные, в э том списке также указывают, согласны ли субъекты данных на такую продажу, а также соответствующий раздел закона или подзаконного акта или особое решение правительства, санкционирующее такую продажу. Список предоставляется Комиссии по проверке данных по ее требованию. Когда контролер файлов направляет документ, содержащий данные из файла персональных данных, субъекту данных, в сообщении
указывается о тправитель или номер лицензии, выданной контролеру файлов Комиссией по проверке данных. Положения настоящей статьи не распространяются на файлы персональных данных, ко торые ведутся отдельными лицами исключительно в личных целях, а также на файлы, переданные ар хивному органу. Закон (1991:187). Статья 8 Если есть основания по дозревать, что данные, со держащиеся в файле персональных данных, являю тся неточными или вво дящими в заблуждение, контролер файлов незамедлительно организует соответствующее расследование. Неточные или вво дящие в заб луждение данные исправляю тся, изменяю тся или изымаются, если только это не создает опасности вмешательства в частную жизнь. В тех случаях, когда данные, которые были исправлены, изменены или изъяты, раскрываю тся лицу помимо субъекта данных, контролер файлов уведомляет получателя об исправлениях, изменениях или изъятиях по просьбе субъекта данных или если существует опасность вмешательства в частную жизнь. Когда субъект данных сообщает, что он подозревает, что касающиеся его персональные данные являются неточными или вво дящими в заблуждение, его уведомляю т о мерах, принятых в э той связи. Контролер файлов назначает о дного или нескольких лиц для оказания помощи субъектам данных, по дозревающим, что касающиеся их персональные данные являю тся неточными или вво дящими в заблуждение, и для их уведомления в соответствии с пунктом (3) информация об именах лиц, назначенных для этих целей, носит открытый характер. Положения настоящей статьи не распространяю тся на файлы, переданные ар хивному органу. Комиссия по проверке данных может освободить контролеров файлов от обязательств, закрепленных в настоящей статье. Закон (1987:990). Статья 9 Если файлы персональных данных со держат информацию, которая является явно неполной с точки зрения целей файла, или если в ф айлах персональных данных, состоящих из перечней лиц, отсу тствует лицо, которое с учетом целей файла должно быть в него включено, контролер файлов при необ хо димости дополняет файл. Такое дополнение производится в обязательном порядке, если неполные данные могут повлечь за собой вмешательство в частную жизнь или потерю прав. Статья 10
Контролер файлов по запросу того или иного лица незамедлительно уведомляет его о любой касающейся его информации, содержащейся в файле персональных данных, или, в зависимости о т обстоятельств, о том, что файл не содержит такой информации. Такой запрос направляется в письменном виде и подписывается лично просителем. Предоставление запрошенной информации избавляет контролера файлов на двенадцать месяцев от необхо димости направлять соответствующему лицу новое уведомление. В тех случаях, когда тот или иной орган уполномочен продавать данные из файлов, уведомление сопровождается заявлением о том, что данные проданы с со гласия субъектов данных, или ссылкой на закон или подзаконный акт, или особое решение правительства, санкционирующее такую продажу. Уведомления, упомянутые в части первой, направляю тся бесплатно. Однако в отношении некоторых категорий персональных данных или когда проситель ставится в известность о том, что файл не содер жит никаких касающихся его персональных данных. Комиссия по проверке данных может разрешить взимание платы при наличии на то особых оснований. Действие части первой не распространяется на информацию, содержащуюся в файлах персональных данных, переданных на хранение в архив, а также на другую информацию, раскрытие которой субъектам данных запрещено законодательными или административными актами или решением того или ино го органа, принятым в соответствии с такими актами. Статья 11 Информация, содержащаяся в файлах персональных данных, не подлежит раскрытию , если она может быть использована для целей автоматической обработки данных, про тиворечащих по ложениям настоящего Закона. Если есть основания предполагать, что персональные данные буду т использоваться для автоматической обработки за границей, доступ к ним может быть предоставлен только с предварительного разрешения Комиссии по проверке данных. Такое разрешение может быть дано только в тех случаях, когда раскрытие данных не влечет за собой вмешательства в частную жизнь. Однако разрешения не требуется в тех случаях, когда персональные данные предназначены для целей автоматической обработки только в государствах, которые присоединились к Конвенции Совета Европы о защите частных лиц в связи с автоматической обработкой персональных данных. В сфере государственного управления вместо этих по ложений применяются положения Закона о секретности (1980:100). Закон (1982:446).
Статья 12 Персональные данные, касающиеся какого-либо субъекта данных, изымаются из файла персональных данных в тех случаях, когда они больше не нужны для целей файла, если то лько это не противоречит законодательным или административным актам или решениям, принятым тем или иным органом в соответствии с такими актами. Это касается также тех случаев, когда контролер файла перестает хранить файл персональных данных. Когда контролер файла перестает хранить файл персональных данных, который он вел с разрешения Комиссии по проверке данных, он уведомляет об этом Комиссию. Это также касается файлов персональных данных, упомянутых в подпункте (1) статьи 2а, если они включают данные, упомянутые в по дпункте (2) статьи 2. Закон (1984:1485). Статья 13 Контролерам файлов или другим лицам, ведущим файлы персональных данных или хранящие данные, собранные для включения в такие файлы, нельзя без соответствующего разрешения раскрывать информацию о личных обстоятельствах того или ино го лица, о которых им стало известно из таких данных. В сфере госу дарственно го управления вместо положений настоящего абзаца применяются положения Закона о секретности (1980:100). В тех случаях, ко гда в соответствии с нормами, принятыми согласно статьям 6 или 18, доступ к персональным данным оговорен условиями, ограничивающими право получателя раскрывать такие данные, получателю или лицу, хранящему такие данные от его имени, нельзя без соответствующего разрешения раскрывать информацию о личных обстоятельствах того или иного лица, о которых ему стало известно из таких данных. Закон (1980:216). Статья 14 Если тот или иной орган власти использует данные, подвергающиеся автоматической обработке, в юридических или административных процедурах, эти данные в четкой и ясной форме прилагаются к соответствующим документам, если только нет особых оснований не делать этого. Надзор Статья 15 Комиссия по проверке данных осуществляет надзорные функции для обеспечения того, чтобы автоматическая обработка персональных данных не влекла за собой вмешательство в частную жизнь.
Надзор осуществляется таким образом, чтобы не вызывать излишних расхо дов или неу добств. Статья 16 В целях осуществления надзорных функций Комиссии по проверке данных предоставляется право доступа в помещения, где осуществляется автоматическая обработка данных или где хранятся компьютеры, оборудование для автоматической обработки данных или сами данны е, которые подвергаю тся автоматической обработке. Кроме того, Комиссия по проверке данных имеет право доступа к документам, касающимся автоматической обработки данных, а также право требовать включения компьютеров. Статья 17 Контролеры файлов предоставляю т Комиссии по обработке данных любую информацию об автоматической обработке данных, запрашиваемую Комиссией в рамках ее надзорных функций. Э то касается также лиц, ведущих файлы персональных данных от имени контролеров файлов. Статья 18 Если ведение личных баз данных влечет или может повлечь за собой вмешательство в частную жизнь, Комиссия по проверке данных может при необходимости принять правила в о тношении определенного файла, касающегося вопросов, упомянутых в статьях 5 или 6, или изменить действующие правила. Что касается файлов, упомянутых в подпункте (1) статьи 2а, Комиссия по проверке данных может принимать меры, указанные в предыдущем предложении, только в том случае, если это не противоречит решению правительства или риксдага. Если обеспечить защиту от вторжения в частную жизнь с помощью других средств не представляется возможным, Комиссия по проверке данных может отдать распоряжение контролеру файлов прекратить ведение то го или иного файла персональных данных или отозвать разрешение, если оно уже выдано. Однако это не касается файлов, упомянутых в по дпункте (1) статьи 2. Несоблюдение правил, изложенных в части первой, и нарушение запрета, установленного в части второй, может повлечь за собой наказание в виде штрафа. Закон (1994:1485). Разрешение Статья 19 Правительство или, ко гда на то имеется соответствующее разрешение правительства, Комиссия по проверке данных может для целей настоящего Закона принимать детальные положения, касающиеся
файлов персональных данных, ко торые часто используются в той или иной области с какой-либо конкретной целью. Закон (1994:1485). Наказание и ущерб Статья 20 Наказание в виде штрафа или тюремного заключения на срок до одного года назначается за следующие правонарушения, совершенные умышленно или по халатности: 1) создание или ведение файлов персональных данных без лицензии или разрешения, если оно требуется в соо тветствии с настоящим Законом; 2) несоблю дение какого -либо правила или запрета, установленного в соответствии со статьями 5, 6 или 18; 3) раскрытие персональных данных в нарушение по ложений статьи 11; 4) несоблюдение положений статьи 12; 5) предоставление ложной информации в связи с выполнением обязательства о предоставлении информации в соответствии со статьей 10; 6) предоставление ложной информации при обстоятельствах, упомянутых в статьей 17; или 7) несоблюдение положений, принятых в соответствии со статьей 19. Лица, выполнившие о тданное распоряжение, за невыполнение которого предусмотрено наказание в виде штрафа в соответствии с частью третьей статьи 18, не могут быть наказаны за правонарушение, которого касается это распоряжение. За правонарушение, совершенное умышленно или по халатности в нарушение положений подпункта (1) или (3) статьи 7, предусматривается наказание в виде штрафа. Закон (1994:1485). Статья 21 Лицо, ко торое без разрешения получает доступ к данным, подвергающимся автоматической обработке, изменяет, изымает или включает такие данные в тот или иной файл, по длежит наказанию в виде штрафа или тюремного заключения на срок до дву х лет за несанкционированный доступ к данным, если только в о тношении такого правонарушения не предусмотрено наказание в соответствии с Уголовным ко дексом или Законом о защите коммерческой тайны (1990:409). Для целей настоящей статьи данные, по двергающиеся автоматической обработке, включают также данные, ко торые передаются с помощью электронных или аналогичных средств с целью автоматической обработки.
За попытку несанкционированного доступа к данным или подго товку к совершению такого правонарушения предусматривается наказание в соответствии с положениями главы 23 Уголовно го кодекса. Однако если правонарушение, в случае его совершения, признано мелким, на него не распространяется действие предыдущего положения. Закон (1990:410). Статья 22 Файлы персональных данных, созданные или ведущиеся без лицензии и разрешения, хо тя для этого в соответствии с настоящим Законом требуется лицензия или разрешение, объявляются незаконными, если только это не является совершенно необоснованным. Это касается также файлов персональных данных, ведущихся в нарушение запрета, установленного в части второй статьи 15. Закон (1982:446). Статья 23 Если субъекту данных причинен ущерб или он терпит убытки вследствие того, что в каком-либо файле персональных данных содержится неточная или вво дящая в заблуждение информация о нем, то компенсацию за причиненный ущерб или понесенные убытки ему выплачивает контролер файла. Если лицу причинен ущерб или оно терпит убытки вследствие правонарушения, упомянутого в пункте (1) статьи 20 или статье 21, то компенсацию за причиненный убыток или ущерб ему выплачивает лицо, виновное в э том правонарушении. При оценке наличия и размеров ущерба или убытков, упомянутых в настоящей статье, учитываются человеческие страдания и обстоятельства, не имеющие чисто экономического выражения. Закон (1987:990). Статья 24 Если контролер файла или лицо, ведущее файлы персональных данных о т его имени, не обеспечивает доступ в помещения или к документам в соответствии со статьей 16 или не предоставляет информацию в соответствии со статьей 17, Комиссия по проверке данных может отдать распоряжение о наложении штрафа. Это касается также случая, когда контролер файлов не выполняет обязательств, возложенных на него в соответствии с пунктом (2) статьи 7а и статьями 8, 9 и 10. Закон (1982:446). Статья 25 Апелляции на решения, принятые Комиссией по проверке данных в соответствии с настоящим Законом, могут подаваться в су д по общим административным делам. Однако когда контролером файлов является государственное учреждение, апелляции на такого рода решения подаются в правительство.
Исхо дя из государственных интересов, апелляцию на решение, принятое в соответствии с настоящим Законом, может подать министр юстиции. Если соответствующий орган, являющийся контролером файла, отклоняет запрос о предоставлении информации, сделанный в соответствии со статьей 10, апелляция на это решение может быть подана в соответствии с той же процедурой, что и для решения соответствующего органа отклонить запрос о предоставлении доступа к записям публичного характера. Для целей настоящей статьи такими органами в пределах, указанных в статьях 8 и 9 главы 1 Закона о секретности (1980:100), считаю тся также другие органы. Разрешение на апелляцию испрашивается до подачи апелляции на распоряжение о наказании в виде штрафа или распоряжение об уп лате штрафа в апелляционный суд по административным делам. Закон (1994:1485). Шведский демографический и ад ресный реестр Статья 26 Шведский демографический и адресный реестр (ШДАР) был создан в целях, указанных в настоящем разделе. Реестр ведется с помощью средств автоматической обработки данных. Данные, содержащиеся в ШДАР, использую тся для: 1) обновления, дополнения и проверки данных, со держащихся в других файлах персональных данных; 2) дополнения и проверки других персональных данных; 3) проведения выборок персональных данных. ШДАР может использоваться соответствующими органами, частными структурами и отдельными лицами. Закон (1980:1074). Статья 27 Данные для ШДАР берутся из национальных файлов персональных данных, которые испо льзуются для целей регистрации населения и начисления по до ходного и поимущественно го налога. Такие данные могут быть сопровождены примечанием о том, что частное лицо не желает, ч тобы на его адрес поступала рассылаемая по почте коммерческая реклама. Статья 28 Лицо, запрашивающее для целей, указанных в по дпунктах 1 и 3 (2) статьи 26 такую информацию из файла персональных данных какого -либо органа, ко торая может быть предоставлена через ШДАР, отсылается к этому реестру.
Положения части первой не ущемляю т права налогового органа разрешать соответствующим органам, чья деятельность ограничена конкретным районом, пользоваться файлами, хранящимися в налоговом органе и касающимися населения этого района, за исключением файлов, упомянутых в Законе о демографическом реестре (1990:1536). Правительство или, ко гда на то имеется соответствующее разрешение правительства, Комиссия по проверке данных может предусмотреть, ч то файлы персональных данных государственного органа могут использоваться другим органом для целей, упомянутых в подпункте 1 статьи 26. Положения настоящего раздела не влекут за собой никаких ограничений в отношении обязательств соответствующего органа, возлагаемых на него в соответствии с положениями Закона о свобо де печати, касающимися свободы доступа к записям публичного характера. Закон (1991:491).
Законод ательс тво Франции ЗАКОН № 78-17 ОТ 6 ЯНВ АРЯ 1978 ИНФ ОРМАТИКЕ, КАРТОТЕКАХ И СВОБОДАХ
ГОДА
ОБ
Принят Национальной Ассамблеей и Сенатом Президент Республики ратифицирует следующий закон: Глава I Принципы и определения Статья 1 Автоматизированная обработка информации должна служить интересам каждо го гражданина. Ее развитие должно происхо дить в рамках международного сотрудничества. Она не должна наносить ущерб личности, правам человека, частной жизни, личным и общественным свободам. Статья 2 Никакое судебное решение, связанное с оценкой поступка человека, не может основываться на результатах автоматизированной обработки информации, характеризующей биографические данные или личность субъекта персональных данных. Никакое административное или частное решение, даю щее оценку поведения человека, не может иметь в качестве единственного основания автоматизированную обработку информации, характеризующей биографические данные или личность это го человека. Статья 3 Каждый имеет право узнать и оспорить информацию и выводы, полученные с помощью автоматизированной обработки информации, результаты которой направлены против него. Статья 4 В настоящем Законе под “персональными данным и” понимаются сведения, позво ляющие в любой форме, прямо или косвенно, идентифицировать физическое лицо, к которому эти сведения относятся и обработка которых производится физическим или юридическим лицом. Статья 5 В настоящем Законе под “автоматизированно й обработкой персональных данных” понимаются любые операции, произведенные автоматическими средствами, связанные со сбором, регистрацией, обработкой, изменением, хранением и уничтожением персональных данных, а также любые операции такого же рода, связанные с
использованием карто тек или баз данных, содержащих персональные данные, и, особенно, сети связи. Глава II Национальная комиссия по информатике и свободам Статья 6 Настоящим Законом учреждается Национальная комиссия по информатике и свободам. Комиссия должна следить за испо лнением положений настоящего Закона, информировать заинтересованных лиц об их правах и обязанностях, контролировать использование средств автоматизации при обработке персональных данных. В этой связи Комиссия располагает нормативными полномочиями в случаях, предусмотренных настоящим Законом. Статья 7 Средства, необ ходимые Национальной комиссии для исполнения ее обязанностей, включены в бюджет Министерства юстиции. Для их учета не применяются положения закона о т 10 августа 1922 года о ф инансовом контроле. Расхо ды Комиссии нахо дятся под контролем Счетной палаты. Тем не менее, расходы, связанные с исполнением некоторых функций Комиссии, предусмотренных статьями 15, 16, 17 и 24 настоящего Закона, подлежат налогообложению. Статья 8 Национальная комиссия по информатике и свободам является административно независимым органом. В нее вхо дят семнадцать ч ленов, назначенных на пять лет или на время действия их мандатов: - два депу тата и два члена Сената, избранных соответственно Национальным собранием и Сенатом; - два члена Экономического и Социального совета, избранных Советом; - два члена или бывших члена Государственного Совета, один из которых должен иметь ранг не ниже советника, избранных Генеральной ассамблеей Государственного Совета; - два ч лена или бывших ч лена Кассационной палаты, один из которых должен иметь ранг не ниже советника, избранных Генеральной ассамблеей Кассационной палаты; - два члена или бывших члена Счетной палаты, один из ко торых должен иметь ранг не ниже советника, избранных Генеральной ассамблеей Счетной палаты;
- два специалиста по информационным системам, назначенных декретами по рекомендациям соответственно председателя Национально го собрания и председателя Сената; - три специалиста, компетентных в области информации, назначенных декретом Совета министров. Комиссия избирает из своих ч ленов на пять лет председателя и дву х его заместителей. Комиссия принимает свой вну тренний регламент. В случае равного разделения голосов председатель обладает решающим голосом. Если в период исполнения мандата председатель или член Комиссии прекращает свои полномочия, срок полномочий его последователя ограничен периодом, оставшимся до конца мандата первого. Статус ч лена Комиссии не совместим: - со статусом члена Правительства; - с владением или работой на предприятиях, занимающихся производством оборудования, использующегося при обработке информации и в телекоммуникациях, или обслуживаю щих информационные системы и телекоммуникации. В каждом случае несовместимость устанавливается Комиссией. Помимо отставки, исполнение обязанностей членом Комиссии может быть прекращено только в случае нарушений, зафиксированных Комиссией в установленном ею порядке. Статья 9 В заседаниях Комиссии участвует Комиссар Правительства, назначенный Премьер-министром. Он может назначать повторное обсуждение вопроса через десять дней после первого. Статья 10 Работу Комиссии обеспечивают подчиненные ей службы, ко торыми руководит председатель Комиссии или уполномоченный им заместитель. Комиссия может поручить председателю или у полномоченному им заместителю исполнять свои полномочия, применительно к статьям 16, 17, 21 (п. 4, 5, 6); 40-13 и 40-14 (Закон № 99-641 о т 27 июля 1999 г, ст. 41). Служащие Национальной комиссии назначаются ее председателем или уполномоченным им заместителем. Статья 11 Комиссия может запросить у Первых председателей Апелляционного суда и председателей Административных судов направить представителя их ведомств, в случае необ ходимости, в сопровождении экспер та для проведения расследований и контроля в своей о бласти.
Статья 12 Члены и служащие Комиссии должны хранить в режиме профессиональной тайны факты, действия и сведения, о которых им стало известно в связи с исполнением их обязанностей, в порядке, предусмотренном (Закон № 92-1336 от 16 декабря 1992 г., ст. 256) статьей 413-10 Уголовно го ко декса. Статья 13 При исполнении своих обязанностей ч лены Национальной комиссии по информатике и свободам не получают у казаний ни от каких органов власти. Специалисты по информации, вызванные Комиссией для дачи разъяснений или свидетельских по казаний, освобождаю тся от соблюдения тайны. Глава III Предварительные данных
замечания
о
предварительной
обработке
Статья 14 Национальная комиссия по информатике и свободам следит за тем, чтобы государственная или частная автоматизиро ванная обработка персональных данных строго соответствовала нормам настоящего Закона. Статья 15 Автоматизированная обработка персональных данных по запросу государства, государственного учреждения, общественного объединения, административно-территориального образования или юридического лица, выполняющего общественную работу, может осуществляться то лько при вынесении Национальной комиссией по информатике и свободам нормативного акта, за исключением случаев, разрешенных Законом. Неблагоприятное решение Комиссии может быть обжаловано то лько декретом Государственного Совета или, если речь идет о запросе административно-территориального образования, - решением его выборного органа, одобренным соответствующим декретом Государственного Совета. Если по истечении дву хмесячного срока, продлеваемого один раз, решение не принято, оно признается благоприятным. Статья 16 Автоматизированная обработка персональных данных за счет лиц, не подпадаю щих под действие статьи 15, осуществляется после выдачи лицензии Национальной ком иссии по информатике и свободам.
Лицензия со держит обязательство, что обработка данных будет соответствовать требованиям закона. Немедленно по получении уведомления Комиссии о выдачи лицензии держатель массива может начать обработку данных, не освобождаясь при этом от ответственности. Статья 17 Для наиболее распространенных систем обработки данных частного или пуб личного характера, ко торые не затрагиваю т частную жизнь и свободу, Национальная комиссия по информатике и свободам утверждает и публикует упрощенные нормы, руководствуясь характеристиками, перечисленными в статье 19. Для обработки данных, о твечающей этим нормам, существует упрощенная форма лицензии, соответствующая каждой из э тих норм. Кроме случаев особого решения Комиссии, уведомление о выдаче лицензии направляется незамедлительно. С момента получения уведомления, держатель массива может осуществлять обработку данных, при этом не освобождаясь о т ответственности. Статья 18 Использование Национального реестра идентификации физических лиц для осуществления обработки персональных данных разрешается декретом Государственного Совета, изданным с учетом рекомендаций Комиссии. Статья 19 Заявление на получение лицензии должно включать сведения: - о заявителе, лице, инициирующем обработку данных, или, если оно постоянно проживает за границей, о его представителе во Франции; - о характеристиках, цели и названии системы обработки данных (если оно существует); - об организации, осуществляющей обработку данных; - о категориях лиц, имеющих доступ к зарегистрированным данным в связи с исполнением служебных обязанностей; - об обрабатываемых персональных данных, их происхождении и сроке их хранения, об их заказчиках или категориях заказчиков, имеющих право получить э ти данные; - об анализе, объединении, любых формах обр ащения э тих данных, включая их передачу третьим лицам; - о мерах, принятых для обеспечения безопасности систем обработки данных и гарантии со хранения тайны, предусмотренной Законом; - предназначены ли результаты обработки данных для обращения во Франции или за рубежом в какой бы то ни было форме.
Любые изменения вышеперечисленных сведений или отказ от обработки данных должны сообщаться Комиссии. Заявления на получение лицензии на автоматизированную обработку персональных данных в интересах государственной и общественной безопасности могут не содержать неко торых из вышеперечисленных сведений. Статья 20 Нормативный акт, предусмотренный для обработки данных, определяемых статьей 15, должен включать сведения: - о названии и цели обработки данных; - о службе, обеспечивающей право доступа, определенное в главе V настоящего Закона. - об обработанных персональных данных, их происхождении и сроке их хранения, об их заказчиках или категориях заказчиков, имеющих право получать э ти данные. Государственный Совет может издавать декреты, запрещающие публикацию нормативных актов, касающихся обработки данных в интересах государственной и общественной безопасности. Статья 21 Для испо лнения функции контроля Комиссия: 1) принимает индивидуальные решения или нормативные акты в случаях, предусмотренных Законом; 2) специальным решением может поручить своим членам или служащим, в случае необхо димости, при помощи экспертов осуществлять контроль за ходом обработки на месте, используя любые сведения и документы, необ ходимые для их работы; 3) издает в случае необ ходимости типовые регламенты для обеспечения безопасности систем; в случае чрезвычайных обстоятельств, Комиссия может предписать меры безопасности, впло ть до уничтожения материального носителя информации; 4) посылает предупреждения заинтересованным лицам и сообщает в Прокуратуру о ставших ей известными правонарушениях в соответствии со статьей 40 Уго ловного кодекса; 5) следит, ч тобы порядок применения Закона и поправок, указанный в актах и декларациях, предусмотренных статьями 15 и 16, не препятствовал свободному исполнению Закона; 6) получает про тесты, хо датайства и жалобы; 7) следит за промышленным развитием в информатике. Министры, представители государственной власти, руководители частных или государственных предприятий, о тветственные за массивы данных, владельцы и по льзователи баз персональных данных не могут
препятствовать деятельности Комиссии или ее членов по какой бы то ни было причине и, наоборот, должны принимать все необ ходимые меры для облегчения ее задачи. Статья 22 Комиссия обнародует список систем обработки данных, включающий следующие сведения о каждой из них: - закон или нормативный акт с датой его принятия или вступления в силу, разрешающий обработку данных; - название и цель обработки данных; - служба, обеспечивающая право доступа, определенное в главе V настоящего Закона. - категории внесенных в список персональных данных, получатели или категории получателей, имеющих право получать эти данные. Комиссия в порядке, предусмотренном декретом, обнародует решения и рекомендации, знание ко торых по лезно для применения и толкования Закона. Статья 23 Ежегодно Комиссия представляет Президенту республики и парламенту отчет о своей деятельности. Отчет публикуется. Отчет должен описывать процедуру и методы работы Комиссии и содержать приложение, в которое входит информация об организации комиссии и ее служб, для об легчения связи между Комиссией и общественностью . Статья 24 Любая трансграничная передача персональных данных, являющихся объектом автоматизированной обработки, осуществляемая по рекомендации или предложению Комиссии, регламентируется статьей 16. Она может нуждаться в предварительном получении лицензии или осуществляется в порядке, установленном декретом Государственного Совета с целью обеспечения уважения к принципам нас тоящего Закона. Глава IV Сбор, регистрация и хранение персональных д анных Статья 25 Сбор данных мошенническими и незаконными средствами запрещен. Статья 26 Каждое физическое лицо имеет право не давать согласие на то, чтобы персональные данные о нем стали предметом обработки. Это право не распространяется на виды обработки данных, указанных в нормативном акте, предусмотренном статьей 15.
Статья 27 Субъекты персональных данных должны быть информированы: - об обязательном и необязательном сообщении своих пер сональных данных; - о последствиях о тказа сообщить свои персональные данные; - о физических и юридических лицах, запросивших данные; - о существовании права доступа и внесения изменений в данные. Анкеты для сбора данных должны содержать упоминание об этих предписаниях. Эти предписания не распространяются на данные, необ ходимые для выявления правонарушений. Статья 28 (измененная Зако ном № 2000-321 от 12 апреля 2000 г., статья 5.1) 1. По истечении срока, необ хо димого для достижения целей сбора и обработки данных, персональные данные могут храниться только в случае их обработки в исторических, статистических и научных целях. Кроме того, данные могут храниться и использоваться в случаях, предусмотренных статьей 4-1 закона № 79018 о т 3 января 1979 го да об архивах. 2. Со храненные данные, кроме указанных в статье 31, не могут стать объектом обработки в целях, помимо исторических, статистических и научных, если э та обработка не согласована с субъектами персональных данных или если она не проводится в общественных интересах или в интересах субъектов данных согласно декрету Государственного Совета, принятому по рекомендации Комиссии. Статья 29 Лица, производящие обработку персональных данных, в интересах субъектов персональных данных до лжны принять все необ хо димые меры предосторожности для обеспечения безопасности данных и, в частности, предотвращения искажения, ущерба, несанкционированной передачи данных третьим лицам. Статья 29-1 (включенная Зако ном № 2000-321 от 12 апреля 2000 года, статья 5.2) Положения настоящего Закона не препятствуют применению в интересах третьих лиц положений первой главы закона № 78 -753 о т 17 июля 1978 года, касающихся различных мер улучшения отношений между администрацией и обществом, различных распоряжений административного, социального и нало гового характера и положений главы II вышеупомянутого Закона № 79018 о т 3 января 1979 года.
Исхо дя из этого, согласно статье 29, третьим лицом не может быть лицо, не об ладающее правом доступа к административным до кументам и публичным массивам, определенным соответственно вышеупомянутым Законом № 78-753 от 17 июля 1978 го да и вышеупомянутым Законом № 79-18 о т 3 января 1979 го да. Статья 30 По соответствующему распоряжению Национальной комиссии помимо судебных инстанций и органов государственной власти, действующих в рамках своих прямых обязанностей, автоматизированную обработку данных, касающихся правонарушений, приговоров и мер безопасности, могут осуществлять физические лица, выполняющие общественную работу. С момента создания ар хива водителей, предусмотренного Законом № 70-539 от 24 июня 1970, страхо вые компании обязаны под контролем Комиссии производить обработку данных, упомянутых в статье 5 вышеуказанного закона и касающихся лиц, указанных в последнем параграфе вышеупомянутой статьи. Статья 31 Запрещено хранить в памяти компьютера личные данные, касающиеся прямо или косвенно расового происхождения, политических, философских или религиозных убеждений, профессиональной принадлежности (Закон № 9201336 о т 16 декабря 1992 года, ст. 257) или “нравственной” характеристики субъекта, за исключением случаев, предусмотренных в соглашении с субъектом персональных данных. При этом церкви, религиозные, философские, политические и профессиональные сообщества могут иметь списки своих членов или корреспондентов в автоматизированной форме. Эти списки не могут быть подвержены какому-либо контролю. Кроме того, в государственных интересах специальным распоряжением Государственного Совета по предложению или рекомендации Комиссии могут делаться исключения из вышеуказанных запретов. Статья 32 (отменена Законом № 88-227 от 11 марта 1988 года, ст. 13). Статья 33 Распоряжения статей 24, 30 и 31 не распространяются на персональные данные, обрабатываемые органами печатной и аудиовизуальной прессы в соответствии с законами, регламентирующими их деятельность и в случаях когда их применение может ограничить свободу слова. Статья 33-1
(включена Законо м № 2000-321 от 12 апреля 2000 года, ст. 5.3) Изменения применения настоящей главы зафиксированы декретом Государственного Совета, принятым по рекомендации Комиссии. Глава V Осуществление права доступа Статья 34 Каждый, подтвер дивший свою личность, имеет право обращаться в службы и организации, произво дящие автоматизированную обработку данных, список ко торых общедоступен в соответствии со статьей 22, для выяснения, осуществляется ли обработка его персональных данных, и при необхо димости по лучать э ти данные. Статья 35 Обладатель права доступа может получать уведомление об использовании его персональных данных. Уведомление должно быть ясно изложено и до лжно соответствовать со держанию записей. Уведомление выдается обладателю права доступа после уплаты заранее установленной пошлины в зависимости от категории обработки данных, размер ко торой определяется решением Комиссии и подтверждается постановлением министра экономики и финансов. Вместе с тем, Комиссия по причинам, обоснованным обладателем массива данных, может предоставить ему: - право на о тсрочку ответа; - право не отвечать некоторым просителям, очевидно злоупотребляющим количеством запросов или их систематическим повторением. При возникновении подозрения об утаивании или исчезновении данных, упомянутых в первом абзаце настоящей статьи, до начала судебного расследования возможно обращение к компетентному судье для принятия мер во избежание у таивания или исчезновения данных. Статья 36 Обладатель права доступа может потребовать, чтобы неточные, неполные, ошибочные, устаревшие данные или данные, сбор, использование, передача или хранение ко торых запрещено, были исправлены, дополнены, у точнены, раскрыты или стерты. По запросу субъекта персональных данных уполномоченные службы или органы до лжны немедленно выдать копию измененных данных. В случае спорной ситуации обязанность предоставления доказательств лежит на службе, обеспечивающей право доступа, за
исключением случаев, когда установлено, ч то спорные данные сообщены субъектом персональных данных или с его согласия. После получения обладателем права доступа измененных по его требованию данных ему возмещается пошлина, уплаченная в соответствии со статьей 35. Статья 37 Массив персональных данных до лжен дополняться и исправляться незамедлительно, если организации-обладателю массива становится известно о неточностях или неполно те персональных данных, содержащихся в нем. Статья 38 Если данные были переданы третьему лицу, ему должно быть сообщено об их исправлении или уничтожении, кроме исключений, одобренных комиссией. Статья 39 Что касается обработки данных, имеющих отношение к государственной безопасности, обороне и общественной безопасности, запрос направляется уполномоченному члену Комиссии - действующему или бывшему члену Государственного Совета, Кассационного суда или Счетной палаты для проведения необ ходимых расследований и внесения необхо димых изменений. Он может назначить себе помощника из служащих Комиссии. Проситель уведомляется о проведенной проверке. Статья 40 Если осуществление права доступа касается сведений медицинского характера, они могут быть переданы субъекту персональных данных только медицинским работником, уполномоченным Комиссией. Глава V-А Автоматизированная обработка персональных д анных с целью исследований в области зд равоохранения (Закон № 94-548 от 1 июля 1994 го да, ст. 1) Статья 40-1 Автоматизированная обработка персональных данных с целью исследований в области здравоо хранения осуществляется в соответствии с положениями настоящего Закона, за исключением статей 15, 16, 17, 26 и 27. Положения настоящей главы не распространяются на обработку данных, имеющую целью личный терапевтический или медицинский контроль за пациентом. Это же относится к обработке данных с целью
исследования на основе таких данных, если э ти исследования проводятся лицами, осуществляющими такой контроль, и предназначены то лько для эксклю зивного испо льзования. Статья 40-2 По каждому запросу об осуществлении обработки данных Консультативный комитет по обработке данных в области здравоо хранения, учрежденный министром и состоящий из лиц, компетентных в области здравоо хранения, эпидемиологии, генетики и биостатистики, составляет предварительное мнение для Национальной комиссии по информатике и свободам о методо логии исследования с точки зрения настоящего Закона, необ хо димости испо льзования персональных данных и их соответствия цели исследования. Консультативный комитет для составления мнения имеет в своем распоряжении месяц. По истечении срока мнение признается благоприятным. При необ ходимости срок может быть сокращен до дву х недель. Президент Консультативно го комитета может испо льзовать упрощенную процедуру. Осуществление обработки данных находится под контролем Национальной комиссии по информатике и свободам, ко торая располагает сроком в два месяца для вынесения решения. По истечении этого срока решение считается благоприятным. Статья 40-3 Несмотря на требования защиты профессиональной тайны лица, работающие в области здравоо хранения, могут использовать персональные данные, имеющиеся в их распоряжении для автоматизированной обработки данных в соответствии со статьей 40 -1. Если э ти данные позволяют идентифицировать личность, необ ходима их кодировка перед передачей. Э то требование может нарушаться, если речь идет о данных, связанных с возможным вредным воздействием лекарств, или о протоколах совместных национальных или международных исследований; кроме того, это требование может нарушаться, если того требует специфика исследования. [Заявление о лицензии на исследование до лжно содержать научное и техническое обоснование исключения и указание срока, необхо димого для проведения исследования. По истечении этого срока данные хранятся и используются в порядке, предусмотренном статьей 28. (Изменение внесено законом № 2000-321 о т 12 апреля 2000 го да, ст. 5.4)]. Представленные результаты обработки не должны позво лить осуществить прямую или косвенную идентификацию лиц, чьи данные были использованы.
Данные получаются лицами, ответственными за исследование, назначенными физическими или юридическим лицами, получившими лицензию на проведение обработки данных. Ответственное лицо следит за безопасностью данных и их обработки и за соответствием исследования поставленным целям. Лица, осуществляющие обработку данных и имеющие доступ к этим данным, несут ответственность за несоблю дение профессиональной тайны согласно ст. 226-13 Уго ловного кодекса. Статья 40-4 Каждый гражданин имеет право отказать в использовании его персональных данных для исследований, упомянутых в статье 40-1. В случаях, когда в исследовании необ ходимо использование биологических анализов, позволяю щих идентифицировать личность, до начала обработки данных должно быть получено согласие на то субъекта персональных данных. Данные, касающиеся умерших, включая данные, фигурирующие в свидетельстве о смерти, могут быть использованы в обработке данных за исключением случаев, когда при жизни умершим было оформлено запрещение на их испо льзование. Статья 40-5 Субъекты персональных данных до начала их обработки до лжны быть осведомлены: 1) о характере собранных данных; 2) о цели обработки данных; 3) о физических или юридических лицах, для кого предназначаю тся данные; 4) о праве доступа и исправлений в соответствии с главой V; 5) о праве опровержения в соответствии с первым и третьим абзацами статьи 40-4 и об обязательном получении их согласия на обработку в соответствии со вторым абзацем этой статьи. О данных такого рода могут не осведомляться больные, которые по причинам, обоснованным врачом, не знают о своем диагнозе или неблагоприятных прогнозах. Если первоначально данные были собраны не в целях их автоматической обработки, субъекты персональных данных могут не осведомляться об их обработке в случаях, ко гда невозможно определить их местонахождение. Исключения из требования информировать субъектов об обработке их персональных данных зафиксированы в образце запроса к Национальной комиссии по информатике и свободам о лицензии на обработку данных. Статья 40-6
В случаях, ко гда данные касаются несовершеннолетних или лиц, официально находящихся по д опекунством, правами, предусмотренными в статьях 40-4 и 40-5, обладают соответственно их родители или опекуны. Статья 40-7 Учреждения, осуществляю щие профилактическую, диагностическую или попечительскую деятельность и обладающие персональными данными, обработка которых подпадает по д действие статьи 40 -1, должны быть осведомлены о положениях настоящей статьи. Статья 40-8 Нарушение условий, предусмотренных настоящей статьей, при автоматической обработке данных влечет за собой временное или окончательное изъятие лицензии на обработку данных в соответствии со статьей 40-2. Эти же меры применяются в случае отказа подчиняться контролю, предусмотренному вторым абзацем статьи 21. Статья 40-9. Трансграничная передача незакодированных персональных данных для автоматизированной обработки, имеющей целью исследование в области здравоо хранения, возможна то лько в случаях, предусмотренных статьей 40-2, если законодательство государства, ку да передаются данные, предусматривает защиту данных, соответствующую французскому законодательству. Статья 40-10 Изменения в применении настоящей статьи устанавливаю тся декретом Государственного Совета. Глава V-Б Автоматизированная обработка персональных д анных с целью анализа и развития профилактической и попечительской деятельности (Закон № 99-641 от 27 июля 1999 го да о всеобщем медицинском страховании) Статья 40-11 В э той статье предусматриваю тся условия, необ хо димые для разрешения обработки персональных данных о здоровье с целью развития профилактической и попечительской деятельности. Обработка персональных данных о состоянии здоровья с целью оценки медицинских и медико-профилактических услуг разрешена при соблюдении условий, сформулированных в настоящей статье. Положения настоящей статьи не могут быть применены к обработке персональных данных,
произведенных с целью возмещения расходов на медицинские услуги или с целью проверки организаций, ответственных за осуществление базового режима1 медицинского страхо вания. Эти положения также не могут быть применены к обработке данных, производимой в лечебных и здравоо хранительных учреждениях о тветственными за медицинскую информацию сотрудниками, в условиях, предусмотренных во втором параграфе статьи L. 710-6 Кодекса о здоровье населения. Статья 40-12 Данные из информационных систем, являющиеся предметом статьи L. 710-6 Кодекса о здоровье населения, и данные, содержащиеся в медицинских досье, составленных в рамках индивидуальной медицинской и медико-профилактической деятельности2, а также данные, содержащиеся в информационных системах Касс Медицинского Страхования, могут быть представлены для оценки и анализа то лько в виде обобщенных статистических показателей, либо же в виде данных по каждому больному, но в такой форме, чтобы личность больного не могла быть идентифицирована. Положения предыдущего параграфа могут быть нарушены лишь с разрешения Национальной Комиссии по информатике и свободам в условиях, предусмотренных в статьях 40-13, 40-14 и 40-15. В этом случае используемые данные не содержат ни фамилий, ни имен физических лиц, ни также их регистрационных номеров из Национально го регистра3. Статья 40-13 По каждому запросу Комиссия проверяет гарантии, представленные просителем применительно к настоящим распоряжениям. Комиссия проверяет необхо димость использования персональных данных и соответствие заявленной цели обработки развитию и анализу профилактической и попечительской деятельности. Комиссия проверяет, чтобы персональные данные, разрешение на обработку которых запрашивается, не содержали имени, фамилии заинтересованных лиц, их идентификационный номер по национальному реестру идентификации физических лиц. Кроме того, если проситель не предоставляет достаточных оснований для получения определенных персональных данных для обработки, Комиссия может запретить выдачу этих данных организацией-обладателем массива и разрешить обработку сокращенных данных. Комиссия определяет длительность хранения данных, необхо димых для обработки, и устанавливает требования к обеспечению безопасности и гарантии со хранения тайны в соответствии с законом. Статья 40-14 По получении запроса Комиссия располагает сроком в два месяца (с правом продления один раз) для выдачи лицензии. В отсутствии отказа по
истечении этого срока решение считается благоприятным. Изменения порядка по лучения лицензии определяются декретом Государственного Совета. По запросам об обработке данных с одинаковыми целями, об идентичных категориях запрашиваемых данных или о т одних и тех же заявителей Комиссия может принять только одно решение. Статья 40-15 Обработка данных, осуществляемая в соответствии со статьями 40-13 и 40-14, не может использоваться для поиска или идентификации граждан. Лица, осуществляющие обработку данных или имеющие доступ к этим данным и результатам их обработки, несут о тветственность за несоблюдение профессиональной тайны согласно ст. 226-13 Уголовного кодекса. Резу льтаты обработки таких данных могут стать объектом передачи, публикации и распространения только в случае, если идентификация лиц, чьи данные обрабатывались, невозможна. Глава VI Уголовное наказание Статья 41 (Закон № 92-1336 от 16 декабря 1992 года, ст. 258) Наказание за нарушения распоряжений настоящего Закона предусмотрено статьями 226-16-226-24 Уголовного кодекса. Статья 42 (Закон № 92-1336 от 16 декабря 1992 года, ст. 259) Использование данных Национального реестра идентиф икации физических лиц без лицензии, предусмотренной статьей 18, наказуемо пятью го дами тюремного заключения и штрафом в размере 2 000 000 франков. Статья 43 (Закон № 92-1336 от 16 декабря 1992 года, ст. 260) Воспрепятствование деятельности Национальной ком иссии по информатике и свободам наказуемо годом тюремного заключения и штрафом в размере 100 000 франков за: 1. воспрепятствование контролю, осуществляемому Комиссией; 2. о тказ сотрудничать с ее членами, уполномоченными или магистратами и предоставлять в ее распоряжение необходимые для ее работы документы, сокрытие таких документов или их уничтожение; 3. испо льзование документов, не занесенных в запрос или невнятно сформулированных. Статья 44 (отменена Законом № 9201336 от 16 декабря 1992 года, ст. 261)
Глава VII Различные положения Статья 45 (изменена Законом № 2000-321 от 12 апреля 2000, ст. 5.5) Положения статей 25, 27, 28, 29-1, 30, 31, 32 и 33, связанных со сбором, регистрацией и хранением персональных данных, применимы и к неавтоматизированным или немеханизированным карто текам, кроме тех, использование ко торых связано с соблюдением права на неприкосновенность частной жизни. Первый абзац статьи 26 применим к тем же массивам, за исключением государственных ар хивов, у казанных в нормативном акте. Каждый гражданин имеет право делать запросы в службы и организации, имеющие в своем распоряжении картотеки, у казанные в первом абзаце настоящей статьи, с целью получить сведения о наличии в них персональных данных такого рода. Обладатель права доступа имеет право получить уведомление об этих данных; он может требовать применения трех первых абзацев статьи 36 настоящего Закона, связанной с правом опротестования. Кроме того, применяются положения статей 37, 38, 39 и 40. Условия применения права доступа и опротестования фиксируются декретом Государственного Совета; это т декрет может предусматривать взимание пошлины за предоставление копий э тих данных. Правительство по рекомендации Национальной комиссии по информатике и свободам декретом Государственного Совета может постановить, что по ложения настоящего Закона могут в целом или частично распространяться на неавтоматизированные и немеханизированные карто теки или категории карто тек, ко торые сами по себе или при их использовании с автоматизированной карто текой могут представлять опасность для гражданских свобод. Статья 46 Декреты Государственного Совета установят способы исполнения настоящего Закона. Декреты должны приниматься в шестимесячный срок с момента их ратификации. Эти декреты определяю т срок, в ко торый положения настоящего Закона должны вступить в силу. Это т срок не должен превышать два года с момента ратификации вышеуказанного Закона. Статья 47
Настоящий Закон распространяется на Майотт и заморские территории Франции (Закон № 94-548 о т 1 июля 1994 года, ст. 5), за исключением главы V-А. Статья 48 В перехо дный период уже созданные системы обработки данных, подпадаю щие под действие статьи 15, не подчиняются декларированию Национальной комиссии по информатике и свободам в порядке, предусмотренном статьями 16 и 17. Тем не менее, Комиссия может специальным решением потребовать применения статьи 15 и назначить срок, по истечении которого должен быть принят нормативный акт, регламентирующий обработку данных. По истечении дву хгодичного срока с момента ратификации настоящего Закона все системы обработки данных, подпадающие под действие статьи 15, должны о твечать требованиям этой статьи. Настоящий Закон испо лняется как государственный закон. Принят в Париже 6 января 1978 го да. Президент Республики Валери Жискар Дэстэн Премьер-министр Раймон Барр Министр юстиции Алэн Пэйрефит Министр вну тренних дел Кристиан Боннет Министр обороны Ивон Бурж Министр финансов Робер Булан Министр коммунального хозяйства и благоустройства территории Фернан Икар Министр образования Рене Аби Министр промышленности, торговли и ремесла Рене Мо нори Министр труда Кристиан Бейак Министр здравоо хранения и социального страхо вания Симо н Вей
Законодательство Венгрии ЗАКОН LXIII (1992 г.) О ЗАЩИТЕ ПЕРСОНАЛЬ НЫХ ДАННЫХ И О ПУБЛ ИКАЦИИ ДАННЫХ, ПРЕДСТАВЛ ЯЮЩИХ ОБЩЕСТВ ЕННЫЙ ИНТЕРЕС В соответствии с Конституцией Венгерской Республики пар ламент принимает настоящий Закон на основании базовых принципов, обеспечивающих защиту персональных данных и право доступа к данным, представляю щим общественный интерес: Глава I ОБЩИЕ ПОЛ ОЖЕНИЯ Цель Закона Статья 1 (1) Цель настоящего Закона, если упомянутым в нем законодательством не предусмотрено иное, состоит в том, чтобы гарантировать каждому индивидууму возможность самостоятельно распоряжаться своими персональными данными и обеспе чить всеобщее право доступа к данным, представляю щим общественный интерес. (2) Любое отступление о т буквы настоящего Закона возможно лишь в том случае, если в Законе содержится положение, о днозначно разрешающее таковое о тступление. (3) Любое исключение, разрешенное в соответствии с настоящим Законом, может устанавливаться лишь совокупно для конкретных типов и пользователей персональных данных. Понятия и термины Статья 2 При применении настоящего Закона: (1) Персональные данные: данные, относящиеся к конкретному физическому лицу (далее именуемому “заинтересованное лицо”); выводы, которые могут быть сделаны на основании данных, о тносящихся к заинтересованному лицу. Персональные данные со храняют свои вышеупомянутые характеристики в процессе их испо льзования до тех пор, пока может быть прослежена их связь с заинтересованным лицом. (2) Специальные данные: персональные данные, о тносящиеся к а) расовой или национальной принадлежности, национальности или этническому статусу, политическим взглядам или партийной принадлежности, религиозным или иным убеждениям;
б) состоянию здоровья, нездоровым пристрастиям, сексуальной жизни и криминальному прошлому. (3) Данные, представляющие общественный интерес: данные, находящиеся в распоряжении организаций или лиц, выполняю щих законодательно определенные функции государственных или местных либо иных органов власти, и не относящиеся к категории персональных данных. (4) Испо льзование данных: вне зависимости от применяемой процедуры, запись и хранение, обработка и иное использование персональных данных (включая их передачу и опубликование); а также изменение данных и недопущение их дальнейшего использования. (5) Передача данных: предоставление данных в распоряжение третьих сторон. (6) Опубликование: доведение данных до сведения широкой общественности. (7) Распорядители данных: органы или лица, занимающиеся (или обязывающие иных лиц заниматься) деятельностью, упомянутой в пункте 4. (8) Уничтожение данных: видоизменение данных до неузнаваемости с помощью процедуры, делаю щей их восстановление невозможным. (9) Законодательство: настоящий Закон, а также постановления местных органов власти, касающиеся пункта (1) статьи 1, пункта (1) статьи 6, статей 24 и 25, а также пункта (2) статьи 28 настоящего Закона. Глава II ЗАЩИТА ПЕРСОНАЛЬ НЫХ ДАННЫХ Использование персональных д анных Статья 3 (1) Персональные данные могут использоваться: a) при изъявлении заинтересованным лицом своего на то согласия, либо б) на основании закона, либо подзаконного акта местных органов власти, принимаемого для законо дате льно определенной сферы деятельности. (2) Специальные данные могут использоваться: a) при изъявлении заинтересованным лицом своего на то согласия в письменном виде; б) данные, упомянутые в пункте 2а статьи 2, могут использоваться на основании международного соглашения либо закона, принятого в целях обеспечения фундаментальных конституционных прав, либо в интересах
укрепления национальной безопасности, борьбы с преступностью или проведения уго ловных расследований; c) в остальных случаях - в соответствии с положениями действующего законодательства. (3) Опуб ликование данных, представляющих общественный интерес, может осуществляться на основании закона, однозначно определяющего сферу использования таких данных. Во всех остальных случаях для опубликования данных требуется согласие (для специальных данных письменное согласие) заинтересованного лица. В сомнительных случаях предполагается, что заинтересованное лицо не изъявляло своего согласия на опубликование данных. (4) Согласие заинтересованного лица считается выраженным в отношении данных, упомянутых таковым лицом в ходе пуб личного выступления или представленных им для публикации. (5) При возбуждении заинтересованным лицом судебных разбирательств предполагается, что таковое лицо изъявило свое согласие на опубликование соответствующих данных. Заинтересованное лицо должно быть специально уведомлено о данном факте. Статья 4 Если закон не предусматривает исключений, то любые иные интересы, связанные с использованием данных, в том числе данных, представляю щих общественный интерес (статья 19), не могут нарушать прав, относящихся к защите персональных данных, а также права заинтересованного лица на неприкосновенность частной жизни. Использование данных должно быть обусловлено целью их сбора. Статья 5 (1) Персональные дан ные могут использоваться только для достижения определенных целей, обеспечения прав или выполнения обязательств. Каждый этап использования данных до лжен определяться этими целями. (2) Использованию подлежат только те персональные данные, которые необходимы и приемлемы для достижения целей их использования, причем только в той мере и в течение то го времени, которые необ ходимы для достижения названных целей. (3) Общественный интерес может обусловить издание указа об использовании данных на основе обязательно го раскрытия персональной информации. Статья 6 (1) До записи данных заинтересованное лицо до лжно быть уведомлено о том, является ли раскрытие персональной информации добровольным или обязательным. Если оно обязательно, то должна быть
сделана ссылка на соответствующее требование законо дательства об использовании данных. (2) Заинтересованное лицо должно быть проинформировано о целях использования данных и об именах лиц, ко торые будут распоряжаться этими данными. Уведомление требуется и в том случае, если законодательство предусматривает запись данных пу тем их передачи или связывания. Качество д анных Статья 7 (1) Нахо дящиеся в обращении персональные данные до лжны отвечать следующим требованиям: a) их запись и обработка должны осуществляться честно и в соответствии с законом; б) они должны быть точными, полными и, если э то необ ходимо, приведенными в соответствие с новейшими требованиями; в) характер их хранения должен обеспечивать возможность идентификации заинтересованного лица только в течение периода времени, предусмотренного целями хранения. (2) Применение общедоступной и единой идентификационной маркировки, ко торая может использоваться без о граничений, не допускается. Передача данных, связывание различных форм использования данных Статья 8 (1) Данные могут передаваться, а различные формы их использования могут быть связаны между собой, если заинтересованное лицо дает на то свое согласие или если э то разрешено законом, при соблюдении условий использования, установленных для каждой категории персональных данных. (2) Пункт (1) применяется и в о тношении данных, связываемых между собой одним и тем же распорядителем либо государственными и местными органами власти. Передача данных за рубеж Статья 9 Независимо от носителя данных и способов их использования, персональные данные могут передаваться из Венгрии зарубежным распорядителям только с согласия заинтересованного лица или если э то разрешено законом, при соблюдении зарубежным распорядителем условий использования, установленных для каждой категории данных. Безопасность д анных Статья 10
(1) Распорядитель данных обязан обеспечивать безопасность данных, принимать для это го надлежащие меры техническо го и организационного характера, а также устанавливать процедурные правила, необ хо димые для исполнения требований настоящего Закона и иных законодательных актов, относящихся к защите персональных данных и соблюдению требований секретности. (2) В частности, данные должны о храняться о т незаконного доступа, изменения, опубликования, уничтожения и/или от нарушения их целостности, а также порчи. Права заинтересованных лиц и их обеспечение Статья 11 (1) Заинтересованное лицо имеет право: a) запрашивать информацию о способах распоряжения его персональными данными (статьи 12 и 13), а также б) требовать исправления его персональных данных, либо их уничтожения, за исключением данных, испо льзуемых в соответствии с требованиями законодательства (статьи 14-16). (2) Любое лицо имеет право доступа к журналу регистрации мер по защите персональных данных (статья 28, пункт (1)), из которого разрешается делать или запрашивать выписки. За оформление выписки взимается плата. Статья 12 (1) По требованию заинтересованного лица распорядитель данных обязан предоставлять информацию о целях, юридических основаниях и периоде использования нахо дящихся в его распоряжении данных, а также называть имена лиц, в распоряжение которых поступят или поступили эти данные, с указанием соответствующих целей. Законодательные акты, регулирующие правила распоряжения данными, могут ограничивать длительность периода времени, в течение ко торого должна храниться учетная информация о передаче данных, и на э той основе - длительность периода времени, в течение которого обязательства о предоставлении такой информации остаются в силе. Для персональных данных э тот период может быть ограничен не менее чем пятью годами, а для специальных данных - двадцатью го дами. (2) Распорядитель данных обязан предоставлять указанную информацию в как можно более сжатые сроки, но не позднее 30 дней с момента получения соответствующей заявки; информация предоставляется в письменном виде и в форме, удобной для понимания. (3) Информация, упомянутая в пункте (2), предоставляется бесплатно, если в текущем го ду заявитель еще не обращался к распорядителю данных с просьбой о предоставлении по добной
информации. В иных случаях допускается взимание платы, компенсирующей расходы. Уже внесенная сумма компенсационной платы должна быть возмещена, если данные использовались незаконно или если запрос о предоставлении информации привел к исправлению данных. Статья 13 (1) Распорядитель данных может о тказаться о т предоставления заинтересованному лицу информации, только если э то разрешено законом в случаях, перечисленных в статье 16. (2) Распорядитель данных обязан уведомить заинтересованное лицо о причинах отказа в предоставлении ему информации. (3) Распорядитель данных обязан ежегодно уведомлять председателя Комиссии по защите данных о заявках, подателям которых было отказано в предоставлении информации. Статья 14 (1) Распорядитель данных обязан корректировать данные, не соответствующие действительности. (2) Персональные данные по длежат уничтожению, если: a) их использование незаконно; б) заинтересованное лицо требует это го в соответствии с подпунктом б) пункта (1) статьи 11; c) цель использования э тих данных уже достигну та. (3) Положение об обязательном уничтожении данных, за исключением случаев их незаконного использования, не применяется к персональным данным, сведения о носителе ко торых по длежат ар хивному хранению в соответствии с законодательством об охране архивных материалов. Статья 15 Заинтересованное лицо и все те, в чье распоряжение персональные данные этого лица были отправлены ранее, должны уведомляться об исправлении или уничтожении этих данных. Уведомление не является обязательным, если э то не нарушает законных интер есов заинтересованного лица с учетом целей испо льзования данных. Статья 16 Законом могут устанавливаться ограничения прав заинтересованного лица (статьи 11-15) в целях обеспечения внешней и внутренней безопасности государства, а именно в интересах национальной обороны, национальной безопасности, борьбы с преступностью, расследования уголовных преступлений, для обеспечения финансовых интересов государства или местных органов власти, а также для защиты прав заинтересованного лица или иных лиц. Обеспечение прав в судебном поряд ке
Статья 17 (1) Заинтересованное лицо, чьи права были нарушены, может обжаловать действия распорядителя данных в су дебном порядке. (2) Распорядитель данных обязан до казать, ч то использование им персональных данных осуществлялось в соотве тствии с законом. (3) Рассмотрение дела вхо дит в компетенцию су да того района, где расположен головной офис распорядителя данных. В качестве сторон по делу могут выступать любые иные лица, не имеющие юрисдикции для решения иных спорных вопросов. (4) Если суд по ддерживает заявление, он до лжен обязать распорядителя данных предоставить требуемую информацию либо исправить или унич тожить данные и/или обязать Комиссара по защите персональных данных обеспечить доступ к журналу регистрации мер по защите данных. (5) Суд может по требовать занесения своего решения в регистрационный журнал, если э то требуется в интересах защиты персональных данных или обеспечения прав большой группы заинтересованных лиц, подлежащих защите в соответствии с настоящим Законом. Компенсации Статья 18 (1) Распорядитель данных обязан компенсировать ущерб, нанесенный окружающим в результате незаконного использования персональных данных заинтересованных лиц или невыполнения технических требований по защите персональных данных. Распорядитель данны х освобождается от о тветственности, если может доказать, ч то ущерб был нанесен под воздействием обстоятельств непреодо лимой силы вне сферы распоряжения персональными данными. (2) Компенсация не выплачивается в случае, если нанесение ущерба явилось результа том намеренных действий либо халатности понесшей ущерб стороны. Глава III ОПУБЛ ИКОВАНИЕ ДАННЫХ, ОБЩЕСТВ ЕННЫЙ ИНТЕРЕС
ПРЕДСТАВЛЯЮ ЩИХ
Статья 19 (1) Органы и лица (далее коллективно именуемые органами), выполняющие функции центральных или местных органов власти, а также иные госу дарственные функции, определенные законодательством, обязаны содействовать точному и оперативному информированию
общественности по вопросам, входящим в их компетенцию, в том числе по вопросам, относящимся к управлению их финансовой деятельностью. (2) Органы, упомянутые в пункте (1), обязаны публиковать или иным образом обеспечивать общественный доступ к важнейшим данным о своей деятельности, в частности, к данным, о тносящимся к вопросам властных полномочий, компетенции, организационно й структуры, типам находящихся в их распоряжении данных и положениям применимого к их деятельности законо дательства. Если законом не предусмотрено иное, то имена и должности лиц, действующих в сфере компетенции упомянутых органов, представляю т собой публичную информацию, доступ к которой должен быть открыт для всех. (3) Органы, упомянутые в пункте (1), обеспечивают открытый доступ к нахо дящимся в их распоряжении данным, представляющим общественный интерес, за исключением случаев, когда уполномоченные органы относят такие данные в соответствии с тем или иным законом к разряду государственных или служебных секретов; кроме того, в случае ограничения законом доступа к данным, представляющим общественный интерес, необ хо димо определить данные, засекречиваемые в ин тересах: a) национальной обороны; б) национальной безопасности; в) расследования у головных преступлений или борьбы с преступностью; г) проводимой государством финансовой или валю тной по литики; д) поддержания внешних связей или развития отношений с международными организациями; е) ведения су дебной практики. (4) Персональные данные, относящиеся к деятельности лиц, действующих в сфере компетенции органов, упомянутых в пункте (1), не могут ограничивать доступа к данным, представляющим общественный интерес. (5) Если законом не предусмотрено иное, то данные, производимые для служебного пользования и в связи с по дготовкой решений, не подлежат публикации в течение тридцати лет с момента их появления. По требованию общественности, глава органа может открывать доступ к данным до истечения вышеуказанного срока. Статья 20 (1) Орган, осуществляющий распоряжение данными, обязан удовлетворить заявку на доступ к данным, представляющим общественный интерес, в кратчайшие сроки, но не позднее 15 дней после ее подачи, в удобной для понимания форме. Податель заявки может
запросить полные или частичные копии документов, со держащих указанные данные, независимо от процедуры их хранения. (2) Податель заявки должен быть уведомлен об отказе в удовлетворении запроса с указанием причин в письменной форме в течение 8 дней. (3) Глава органа, распоряжающегося данными, может взимать плату за предоставление данных, представляющих общественный интерес, в размере, не превышающем суммы издержек на предоставление данных. По просьбе заявителя размер соответствующих издержек до лжен быть сообщен заранее. (4) Органы, упомянутые в пункте (1) статьи 19, обязаны ежегодно уведомлять Комиссара по защите персональных данных об отказах в удовлетворении заявок и об их причинах. Статья 21 (1) В случае отказа в удовлетворении его заявки на получение данных, представляющих общественный интерес, податель заявки может обратиться в суд. (2) Орган, распоряжающийся данными, обязан доказать законность и обоснованность тако го отказа. (3) Судебный иск про тив органа, отказавшегося предоставить запрошенную информацию, подается в течение 30 дней после получения уведомления об отказе. (4) Сторонами по делу могут выступать любые иные лица, не имеющие юрисдикции по иным спорным вопросам. (5) Рассмотрение исков, по данных против ор ганов власти национального уровня, подпадает по д юрисдикцию окружных (городских) судов. Местный суд, расположенный по месту заседаний окружного суда, рассматривает дела, подпадающие под юрисдикцию местного суда, тогда как Центральный суд Пештского района рассматривает дела, относящиеся к Бу дапешту. Компетенция суда устанавливается в зависимости о т местонахо ждения головного офиса (места действия) органа, о тказавшегося удовлетворить заявку на получение данных. (6) Суд рассматривает такие дела в приоритетном порядке. (7) Если су д поддерживает заявку, он принимает решение, обязывающее распоряжающийся данными орган обеспечить доступ к данным, представляю щим общественный интерес. Статья 22 Положения настоящей Г лавы могут не применяться к данным из аутентичного регистрационного журнала, ведение ко торого регулируется отдельным законом.
Глава IV КОМИССАР ПО ЗАЩИТЕ ПЕРСОНАЛЬ НЫХ ДАННЫХ; ЖУРНАЛ РЕГИСТРАЦИИ МЕР ПО ЗАЩИТЕ ПЕРСОНАЛЬ НЫХ ДАННЫХ Комиссар по защите персональных д анных Статья 23 (1) В целях обеспечения конституционно го права на защиту персональных данных и доступ к данным, представляющим общественный интерес, парламент избирает Комиссара по защите персональных данных из числа граждан Венгрии, имеющих университетское образование, не привлекавшихся к уголовной ответственности, обладающих глубокими знаниями, теоретической подго товкой или не менее чем 10-летним опытом профессиональной практики, солидным опытом ведения судебных дел по вопросам защиты, надзора или теоретических исследований в области персональных данны х и пользующихся уважением в обществе. (2) С учетом различий, устанавливаемых настоящим Законом, положения Закона о парламентском Комиссаре по правам граждан применяются и к Комиссару по защите персональных данных. Статья 24 Комиссар по защите персональных данных обязан: a) контролировать соблю дение настоящего Закона и иного законодательства, применимого к сфере распоряжения персональными данными; б) изучать представляемые ему отчеты; c) обеспечивать ведение журнала регистрации мер по защите персональных данных. Статья 25 (1) Комиссар по защите персональных данных контролирует наличие условий для защиты персональных данных и обеспечения открытого доступа к данным, представляющим общественный интерес. Он вносит предложения по разработке и изменению законодательства об использовании персональных данных и обеспечении доступа к данным, представляю щим общественный интерес, и дает оценку проектам такого законодательства. Он обладает правом инициативы по вопросам сужения или расширения категорий данных, о тносимых к государственным или служебным секретам. (2) Обнаружив признаки незаконно го использования персональных данных, Комиссар по защите персональных данных требует от распорядителя данных прекратить испо льзование им персональных
данных. Распорядитель данных незам едлительно принимает надлежащие меры и уведомляет о них Комиссара по защите персональных данных в письменном виде в 30-дневный срок. (3) Если распорядитель данных не прекращает процесс незаконного использования данных, Комиссар по защите персональных данны х информирует общественность о факте такового использования, личности распорядителя данных и сфере использования э тих данных. Статья 26 (1) В процессе исполнения своих функциональных обязанностей Комиссар по защите персональных данных может запрашивать у распорядителей данных информацию по всем вопросам, получать доступ ко всем документам и знакомиться со всеми случаями использования данных, которые могут иметь отношение к персональным данным или данным, представляю щим общественный интерес. (2) Комиссар по защите персональных данных может требовать доступа во все помещения, где осуществляется процесс распоряжения персональными данными. (3) Государственные и служебные секреты не могут мешать Комиссару по защите персональных данных осуществлять права, регулируемые настоящей статьей; при э том, однако, по ложения, касающиеся соблюдения правил секретности, имеют для него обязательную силу. В случаях, когда персональные данные затрагивают государственные или служебные секреты, Комиссар по защите персональных данных может осуществлять свои права в вооруженных силах, полиции и органах национальной безопасности то лько лично. (4) Если в процессе своей деятельности Комиссар по защите персональных данных сочтет отнесение данных к той или иной категории необоснованным, он может потребовать о т квалифицирующей стороны либо изменить э ти данные, либо отменить квалификацию. Квалифицирующая сторона в 30-дневный срок имеет право обратиться в городской суд с иском о признании требования необоснованным. Суд обязан рассмотреть дело в приоритетном порядке в хо де закрытых слушаний. Статья 27 (1) Любое лицо, считаю щее себя понесшим ущерб в связи с использованием его персональных данных или осуществлением его права на доступ к данным, представляю щим общественный интерес, либо усматривающее реальную угрозу понесения такового ущерба в ближайшем будущем, может обратиться к Комиссару по защите персональных данных, за исключением случаев, когда дело по данному вопросу уже нахо дится в производстве.
(2) Никто не может быть поставлен в невыгодное положение в результате обращения к Комиссару по защите персональных данных. Обращающаяся сторона является объектом такой же защиты, как и любое лицо, сообщающее информацию, представляющую общественный интерес. Журнал регистрации мер по защите персональных данных Статья 28 (1) До начала деятельности распорядитель данных обязан сообщить Комиссару по защите персональных данных следующие сведения для целей регистрации: a) цель использования данных; б) типы данных и юридические основания для их использования; в) сферу деятельности заинтересованных лиц; г) источники данных; д) типы данных, подлежащих передаче; адреса и юридические основания для передачи данных; е) срок уничтожения каждого типа данных; ж) имя и адрес (головного офиса) распорядителя данных, а также место осуществления реальных операций по использованию данных. (2) Испо льзование данных в соответствии с тем или иным законодательным актом должно быть объявлено министром, главой национального органа власти, мэром и/или председателем Генеральной ассамблеи округа - в зависимости о т предмета принимаемого закона - в течение 15 дней со дня вступления закона в юридическую силу. (3) Органы национальной безопасности обязаны объявлять цели и юридические основания для испо льзования нахо дящихся в их распоряжении персональных данных. Статья 29 (1) При первой регистрации распорядителю данных присваивается регистрационный номер, который должен указываться в каждом случае передачи, опубликования или присвоения данных заинтересованному лицу. (2) Любые изменения данных, упомянутые в пункте (1) статьи 28, должны быть доложены Комиссару по защите персональных данных в 8дневный срок с внесением соответствующих изменений в регистрационный журнал. Статья 30 Не подлежат внесению в журнал регистрации мер по защите персональных данных операции по использованию данных, которые:
a) содержат данные о лицах, осуществляю щих наем на работу, данные о членстве в организациях или о юридических отношениях студентов или клиентов с распорядителем данных; б) осуществляю тся в соответствии с внутренними правилами церквей, религиозных объединений или сообществ; в) содержат персональные данные, относящиеся к заболеваниям или состоянию здоровья лиц, которым предоставляю тся медицинские услуги по сохранению здоровья, лечению или обеспечению программы социального страхования; г) содержат персональные данные, обеспечивающие и отражающие финансовую и иную социальную по ддержку заинтересованного лица; д) содержат персональные данные лиц, вовлеченных в дела, разбирательства по которым веду тся властными структу рами, прокуратурой и судебными органами; е) содержат персональные данные, испо льзуемые официальными статистическими службами, при условии, ч то восстановление связи между этими данными и конкретным лицом абсолютно невозможно, как это предписано о тдельным за коном; ж) содержат информацию о компаниях и органах, которая в соответствии с Законом о прессе служит исключительно для обеспечения их собственной информационной деятельности; з) служат целям научных исследований, если данные не публикуются; и) направлены распорядителем данных в ар хив; к) служат собственным целям физических лиц. Глава V СПЕЦИАЛЬ НЫЕ ПОЛОЖЕНИЯ Обработка и использование персональных данных научноисследовательскими институтами Статья 32 (1) Персональные данные, записываемые или со храняемые в научноисследовательских целях, могут использоваться то лько для проведения научных исследований. (2) Персональным данным, возможность использования ко торых обеспечивается целями научных исследований, должна быть придана анонимная форма. Однако и до этого момента данные, позволяющие идентифицировать личность определенного или поддающегося определению физического лица, должны храниться о тдельно. Такие
данные могут связываться с иными данными только в тех случаях, ко гда это необ ходимо в соо тветствии с целями научных исследований. (3) Ор ганы или лица, проводящие научные исследования, могут публиковать персональные данные, только если: a) заинтересованное лицо изъявило на то свое согласие; б) это требуется для представления резу льтатов проводимых исследований в контексте тех или иных исторических событий. Глава VI ЗАКЛЮЧ ИТЕЛЬ НЫЕ ПОЛ ОЖЕНИЯ Законод ательство, подлеж ащее пересмотру Статья 33 Вступление в силу Статья 34 (1) Настоящий Закон, кроме исключений, упомянутых ниже в пунктах (2) и (3), вступает в силу в первый день 6-го месяца с момента его опубликования. (2) Глава III (статьи 19-22) Закона вступает в силу на 15-й день после его опубликования. (3) Глава IV (статьи 23-31) Закона вступает в силу одновременно со вступлением в силу Закона о парламентском Комисса ре по правам граждан. Статья 35 (1) Там, где настоящим Законом предусмотрено принятие регулятивных правил, за исключением пункта (3) статьи 4 и пункта (1) статьи 13, предварительная работа над э тими правилами до лжна быть завершена к 31 декабря 1992 года. (2) Юридические инструкции, относящиеся к распоряжению персональными данными, после опубликования настоящего Закона не применяются. Статья 36 (1) (о тменен) (2) Распорядители данных обязаны вносить информацию о различных случаях испо льзования персональных данных, осуществляемых на момент вступления настоящего Закона в силу, в журнал регистрации мер по защите персональных данных в течение 3 месяцев со дня избрания Комиссара по защите персональных данных. Статья 37
Министр финансов настоящим Законом получает по лномочия для издания Указа о введении платы, упомянутой в пункте (2) статьи 11, а также подробных правил, касающихся ее взимания.
Законодательство Испании ОРГАНИЧ ЕСКИЙ ЗАКОН 15/99 ОТ 13 ДЕКАБРЯ О ЗАЩИТЕ ПЕРСОНАЛЬ НЫХ ДАННЫХ Хуан Карлос I Король Испании Раздел I ОБЩИЕ ПОЛ ОЖЕНИЯ Статья 1. Задача Задачей настоящего Закона является обеспечение и защита основных прав и свобод человека и гражданина, в частности чести и достоинства гражданина и права на неприкосновенность личной жизни при обработке персональны х данных. Статья 2. Сфера действия 1. Настоящий Закон должен применятся к персональным данным, зафиксированным на каком -либо материальном носителе, позво ляющем их обработку и любое последующее их использование в частном или общественном секторе. Действие настоящего Закона распространяется на любое использование персональных данных: а) когда обработка персональных данных происхо дит на территории Испании в рамках деятельности, осуществляемой учреждением, являющимся уполномоченным лицом; b) когда держатель персональных данных нахо дится вне испанской территории, он должен руково дствоваться испанским законодательством в той его части, которая касается норм международного общественного права; с) когда держатель персональных данных нахо дится вне территории Европейско го Союза и испо льзует при обработке информации средства, расположенные на испанской территории, за исключением тех случаев, когда эти средства используются то лько для передачи данных через территорию Испании. 2.Порядок защиты персональных данных, устанав ливаемый настоящим законом, не бу дет применяться: а) к карто текам физических лиц, носящих исключительно личный или бытовой характер; b) к карто текам, подпадающим под нормативные акты о защите классифицируемых материалов;
с) к картотекам, созданным для расследований терроризма и тяжких форм организованной преступности. Тем не менее, в этих случаях держатель кар тотеки до лжен предварительно сообщить о существовании такой кар тотеки, ее общих характеристик и целях Агентству по защите персональных данных. 3.Особыми положениями и, в случае необ хо димости, также положениями, специально предусмотренными настоящим Законом, будет регулироваться обработка следующих персональных данных: а) кар тотеки, регу лируемые законодательством о выборах; b) картотеки, служащие исключи тельно статистическим целям и подпадаю щие под действие государственных или автономных законов о единстве статистических наблю дений; с) карто теки, имеющие целью хранение сведений, со держащихся в личных отчетах об уровне квалификации, о которых идет речь в законах о военной службе; d) карто теки, о тносящиеся к реестру граждан и центральному реестру осужденных и уклоняющихся о т явки в суд; е) кар тотеки изображений и звуков, полученных посредством использования видеокамер органами безопасности, согласно соответс твующему законодательству. Статья 3. Определения Под действие настоящего Закона по дпадают: а) Персональные данные: любая информация о конкретном человеке, которая отождествлена или может быть отождествлена с ним. b) Кар тотеки: вся организованная совокупнос ть персональных данных, какой бы ни была форма или особенность ее создания, хранения, организации и доступа. с) Действия с персональными данными: операции и технические процессы автоматизированного и не автоматизированного характера, которые способствовали бы сбору, записи, хранению, разработке, изменению, блокированию и уничтожению , а также передачу персональных данных из сообщений, консультаций, взаимосвязей и перемещений информации. d) Держатель персональных данных или карто теки персональных данных: физическое или юридическое лицо публичного или частного характера или административный орган, который может выносить решения по целям, содержанию и применению обработки персональных данных. е) Субъект персональных данных: человек, к которому относятся персональные данные, по двергающиеся обработке, к чему относится пункт (с) настоящей статьи.
f) Обезличивание персональных данных: любая обработка личной информации таким образом, чтобы получаемая информация не могла быть отождествлена прямо или косвенно с конкретным человеком. g) Уполномоченное лицо: физическое или юридическое лицо, органы государственной власти, службы или любой другой орган, ко торый отдельно или вместе с другими осуществляет работу с персональными данными с санкции держателя персональных данных. h) Согласие субъекта персональных данных: любое изъявление воли, свободной, безоговорочной, конкретной и осознанной, посредством которой субъект позволяет провести обработку его персональных данных. i) Передача или сообщение персональных данных: любое раскрытие о персональных данных третьему лицу. j) Общедоступные источники: доступ к ко торым может быть осуществлен любым лицом без ограничений или же при наличии разрешения. Общедоступными источниками являю тся то лько : списки выдвигаемых на должность кандидатов , телефонные справочники (так как это оговорено в соответствующем законодательстве) и списки лиц по профессиям, содержащие только информацию об именах, званиях, профессии, роду деятельности, ученой степени, адресе и указание на принадлежность к э тим группам. Также общедоступны такие источники, как официальные издания и бюллетени, а также средства массовой информации. Раздел II ПРИНЦИПЫ ЗАЩИТЫ ПЕРСОНАЛЬ НЫХ ДАННЫХ Статья 4. Качество персональных данных 1. Персональные данные могут быть собраны для обработки, а также подвергаться такой обработке в том случае, если э ти данные достоверны, адекватны и не избыточны для достижения определенных, четких и законных целей, для ко торых они были получены. 2. Персональные данные, подвергаю щиеся обработке, не могут быть использованы для целей, несовместимых с теми, для которых они были собраны. Не будет считаться несовместимой с этими целями последующая обработка персональных данных в исторических, статистических или научных целях. 3. Персональные данные должны быть точным и и актуальными и достоверно характеризовать настоящее положение субъекта. 4. Если полученные персональные данные окажутся неточными, целиком или частично, или неполными, они должны быть уничтожены и
заменены держателем соответствующей исправленной или дополненной информацией, не нарушая прав субъекта, оговоренных в статье 16. 5. Персональные данные до лжны быть унич тожены в том случае, если они перестану т быть необ ходимыми для той цели, с которой они были получены или зарегистрированы. Персональные данные н е должны храниться дольше, чем это необходимо для достижения тех целей, в соответствии с ко торыми они были получены или зарегистрированы, в форме, позволяющей идентифицировать субъекта. Согласно соответствующему законодательству должны быть определены те с лучаи, в которых, в виде исключения, принимая во внимание историческую, статистическую или научную ценность каких-либо данных, будет принято решение об их по лном со хранении. 6. Персональные данные должны храниться в форме, позволяющей осуществление права доступа, за исключением случаев, когда они подлежат унич тожению согласно Закону. 7. Запрещается сбор информации обманным, нечестным или незаконным способом. Статья 5. Права субъектов персональных данных на получение полной информации 1. Субъекты персональны х данных должны быть предварительно проинформированы в ясной, точной и однозначной форме: а) О существовании карто теки или обработке персональных данных, о целях сбора этой информации и о получателе персональных данных. b) Об обязательной или факультативной форме ответа на поставленные вопросы. с) О последствиях по лучения персональных данных или о тказа о т их предоставления. d) О возможности осуществления права доступа, исправления, изъятия и опротестования. e) Об имени (названии) и адресе держателя персональных данных или его представителя. В случае если держатель персональных данных не является резидентом на территории Европейского Союза и использует при обработке персональных данных средства, нахо дящиеся на территории Испании, он должен, за исключением тех случаев, когда такие средства используются то лько для передачи данных через территорию Испании, назначить представителя в Испании. Но при этом, санкции могут быть применены и к держателю персональных данных 2. При использовании анкет или других печатных документов для сбора персональных данных, в них должны быть упомянуты в ясной и
разборчивой форме требования, о которых говорится в предыдущем пункте. 3. Информация, содержащаяся в подпунктах b), c) и d) пункта 1, не является необ ходимой, в случае если ее со держание вытекает из характера затребованных персональных данных или из обстоятельств, в которых они собираются. 4. В случае если персональные данные были получены не от субъекта, субъект должен быть оповещен в ясной, точной и о днозначной форме держателем карто теки персональных данных или его представителем в течение трех месяцев с момента регистрации информации, за исключением тех случаев, когда он был предварительно проинформирован о характере обработки, о происхождении данных, а также о предусмотренном в подпунктах a), d), e) пункта 1 настоящей статьи. 5. Изложенное в предыдущем пункте не будет применено в случаях, четко оговоренных каким-либо законом, если обработка данных имеет исторические, статистические или научные цели, или информирование субъекта оказывается невозможным, или требует, с точки зрения Агентства по защите персональных данных или аналогичного органа автономий, непропорциональных усилий, принимая во внимание число субъектов, давность персональных данных и возможные компенсации. Изложенное в предыдущем пункте не будет также применяться, если персональные данные происхо дят из общедоступных источников и предназначены для рекламной деятельности или для маркетинговых исследований. В этом случае в каждом сообщении, посылаемом субъекту, должны быть сообщены источник персональных данных и сведения о личности держателя персональных данных, а также до лжны быть изложены права субъекта. Статья 6. Согласие субъекта персональных данных 1. Обработка персональных данных требует безоговорочного согласия субъекта за исключением случаев, предусмотренных Законом. 2. По лучение согласия не является обязательным в том случае, если персональные данные собираются для осуществления функций, находящихся в сфере компетенции государственных органов; если персональные данные используются в до говорах или в предварительных договорах коммерческого, трудового или административного характера и если они необ ходимы для их выполнения; если обработка персональных данных имеет целью защитить жизненные интересы субъекта, согласно пункту 6 статьи 7 настоящего Закона, или если персональные данные фигурируют в общедоступных источниках, доступных общественности, и их обработка является необ хо димой для удовлетворения законного
интереса держателя персональных данных или третьего лица, которому сообщаются сведения, в том случае, когда не нарушаются основные права и свободы субъекта. 3. Со гласие, о котором говорится в статье, может быть отозвано, если существует обоснованная причина для этого, причем оно не будет иметь обратной силы. 4. В случаях, когда согласие субъекта не нужно для обработки персональных данных, если Законом не предусмотрено обратное, субъект может возражать против обработки информации, если у него имеются обоснованные и законные основания, связанные с конкретной личной ситуацией. В таком случае держатель должен исключить из обработки данные, относящиеся к субъекту. Статья 7. Персональные данные, защищаемые особенно тщательно 1. В соответствии с установленным в пункте 2 статьи 16 Конституции, никто не может быть принужден со общать о своей идеологии, религии или вероисповедании. Если в том, что касается персональных данных, требуется получить согласие, о котором говорится в следующем пункте, субъект до лжен быть предупрежден о том, ч то он имеет право не предоставлять э ту информацию. 2. Персональные данные, со держащие сведения об идеологии, профсоюзном членстве, религии и вероисповедании могут быть обработаны только при наличии четкого и письменного согласия субъекта. Исключения делаю тся для карто тек, составляемых политическими партиями, профсоюзами, церквями, конфессиями или религиозными обществами и ассоциациями, фондами и другими бесприбыльными организациями, не получающими прибыль, имеющими политические, философские, религиозные или профсоюзные цели в том, что касается персональных данных, связанных с их участниками или членами, при условии, что при передаче данной информации всегда будет получено предварительное согласие субъекта. 3. Персональные данные, касающиеся расовой принадлежности, здоровья, сексуальной жизни, могут быть получены и подвергнуты обработке, то лько если э то установлено Законом ради общественного блага или если имеется ясно выраженное согласие субъекта. 4. Запрещается создание карто тек исключительно в целях хранения персональных данных, которые отражают идеологию членов профсоюзов, религию, вероисповедание, расовое или этническое происхождение, или сексуальную жизнь. 5. Персональные данные, связанные с совершением уголовных или административных правонарушений, могут быть включены в карто теки
компетентных государственных органов в случаях, предусмотренных Законом. 6. Наряду с изложенным в предыдущих пунктах персональные данные, о которых говорится в пунктах 2 и 3 настоящей статьи, могут быть обработаны, если э то необ ходимо для профилактики болезни или диагностики, предоставления медицинской помощи, лечения или управления медицинскими службами, в тех случаях, ко гда такая обработка осуществляется профессиональным медицинским работником, соблюдающим профессиональную тайну, или другим лицом, тоже ее соблюдающим. Также объектом обработки могут быть персональные данные, о которых идет речь в предыдущем абзаце, если такая обработка необхо дима для того, чтобы защитить жизненные интересы субъекта или другого лица, в случае если субъект физически или юридически неспособен дать свое согласие. Статья 8. Персональные данные о состоянии здоровья Не исключая того, о чем говорится в статье 11 о тносительно предоставления персональных данных, государственные и частные медицинские организации и центры, а также соответствующие профессиональные медицинские работники могут осуществлять обработку персональных данных, относящихся к состоянию здоровья лиц, которые обращаются к ним или ими обслуживаются, в соответствии с изложенным в государственном или автономном законодательстве о здравоо хранении. Статья 9. Сохранность и нформации 1. Держатель персональных данных и уполномоченное лицо до лжны принимать необ ходимые меры технического и организационного характера, ко торые гарантировали бы сохранность персональных данных и позволили бы избежать и х искажения, у траты, несанкционированной обработки или незаконного доступа, принимая во внимание уровень технологии, характер со храняемых персональных данных и риск, которому они подвержены, будь он результатом вмешательства человека или природных катаклизмов. 2. Персональные данные не должны регистрироваться в карто теках, не соответствующих требованиям, предъявляемым Законом к целостности и сохранности персональных данных и к центрам обработки, помещениям, оборудованию, системам и программам. 3. В соответс твии с законодательством должны быть установлены требования и условия, которым должны отвечать картотеки и лица, участвующие в обработке персональных данных, о ко торых говорится в статье 7 настоящего Закона.
Статья 10. Обяза тельство хранить тайну Держатель персональных данных и те, кто участвует на каком -либо этапе в обработке э тих данных, обязаны соблю дать профессиональную тайну касательно персональных данных и со хранять э ти данные. Эти обязанности должны со храняться и после окончания совместной работы с держателем кар тотеки персональных данных. Статья 11. Передача персональных данных 1. Персональные данные, являющиеся объектом обработки, могут быть сообщены третьему лицу то лько для выпо лнения целей, непосредственно связанных с законными полномочиями цедента и цессионария при предварительном согласии субъекта персональных данных. 2. Со гласие, требуемое в предыдущем разделе, не является необхо димым, если: a) Предоставление персональных данных разрешено Законом. b) Речь идет о сведениях, полученных из общедоступных источников. c) Обработка отвечает свободному и законному принятию какой -либо правовой нормы, чье развитие, исполнение и контроль обязательно требуют совместного анализа данной обработки и кар тотек третьих лиц. В таком случае предоставление персональных данных будет законным, если только оно не будет избыточно для достижения поставленной цели. d) Когда персональные данные сообщаются Уполномоченному по правам человека, Министерству по налогам, судьям, судам или Счетной палате для исполнения возложенных на них функций. Со гласие не требуется также, ко гда персональные данные сообщаются государственным органам автономий с функциями, аналогичным функциям Уполномоченного по правам человека или Счетной палаты. e) Когда между государственными органами осуществляется обмен персональными данными, имеющий целью последующую обработку персональных данных в исторических, статистических или научных целях. f) Когда по лучение персональных данных, касающихся состояния здоровья, необ ходимо в экстренном случае, требующем дос тупа к картотеке, или для осуществления эпидемиологических исследований, в соответствии с государственным или автономным законодательством о здравоо хранении. 3. Со гласие на сообщение персональных данных третьему лицу будет считаться недействительным, если информация, предоставляемая субъекту, не позволяет ему узнать цель получения и предназначение его персональных данных, разрешенных им к сообщению, или вид деятельности того лица, ко торому ее предполагается сообщить.
4. Согласие на сообщение персональных данных также может быть отозвано. 5. Лицо, которому сообщаются персональные данные, обязано уже в силу факта сообщения соблю дать распоряжения настоящего Закона. 6. Если сообщение осуществляется после предварительного обезличивания данных, установленное в предыдущих пунктах, не имеет силы. Статья 12. Доступ к персональным данным третьих лиц 1. Не будет считаться передачей персональных данных доступ к ним третьего лица, если такой доступ необ хо дим для оказания содействия держателю персональных данных. 2. Обработка персональных данных третьими лицами до лжна регулироваться договором, составленным в письменной или в какой -либо другой форме, позволяющей удостовериться в его подписании и содержании. В э том договоре должно быть четко установлено, ч то уполномоченное лицо должно обрабатывать персональные данные в строгом соответствии с инструкциями держателя, что э то лицо не бу дет применять или использовать э ту информацию в целях, о тличных о т тех, которые указаны в данном договоре, а также не будет ее сообщать, даже для ее со хранения, другим лицам. В договоре должны быть предусмотрены также меры безопасности, о которых говорится в статье 9 настоящего Закона, которые уполномоченное лицо обязано соблюдать. 3. После выполнения договорных обязательств персональные данные должны быть уничтожены или возвращены держателю. Э то касается и любого материального носителя или документов, содержащих сведения личного характера и являющихся предметом обработки. 4. В случае если уполномоченное лицо использует их для других целей или разгла шает их, не выпо лняя условия договора, оно также будет считаться держателем персональных данных и о твечать за нарушения, произошедшие по его вине. Раздел III ПРАВ А СУБЪЕКТОВ ПЕРСОНАЛЬ НЫХ ДАННЫХ Статья 13. Обжалование оценок 1. Граждане имеют право не подчиняться решению, имеющему юридические последствия, или решению, которое может существенно затронуть их, если оно основывается на оценке определенных сторон их личности, сделанной только на основании обработки их персональных данных.
2. Субъект персональны х данных может оспорить административные акты или частные решения, которые заключают в себе оценку его поведения, чьим единственным основанием служит обработка персональных данных, в результате ко торой характеризую тся различные стороны личности. 3. В этом случае субъект персональных данных имеет право получить от держателя информацию о критериях оценки и программе используемых при обработке данных, так как эта информация служила для принятия решения, на ко тором основывается акт. 4. Оценка поведения граждан, основанная на обработке персональных данных, может иметь до казательную силу то лько по просьбе субъекта. Статья 14. Право на ко нсультацию в Генеральном реестре по защите персональных данных Любой человек может узнать, проводится ли обработка его персональных данных, о цели и личности держателя, по лучая с э той целью нужные сведения в Генеральном реестре по защите персональных данных. Предоставление информации из Генерального реестра должно быть бесплатным и доступным для всех граждан. Статья 15. Право доступа 1. Субъект персональных данных имеет право запрашивать и бесплатно получать информацию о персональных данных, подвергшихся обработке, о происхождении сведений об этих данных, а также о том, куда они были переданы или куда их планируется передать. 2. Информация может быть получена путем обычного визуального ознакомления или посредством указания сведений, являющихся предметом обработки, в письменной форме, в виде копий, телекопий, фотокопий, удостоверенных или нет, в понятной и разборчивой форме, без использования ключей или шифров, требующих применение специальных механических приспособлений. 3. Право доступа к информации, о котором говорится в настоящей статье, может осуществляться не раннее чем через двенадцать месяцев, за исключением тех случаев, ко гда субъект персональных данных проявляет законный интерес к этому делу. В э том случае доступ может быть осуществлен раньше. Статья 16. Право на исправление и изъятие 1. Держатель персональных данных обязан соблю дать право субъекта на исправление или изъятие данных в течение десяти дней. 2. Персональные данные, обработка которых не подпадает по д изложенное в настоящем Законе, и, в частности, в том случае, если эти
данные оказываются неточными или непо лными, должны быть исправлены или изъяты. 3. Изъятие подразумевает блокирование персональных данных, которые сохраняю тся только в распоряжении государственных органов, судей и судов, для предупреждения возможной ответственности, возникающей в процессе обработки, в течение установленного срока. По истечении э того срока персональные данные до лжны быть унич тожены. 4. Если после предварительной передачи данных они были исправлены или изъяты, держатель персональных данных должен оповестить о совершенном исправлении или изъятии лицо, ко торому они были переданы. В случае, если это лицо также проводило обработку персональных данных, эти данные тоже должны быть изъяты. 5. Персональные данные должны со храняться в течение срока, предусмотренного в соответствующих предписаниях, или в договорных отношениях между субъектом и лицом или организацией, являющейся держателем информации. Статья 17. Процедура опротестования, доступа, исправления или изъятия 1. Процедуры, необхо димые для осуществления права на опротестование, доступ, а также на исправление и изъятие персональных данных, должны быть установлены согласно законодательству. 2. Не будет оказываться никакого противодействия осуществлению права на опротестование, доступ, исправление или изъятие персональных данных. Статья 18. Защита прав 1. Действия, противоречащие изложенному в настоящем Законе, могут быть обжалованы субъектами персональных данных в Агентстве по защите персональных данных в форме, установленной Законом. 2. Субъект, ко торому отказывается полностью или частично в осуществлении права на опротестование, доступ, исправление или изъятие персональных данных, может поставить в известность об этом Агентство по защите персональных данных или компетентные органы автономий, ко торые до лжны у достовериться в обоснованности или необоснованности отказа. 3. Максимальный срок, в течение ко торого должно быть принято решение о защите прав субъекта, до лжен составлять шесть месяцев. 4. Решения Агентства по защите персональных данных могут быть обжалованы в административном порядке. Статья 19. Право на возмещение 1. Субъекты персональных данных, которым вследствие невыполнения держателем или лицом, осуществляющим обработку
данных, правил, изложенных в настоящем Законе, нанесен материальный ущерб или чьи права были ущемлены, имеют право на возмещение нанесенного ущерба. 2. В случае нанесения ущерба государственными карто теками степень их о тветственности бу дет определяться согласно законодательству, регу лирующему порядок ответственности государственных органов. 3. В случае нанесения ущерба карто теками частных лиц, ответственность будет определяться в судебном порядке. Раздел IV ОТДЕЛЬ НЫЕ РЕШЕНИЯ Глава I Картотеки госуд арственных лиц Статья 20. Создание, изменение или уничтожение 1. Создание, изменение или уничтожение государственных картотек может осуществляться только посредством общего распор яжения, опубликованного в “Официальном государственном бюллетене” или в соответствующем официальном издании. 2. Распоряжения по созданию или изменению картотек до лжны включать: a) цель кар тотеки и ее применение; b) лица или коллективы, чьи персональные данные предпо лагается получить или которые обязаны их предоставить; c) процедуру сбора персональных данных; d) базовую структуру карто теки и описание характера персональных данных, включенных в карто теку; e) передачу персональных данных, а также трансграничну ю передачу персональных данных странам посредникам; f) государственные органы, о тветственные за кар тотеку; g) службы или подразделения, обязанные обеспечить право на доступ, исправление, изъятие и опротестование информации; h) меры безопасности с указанием требуемого уровня (базового, среднего или высоко го). 3. В распоряжениях, принимаемых для уничтожения кар тотек, должно быть у казано предназначение этих карто тек и должны быть предусмотрены меры по их уничтожению . Статья 21. Обмен данными между государственными органами 1. Персональные данные, собираемые или обрабатываемые государственными органами для исполнения своих полномочий, не
должны передаваться другим государственным органам для выполнения иных задач или с компетенцией, относящейся к другой сфере, за исключением тех случаев, ко гда такая передача была предусмотрена распоряжениями по созданию картотеки или распоряжением высшего ранга, регулирующим ее применение, или если передача имеет целью последующую обработку данных в исторических, статистических или научных целях. 2. В любом случае предметом передачи могут быть персональные данные, ко торые один государственный орган получает или разрабатывает для другого государственного органа. 3. При всем том, что устанавливается в пункте 2b статьи 11, передача персональных данных, собранных из общедоступных источников, может осуществляться для кар тотек частных лиц только с согласия субъекта, если Закон не предусматривает иное. 4. В случаях, предусмотренных пунктами 1 и 2 данной статьи, согласие субъекта, о котором говорится в статье 11 настоящего Закона, не является необ ходимым, Статья 22. Карто теки органов безопасности 1. Карто теки, созданные органами безопасности, содержащие персональные данные, ко торые, будучи собранными в административных целях, должны быть предметом постоянного контроля, будут придерживаться общего порядка настоящего Закона. 2. Сбор и обработка персональных данных в политических целях органами безопасности без согласия субъектов ограничивается категориями данных, необ хо димых для предотвращения реальной угрозы государственной безопасности или уголовных преступлений. Такая информация должна храниться в созданных с э той целью кар тотеках, которые до лжны классифицироваться по категориям в зависимости от их степени надежности. 3. Сбор и обработка органами безопасности данных, о ко торых говорится в пунктах 2 и 3 статьи 7, может осуществляться только тогда, когда э то будет необ ходимо в целях конкретного расследования, включая контроль над действиями администрации или обязанность рассматривать претензии субъектов, обращающихся в судебные органы. 4. Персональные данные, регистрируемые в полицейских целях, могут быть изъяты, если они перестану т быть необ хо димыми для расследования, явившегося причиной их со хранения. В связи с этим будет особо приниматься во внимание возраст субъекта и характер хранимых данных, необ хо димость со хранения данных вплоть до завершения расследования или конкретного процесса, судебное постановление,
особенно оправдательное, помилование, реабилитация и давность привлечения к о тветственности. Статья 23. Исключения из права на доступ, исправление и изъятие 1. Держатели кар тотек персональных данных, содержащих данные, о которых говорится в пунктах 2, 3 и 4 предыдущей статьи, могут отказать в доступе, исправлении или изъятии данных, если существует угроза безопасности государства или общественной безопасности, защите прав и свобод третьих лиц или нуждам проводимых расследований. 2. Держатели карто теки государственно го имущества могут также отказать в осуществлении прав, о которых говорится в предыдущем пункте, если такое осуществление создает препятствия административным действиям, направленным на обеспечение выполнения налоговых обязательств, и, если деятельность субъекта является предметом ревизии. 3. Субъект персональных данных, ко торому отказывается, частично или полностью, в осуществлении прав, упомянутых в предыдущих пунктах, может поставить об этом в известность директора Агентства по защите персональных данных или директора аналогичного органа любой автономии в том случае, если данные обрабатываю тся в кар тотеках подразделений по лиции или нало говых органов автономий, которые должны вынести решение об обоснованности или необоснованности отказа. Статья 24. Другие исключения из прав субъектов персональных данных 1. Изложенное в пунктах 1 и 2 статьи 5 не будет применятся к сбору сведений, если информирование субъекта препятствует или значительно затрудняет выпо лнение функций контроля и проверки, осуществляемых государственными органами или если оно угрожает национальной или общественной безопасности, или препятствует расследованию уго ловных преступлений и административных правонарушений. 2. Изложенное в статье 15 и в пункте 1 статьи 16 не будет применяться, если окажется, что нарушение прав, предоставляемых субъекту, необ хо димо в интересах государства или в интересах третьих лиц, более нуждающихся в защите. Если административный орган, держатель кар тотеки, будет ссылаться на изложенное в этой статье, он должен принять мотивированное решение и указать субъекту на его право поставить в известность об этом решении директора Агентства по защите персональных данных или директора аналогичного органа автономии. Глава II Картотеки частных лиц
Статья 25. Создание 1. Кар тотеки частных лиц, содержащие персональные данные, могут создаваться, если это необ ходимо по роду деятельности или для достижения законной цели физического лица, предприятия или организации, и в случае соблюдения гарантий, устанавливаемых настоящим Законом. Статья 26. Оповещение и регистрация 1. Любое лицо или организация, которые присту пают к созданию картотек, со держащих персональные данные, должны предварительно оповестить об этом Агентство по защите персональных данных. 2. В оповещении должна присутствовать вся информация, предусмотренная Законом. В том числе должны обязательно фигурировать: держатель карто теки персональных данных, цель создания картотеки, ее расположение, характер персональных данных, меры безопасности с указанием уровня (базового, среднего или высокого), планируемая передача или трансграничная передача персональных данных. 3. Агентству по защите персональных данных должны быть сообщены изменения первоначальной цели автоматизированной картотеки, ее адреса и личности держателя персональных данных. 4. Генеральный реестр по защите персональных данных зарегистрирует картотеку, если оповещение будет отвечать всем требованиям. В противном случае Реестр может потребовать, ч тобы были дополнены недостающие сведения или ч тобы сведения были исправлены. 5. По истечении одно го месяца с момента представления просьбы о регистрации карто тека бу дет считаться зарегистрированной. Статья 27. Сообщение о передаче информации 1. Держатель персональных данных в момент первой передачи информации должен сообщить об этом субъектам, указывая при этом цель картотеки, характер персональных данных, ко торые были переданы, имя и адрес цессионария. 2. Выполнение предыдущего пункта недействительно в случаях, предусмотренных в пунктах 2 с), d), e) и 6 статьи 11, или если передача предписывается Законом. Статья 28. Информация, включенная в общедоступные исто чники 1. Персональные данные, фигурирующие в списках выдвигаемых кандидатов или в списках лиц по профессиям, о которых говорится в пункте j) статьи 3 настоящего Закона, не должны быть избыточны по отношению к цели, ко торую имеет каждый список. Включение дополнительных данных организациями, ответственными за со хранность
этих источников, невозможно без согласия субъекта персональных данных, которое может быть отозвано в любой момент. 2. Субъекты персональных данных имеют право на то, чтобы организация, о тветс твенная за со хранение списков профессиональных коллегий, бесплатно указывала, что персональные данные субъектов не могут быть использованы в рекламных или коммерческих целях. Субъекты имеют право требовать бесплатного исключения всех персональных данных о них, содержащихся в списках выдвигаемых кандидатов, организациями, в введении ко торых нахо дятся эти источники. Рассмотрение просьбы об исключении ненужной информации или возражения против испо льзования информации в целях рекламы или продажи должно осуществляться в течение десяти дней для информации, получаемой посредством консультации или сообщения и в следующем издании списка, какой бы ни была форма, в которой он издается. 3. Общедоступные источники, ко торые издаю тся в форме книги или на любом другом материальном носителе, в случае новой публикации перестанут быть доступными. В случае получения копии списка в электронном формате, список потеряет характер общедоступного источника через год с момента получения копии. 4. Персональные данные, фигурирующие в спр авочниках телекоммуникационных служб, нахо дящихся в распоряжении общественности, должны использоваться с учетом особых нормативов этих служб. Статья 29. Предоставление информации о платежеспособности и кредите 1. Те, кто оказывает услуги по предоставлению информации о платежеспособности и кредите, могут использовать персональные данные, полученные только из общедоступных реестров и источников или исходящие от субъекта, или с его согласия. 2. Могу т также использоваться персональные данные, связанные с выполнением или невыполнением денежных обязательств, предоставленные кредитором или лицом, действующим в его интересах. В этом случае субъектам персональных данных, чьи персональные данные были зарегистрированы в кар тотеках, в течение тридцати дней с момента регистрации до лжна быть предоставлена информация о том, какие данные включены в списки, а также они должны быть извещены о своем праве получать информацию об этих данных в соответствии с установленным в настоящем Законе. 3. В случаях, о которых говорится в дву х предыдущих пунктах, если субъект делает запрос, держатель персональных данных должен предоставить ему сведения, а также оценки и суждения, ко торые были
переданы о нем за последние шесть месяцев, а также имя и адрес лица или организации, которым были переданы сведения. 4. Могу т регистрироваться и передаваться то лько те персональные данные, ко торые необходимы для расследования дела о платежеспособности субъектов. В том случае, когда они носят отрицательный характер, информация, содержащаяся в них, должна относиться к событиям, произошедшим не более шести лет назад и реально отображать нынешнее по ложение субъекта. Статья 30. Обработка в целях рекламы и коммерческого развития 1. Те, кто занимается собиранием адресов, рассылкой до кументов, рекламой, продажей, коммерческим развитием и другой анало гичной деятельностью, могут использовать имена и адреса или другие персональные данные, если э ти сведения фигурируют в общедоступных источниках или если они были предоставлены самими субъектами, или получены с их согласия. 2. Если персональные данные проистекаю т из источников, доступных общественности, согласно изложенному во втором параграфе пункта 5 статьи 5 настоящего Закона, в каждом сообщении, которое направляется субъекту, до лжно указываться происхождение информации и даваться сведения о личности держателя, а также должны указываться права, которые имеют субъекты персональных данных. 3. Во исполнение права доступа субъекты имеют право узнавать, откуда были получены персональные данных, а также остальная информация, о которой говорится в статье 15. 4. Субъекты имеют право, по предварительной просьбе и не неся никаких расхо дов, возражать против обработки персональных данных, имеющих к ним отношение. В э том случае информация не будет обрабатываться, а будет изъята. Статья 31. Имущественная перепись 1. Те, кто постоянно или периодически осуществляет деятельность по собиранию адресов, рассылке документов, рекламе, продаже, коммерческому развитию и другой аналогичной деятельности, могут запрашивать у национального статистическо го институ та или у аналогичных органов автономий копию списков выдвигаемых кандидатов, включающих в себя сведения об именах, фамилиях и домашних адресах, фигурирующих в избирательном цензе. 2. Использование каждо го списка выдвигаемых кандидатов имеет срок действия один го д. По окончании этого срока список перестает считаться общедоступным источником. 3. Процедура запрашивания субъектом возможности не фигурировать в списке выдвигаемых кандидатов должна регу лироваться в соответствии
с Законом. Эта процедура, которая является бесплатной для субъектов, должна включать регистрацию по месту жительства. Каждые три месяца должен издаваться обновленный список выдвигаемых кандидатов, который не должен включать в себя имена и домашние адреса лиц, не пожелавших быть включенными. 4. Можно по требовать запрещения предоставления этой переписи в качестве информационной услуги. Статья 32. Типовые кодексы 1. Посредством отдельных договоров, административных соглашений или решений держатели персональных данных (государственные, частные лица и организации) могут составлять типовые кодексы, оговаривающие правила организации, порядок функционирования, применяемые процедуры, нормы безопасности, программы или оборудование, обязанности лиц, вовлеченных в обработку и использование персональных данных, а также гарантии для осуществления прав лиц с полным соблюдением принципов и распоряжений. 2. Такие кодексы могу т содержать или не со держать детальные операционные правила каждой отдельной системы и технические стандарты применения. Предполагая, что э ти правила или стандар ты не будут включены непосредственно в кодекс, в инструкции или приказы, согласно которым они будут устанавливаться, до лжны соблюдаться принципы, изложенные в кодексе. 3. Типовые ко дексы должны иметь характер ко дексов о б обязанностях и правах или кодексов позитивной профессиональной практики. Они должны быть вписаны в Генеральный реестр по защите персональных данных, а в надлежащем случае, и в реестры, созданные автономиями. 4. Генеральный реестр по защите персональных данных может отказать в регистрации, если посчитает, что не выполняю тся законные распоряжения. В данном случае директор Агентства по защите персональных данных должен по требовать, ч тобы были сделаны необхо димые исправления. Раздел V ТРАНСГРАНИЧ НАЯ ПЕРЕДАЧА ПЕРСОНАЛЬ НЫХ ДАННЫХ Статья 33. Общие нормы 1. Не может осуществляться ни временная, ни окончательная передача персональных данных, ко торая была предметом обработки или была собрана для такой обработки и предназначалась для стран, которые
не могут обеспечить уровень защиты, адекватный настоящему Закону. Такая передача может иметь место только при по лучении предварительного разрешения директора Агентства по защите персональных данных, при условии соблю дения по ложений Закона и при наличии соответствующих гарантий. 2. Соответствующий характер уровня защиты, ко торый предлагает страна назначения, до лжен оцениваться Агентством по защите персональных данных, принимая во внимание все обстоятельства передачи или способ передачи информации. В частности, должны приниматься во внимание характер информации, цель и длительность обработки, страна происхождения и страна назначения, нормы права, общие или о тдельные, действующие в стране-посреднике, содержание докладов комиссии Европейского Союза, а также профессиональные нормы и меры безопасности, действующие в этих странах. Статья 34. Исключения Изложенное в предыдущей статье не будет применяться: a) если трансграничная передача персональных данных подпадает под договоры или соглашения, в которых участвует Испания; b) если передача осуществляется в целях предоставления или просьбы о международной судебной помощи; c) если передача является необхо димой для медицинской профилактики или диагноза, предоставления медицинской помощи или лечения или для деятельности медицинских служб; d) если речь идет о денежных передачах в соответствии с их особым законодательством; e) если субъект дал о днозначное согласие на передачу; f) если передача необ ходима для заключения договора между субъектом и держателем персональных данных или для заключ ения предварительных договоренностей по просьбе субъекта; g) если передача необ ходима для заключения или исполнения договора, заключенного в интересах субъекта персональных данных между держателем и третьим лицом; h) если передача необ ходима или законно за требована в целях соблюдения государственных интересов. Такая передача может быть затребована налоговой или таможенной службами для выполнения ими своих функций; i) если передача необ ходима для признания, осуществления или защиты какого-либо права в су дебном процессе; j) если передача осуществляется по просьбе лица, имеющего законный интерес, из государственного реестра, при том, что она не противоречит интересам последнего;
k) если передача имеет пунктом назначения государство, являющееся членом Европейского Союза, или государство, по отношению к которому комиссия Европейского Сообщества, во исполнение своих функций, провозгласила, ч то она гарантирует соответствующий уровень защиты. Раздел V АГЕНТСТВО ПО ЗАЩИТЕ ПЕРСОНАЛЬ НЫХ ДАННЫХ Статья 35. Юридический статус 1. Агентство по защите персональных данных является выразителем государственного права, имеет свою собственное юридическое лицо и полную государственную и частную правоспособность. Агентство осуществляет свою деятельность при по лной независимости от государственных органов и руководствуется положениями, изложенными в настоящем Законе и в своем уставе, который должен быть одобрен правительством. 2. При осуществлении своих общественных функций и за неимением того, что устанавливает настоящий Закон и его р аспоряжения, агентство по защите персональных данных должно действовать в соответствии с Законом 30/1992 от 26 ноября о правовом режиме государственных органов, органов регионального и местного управления и об общей процедуре управления. В своих имущественных приобретениях и при заключении договоров Агентство по защите персональных данных руководствуется частным правом. 3. Рабочие места органов и служб, вхо дящих в состав Агентства по защите персональных данных, должны занимать функционеры государственных органов и персонал, работающий по договору, согласно характеру функций, определяемых для каждого рабочего места. Этот персонал обязан хранить тайну в том, что касается персональных данных, с которыми он будет знакомиться в процессе своей работы. 4. Агентство по защите персональных данных должно располагать для осуществления своих целей следующим имуществом и финансовыми средствами: a) ассигнования, устанавливаемые ежегодно, за счет средств основного государственного бю джета; b) имущество и ценности, составляющие его собственность, а также прибыль и до хо д о т э той собственности; c) любые другие средства, ко торые законным порядком могут считаться его собственностью . 5. Агентство по защите персональных данных до лжно ежегодно разрабатывать и принимать соответствующий предварительный проект бюджета и передавать его правительству, чтобы он был включен, при
сохранении административной независимости, в основной государственный бюджет. Статья 36. Директор 1. Директор Агентства по защите персональных данных осуществляет руководство Агентством и представляет его. Директор должен быть назначен королевским декретом на срок четыре года из тех лиц, ко торые вхо дят в состав консультативного совета. 2. Директор должен исполнять свои функции независимо и объективно, он не должен по дчиняться никаким инструкциям при исполнении э тих функций. При э том директор должен прислушиваться к предложениям, сделанным консультативным советом во исполнение своих функций. 3. Директор Агентства по защите персональных данных может прекратить осуществление своих функций до истечения периода, о котором говорится в пункте 1, то лько по своей личной просьбе или в связи со смещением, согласованным с правительством. В последнем случае должно быть осуществлено предварительное расследование, в процессе которого обязательно будут заслушаны остальные члены консультативного совета. Смещение может быть вызвано грубым несоблюдением своих обязанностей, неспособностью осуществлять свои функции, совмещением нескольких должностей или осуждением за умышленное преступление . 4. Директор Агентства по защите персональных данных будет считаться чиновником высшего ранга по особым поручениям, если ранее он нахо дился на государственной службе. В случае, если директор был назначен из числа представителей судебных или налоговых орга нов, также будет считаться, что он нахо дится при исполнении особых поручений с момента назначения. Статья 37. Функции 1. Функциями Агентства по защите персональных данных являю тся: a) заботиться о соблюдении законодательства о защите информации и контролировать его применение, в особенности в том, что касается права на информацию, доступ, исправления, опротестования и изъятие сведений; b) выдавать разрешения, предусмотренные Законом или нормативными актами Агентства; c) давать, не затрагивая сферы компетенции других органов, инструкции, необ ходимые для приведения обработки персональных данных в соответствие с принципами настоящего Закона; d) разбирать просьбы и обжалования со стороны субъектов;
e) предоставлять информацию лицам об их правах касательно обработки персональных данных; f) требовать от держателей персональных данных и лиц, выполняющих их обработку, предварительно их выслушав, принятия мер, необхо димых для приведения обработки персональных данных в соответствии с настоящим Законом, и распоряжаться о прекращении обработки и изъятии карто тек, если не выпо лняется предписанное Законом; g) налагать санкции в соответствии с предусмотренным в главе VII настоящего Закона; h) выдавать предписания с информацией о проектах общих распоряжений, которые разъясняю т настоящий Закон; i) получать от держателей персональных данных помощь и информацию, необходимую для исполнения своих функций; j) следить за тем, чтобы деятельность кар тотек персональных данных была достоянием гласности. Для этого периодически пуб ликовать отчет о вышеназванных кар тотеках с дополнительной информацией, определяемой директором Агентства; k) редактировать ежегодные доклады и о тправлять их в министерство юстиции; l) осуществлять контроль и выдавать разрешения на трансграничную передачу персональных данных, а также оказывать международную взаимопомощь по защите персональных данных; m) следить за выполнением распоряжений, которые устанавливает Закон о статистической государственной системе, в том, что касается сбора статистических данных и соблю дения статистической тайны, а также выдавать необ ходимые инструкции, высказывать свое суждение об условиях со хранности кар тотек, созданных исключительно в статистических целях, и осуществлять функции, о ко торых говорится в статье 46; n) другие функции опреде ляю тся законодательством или нормативными актами. Статья 38. Ко нсультативный совет 1. Директор Агентства по защите персональных данных до лжен проводить совещания Консультативно го совета, состоящего из следующих ч ленов: один депутат, предложенный конгрессом депу татов; один сенатор, предложенный сенатом; один представитель высших государственных органов, назначенный правительством;
один представитель местной администрации, предложенный федерацией муниципалитетов и провинций Испании; один член Королевской академии истории, предложенный ею же самой. один экспер т, предложенный Высшим советом университетов; один представитель о т по требителей и по льзователей, выбранный способом, предусмотренным законодательством; один представитель от каждой автономии, которая создала отдел по защите персональных данных на своей территории, предложенный в соответствии с процедурой, установленной соответствующей автономией; один представитель сектора частных карто тек, для предложения которого будет требоваться процедура, устанавливаемая в законодательстве. В своей деятельности Консультативный совет руководствуется положениями, установленными в законо дательстве. Статья 39. Генеральный реестр по защите персональных данных 1. Генеральный реестр по защите персональных данных является отделом, вхо дящим в состав Агентства по защите персональных данных. 2. Предметом записи в Генеральный реестр по защите персональных данных буду т являться: a) кар тотеки, создаваемые государственными органами; b) карто теки частных лиц; c) разрешения, о которых говорится в настоящем Законе; d) типовые кодексы, о которых говорится в статье 32 настоящего Закона; e) данные, связанные с картотеками, необ хо димые для осуществления права на информацию, доступ, исправление, изъятие и опротестование. 3. С помощью нормативных актов будет регулироваться процедура внесения кар тотек как частных, так и государственных лиц в списки Генерального реестра по защите персональных данных, а также будут регулироваться содержание этой записи, ее изменение, изъятие, опротестование и способы опротестования соответствующих решений. Статья 40. Право на проведение проверки 1. Органы контроля и инспекции могут осуществлять проверки картотек, согласно настоящему Закону, получая от них информацию, необхо димую для выполнения своих обязанностей. Дл я этого они могут требовать предъявление или отправление им документов и данных и анализировать их в том месте, где они располагаю тся, а также инспектировать оборудование, используемое для обработки
персональных данных, проверять помещения, где это оборудо вание установлено. 2. Функционеры, осуществляющие инспекцию, о ко торой говорится в предыдущем пункте, буду т выступать от имени государственной власти при исполнении своих обязанностей. Они обязаны соблюдать тайну об информации, с которой они знакомятся в процессе выполнения своих функций даже после их прекращения. Статья 41. Аналогичные органы автономий 1. Функции Агентства по защите персональных данных, регулируемые в статье 37 (за исключением упомянутых в пунктах j), k), l) и в пунктах f), g)) в том, что касается трансграничной передачи персональных данных, а также в статьях 46 и 49 касательно своих особых компетенций, будут осуществляться аналогичными органами каждой автономии, если они будут затрагивать картотеки персональных данных, созданных или управляемых автономиями и местной администрацией. В таком случае аналогичные органы автономий будут считаться органами контроля и инспекции, ко торым будет гарантирована полная независимость и объективность в процессе выполнения своих обязанностей. 2. Автономии могут создавать и содержать свои собственные реестры картотек для испо лнения своих функций. 3. Директор Агентства по защите персональных данных может созывать в соответствии с установленными правилами соответствующие органы автономий с целью кооперации и ко ординации критериев или процедур деятельности. Директор Агентства по защите персональных данных и соответствующие органы автономий могут запрашивать друг у друга информацию, необ ходимую для выполнения своих функций. Статья 42. Картотеки автономий в вопросе их исключительной компетенции 1. Если директор Агентства по защите персональных данных установит, что со хранение или испо льзование определенной карто теки автономий нарушает какое-либо положение настоящего Закона в об ласти его исключительной компетенции, он может потребовать от соответствующих органов автономий, чтобы были приняты исправительные меры в срок, у казанный в запросе. 2. Если государственный орган автономии не выполнят сделанный запрос, директор Агентства по защите персональных данных может оспорить решение, принятое э тим органом. Раздел VII НАРУ ШЕНИЯ И САНКЦИИ
Статья 43. Ответственные лица 1. Держатели персональных данных и уполномоченные лица до лжны руководствоваться в своей деятельности порядком, установленным настоящим Законом. 2. Если речь идет о карто теках, держателем которых являю тся государственные органы, они должны руководствоваться в том, что касается процедур и санкций, положениями, изложенными в пункте 2 статьи 46. Статья 44. Виды правонарушений 1. Правонарушения могут квалифицироваться как легкие, тяжкие или особо тяжкие. 2. К легким правонарушениям относятся случаи, когда: a) не рассматривается по формальным причинам просьба субъекта об исправлении или изъятии персональных данных, являющихся предметом обработки, если эта процедура установлена законом; b) не предоставляется информация, запрашиваемая Агентством по защите персональных данных при выпо лнении функций, предписанных законом, в том, что касается несущественных аспектов по защите персональных данных; c) не запрашивается разрешение на создание картотеки, содержащей сведения личного характера, в Генеральном реестре по защите персональных данных, если э то не влечет за собой тяжких нарушений; d) прибегают к сбору персональных данных у субъектов персональных данных без предоставления им информации, указанной в статье 5 настоящего Закона; e) не выполняется обязанность по со хранению тайны, установленная в статье 10 настоящего Закона, за исключением случаев, когда э то приводит к тяжким последствиям. 3. К тяжким правонарушениям относятся случаи, ко гда: a) приступаю т к созданию государственных кар тотек или начинаю т сбор персональных данных для э тих карто тек без официального распоряжения, опубликованного в “Официальном государственном бюллетене” или в соответствующем официальном издании; b) приступаю т к созданию карто тек частных лиц или начинают сбор персональных данных для э тих кар тотек в целях, отличных от предусмотренных законом для предприятий или организаций; c) приступают к сбору персональных данных без получения явно выраженного согласия субъекта персональных данных в случаях, ко гда это согласие требуется;
d) обрабатывают персональные данные или используют их впоследствии, нарушая принципы и гарантии, установленные настоящим Законом, или не выполняя положения о защите, установленные соответствующими нормативными актами, если э то не представляет особо тяжкого нарушения; e) создаю т препятствия для осуществления права доступа и отказываю т предоставлять запрошенную информацию; f) в карто теках содержатся неточные персональные данные или не осуществляю тся исправления или изъятия, требуемые законодательно, если нарушаются права лиц, о ко торых говорит настоящий Закон; g) происхо дит нарушение обязанности по хранению тайны о персональных данных, имеющихся в карто теках, содержащих данные об административных или у головных правонарушениях, государственном имуществе, финансовых службах, предоставление услу г по платежеспособности и кредиту, а также в других карто теках, со держащих совокупность персональных данных, достаточных для получения оценки личности индивидуума; h) картотеки, помещения, программы или оборудование, содержащие персональные данные, содержатся без выполнения надлежащих условий безопасности, определяемых законодательством; i) Агентству по защите персональных данных не отправляю тся извещения, предусмотренные настоящим Законом или в соо тветствующих нормативных актах, а также вовремя не предоставляется необхо димые информация и документы в запрошенном объеме; j) создаю тся препятствия в осуществлении проверочной деятельности; k) не получают разрешения на создание картотеки, содержащей персональные данные в Генеральном реестре по защите персональных данных, если это было затребовано директором Агентства по защите персональных данных; l) не выполняется обязанность о предоставлении информации, устанавливаемая в статьях 5, 28, 29 настоящего Закона, если сведения были получены не о т субъекта персональных данных. 4. К особо тяжким правонарушениям относятся случаи, ко гда: a) сбор сведений осуществляется посредством обмана или мошенничества; b) сообщение или передача персональных данных происходит в неразрешенных законом случаях; c) происходит получение и обработка персональных данных, о которой говорится в пункте 2 статьи 7, если отсутствует явно выраженное согласие субъекта; происходит получение и обра ботка персональных
данных, о которых говорится в пункте 3 статьи 7, если это не предусмотрено Законом, или если о тсутствует явно выраженное согласие субъекта, или если нарушается запрет, со держащийся в пункте 4 статьи 7; d) злостно нарушается запрет на незаконную обработку персональных данных, несмотря на предупреждения директора Агентства по защите персональных данных или должностных лиц, отвечающих за право доступа; e) без разрешения директора Агентства по защите персональных данных осуществляется временная или окончательная передача персональных данных, явившихся предметом обработки или собранных для такой обработки и предназначающихся для стран, не имеющих возможности предоставить уровень защиты, сравнимый с предусмотренным этим Законом; f) происходит обработка персональных данных в противозаконной форме или с несоблю дением принципов и гарантий, если э то препятствует или действует против осуществления основных прав; g) происходит нарушение обязанности по со хранению тайны о персональных данных, о которых говорится в пунктах 2 и 3 статьи 7, а также о персональных данных, ко торые были собраны в полицейских целях без согласия субъекта; h) не соблю дается или систематически затрудняется осуществление права доступа, исправления, изъятия или опротестования; i) систематически не соблю дается законная обязанность по извещению о включении персональных данных в кар тотеку. Статья 45. Виды санкций 1. К легким правонарушениям применяются санкции в виде штрафа от 100 000 до 10 000 000 песет. 2. К тяжким правонарушениям прим еняются санкции в виде штрафа от 10 000 000 до 50 000 000 песет. 3. К особо тяжким правонарушениям применяются санкции в виде штрафа от 50 000 000 до 100 000 000 песет. 4. Количественное выражение санкций бу дет определяться, учитывая характер затронутых прав личности, объем проведенной обработки, полученную выгоду, степень преднамеренности, рецидив, ущерб и вред, нанесенные субъектам и третьим лицам, и любое другое выявленное обстоятельство, служащее для определения степени про тивозаконности и виновности, присутствующих в конкретном правонарушении. 5. Если по причине наличия смягчающих обстоятельств будет принято решение об уменьшении степени виновности обвиняемого или степени противозаконности действий, орган, налагающий санкции, должен установить их количественное выражение, применяя шкалу,
связанную с видом нарушений, предшествующих по тяжести шкале, в которой рассматриваются санкции, о ко торых идет речь. 6. Ни в каком случае не могут накладываться более серьезные санкции, чем это предусмотрено Законом, дл я каждого вида нарушений. 7. Правительство до лжно периодически пересматривать количественное выражение санкций в соответствии с изменениями, происхо дящими в показателях цен. Статья 46. Нарушения, совершенные сотрудниками государственных органов 1. Если нарушения, о ко торых говорится в статье 44, совершаются в картотеках, ответственными за ко торые являю тся государственные органы, директор Агентства по защите персональных данных должен принять решение, устанавливающее меры, которые необходимо принять, чтобы прекратить или исправить то, что произошло вследствие нарушения. Об этом решении должны быть поставлены в известность держатель персональных данных, о тветственный за карто теку, вышестоящий орган, а также субъекты, если таковые были. 2. Директор Агентства может также предложить применение дисциплинарных взысканий. Применяемые процедуры и санкции должны быть установлены законодательством о дисциплинарном порядке государственных органов. 3. А гентству до лжны сообщаться решения, принимаемые касательно мер и действий, о ко торых говорится в предыдущих пунктах. 4. Директор Агентства должен сообщать Уполномоченному по правам человека о действиях, которые он предпринимает, и о решениях, которые он принимает в соответствии с предыдущими пунктами. Статья 47. Срок давности 1. Очень тяжелые правонарушения имеют срок давности три го да, тяжелые - два года, легкие - о дин год. 2. Срок давности начинает исчисляться со дня совершения правонарушения. 3. Срок давности прерывается при условии извещения субъекта персональных данных с начала момента вступления санкций в силу и восстанавливается, если дело о санкциях оказывается приостановленным на срок более шести месяцев по причинам, не зависящим от нарушителя. 4. Санкции, наложенные за очень серьезные правонарушения, имеют срок давности три года, наложенные за серьезные правонарушения - два года и наложенные за несущественные правонарушения - о дин год. 5. Срок давности санкций начинается со дня, следующего за тем, когда вступает в силу решение, по ко торому налагаются санкции.
6. Срок давности прерывается при условии извещения субъекта персональных данных с начала вступления санкций в силу и восстанавливается, если действие санкций приостанавливается на срок более шести месяцев по причине, не зависящей о т нарушителя. Статья 48. Процедура наложения санкций 1. Процедура наложения санкций устанавливается со гласно законодательству для определения правонарушений и наложения санкций, о ко торых говорится в настоящей главе. 2. Решения Агентства по защите персональных данных или соответствующего органа автономного сообщества исчерпывают административные решения. Статья 49. Право на приостановку деятельности картотек В случаях совершения особо тяжких правонарушений использования или незаконной передачи персональных данных, которые препятствуют или затрудняю т осуществление прав граждан и свободного развития личности, гарантируемых Конституцией и законами, директор Агентства по защите персональных данных может, помимо наложения санкций, требовать как от частных, так и государственных держателей картотек персональных данных прекращения использования или незаконной передачи сведений. Если такое требование не было выполнено, Агентство по защите персональных данных сможет посредством соответствующего решения прекратить деятельность картотеки до по лного восстановления прав субъектов. ДОПОЛ НИТ ЕЛЬ НЫЕ ПОЛОЖЕНИЯ Первое. Ранее существовавшие картотеки Автоматизированные кар тотеки, зарегистрированные или нет в Генеральном реестре по защите персональных данных, должны быть приведены в соответствие положениям настоящего Закона в течение трех лет, начиная со дня его вступления в силу. В течение э того срока о картотеках частных лиц должно быть сообщено Агентству по защите персональных данных и государственным структурам. Государственные держатели персональных данных должны принять надлежащее решение об упорядочении картотеки или адаптировать уже существующую. В случае если кар тотека неавтоматизирована, приведение ее в соответствие с настоящим Законом и осуществление обязанностей, указанных в предыдущей главе, до лжны быть исполнены в течение двенадцати лет, начиная с 24 октября 1995 го да, не нарушая права доступа, исправления и изъятия информации со стороны субъектов. Второе. Картотеки и реестр населения государственных органов
1. Органы государственного управления и а дминистрации автономий могут запрашивать у национального статистического институ та, без согласия субъекта, обновленную копию картотеки, со держащую информацию о именах, фамилиях, домашнем адресе, половой принадлежности, дате рождения, с целью создания кар то теки или реестров населения. Э та информация содержится в муниципальных списках населения и избирательном цензе, соответствующих территории, где эти государственные структуры осуществляю т свои функции. 2. Кар тотеки или реестры населения имеют целью сообщать различным официальным органам автономий о субъектах, проживаю щих на соответствующих территориях, согласно с судебно административными функциями, вытекающими из полномочий государственных органов. Третье. Обработка дел, заведенных согласно отмененным законам о тунеядцах и бродягах и о социальной реабилитации Дела, заведенные согласно отмененному закону о тунеядцах и бродягах и закону о защите и социальной реабилитации, которые содержат сведения любого рода, способные нанести ущерб чести, безопасности, моральному облику или неприкосновенности личной жизни, не могут просматриваться без явно выраженного согласия субъекта или до тех пор, пока не истечет 50 лет с момента их заведения. В этом последнем случае главная государственная администрация, если не было четкого подтверждения смерти субъекта, может предоставить в распоряжение запрашивающего лица документацию , исключив из нее сведения, упомянутые в предыдущем пункте, посредством применения соответствующих технических процедур. Четвертое. Изменение статьи 112.4 Основного налогового закона Пункт 4 статьи 112 Основного налогового закона изменен в следующей редакции: “4. Передача тех персональных данных, которые обрабатываются налоговыми службами в соответствии с положениями, изложенными в статье 111, в предыдущих пунктах э той статьи или в другом нормативном законодательном акте, не требует согласия субъекта. Также не будет применяться то, что установлено в пункте 1 статьи 21 Закона о защите персональных данных, в том, ч то касается государственных администраций”. Пятое. Компетенция Уполномоченного по правам человека и аналогичных автономных органов Положения, изложенные в настоящем Законе, должны исполняться, не нарушая сферы компетенции Уполномоченного по правам человека и аналогичных органов автономий.
Шестое. Изме нение статьи 24.3 Закона Изменяется статья 24.3, параграф 2 Закона 30/1995, от 8 ноября, “Об упорядочении и надзоре за частным страхованием” в следующей редакции: “Страховые организации могут создавать общие карто теки, содержащие персональные данные для возмещения убытков от несчастных случаев и статистического сотрудничества в целях осуществления тарификации и классификации степени риска и разработки страхо вых техник. Передача информации в эти карто теки не требует предварительно го согласия субъекта. При этом такое согласие требуется при передаче персональных данных в карто теки в целях, указанных держателем персональных данных, чтобы можно было осуществлять право на доступ, исправление и изъятие, предусмотренное Законом. Также могут организовываться общие карто теки, чьей целью будет являться предо твращения мошенничества при составлении страхового полиса, для чего согласие субъекта не требуется. Тем не менее при первом внесении персональных данных необ хо димо сообщить субъекту, кто является держателем персональных данных, и о праве субъекта на доступ, исправление и изъятие данных. В любом случае данные о состоянии здоровья могут быть предметом обработки только с согласия субъекта”. ВРЕМЕННЫЕ ПОЛ ОЖЕНИЯ Первое. Обработка, проводимая в соответствии с международными соглашениями Агентство по защите персональных данных является компетентным органом, обеспечивающим защиту физических лиц в том, что касается обработки персональных данных согласно нормам проведения обработки, установленным в любом международном соглашении, участником которого является Испания, ко торая вверяет это в компетенцию государственных органов контроля и инспекции до тех пор, пока для этого не будет создана о тдельная служба. Второе. Использование списков выдвигаемых кандидатов Законодательно должны быть определены процедуры по созданию списков выдвигаемых кандидатов, о тказу о т внесения в э ти списки, предоставлению их запрашивающим лицам и контролю распространяемых списков. Согласно закону должны быть установлены сроки вступления в силу списков выдви гаемых кандидатов. Третье. Предшествующие нормативы Одновременно с заключительными положениями настоящего Закона также действуют существующие нормативные акты, в особенности
королевские указы 428/ 1993 от 26 марта, 1332/1994 о т 20 июня и 994/1999 от 11 июня, если они не про тиворечат настоящему Закону. ОТМЕНЯЮЩИЕ ПОЛОЖЕНИЯ Единственное. Отменяется Органический закон 5/1992 от 29 октября о регулировании автоматизированной обработки персональных данных. ЗАКЛЮЧ ИТЕЛЬ НЫЕ ПОЛ ОЖЕНИЯ Первое. Полномочия для развития законодательства Правительство должно принять или изменить уставные распоряжения, необхо димые для применения и действия настоящего Закона. Второе. Предписания, носящие характер очередного Закона Главы IV, VI, за исключением последнего вводно го предложения пункта 4 статьи 36 и VII настоящего Закона, четвер тое дополнительное положение, первое временное положение и первое заключительное положение имеют характер очередного Закона. Третье. Вступление в силу Настоящий Закон вступает в силу в течение о дного месяца от его опубликования в официальном государственном бюллетене.
Комментарий к международным документам и национальным законам Первоначально к проблеме защиты персональных данных на международном уровне обратилась Организация по экономическому сотрудничеству и развитию (ОЭ СР), принявшая в 1980 г. Директиву о защите неприкосновенности частной жизни и международных обменов персональными данными, в которой были зафиксированы основные принципы работы с персональными данными. Э ти принципы получили развитие и конкретизацию в Международной конвенции “Об о хране личности в отношении автоматизированной обработки персональных данных” (1981 г.), которая стала объединяющим началом для соответствующего национального законодательства. Затем система защиты персональных данных развивалась в Директиве Европейского Союза и Парламента 95/ 46/ЕС о т 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве 97/ 66/ ЕС от 15.12.97 по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. В развитых индустриальных странах (США, страны ЕС) за последние двадцать лет было разработано законодательство по вопросам защиты персональных данных - принято свыше 25 национальных нормативных специализированных актов, причем некоторые из них доработаны и изменены в связи с развитием телекоммуникаций. При этом легко заметить, ч то более “молодые” или обновленные законы в большей степени учитываю т особенности сбора, хранения, обработки и использования персональных данных в Интернете. Подхо ды различных стран к законодательному регулированию работы с персональными данными имеют некоторую национальную специфику, однако можно выделить ряд общих моментов, ч то связано, по видимому, с процессом гармонизации европейского законодательства в рамках Евросоюза. Во-первых, создается национальное законодательство (включая подзаконные акты), позволяющее регулировать отношения, связанные со сбором, хранением, автоматической обработкой и использованием персональных данных. Причем чаще всего это законодательство создается как самостоятельное наряду с общим законо дательством о защите права на неприкосновенность частной жизни и обеспечивает: защиту персональных данных лиц от несанкционированного доступа к ним со стороны других лиц, в том числе и представителей
государственных органов и служб, не имеющих на то необ ходимых полномочий; обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе и при передаче по международным телекоммуникациям; обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий субъектов персональных данных; обеспечение контроля за использованием персональных данных со стороны самого субъекта. Во-вторых, создается специаль ная институциональная структура, обеспечивающая эффективный надзор за соблю дением прав субъекта персональных данных (например, институты Уполномоченных по защите персональных данных). Четверть века функционирует э то т институт в странах Европы, до казав свою эффективность и гарантируя право доступа субъекта к информации о себе и контроль за надлежащим использованием баз, содержащих персональные данные. В ряде стран служба Уполномоченных несет достаточно большую нагрузку, регистрируя и рассматривая в го д свыше 10 тысяч заявлений граждан. Институ т Уполномоченных по защите персональных данных основывается на принципах института омбудсмена и представляет собой развитую самостоятельную независимую структуру, дополняю щую традиционные институты государственной власти. Создание независимого института, по-видимому, связано с необходимостью контроля деятельности различных ветвей государственной власти и создания более доступного для субъектов персональных данных и оперативно действующего механизма защиты их прав.
Часть III РАЗВИ ТИЕ ЗАКО НОД АТЕЛЬС ТВ А
РОС СИЙ СКОГО
Проект Федеральный закон Об информации персонального характера (внесен 03.04.1998 г. депутатами Государственной Думы Финько О.А., Нестеровым Ю.М., Волковым Г.К., Габидуллиным Р.Г., Цоем В.Е.) Настоящий Федеральный закон устанавливает порядок работы с персональными данными в соответствии с общепризнанными принципами и нормами международного права, международными договорами, участником которых является Российская Федерация, Конституцией Российской Федерации, законами Российской Федерации в целях защиты основных прав и свобод человека и гражданина, в частности права на неприкосновенность частной жизни применительно к работе с персональными данными. Глава 1. Общие положения Статья 1. Задачи Федерального закона Задачами настоящего Федерального закона являю тся: регулирование отношений по защите прав и свобод личности в отношении ее персональных данных и по защите э тих данных в процессе их испо льзования; определение условий законности работы с персональными данными; установление порядка формирования массивов персональных данных федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, юридическими и физическими лицами; определение прав и обязанностей субъектов персональных данных и держателей (обладателей) массивов персональных данных; установление форм государственного регулирования и порядка работы с персональными данными, а также условий обеспечения их сохранности; определение правового статуса Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации. Статья 2. Сфера действия Федерального закона Действие норм настоящего Федерально го закона распространяется на федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного
самоуправления, юридических и физических лиц, участвующих в работе с персональными данными, за исключением случаев осуществления работы с персональными данными физическими лицами в ходе чисто личной или бытовой деятельности. Настоящим Федеральным законом регулируются отношения, возникающие при работе с персональными данными независимо от применяемых средств обработки этих данных. Статья 3. Терми ны и их определения Для целей настоящего Федерального закона применяются следующие основные термины и определения: Персональные данные - зафиксированная на материальном носителе информация о конкретном человеке, отождествленная с конкретным человеком или ко торая может быть отождествлена с ко нкретным человеком, позволяющая идентифицировать э того человека прямо или косвенно, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, ку льтурной или социальной идентичности. К персональным данным относятся: биографические и опознавательные данные, личные характеристики, сведения о семейном положении, социальном положении, образовании, навыках, профессии, служебном положении, финансовом положении, состоянии здоровья и прочее. Перечень персональных данных - список категорий данных об одном субъекте, собираемых держателем (обладателем) массива персональных данных. Массив персональных данных - упорядоченная и организованная совокупность персональных данных неопределенного числа субъектов персональных данных, независимо от вида материального носителя информации и используемых средств их обработки (ар хивы, картотеки, электронные базы данных и т.п.). Режим конфиденциальности персональных данных - нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных. Материальный носитель - материальные объекты, в том числе физические поля, на ко торых или в которых отображаются персональные данные в виде символов, образов и сигналов. Субъект персональных данных (субъект) - человек, к ко торому относятся соответствующие персональные данные. Держатель (обла датель) массива персональных да нных (держатель (обладатель)) - федеральные органы государственной
власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, юридические или физические лица, осуществляю щие работу с массивами персональных данных на законных основаниях. Работа дер жателя (о бладателя) с персональными данными любые действия, выпо лняемые с персональными данными: сбор, запись, организация, накопление, хранение, актуализация или изменение, извлечение, группировка, использование, передача, обезличивание и уничтожение персональных данных - стирание или разрушение и т.п. Третье лицо - любое физическое или юридическое лицо, орган государственной власти или местного самоуправления, кроме субъекта персональных данных, держателя (обладателя) массива персональных данных, Упо лномоченного по правам субъектов персональных данных при Президенте Российской Федерации и лиц, ко торые уполномочены обрабатывать данные с прямой санкции держателя (обладателя) массива персональных данных. Получатель персональных данных (получатель) - физическое или юридическое лицо, орган государственной власти или местного самоуправления, которому раскрываются данные на основании заключаемого договора, являю щееся или не являющееся третьей стороной. Орган государственной власти, получающий персональные данные по служебному запросу в порядке служебного обмена данными, не должен считаться получателем. Сбор персональных данных - документально оформленная процедура получения на законных основаниях персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо из других источников в соответствии с действующим законодательством. Согласие субъекта данных - свободно данное конкретное и сознательное указание о своей воле, в том числе письменно подтвержденное, которым субъект данных оповещает о своем согласии на проведение работы с его персональными данными. Передача персональных данных - предоставление держателем (обладателем) персональных данных третьим лицам в соответствии с принципами настоящего Федерального закона. Трансграничная передача персональных данных - передача персональных данных держателем (обладателем) лицам, находящимся под юрисдикцией других государств.
Актуализация персональных данных - оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными действующим законода тельством. Блокирование персональных данных - временное прекращение актуализации, передачи, использования и уничтожения персональных данных. Уничто жение (стирание ил и разрушение) персональных данных действия держателя (обладателя) персональных данных, не позволяющие восстановить содержание персональных данных. Обезл ичивание персональных данных - изъятие из персональных данных той их части, которая позво ляет отождествить их с конкретным человеком. Статья 4. Основные принципы работы с персональными данными 1. Персональные данные до лжны быть получены и обработаны добросовестным и законным образом. 2. Персональные данные до лжны собираться для точно определенных объявленных и законных целей, не использоваться в противоречии с этими целями и в дальнейшем не обрабатываться каким-либо образом, несовместимым с данными целями. 3. Персональные данные до лжны соответствовать целям, для ко торых они собираются и обрабатываются, и не быть избыточными в отношении этих целей. 4. Персональные данные должны быть точными, т.е. не допускать ошибок и искажений в сведениях о личности, и в случае необходимости обновляться. 5. Персональные данные до лжны храниться не до льше, чем этого требуют цели, для ко торых они накапливались, и подлежат уничтожению по достижении целей или минованию надобности в них. Для персональных данных, со храняемых более длительные сроки в исторических или иных целях, должны быть установлены необхо димые гарантии обеспечения их защиты. 6. Не допускается объединение массивов персональных данных, собранных держателями (обладателями) в разных целях. Глава 2. Условия законности работы с персональными данными Статья 5. Правовые основания осуществления работы с персональными данными Работа с персональными данными может осуществляться держателем (обладателем) массива персональных данных только в случаях: если субъект персональных данных недвусмысленно дал свое согласие на ее проведение; или
если она необ ходима для выполнения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления своей компетенции, установленной действующим законо дательством; или если она нужна для достижения законных интересов держателей (обладателей) или третьих лиц, ко торым раскрыты персональные данные, имеющих лицензию на проведение работ с персональными данными, когда реализация этих интересов не препятствует осуществлению основных прав и свобод субъектов персональных данных, в частности права на неприкосновенность частной жизни применительно к обработке персональных данных; или когда она необхо дима для защиты жизненных интересов субъекта персональных данных; или когда она необ ходима для исполнения договора, в ко тором субъект персональных данных является стороной, или для принятия требуемых мер до заключения договора по просьбе субъекта; или если она необ ходима для осуществления задач правоо хранительных органов в общественных интересах; или если обработка персональных данных осуществляется исключительно в целях журналистики либо в целях ху дожественного или литературного творчества при условии, ч то такие действия будут согласовываться с соблюдением права на неприкосновенность частной жизни и свободой слова. Статья 6. Режим конфиденциальности персональных данных 1. Работа с персональными данными, нахо дящимися в ведении их держателя (обладателя), производится в режиме конфиденциальности, кроме случаев, определенных настоящим Федеральным законом. 2. Держатель (обладатель) персональных данных обязан обеспечивать о храну персональных данных во избежание несанкционированного дос тупа к ним, их блокирования или передачи, а равно их случайного или несанкционированного уничтожения, изменения или у траты. 3. Режим конфиденциальности персональных данных снимается в случаях: обезличивания персональных данных; по желанию субъекта; по истечении семидесятипятилетнего срока хранения персональных данных, если иное не предусмотрено требованиями субъекта персональных данных или действующим законодательством. Статья 7. Общедоступные массивы персональных данных
1. В целях информационного обеспечения общества могут создаваться общедоступные массивы персональных данных (справочники, телефонные книги, адресные книги, массивы персональных данных фирм и т. п.). 2. В общедоступные массивы персональных данных могут включаться следующие персональные данные: фамилия, имя, о тчество, год и место рождения, адрес местожительства, работы, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом и/или полученные из открытых источников, других общедоступных массивов персональных данных. 3. В случае, если персональные данные получены держателем (обладателем) общедоступно го массива персональных данных из открытых источников либо иных общедоступных массивов персональных данных, держатель (обладатель) общедоступного массива информирует субъекта по его запросу о содержании его персональных данных, об источниках получения и цели испо льзования. 4. Персональные данные конкретного субъекта безо тлагательно исключаю тся держателем (обладателем) персональных данных из общедоступного массива персональных данных на основании распоряжения этого субъекта или решения правоо хранительного органа. 5. Общедоступные массивы персональных данных открыты, для них режим конфиденциальности не устанавливается. Статья 8. Специальные категории персональных данных 1. Сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, по литические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и сексуальных наклонностей, исключительно в целях выявления э тих факторов, не допускаю тся. 2. Часть 1 статьи не применяется в случаях: если субъект персональных данных дал свое явное согласие на сообщение и обработку таких данных; если обработка необ ходима для защиты жизненно важных интересов субъекта данных, иного лица или соответствующей группы лиц; если обработка осуществляется с надлежащими гарантиями специальной некоммерческой организацией в хо де ее законной деятельности в политических, философских или религиозны х целях и относится исключительно к членам соответствующей организации или лицам, имеющим регулярный контакт с нею в связи с ее целями, и при условии, ч то данные не раскрываются третьим лицам без согласия субъектов данных;
если обработка касается данных, ко торые явно сделаны общедоступными субъектом данных, или она необхо дима для осуществления действий в связи с су дебными исками; если обработка данных требуется в целях превентивной медицины, медицинского диагноза, а также, если данные необ ходимы лицу, профессионально занимающемуся медицинской либо иной соответствующей деятельностью и обязанному согласно действующему законодательству со хранять профессиональную тайну. Статья 9. Формы государственного регулирования работы с персональными данными Государство осуществляет регулирование работы с персональными данными в следующих формах: лицензирование работы с персональными данными; регистрация массивов персональных данных и их держателей (обладателей); сертификация информационных систем и информационных технологий, предназначенных для обработки персональных данных; заключение межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных. Статья 10. Особые условия работы с персональными данными 1. Правовой режим персональных данных, по лученных в результате деятельности правоо хранительных органов, устанавливается в соответствии с действующим законо дательством. 2. Для некоторых категорий персональных данных лиц, занимающих высшие государственные должности, и кандидатов на э ти должности в соответствующие периоды, в частности в период предвыборной кампании, может устанавливаться специальный правовой режим их персональных данных, обеспечивающий открытость персональных данных, имеющих общественную значимость. 3. По желанию субъекта для его персональных данных может быть установлен режим общедоступной информации (библиографические справочники, телефонные книги, адресные книги, частные объявления, массивы данных для осуществления прямого маркетинга и т.д.). 4. С момента смерти субъекта персональных данных правовой режим персональных данных по длежит замене на режим ар хивного хранения или иной правовой режим, предусмотренный действующим законодательством.
5. Защита персональных данных умершего лица может осуществляться другими лицами, в том числе наследниками, в порядке, предусмотренном действующим законодательством о защите чести, достоинс тва и деловой репу тации, защите личной и семейной тайн. Глава 3. Права субъекта персональных данных Статья 11. Предоставление персональных данных 1. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональны х данных за исключением случаев, предусмотренных статьей 18 настоящего Федерального закона. Персональные данные предоставляю тся субъектом лично либо через доверенное лицо. 2. В целях реализации своих прав и свобод субъект предоставляет данные в объеме, определяемом законодательством, а также сведения об их изменениях в соответствующие федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, имеющие право на работу с персональными данными в пределах их компетенции. 3. Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возмо жной передачей персональных данных третьим лицам, а также информирован об ином возможном использовании персональных данных. Статья 12. Доступ субъекта к своим персональным данным 1. Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к себе персональных данных и иметь к ним доступ. Право на доступ может быть ограничено только в случаях, предусмотренных статьей 18 настоящего Федерального закона. 2. Информация о наличии и содержании персональных данных субъекта должна быть выдана ему держателем (об ладателем) массива персональных данных в общедоступной документированной форме, четко и ясно выраженная и не должна содержать персональных данных, относящихся к другим субъектам. 3. Предоставление персональных данных их субъек там производится на основании письменного запроса субъекта и документа, удостоверяющего его личность, за плату, не превышаю щую затраты на поиск и выдачу информации. Информация о наличии персональных данных и сами персональные данные предоставляю тся субъекту данных в срок, не превышающий недели с момента подачи заявления. 4. Субъект персональных данных имеет право также знакомиться с документами, содержащими сведения персонально го характера о нем.
Статья 13. Внесение субъектом изменений в свои персональные данные При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя (обладателя) этих данных внесения изменений в свои персональные данные. Изменения в персональные данные вносятся в порядке, установленном статьей 27 настоящего Федерального закона. Статья 14. Блокирование и снятие блокирования персональных данных В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать о т держателя (обладателя) заб локировать э ти данные. Блокирование и снятие блокирования персональных данных осуществляется в соответствии со статьей 22 настоящего Федерального закона. Статья 15. Обжалование неправомерных действий в отношении персональных данных Если субъект персональных данных считает, ч то в отношении его персональных данных совершены неправомерные действия, он вправе обратиться к Упо лномоченному по правам субъектов персональных данных при Президенте Российской Федерации и (или) обжаловать эти действия в административном или су дебном порядке. Статья 16. Порядок обращения к Уполномоченному по правам субъектов персональных данных при Президенте Российской Федерации 1. Обращение (жалоба, заявление и т.п.) должно быть подано Уполномоченному по правам субъектов персональных данных при Президенте Российской Федерации в письменной форме не позднее одного года с момента нарушения прав субъекта или с того момента, когда субъекту стало известно о нарушении. 2. Обращение до лжно содержать фамилию, имя, отчество и адрес субъекта, адрес и наименование держателя (обладателя) массива персональных данных, чьи действия обжалуются, изложение существа действий или решений, нарушивших, по мнению субъекта, его права. 3. В случае нарушения требований, указанных в частях 1 и 2 настоящей статьи, решением Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации обращение может быть принято к рассмотрению в случае его особой общественной значимости вне зависимости о т срока давности. Статья 17. Возмещение убытков и (или) компенсация морального вреда
В случае установления неправомерности действий держателя (обладателя) массива персональных данных при работе с персональными данными, субъект данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. В случае передачи одних и тех же персональных данных от о дного держателя (обладателя) к другому и невозможности определения конкретного виновника нанесения ущерба, ответственность несет каждый держатель (обладатель) этих данных. Статья 18. Ограничение прав субъектов на свои персональные данные Ограничение прав субъекта на свои персональные данные возможно в отношении: 1) Права предоставления субъектом своих персональных данных держателям (обладателям) массивов персональных данных - для субъектов персональных данных, допущенных к сведениям, составляю щим государственную тайну, - в пределах, установленных Законом Российской Федерации “О государственной тайне”. 2) Права доступа субъекта к своим персональным данным, внесения изменений в свои персональные данные, бло кирования своих персональных данных: а) в отношении персональных данных, полученных в результате оперативно-розыскной деятельности, за исключением случаев, когда эта деятельность прово дится с нарушением действующего законодательства; б) в отношении персональных данных субъектов, задержанных по подозрению в совершении преступления либо которым предъявлено обвинение по уголовному делу, либо к которым применена мера пресечения до предъявления обвинения, в органах, проводящих указанные действия; в) в о тношении иных персональных данных в случаях, предусмотренных действующим законо дательством. Глава 4. Права и обязанности держателя (обладателя) по работе с массивами персональных данных Статья 19. Держатели (обладатели) массивов персональных данных 1. Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления имеют право выступать в качестве держателей (обладателей) массивов персональных данных и на работу с персональными данными в соответствии со своей компетенцией, установленной действующим законодательством. 2. Юридические и физические лица имею т право на работу с персональными данными на основании лицензии.
3. Юридические и физические лица имею т право на работу с персональными данными без лицензий в целях, исключающих передачу этих данных третьим лицам. Статья 20. Обязанности держателя (обладателя) массива персональных данных 1. Держатель (об ладатель) массива персональных данных обязан: получать персональные данные непосредственно от субъекта, его доверенных лиц или из других законных источников; обеспечивать режим конфиденциальности персональных данных в предусмотренных настоящим Федеральным законом случаях; определять и документально оформлять порядо к работы служащих организационной структуры, осуществляющих работу с персональными данными массива, а также лиц, несущих юридическую ответственность за соблюдение режима конфиденциальности и со хранности персон альных данных; обеспечивать со хранность и достоверность персональных данных, их актуализацию, а также установленный в нормативном порядке режим доступа к ним; сообщать субъекту по его требованию информацию о наличии персональных данных о нем, а также сами персональные данные в недельный срок после поступления о т него запроса, за исключением случаев, предусмотренных статьей 17 настоящего Федерального закона; в случае отказа в сообщении субъекту по его требованию информации о наличии персональных данных о нем , а также самих персональных данных, выдавать письменный мотивированный о твет, содержащий ссылку на соответствующий пункт статьи 18 настоящего Федерального закона в срок, не превышающий дву х недель с момента обращения субъекта; в дву хнедельный срок представлять по запросам Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации информацию, необхо димую для испо лнения его полномочий. 2. Лица, которым персональные данные стали известны в силу их служебного положения, принимают на себя обязательства и несут ответственность по обеспечению конфиденциальности этих персональных данных. Такие обязательства остаю тся в силе и после окончания работы этих лиц с персональными данными в течение срока сохранения режима конфиденциальности согласно статьи 6 настоящего Федерального закона. Статья 21. Обяза нности держателей (обладателей) персональных данных по составлению перечней персональных данных 1. Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы
местного самоуправления или уполномоченные ими структуры держатели (обладатели), осуществляющие работу с персональными данными в пределах компетенции, установленной действующим законодательством, разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и руководствую тся ими. 2. Указанные перечни согласовываю тся с Упо лномоченным по правам субъектов персональных данных при Президенте Российской Федерации или его представителем и публикуются в Реестре дер жателей (обладателей) массивов персональных данных, издаваемом Уполномоченным по правам субъектов персональных данных при Президенте Российской Федерации. Данные перечни устанавливают объем сведений, испо льзуемых федеральными органами государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления для реализации своей компетенции. 3. Держатели (обладатели) массивов персональных данных, осуществляю щие работу с персональными данными по лицензии, разрабатывают в соответствии со спецификой их деятельности перечни персональных данных и руководствую тся ими. Указанные перечни согласовываю тся с Уполномоченным по правам субъектов персональных данных при Президенте Российской Федерации или его представителем и включаю тся в лицензию. Такие перечни могут быть опубликованы в Реестре держателей (обладателей) массивов персональных данных по их желанию. 4. Перечни персональных данных до лжны соответствовать целям сбора этих данных. Расширение установленных перечней для ре ализации целей ино го характера не допускается. Статья 22. Обязанности держателя (обладателя) массива персональных данных по блокированию, снятию блокирования и уничтожению персональных данных 1. В случае выявления субъектом недостоверности персональных данных или неправомерности действий с ними держателя (обладателя) массива персональных данных он может по дать заявление держателю (обладателю) массива этих данных или обратиться к Упо лномоченному по правам субъектов персональных данных при Президенте Российской Федерации. Держатель (обладатель) обязан принять к произво дству заявление субъекта и заблокировать его персональные данные на период проверки заявления с момента его получения. 2. В случае подтверждения недостоверности персональных данных держатель (обладатель) массива данных обязан на основании документов, представленных субъектом, исправить их и снять б локирование.
3. В случае установления неправомерности сбора персональных данных держатель (обладатель) обязан уничтожить соответствующие данные в срок, не превышающий трех дней с момента такого установления и документально уведомить об этом субъекта персональных данных. 4. В случае взаимного признания правомерности действий с персональными данными или их достоверности держатель (обладатель) массива персональных данных обязан безо тлагательно снять их блокирование. 5. В случае несогласия держателя (обладателя) массива персональных данных с заявлением субъекта персональных данных, рассмотрение конфликтных ситуаций осуществляется Уполномоченным по правам субъектов персональных данных при Президенте Российской Федерации или в административном (судебном) порядке. При получении решения Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации держатель (обладатель) обязан рассмотреть его, принять соответствующие меры и в месячный срок письменной форме сообщить об этом Уполномоченному. Статья 23. Передача персональных данных 1. Держатель (об ладатель) массива персональных данных вправе передавать эти данные другому держателю (обладателю) без согласия субъекта данных в случаях: если цели использования персональных данных получателем этих данных нахо дятся в сфере целей первоначального сбора данных; крайней необхо димости для защиты жизненно важных интересов субъекта; по запросу федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, если запрашиваемый перечень персональных данных соответствует полномочиям запрашивающего органа; на основании закона. 2. Передача персональных данных по просьбе субъекта данных либо третьей стороны, которой передаются данные, может иметь место для заключения и/или исполнения договора, в ко тором субъект данных является строкой, либо для принятия необ хо димых мер до заключения договора по просьбе субъекта персональных данных. 3. По дтверждение согласия субъекта персональных данных на передачу его персональных данных третьим лицам для использования в целях, не соответствующих целям первоначального сбора, не требуется, если оно было получено в процессе сбора этих данных. Держатель (обладатель) массива персональных данных обязан информировать
субъекта персональных данных об осуществленной передаче его персональных данных третьим лицам по запросу этого субъекта в любой форме в недельный срок. 4. Передача персональных данных держателем массива персональных данных получателю осуществляется в минимальном объеме, необхо димом для решения задач получателя. Передача производится во исполнение договора, заключаемого между держателем (об ладателем) персональных данных и получателем, в котором документально фиксируются: основания для передачи персональных данных; цель передачи; получатель информации; состав и объем передаваемых данных; сроки использования персональных данных (в пределах, установленных для обладателя (держателя), условия актуализации и обеспечения сохранности персональных данных). 5. При передаче персональных данных на получателя данных возлагается обязанность соблюдения режима конфиденциальности э тих данных. 6. Персональные данные, собранные на средства государственного бюджета, передаю тся в органы государственной власти и организации бюджетной сферы бесплатно. Статья 24. Трансграничная передача персональных данных 1.При трансграничной передаче персональных данных российский держатель (обладатель) массива персональных данных, передающий данные, исхо дит из наличия существующего соглашения между сторонами, согласно ко торому получающая сторона обеспечивает адекватный российскому уровень защиты прав субъектов персональных данных и о храны персональных данных. 2.Российская Федерация обеспечивает законные меры о храны находящихся на ее территории или передаваемых через ее территорию персональных данных, исключающие их искажение и несанкционированное использование. 3.Передача персональных данных российскими держателями (обладателями) массивов персональных данных в страны, не обеспечивающие адекватный российскому уровень о храны персональных данных, может иметь место при условии: явно выраженного согласия субъекта персональных данных на эту передачу; необхо димости передачи персональных данных для заключения и/или исполнения контракта между субъектом и держателем
(обладателем) массива персональных данных либо между держателем (обладателем) и третьей стороной в интересах субъекта персональных данных; если передача необ ходима для защиты жизненно важных интересов субъекта персональных данных; если персональные данные содержатся в общедоступной базе персональных данных. 4.При передаче персональных данных по трансграничной информационной сети (Интернет и т.п .) держатель (обладатель) массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, в том числе конфиденциальности (э лектронная цифровая подпись для удостоверения достоверности передаваемой информации, средства криптографии для сохранения конфиденциальности и т.п.). Статья 25. Обезличивание персональных данных Для проведения статистических, социологических, исторических, медицинских и других научных и практических исследований держатель (обладатель) массива персональных данных осуществляет обезличивание используемых данных, придавая им форму анонимных сведений. При этом режим конфиденциальности, установленный для персональных данных, снимается. Обезличивание должно исключать возможность идентификации субъекта персональных данных. Статья 26. Хранение персональных данных 1. Персональные данные не должны храниться до льше, чем это необхо димо для выполнения целей их сбора или чем это предусмотрено лицензией. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено действующим законо дательством. По истечении срока хранения, достижении целей сбора персональных данных, истечении срока действия лицензии они подлежат уничтожению в течение дву х недель. Унич тожение по дтверждается актом. 2. В случае принятия в установленном порядке решения о необхо димости со хранения персональных данных после истечения срока хранения, достижения установленных целей их сбора или истечения срока действия лицензии, держатель (обладатель) м ассива персональных данных обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных, если его местожительство известно. 3. Определенные персональные данные (личные дела, метрические книги и др.) после минования практической надобности в них могут
оставаться на постоянном хранении, приобретая статус архивного документа либо иной статус, предусмотренный действующим законодательством. Статья 27. Актуализация персональных данных 1. Держатель (обладатель) массива персональных данных вносит изменения в имеющиеся у него персональные данные: в случаях, предусмотренных законом; по собственной инициативе при условии документального подтверждения достоверности новых данных; по инициативе субъекта персональных данных, пер сональные данные которого подлежат изменению, в соответствии со статьей 13 настоящего Федерального закона. 2. Внесение изменений в персональные данные по требованию субъекта этих данных произво дится не позднее месячного срока с момента подачи им заявления. Внесение изменений по инициативе держателя (обладателя) осуществляется в соответствии с вну тренними правилами. Глава 5. Государственное регулирование работы с персональными данными Статья 28. Лицензирование работы с персональными данными 1. Лицензия на проведение работ с персональными данными выдается органами, уполномоченными Правительством Российской Федерации и органами государственной власти субъектов Российской Федерации. Положение об органах лицензирования и Порядок лицензирования (включая отзыв лицензии) у тверждаю тся Правительством Российской Федерации. Перечни органов, выдаю щих лицензии на работу с персональными данными, публикую тся Уполномоченным по правам субъектов персональных данных при Президенте Российской Федерации в открытой печати. В лицензии указываю тся: цели сбора и использования персональных данных, режимы и сроки их хранения; категории или группы субъектов персональных данных; перечень персональных данных; источники сбора персональных данных; порядок информирования субъектов о сборе и во зможной передаче их персональных данных; меры по обеспечению сохранности и конфиденциальности персональных данных; лицо, непосредственно ответственное за работу с персональными данными;
требования к наличию сертификатов на информационные системы, информационные техно логии, предназначенные для обработки персональных данных, средства защиты информационных систем, информационных техно логий и персональных данных. 2. Информационные продукты, содержащие персональные данные и/или сами персональные данные, предоста вляемые субъекту персональных данных, в соответствии с требованиями статьи 12, должны содержать у казание (ссылку) на выданную лицензию. Уполномоченными органами, выдающими лицензии, хранятся сведения о держателях (обладателях) массивов персональных данных, которые получили лицензию. Уполномоченные органы ежеквартально передают э ти сведения (по мере составления) Уполномоченному по правам субъектов персональных данных при Президенте Российской Федерации. Статья 29. Отказ в выдаче лицензии В выдаче лицензии может быть о тказано в следующих случаях: противоречия заявленных целей использования персональных данных Конституции Российской Федерации и действующему законодательству Российской Федерации; несоответствия заявленных целей использования персональных данных видам деятельности, указанным в учредительных документах заявителя; несоответствия перечня персональных данных заявленным целям использования персональных данных; недостаточности мер обеспечения конфиденциальности и сохранности данных. Статья 30. Отзыв лицензии Лицензия по длежит о тзыву уполномоченным органом, выдавшим лицензию , в случаях: подачи держателем (обладателем) массива персональных данных заявления о прекращении лицензируемой деятельности; ликвидации и реорганизации в установленном действующим законодательством порядке юридического лица - держателя (обладателя) массива персональных данных; по представлению органа по сертификации информационных систем, информационных технологий, предназначенных для обработки персональных данных; по представлению Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации; по решению суда.
Статья 31. Сер тификация информационных систем, информационных технологий, предназначенных для обработки персональных данных 1. Сер тификация информационных систем, информационных технологий, предназначенных для обработки персональных данных, осуществляется с целью обеспечения требуемого уровня безопасности персональных данных. Обязательной сертификации подлежат предназначенные для обработки персональных данных информационные системы, а также средства защиты информационных систем и персональных данных. 2. Сер тификацию осуществляю т органы по сер тификации в соответствии с действующим законо дательством. Статья 32. Регистрация массивов и держателей (обладателе й) персональных данных 1. Массивы персональных данных подлежат обязательной регистрации в Службе Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации. При регистрации фиксирую тся: наименование массива персональных данных; наименование и реквизиты держателя (обладателя) массива персональных данных, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, о тчество руково дителя, э лектронная почта, факс, адрес сервера в телекоммуникационной сети); цели и способы сбора и использования персональных данных, режимы и сроки их хранения; перечень собираемых персональных данных; категории или группы субъектов персональных данных; источники сбора персональных данных; порядок информирования субъектов о сборе и возможной передаче их персональных данных; меры по обеспечению сохранности и конфиденциальности персональных данных; лицо, непосредственно ответственное за работу с персональными данными; требования к наличию сертификатов на информационные системы, информационные техно логии, предназначенные для обработки персональных данных, а также средства защиты информационных систем и персональных данных.
2. Массивы персональных данных, со держащие сведения, о тнесенные к государс твенной тайне на основании Закона Российской Федерации “О государственной тайне”, не регистрируются. Глава 6. Уполномоченный по правам субъектов персональных данных при Президенте Российской Федерации Статья 33. Задачи Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации Уполномоченный по правам субъектов персональных данных при Президенте Российской Федерации (далее - Уполномоченный) реализует государственные гарантии прав субъекта на защиту прав личности в области персональных данных в соответствии с общепризнанными принципами и нормами международного права, международными договорами, участником которых является Российская Федерация, Конституцией Российской Федерации, законами Российской Федерации. Статья 34. Компетенция Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации 1. Уполномоченный действует в пределах компетенции, установленной настоящим Федеральным законом, и не вправе принимать решения, отнесенные к компетенции держате лей (обладателей) массивов персональных данных. Деятельность Уполномоченного дополняет существующие средства защиты прав субъекта. 2. Уполномоченный рассматривает конфликтные ситуации между держателем (обладателем) и субъектом персональных данных с использованием согласительных процедур. 3. Уполномоченный осуществляет: регистрацию обращений к нему субъектов персональных данных; расследования по фактам нарушения порядка работы с персональными данными по обращениям субъектов, а также на основании анализа других источников информации; информирование органов государственной власти и общественности о положении дел в области защиты персональных данных; представление Упо лномоченному по правам человека в Российской Федерации предложений по развитию и совершенствованию нормативной базы, регламентирующей работу с персональными данными; регистрацию массивов и держателей (обладателей) персональных данных - федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, а также юридических и физических лиц, осуществляю щих работу с персональными данными по лицензии;
ежегодную публикацию в средствах массовой информации с тиражом не менее 100 тыс. экземпляров объединенного Реестра держателей (обладате лей) персональных данных Российской Федерации, включающего держателей (обладателей), осуществляю щих работу с персональными данными по лицензии; информирование Правительства Российской Федерации через Уполномоченного по правам человека в Российской Федерации о фактах работы с персональными данными вне компетенции федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления о дублировании в сборе персональных данных. 4. Уполномоченный имеет право : беспрепятственно получать доступ к массивам персональных данных; запрашивать и получать о т держателя (обладателя) массива персональных данных любые необ ходимые сведения, до кументы и материалы; проводить самостоятельно или совместно с компетентными органами и до лжностными лицами проверку деятельности держателей (обладателей) массивов персональных данных, о тносительно которых Уполномоченный располагает информацией о нарушениях прав субъекта; вносить предложения об отзыве лицензии на проведение работ с персональными данными; снимать или устанавливать режим конфиденциальности персональных данных; блокировать персональные данные. 5. Уполномоченный обязан: известить заявителя о резу льтатах рассмотрения его заявления; принять и направить держателю (обладателю) массива персональных данных, в действиях ко торого он усматривает нарушение прав субъекта, свое решение или рекомендации относительно возможных и необхо димых мер восстановления нарушенных прав; обратиться в су д с иском в защиту прав субъекта, нарушенных действиями или решениями держателя (об ладателя) массива персональных данных; вносить в компетентные органы представления о возбуждении дисциплинарного, административного или уголовно го производства в отношении должностных лиц, в действиях которых усматриваются нарушения прав субъектов персональных данных; по результатам работы представлять Президенту Российской Федерации, Федеральному собранию Российской Федерации и Председателю Правительства Российской Федерации ежего дный до клад о
состоянии защиты прав субъектов персональных данных в Российской Федерации. 6. Уполномоченный не вправе заниматься публичной политической деятельностью, состоять членом политической пар тии или движения, а также заниматься какой-либо оплачиваемой деятельностью , кроме преподавательской, научной или творческой. Уполномоченный не может являться депутатом Федерального собрания Российской Федерации, другого органа представительной власти в течение всего срока по лномочий. 7. Упо лномоченный не вправе разглашать ставшие ему известными в процессе производства сведения о частной жизни субъекта и других лиц без их со гласия. 8. Решение Упо лномоченного, принятое по результатам производства, может быть обжаловано Упо лномоченному по правам человека в Российской Федерации. Статья 35. Назначение и освобождение Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации 1. Уполномоченным может быть назначен гражданин Российской Федерации не моложе 35 лет, имеющий необхо димую квалификацию и опыт работы в сфере информационных технологий и юриспруденции. 2. Уполномоченный назначается на должность указом Президента Российской Федерации. 3. Уполномоченный назначается на срок 5 лет. Одно и то же лицо не может быть назначено на должность Уполномоченного более дву х сроков по дряд. 4. Уполномоченный может быть досрочно освобожден от должности указом Президента Российской Федерации в случаях: прекращения гражданства Российской Федерации; неспособности по состоянию здоровья или иным причинам выполнять свои обязанности; вступления в законную силу обвинительно го приговора суда в отношении Уполномоченного; личного заявления о сложении полномочий. 5. В случае досрочного освобождения Уполномоченного от должности назначение Уполномоченного должно состояться в течение трех месяцев. Статья 36. Служба Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации 1. Деятельность Уполномоченного осуществляется с помощью рабочего аппарата - Службы Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации.
2. В составе Службы Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации действует Научный центр по регистрации массивов персональных данных и заявлений (жалоб) субъектов персональных данных. 3. Научный центр по регистрации массивов персональных данных осуществляет: регистрацию массивов персональных данных и их держателей (обладателей); получение и регистрацию заявлений субъектов персональных данных; подго товку и издание реестров массивов персональных данных и держателей (обладателей) массивов; контролирует полно ту регистрации массивов персональных данных; готовит и представляет Упо лномоченному информацию для принятия решений в соответствии с установленной компетенцией. Президент Российской Федерации
Поясни тель ная з аписк а федерального з акона “Об персон ального харак те ра”
к проек ту инфо рм ации
Принятие федерального закона “Об информации персонального характера” - условие и результат цивилизованного развития процесса информатизации в стране. Правовое регулирование работы с персональными данными на основе общепринятых международных норм и принципов в соответствии с Конституцией Российской Федерации и законами Российской Федерации необ ходимо в первую очередь для обеспечения прав и свобод личности, связанных со сбором, обработкой и использованием персональных данных в условиях, ко гда широкомасштабное применение ЭВМ для этих целей позволяет сделать жизнь граждан “прозрачной” для государственных органов. Закон призван способствовать утверждению в обществе уважения к личности, ее достоинству на основе создания и соблю дения правовых норм, направленных на защиту прав и интересов человека и гражданина, в частности, права на неприкосновенность частной жизни. Столь же важным назначением закона является создание правовых условий для решения государственных задач в области управления ресурсами с целью решения социальных проблем и предоставления услуг на основе сбалансированного и социально справедливого разделения государственных средств, а также реализации фу нкции осуществления государственных учетов, необ хо димых для работы налоговых служб, правоохранительных органов. Выполнение э тих задач связано с оперированием большим объемом персональных данных на основе формирования и использования массивов этих данных, ч то в условиях создаваемого правового государства должно осуществляться строго в рамках законности. Вступление России в Совет Европы актуализирует задачу принятия федерального закона “Об информации персонального характера”, поскольку более чем в 20 странах мира существуют подобные законы и вопросы взаимодействия европейских стран в области работы с персональными данными требует унифицированного решения. Зарубежный опыт насчитывает свыше 25 лет в решении проблемы защиты информации персонального характера. Для реализации законодательства в э той сфере (а в ряде стран уже приняты акты второго поколения) создан специальный институт независимых Уполномоченных по защите персональных данных. В настоящее время развивается новый этап совершенствования правового регулирования проблемы
персональных данных на основе принятия Директивы Европейского Парламента и Совета Европы 95/ 46/ ЕС о т 24 октября 1995 г. “О защите личности в отношении обработки персональных данных и свободном обращении этих данных”. Директива у тверждена как обязательная для стран Европейского Совета (ст. 32) и существует установка, что не позднее трех лет после ее принятия всеми странами должны быть приняты необ ходимые для выполнения данной Директивы юридические, организационные и административные меры1 . Основными причинами, определяющими значение безотлагательного принятия федерального закона “Об информации персонального характера” в условиях ускоренного вхождения России в современное постиндустриальное общество, являю тся: а) стремление как можно быстрее обеспечить правовую защиту граждан в условиях бурного роста баз персональных данных, создаваемых в последнее десятилетие на основе новейших компью терных технологий в противовес возможностям ЭВМ осуществлять неограниченное накопление информации о гражданах; б) необ ходимость создать условия на основе соответствующих правовых норм для максимально адекватной защиты персональной информации от усиливающегося интереса к ней со стороны криминальных структур в условиях возросшей криминализации общества; в) международные обязательства России по формированию правового регулирования трансграничной передачи персональных данных в рамках международных соглашений; г) необ ходимость совершенствования организационно -правового обеспечения деятельности всех массивов персональных данных на основе законодательно го закрепления прав, обязанностей и ответственности держателей (обладателей) этих массивов; д) о ткрытие вну треннего информационного рынка России для деятельности негосударственных коммерческих структур, в частности для развития прямого маркетинга в области работы с персональными данными, обуславливающее потребность в четком правовом регулировании получения и использования информации персонального характера. Таким образом, в стране объективно сложилась настоятельная необхо димость в активизации целенаправленной государственной политики в сфере работы с персональными данными. Принятие федерального закона “Об информации персонального характера” должно также способствовать росту правосознания граждан и ускорению формирования гражданского общества.
Проект настоящего федерального закона разрабатывается уже более трех лет. За это время было подготовлено 12 редакций проекта, в которых осуществлялся учет замечаний и предложений рецензентов. Проект дважды обсуждался на секции Научно-техническо го совета Комитета при Президенте РФ по политике информатизации. Дважды проект прошел международную экспертизу специалистами Совета Европы. Обсуждался проект также на общественных слушаниях в Парламентском центре Федерального Собрания РФ, в российско-американском пресс-центре с участием представителей средств массовой информации, на семинаре по проблемам информационной безопасности в рамках Международного конгресса “Народы Со дружества Независимых Государств накануне третьего тысячелетия” в Санкт-Петербурге, на “круглом столе”, проводимом отделением “Информатика и Право” Международной академии информатизации, и др. Последняя редакция проекта закона разработана на основе и в соответствии с нормами Директивы 95/46/ ЕС Европейского Парламента и Совета Европы. Законопроект содержит шесть глав (общие положения; условия законности работы с персональными данными; права субъекта персональных данных; права и обязанности держателя (обладателя) по работе с массивами персональных данных; государственное регулирование работы с персональными данными; Уполномоченный по правам субъектов персональных данных при Президенте РФ), тридцать шесть статей. В основу разработки проекта федерального закона “Об информации персонального характера” положены общепринятые международные принципы работы с этими данными, согласно которым персональные данные должны: быть получены и обработаны добросовестным и законным образом; собираться для точно определенных, объявленных и законных целей; быть адекватными целям, для ко торых они собирались, и не избыточными в о тношении э тих целей; быть точными и в случае необ ходимости обновляться; храниться не дольше, чем это го требуют цели их сбора, и уничтожаться по достижении целей или минованию надобности в них. Не допускается объединение массивов персональных данных, собранных держателями (обладателями) в принципиально разных целях. В соответствии с названной выше директивой Европейского Парламента и применительно к условиям нашей страны в проекте сформулированы правовые основания осуществления работы с персональными данными.
Этими основаниями исчерпываются случаи законного сбора, обработки и использования персональных данных. Установление исчерпывающего типового перечня таких случаев диктуется необ ходимостью обеспечить эффективную защиту прав личности в отношении его персональных данных на основе выделения следующих основных приоритетов законопроекта, актуальных сегодня для нашего общества: а) защита персональных данных лиц от несанкционированного доступа к ним со стороны криминальных структур, других граждан, представителей государственных органов и служб, не имеющих на то соответствующих полномочий, путем регулирования порядка доступа субъектов персональных данных к своим данным; б) обеспечение сохранности, целостности и достоверности данных на основе: установления режима конфиденциальности соответствующих персональных данных; регламентации обязанностей, прав и о тветственности держателей (обладателей) массивов персональных данных по работе с э тими данными; в) обеспечение в условиях развития рыночных о тношений в стране возможностей для работы с персональными данными держателей (обладателей) или третьих лиц, ко торым раскрыты персональные данные, имеющих лицензию на проведение работ с этими данными, в частности, на основе прямого маркетинга. В особую категорию выделяются персональные данные, получаемые в результате деятельности субъектов федерального закона “Об оперативно-розыскной деятельности”. Важнейшей новеллой законопроекта является введение институ та Уполномоченного по правам субъектов персональных данных. Для обеспечения действенности этого правового институ та необ ходимо гарантировать независимость деятельности Уполномоченного. В законопроекте избран путь формирования названного института при Президенте РФ.
Комментарий к проекту федерального закона “Об информации персонального харак тера” Вступление России в Совет Европы не обязывает ее приво дить национальное законодательство в соответствие с директивами Совета Европы, в том числе включенными в настоящее издание. Однако очевидно, что равноправным членом Европейского Сообщества Россия сможет стать, только приняв “правила игры”, то есть сформированную сообществом систему ценностей. Российское законодательство, признав международные нормы, откликну лось на директивы ЕС Федеральным законом “Об информации, информатизации и защите информации”, статья 11 ко торого посвящена информации о гражданах и создает правовую б азу для защиты таких данных, незаконное использование которых нарушает права человека. Персональные данные определены в данном законе как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность (ст. 2). Европейский Союз связывает правовую защиту персональных данных именно с их автоматизированной обработкой вероятно потому, что европейские страны уже имели законы, ориентированные на работу с персональными данными в “докомпьютерную эру”. Наш упомянутый выше Фе деральный закон не учитывал особенности автоматической обработки персональных данных. Кроме того, он регулирует (п. 2 ст. 11) использование персональных данных только граждан России, хо тя на территории России нахо дятся граждане других государств и люди без гражданства, которых также нельзя ущемлять в личных правах. В конечном итоге, защита персональных данных, э то защита не информации, а персоналий. Положения данного закона закрепляю т принципы работы с персональными данными, в том числе: персональные данные отнесены к категории конфиденциальной информации, что позволяет защитить частную жизнь граждан от нежелательно го вмешательства извне; соответственно для них должен быть установлен режим ограниченного доступа, а лица, нарушающие этот режим, несут ответстве нность; запрещаются сбор, хранение, испо льзование и распространение персональных данных без со гласия субъекта э тих данных; состав собираемых персональных данных должен соответствовать целям их сбора; персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам;
деятельность негосударственных организаций и частных лиц, связанная с обработкой персональных данных, по длежит лицензированию; в судебном порядке может быть установлена неправомерность деятельности органов власти по отношению к персональным данным, но только по требованию субъекта, то есть если субъект об этом не знает, а знает, например, должностное лицо органа исполнительной власти, деятельность бу дет благопо лучно продолжаться. Федеральный закон “Об информации, информатизации и защите информации” заложил неко торую основу для реализации соответствующих положений Конституции РФ и норм международного права, но механизма защиты он не создал. Эту задачу призван был решить проект Федерального закона “О персональных данных” (внесен под названием “Об информации персонального характера1”). Разработка соответствующего законопроекта началась в России более 6 лет назад по инициативе Правительства РФ еще до выхо да последней Директивы СЕ. Разные варианты законопроекта неоднократно обсуждались в различных ау диториях, преимущественно правозащитных. По результатам этих обсуждений текст постоянно уточнялся. Однако, несмотря на достаточную степень готовности и обращения депутатов Государственной Думы к Правительству РФ, проект в Государственную Думу не вносился. Это положение стимулировало депутатов Государственной Думы второго созыва внести законопроект 3 апреля 1998 го да о т группы депу татов. Проект был разослан в депутатские объединения и... исчез из планов Государственной Думы. Ответственным за прохождение законопроекта был назначен Комитет Государственной Думы второго созыва по информационной политике и связи (председатель - О. Финько). В течение 2,5 лет проект не представлялся на обсуждение Государственной Думы, по-видимому, по тактическим причинам. В условиях частой смены состава правительства и перманентной избирательной кампании такой закон был нежелателен для многих. Поскольку ситуация принципиально не изменилась, законопроекту можно с большой вероятностью предрекать трудную судьбу2. Проект Федерального закона “Об информации персонального характера” направлен на: определение условий законности работы с персональными данными (независимо от используемых средств); установление порядка формирования массивов персональных данных федеральными органами государственной власти, органами
государственной власти субъектов Российской Федерации, органами местного самоуправления, юридическими и физическими лицами; определение прав и обязанностей субъектов персональных данных и держателей (об ладателей) массивов персональных данных (в том числе провайдеров услуг Интернет); установление форм государственного регулирования и порядка работы с персональными данными, а также условий обеспе чения их сохранности; определение правового статуса Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации. О названии законопроекта. В нормативных актах и обзорах законодательства, включенных в настоящий сборник, термин “персональные данные” описывает предмет правоотношений и объект защиты. Э тот же термин испо льзовался ранее в Федеральном законе “Об информации, информатизации и защите информации”. Затем в 1997 го ду вышел Указ Президента РФ № 188 “Об утверждении перечня сведений конфиденциального характера”, в котором персональные данные были определены как “сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность... за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральным законом случаях”. Указом персональные данные отнесены к самостоятельной категории конфиденциальной информации наряду, например, со служебной, коммерческой, профессиональной тайнами. Хотя взаимо отношения между этими категориями информации ограниченного доступа бо лее сложные, ч то уже было про демонстрировано в начале статьи. Таким образом, термин “персональные данные” уже “узаконен” российским законодательством. В названии проекта российского федерального закона до его внесения в Государственную Думу также использовался э тот общепринятый термин. Однако из соображений, далеких от желания обогатить терминологию законодательства, возникло словосочетание “информация персонального характера”, которое безусловно имеет право на жизнь и использовалось выше, но применительно к нормативному правовому акту представляется более правильным использовать в названии общепринятый термин. О содержании термина “персональные данные”. В проекте закона определены все основные термины3. При э том центральное понятие дано в развернутой форме: “Персональные данные - зафиксированная на материальном носителе информация о конкретном человеке, отождествленная с конкретным
человеком или ко торая может быть отождествлена с конкретным человеком, позволяющая идентифицировать э того человека прямо или косвенно, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности. К персональным данным относятся: биографические и опознавательные данные, личные характеристики, сведения о семейном положении, социальном положении, образовании, навыках, профессии, служебном положении, финансовом положении, состоянии здоровья и прочее”. На протяжении обсуждения законопроекта и в независимых исследованиях проблемы защиты персональных данных нео днократно предлагалось дать исчерпывающий перечень сведений, которые законом отнесены к категории персональных данных4. Однако ло гика жизни и логика развития законодательства, опыт правового регулирования в других странах опровергают такой подхо д. Исчерпывающий перечень не может быть установлен и, более того, не должен устанавливаться законом, поскольку любое ограничение со держания персональных данных выльется в ограничение прав субъекта персональных данных. Можно попытаться классифицировать персональные данные и дополнить определение перечнем соответствующих групп информации5, но и э тот перечень должен быть открытым. Другой способ доопределения персональных данных заключается в установлении перечня сведений, которые нельзя о тнести к персональным данным, защищаемым законом. В приведенном выше определении ключевую роль играю т слова об идентификации. Для то го чтобы установить, о тносятся ли данные о личности человека к категории персональных данных, необ ходимо прежде всего установить, может ли человек быть идентифицируемым с помощью этих данных при использовании совокупности средств, которыми располагает владелец массива данных или любой другой человек. Ограничения, вводимые законом, не относятся к анонимным данным, с помощью которых нельзя идентифицировать субъекта, к открытым базам данных, содержащих персональные данные (например, некоторые телефонные справочники). Здесь же хотелось бы напомнить, что упомянутые выше международные акты непосредственно связываю т защиту личности с автоматизированной обработкой персональных данных. Следовательно, эти данные должны либо обрабатываться автоматически, либо собираться и храниться на носителях, подлежащих автоматизированной обработке, либо не нахо диться на таком носителе, но содержаться в упорядоченной и
организованной (структурированной) совокупности (массивах персональных данных). Примеры последнего - многочисленные картотеки, создаваемые в отделах кадров в “докомпьютерную” эпо ху. Что касается терминологии законопроекта в целом, то уже сейчас очевидно, ч то она требует уточнения и унификации. Субъекты персональных данных. Субъектами правоотношений, регулируемых законопроектом, являю тся: субъекты персональных данных; держатели (обладатели) массивов персональных данных (фактически любые юридические и физические лица, работающие с персональными данными на законных основаниях). Уполномоченный по правам субъектов персональных данных и так называемые третьи лица, не о тносящиеся ни к одной из перечисленных категорий и получающие на законном основании персональные данные от держателя. Законопроект учитывает, ч то держатели персональных данных по признаку сбора персональных данных по дразделяю тся на две категории: те, для ко го работа с персональными данными является основной целью деятельности (например, справочные службы или издатели справочников персональной информации), а сами массивы или сведения из них являю тся продуктом деятельности, представленным на рынке продукции или услуг; те, для кого работа с персональными данными является необ хо димым условием осуществления основной деятельности, элементом техно логии, а формируемые массивы персональных данных используются исключительно для собственных нужд. Э то по давляющее число держателей - организации, собирающие сведения о своих со трудниках, органы власти, чьи функции не могут быть реализованы без наличия массивов персональных данных (ДЭЗы, паспортные столы, органы социального обеспечения, операторы связи и т.п.), физические лица, ведущие записные книжки и т.д. Помимо этого держатели разделяю тся по признаку включения в систему власти, то есть выделяется категория держателей персональных данных, представляющих собой орган или организацию в системе федеральной власти, в системе органов власти субъекта Российской Федерации или органов власти местного самоуправления. Правовая регламентации деятельности держателей персональных данных осуществляется с учетом указанной их дифференциации. Формы госуд арственного регулирования. Проект закона определяет формы государственного регу лирования работы с персональными данными:
лицензирование работы с персональными данными. Юридические и физические лица получают право на работу с персональными данными на основании лицензии, за исключением случаев, ко гда не предполагается передача этих данных третьим лицам (иначе лицензированию подверглись бы все юридические лица и физические лица, ведущие записную книжку); регистрация массивов персональных данных в Службе Уполномоченного по правам субъекта персональных данных с у казанием сведений о держателе (обладателе), что позволит субъекту контролировать использование его персональных данных. Регистрации подлежат и массивы, создаваемые органами государственной власти, за исключением массивов, со держащих сведения, составляющие государственную тайну; сертификация средств обеспечения автоматизированных информационных систем и информационных техно логий, предназначенных для работы с персональными данными, направленная на обеспечение физической сохранности персональных данных, защиты их от искажения и уничтожения, причем сертифицированные средства должны испо льзовать любые держатели массивов персональных данных, независимо от того, работаю т ли они по лицензии или без нее; заключение межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных. При передаче персональных данных по трансграничной информационной сети (Интернет и т. п.) держатель массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, в том числе конфиденциальности (э лектронная цифровая по дпись для подтверждения достоверности передаваемой информации, средства криптографии для сохранения конфиденциальности и т. п.). Формы государственного регу лирования работы с персональными данными целесообразно было бы дополнить созданием института Уполномоченного по правам субъектов персональных данных как независимого органа, обеспечивающего защиту частных лиц в связи с использованием их персональных данных. Законопроект предусматривает создание тако го института при Президенте Российской Федерации. Здесь чаще всего оспариваются два аспекта: нужен ли но вый институт при наличии Упо лномоченного по правам человека и, если нужен, то при ком его целесообразно создавать.
Уполномоченный орган. Законодательство некоторых стран предусматривает создание самостоятельного институ та Упо лномоченного по правам субъекта персональных данных (комиссар, омбудсмен). В других странах э та функция интегрирована в институ т уполномоченного по правам человека. Так в Швеции, впервые учредившей институт уполномоченного по правам человека, данная структура объединяет несколько специа лизированных омбудсменов. Шеф-омбудсмен занимается вопросами доступа общественности к официальным документам, а также к компьютерной системе и банкам персональных данных. Имеются специальные омбудсмены, осуществляющие функции парламентского контроля за органами правосудия, полицией и системой исполнения наказаний, за вооруженными силами и т.д. Такая схема построения системы парламентско го контроля за обеспечением прав человека выглядит впо лне логичной и была бы приемлема для России при одном условии - изменении Федерального конституционного закона “Об Уполномоченном по правам человека”. Согласно статье 16 э того закона Уполномоченный рассматривает жалобы то лько после того, как заявитель обжаловал решения относительно него в судебном или административном порядке. Согласно же проекту закона Уполномоченный по правам субъекта персональных данных, напротив, рассматривает конфликты в досудебном порядке, используя согласительные процедуры, а если надо обращается в су д. Э ти функции особенно актуальны для России, учитывая состояние системы судопроизводства и отсу тствие традиции в защите прав субъекта персональных данных. Что касается административного порядка, то он не всегда может быть использован, например, если права субъекта персональных данных нарушены (как ему кажется) юридическим лицом - независимым предпринимателем. Кроме этого, Упо лномоченный по правам субъекта персональных данных контролирует исполнение закона (например, уничтожение незаконно собранных персональных данных), регистрирует массивы персональных данных. Лишить его этих функций, значит, рассыпать систему защиты субъектов персональных данных. Высказывались мнения, что кандидатура на должность Уполномоченного должна выдвигаться и избираться нижней палатой Федерального Собрания (Государственной Думой), а не назначаться указом Президента Российской Федерации. Таким же образом кандидатура должна сниматься. Предложение исхо дит из того, ч то при такой процедуре кандидат, выбранный на эту должность, бу дет бо лее независим и защищен от произво льных действий исполнительной власти. Здесь хо телось бы вспомнить русскую поговорку: “Не место красит человека, а человек - место”. Но, если серьезно, то место службы
Уполномоченного по правам субъекта персональных данных в системе государственной власти России определяется не тем, к какой ветви власти оно примыкает, а какая из ветвей на данном историческом участке бо лее привержена защите основополагающих прав человека. Основные принципы работы с персональными данными. Проект закона “Об информации персонального характера” устанавливает основные принципы работы с персональными данными, ко торые также получили развитие по сравнению с вышеуказанным Федеральным законом “Об информации, информатизации и защите информации”. 1. Персональные данные должны быть получены и использованы добросовестным и законным образом, что предполагает, прежде всего, наличие согласия субъекта, то есть реализацию “права на информационное самоопределение 6, за ” исключением случаев, прямо установленных законом. К таким случаям законопроект относит необ ходимость выполнения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления своих функций в рамках компетенции, установленной действующим законодательством или для осуществления задач правоо хранительных органов в общественных интересах. Здесь некоторые эксперты усматривают противоречие между “правом на информационное самоопределение”, обязанностью держателей массивов обеспечить режим ограниченного доступа к персональным данным и правом спецслужб и правоо хранительных органов на доступ к э тим персональным данным в соответствии с законом. Указанное противоречие на самом деле отсутствует, что мы попытаемся аргументировать ниже. Нельзя считать законным получение информации о субъекте с помощью наружного наблюдения, установления подслушивающих устройств, перлюстрации почтовых сообщений и т.п. (чем грешит конкурентная борьба), если э ти действия не были разрешены в установленном законом порядке. Вместе с тем, не нужно согласие субъекта на сбор информации о нем из открытых общедоступных источников (практика многих журналистов) или когда работа с персональными данными осуществляется исключительно в целях журналистики либо в целях ху дожественного или литературного творчества при условии, ч то такие действия будут согласовываться с соблюдением права на неприкосновенность частной жизни и исключат злоупотребление свободой слова. Таким образом, законопроект не препятствует развитию жанра журналистских расследований, биографических исследований и т.п.
Вообще использование персональных данных в СМ И представляет особую проблему этического и правового характера. Действующее законодательство в этой части про тиворечиво и не позволяет установить баланс интересов субъекта персональных данных и общественных интересов, которыми вправе руководствоваться СМИ7. Согласие на работу с его персональными данными субъект должен дать недвусмысленно (не обязательно письменное согласие, регистрация пользователя на web-сайте может рассматриваться как согласие сообщить свои персональные данные). Не нужно согласие субъекта, когда работа с его персональными данными необ ходима для защиты жизненно важных интересов субъекта персональных данных (например, в случае железнодор ожной или авиакатастрофы необхо димо выяснить дополнительные данные о субъекте, помимо указанных в билете). Принцип добросовестности - один из принципов правоприменения (п. 2 статьи 6 Гражданского кодекса РФ устанавливает принципы добросовестности, разумности и справедливости) и связан не то лько с добросовестным исполнением закона, но и с соблю дением обычаев делового оборота. 2. Персональные данные должны собираться для точно определенных, о бъявленных и законных целей , не испо льзоваться в противоречии с этими целями и в дальнейшем не обрабатываться каким либо образом, несовместимым с данными целями. Субъект, принимая решение о передаче своих персональных данных, должен быть информирован о целях их сбора, а эти цели не должны вступать в противоречие с законом. 3. Персональные данные должны соответствовать целям, для которых они собираются и обрабатыва ются, и не быть избыточными в отношении э тих целей. Имеется в виду, что если, например, в рамках социологического опроса по определенной проблематике, от вас пытаю тся получить информацию, явно выхо дящую за рамки объявленных целей, такие действия буду т считаться незаконными. В качестве примера избыточной информации можно привести кар точки учета потребителей гостиничных услуг или сведения о месте работы пациента для заполнения медицинской карты в по ликлинике. 4. Персональные данные должны быть точными, т.е. не допускать ошибок и искажений в сведениях о личности и в случае необ ходимости обновляться. Неточность или ошибка может быть внесена как по вине самого субъекта, так и по вине держателя, поэтому инициатива устранения искажений или актуализации сведений может принадлежать как субъекту персональных данных, так и держателю массива, но в любом
случае необхо димо документальное подтверждение необ ходимости внесения изменений. 5. Персональные данные должны храниться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют цели, для которых они накапливались, и подлежат уничтожению по достижении целей или минованию надобности в них. Э то требование относится, в том числе, к провайдерам интернетуслуг и провайдерам связи, ко торые не должны хранить информацию о клиенте (абоненте) после расторжения договора с ним или выполнения услуги, если то лько не имеются задо лженности по оплате услуг. Ср оки хранения персональных данных, собираемых в исторических, статистических или научных целях, а также необ ходимые гарантии обеспечения их защиты до лжны быть установлены соответствующими федеральными законами. Э та о тсылка к специальному законодательству представляется оправданной, поскольку рассматриваемый проект закона носит системообразующий характер, в нем невозможно предусмотреть все случаи сбора персональных данных. Кроме того, в различных сферах общественной жизни э ти проблемы решаются по -разному в соответствии со специальным законодательством, например, законодательство об Архивном фонде РФ и архивах устанавливает сроки хранения документов, содержащих персональные данные. Этот принцип о тносится только к персональным данным, позволяющим идентифицировать личность человека. После то го, как цели сбора персональных данных достигну ты, э ти сведения могут быть обезличены (то есть из них могут быть исключены именно те сведения, которые позволяю т произвести идентификацию ), при этом оставшиеся сведения могут быть испо льзованы держателем в целях проведения статистических, социологических, исторических, медицинских и других научных и практических исследований. В этом случае режим конфиденциальности, устанавливаемый для персональных данных, снимается. Законопроект делает исключение из режима конфиденциальности лишь для общедоступных массивов персональных данных (справочники, телефонные книги, адресные книги, массивы персональных данных руководителей фирм и т.п.), которые создаются в целях информационного обеспечения общества. При э том регулируется со держание и порядок формирования таких массивов, права субъектов персональных данных, сведения о ко торых включены в подобный массив. Эти положения законопроекта призваны препятствовать созданию и неконтролируемому распространению справочников типа упомянутых выше баз данных на CD-ROM и многочисленных справочников “Кто есть кто...”, со держащих
подчас информацию, не санкционированную и не проверенную субъектом персональных данных. 6. Еще о дин важный принцип устанавливает запрет на объединение в единый массив массивов персональных данных, собранных держателями в разных целях. Это т принцип воспринимается неоднозначно и критикуется в основном со стороны специалистов, занимающихся прямым маркетингом. Однако, как уже указывалось выше , соблюдение данного требования позволит избежать создания массивов персональных данных, содержащих многочисленные и разноплановые параметры личности и делающих эту личность абсолю тно прозрачной перед держателем массива, а в случае утечки информации - перед любым недобросовестным пользователем. 7. Следуя ду ху и букве Конвенции о СЕ о защите прав личности в связи с автоматической обработкой персональных данных, законопроект выделяет из всего спектра персональных данных наибо лее чувствительные сведения (раскрывающие расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающиеся состояния здоровья и сексуальных наклонностей субъекта) и запрещает сбор, накопление, хранение и использование таких данных исключительно в целях их выявления. Однако э то запрет не абсолютный, исключение делается в случаях: если субъект персональных данных дал свое явное согласие на сбор таких данных; если получение таких данных необхо димы для защиты жизненно важных интересов субъекта данных, иного лица или группы лиц (например, сексуальные контакты ВИЧинфицированных); если сбор осуществляется с надлежащими гарантиями политической, религиозной или профессиональной общественной организацией в хо де ее законной деятельности и о тносится исключительно к членам соответствующей организации или лицам, имеющим регулярный контакт с нею; если сбор и использование таких данных необ хо димо для осуществления действий в связи с судебными исками (например, иски об изнасиловании или о насильственных действиях сексуального характера); если сбор данных требуется в целях превентивной медицины, медицинского диагноза, а также если данные необхо димы лицу, профессионально занимающемуся медицинской либо иной соответствующей деятельностью и обязанному согласно действующему законодательству со хранять профессиональную тайну. Права и обязанности субъектов правоотношений. Перечисленные принципы создают основу для определения в проекте закона прав субъектов персональных данных и обязанностей держателей массивов персональных данных.
Субъект персональных данных, по мнению разработчиков проекта, вправе: знать о наличии у держателя относящихся к себе персональных данных и иметь к ним доступ; при наличии оснований требовать от держателя э тих данных внесения в них изменений; потребовать от держателя заб локировать эти данные при выявлении их недостоверности. В случае установления неправомерности действий держателя (обладателя) массива персональных данных субъект имеет право на возмещение убытков и (или) компенсацию морального вреда в су дебном порядке. Обязанности держателя персональных данных в целом симметричны правам субъекта персональных данных и включаю т: обеспечение режима конфиденциальности персональных данных, обеспечение их со хранности и достоверности, информирование субъекта о наличии его персональных данных, а также регистрация массивов персональных данных, блокирование и уничтожение массивов персональных данных и отдельных записей в случае установления неправомерности сбора персональных данных и по истечении срока, предопределенного целями сбора. Держатель массивов персональных данных вправе передать персональные данные из этих массивов другому держателю или третьему лицу в установленных законопроектом случаях и при соблю дении определенных проектом условий. Здесь особый интерес представляет положение законопроекта о том, что персональные данные, собранные на средства государственного бюджета, передаются в органы государственной власти и организации бюджетной сферы бесплатно. Включение этого положения было ответом на разорительную и неэффективную практику продажи массивов персональных данных органами власти одного уровня, питаю щимися из о дного бюджета, друг другу. Однако редакция указанного положения законопроекта нуждается в уточнении, поско льку деятельность органов власти финансируется из различных бю джетов. Держатель обязан передать персональные данные без согласия субъекта по запросу федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, если запрашиваемый перечень персональных данных соответствует полномочиям запрашивающего органа и на основании закона. Это положение законопроекта имеет отношение к реализации рассмотренного выше принципа изъятия из “права на информационное самоопределение”. Получение персональных д анных правоохранительными органами. Получение правоо хранительными органами и спецслужбами персональных данных субъектов, если оно осуществляется в законном
порядке, не является нарушением личной тайны или тайны переписки, телеграфных и иных сообщений. Э ти действия, по су ти, вполне конституционны, поскольку пункт 2 статьи 23 Конституции РФ позволяет ограничивать на основании судебного решения право каждого на тайну переписки, телеграфных и иных сообщений. А пункт 3 статьи 55 устанавливает общий принцип ограничения прав и свобод человека и гражданина - “только законом и только в той мере, в какой это необхо димо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства”. Действующие законы реализую т данное ограничение. Так, например, из положений федеральных законов: “Об оперативно розыскной деятельности”, “О связи”, “Об органах федеральной службы безопасности”, “О лицензировании отдельных видов деятельности” вытекает как правомерность осуществления оперативно -розыскной деятельности на сетях связи и требования к порядку их проведения, так и бюджетный источник финансирования оперативно -розыскных мероприятий. Более того, Федеральный закон “О лицензировании отдельных видов деятельности” в пункте 2 статьи 9 предусматривает, ч то в лицензию могут быть введены требования технического характера для осуществления отдельных видов деятельности, что формирует право вую базу для испо льзования правоо хранительными органами и спецслужбами системы технических средств для оперативно -розыскных мероприятий (СОРМ ), в рамках которых собираются персональные данные субъектов. В данном случае речь идет о наличии правовой базы, а не об оценке ее качества. Что касается “качества”, то резу льтатом бурных обсуждений в течение дву х лет практики внедрения СОРМ на сетях электросвязи является единое мнение о необхо димости совершенствования действующего законодательства. Законопроект “Об информации персонального характера” ориентируется на реализацию конституционного ограничения, а принципы, порядок, процедуры получения персональных данных в рамках оперативно -розыскных мероприятий должны получить адекватное о тражение в специальных законах (“ Об оперативно-розыскной деятельности”, “Об органах федеральной службы безопасности”, “О милиции”, “О частной детективной деятельности” и др.), а также получение персональных данных в рамках любых процессуальных действий по требует внесения изменений и дополнений в Уголовно-процессуальный, Гражданский процессуальный и Арбитражный процессуальный кодексы. Подчеркнем, ч то органы власти, по лучая персональные данные по своему запросу, обязаны обеспечить конфиденциальность этих данных,
поэтому публикации в СМИ записей телефонных переговоров и отчетов о наружном наблюдении (если только они проводились на законном основании) свидетельствуют о массовом нарушении прав субъектов персональных данных. Специальный реж им персональных данных. В э той связи вернемся к вопросу о целесообразности выделения категории лиц, для персональных данных ко торых режим конфиденциальности может носить не абсолютный характер. Законопроект предусматривает возможность установления специального режима открытости для имеющих общественную значимость персональных данных “лиц, занимающих высшие государственные должности, и кандидатов на э ти должности в соответствующие периоды, в частности, в перио д предвыборной кампании”. Очевидно, в э той части законопроект нуждается в развитии и конкретизации: необ хо димо уточнить критерии “общественной значимости” и категории должностей, к ко торым имеет отношение данное положение проекта, а, возможно, расширить категории лиц за рамки государственной службы8. Это не единственное по ложение законопроекта, нуждающееся в уточнении. Некоторые направления совершенствования проекта. 1. Желательно определить порядо к уничтожения персональных данных (это важно, учитывая особенности компьютерных технологий обработки данных); определить, в какой форме субъект персональных данных должен распорядиться об их исключении из массивов; уточнить порядок сбора персональных данных; расширить перечень информации об использовании персональных данных, которую субъект вправе получить от держателя; уточнить с учетом действующего законодательства порядок доступа субъекта к документам, содержащим информацию о нем, наряду с другой информацией; дополнить обязанности держателя массивов персональных данных в соответствии с Директивой СЕ 1995 г.; определить, кто устанавливает порядок сертификации средств защиты персональных данных и средств обеспечения автоматизированных информационных систем и информационных техноло гий, предназначенных для работы с персональными данными; однозначно определиться со статусом Уполномоченного по правам субъектов персональных данных и у точнить его полномочия, в том числе сделать его деятельность максимально публичной. 2. В качестве важнейшего направления совершенствования законопроекта, приближения его к Директиве СЕ 1995 г. и национальным законам, принятым в соответствии с ней (например, закон Германии), видится более полное отражение в проекте реалий компью терно -
телекоммуникационной действительности. Именно в рамках оказания информационных и телекоммуникационных услуг собираются и используются большие массивы персональных данных пользователей и абонентов. Именно в Сети отню дь не в режиме конфиденциальности находится огромное количество персональных данных. Именно в Сети упрощается донельзя прямой маркетинг, подчас переходящий в “спам”. Именно в Сети наб лю дается неконтролируемое распространение сетевых почтовых адресов пользователей, которые справедливо было бы отнести к персональным данным. Здесь правомерны аналогии с реалиями “внесетевой” жизни. Не каждый из нас дает номер своего рабочего или домашнего телефона любому встречному - напротив, старается ограничить круг лиц, знаю щих личный номер телефона, чтобы не получать звонков о т “непрошеных” собеседников. Существует даже специальная услуга по исключению определенных телефонных номеров из справочников открыто го доступа. В принципе, аналогичные правила следует применять и по отношению к сетевым адресам электронной почты. Огранич ительный характер распространения электронных адресов проистекает из необ ходимости соблюдения требований по защите персональных данных. Реализовано это может быть разными способами. Прежде всего, провайдеры обязаны ограничить доступ к спискам адресов своих клиентов. Владельцы сайтов, имеющих “гостевые книги”, не вправе, по нашему мнению, указывать (а средства массовой информации - перепечатывать в бумажном издании) адреса электронной почты своих “гостей” без их согласия. Форма выражения согласия может быть оговорена в самой “гостевой книге”. В межличностном общении по электронной почте пользователям Сети следует использовать все доступные средства, ч тобы не “открывать” третьим лицам известные им адреса своих корреспондентов. Благо даря этим мерам могут быть также сокращены объемы циркулирующего по сети “спама”, что, безусловно, не снимает с повестки дня вопроса об установлении о тветственности за неправомерные действия по распространению “спама” без согласия адресатов соо тветствующих сообщений. Есть несколько способов уточнения законопроекта в данном направлении: можно ввести в проект новую главу, посвященную особенностям защиты персональных данных в процессе осуществления телекоммуникационных услуг, дополнив одновременно соответствующими дефинициями. Это, фактически, путь немецкого закона. Либо дополнить и уточнить существующие положения законопроекта применительно к сфере информационных и телекоммуникационных услуг. Вопрос пока остается о ткрытым.
3. Рассматриваемый законопроект об ходит молчанием и вопрос о возможности самостоятельной защиты субъектом своих персональных данных с помощью криптографических алгоритмов. Существующее законодательство в части правового регулирования использования средств криптозащиты неоднозначно, содержит неоправданные запреты и ограничения. Необ ходимость совершенствования соответствующего законодательства давно назрела, но процесс этот достаточно болезненный, как любой поиск баланса интересов граждан, общества и государства. Тем не менее, законопроект может внести свою лепту в процесс совершенствования, определив право самозащиты персональных данных с испо льзованием средств криптозащиты с определенным пределом криптографической стойкости. 4. Еще одно важное направление совершенствования законопроекта касается у точнения по ложений об о тветственности за нарушение законодательства о защите персональных данных. В законопроекте отсутствует специальная статья, посвященная ответственности за нарушение прав субъектов персональных данных и других нарушений законодательства, хо тя в ряде статей дек ларируется право субъекта персональных данных на возмещение убытков и (или) морального вреда (ст. 17) и ответственность держателей массивов персональных данных (ст. 17, 20). В соответствии с принятой законо дательной техникой в законе, как правило, указываю тся виды нарушений и виды ответственности, а конкретные составы правонарушений и соответствующие им санкции содержатся в Уго ловном кодексе РФ и Кодексе РСФСР об административных правонарушениях (КоАП РСФСР). Представляется необ ходимым дополнить законопроект отдельной статьей, определяющей виды ответственности за нарушения прав субъекта персональных данных, нарушения порядка работы с персональными данными, установленно го законопроектом, невыполнения предписаний органов, обеспечивающих государственное регулир ование работы с персональными данными (дисциплинарная, административная, уголовная, гражданско-правовая о тветственность). Вместе с тем необходимо предусмотреть внесение соответствующих дополнений в новый Кодекс РФ, недавно принятый Государственной Думой, отклоненный Советом Федерации. Необ ходим тщательный анализ норм уголовно -правовой (ст. 129, 137, 138, 155, 272 УК РФ) и гражданско-правовой защиты (ст. 151, 152, 1100 ГК РФ) и анализ правоприменения с возможным уточнением этих норм9 . Краткий анализ законопроекта и возможных направлений его совершенствования свидетельствует о комплексности проблемы, решение которой затрагивает различные отрасли права.
Новый проект федерального закона. Когда э та статья была уже написана группа депутатов Комитета по информационной политике внесла в Государственную Думу 20.10.2000 г. новый вариант проекта федерального закона “Об информации персонального характера”. Принципиальное концептуальное отличие данного варианта законопроекта состоит в том, что он не предусматривает создание независимого институ та Уполномоченного по правам персональных данных, а идет по пути наделения Правительством РФ о дного из органов исполнительной власти следующими функциями (по мере их появления в тексте законопроекта и с учетом многократного повторения теми же или иными словами): рассматривать жалобы субъектов персональных данных на действия держателей, включая держателей из числа органов испо лнительной власти (ст. 13, 14); направлять запросы держателю персональных данных, который в дву хнедельный срок обязан представлять уполномоченному органу информацию, необходимую для исполнения его полномочий (ст. 18); согласовывать с держателями персональных данных - федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления или уполномоченными ими структурами - перечни собираемых ими персональных данных (ст. 19); регистрировать у казанные перечни “государственных держателей персональных данных” (ст. 19 и 20); ежегодно публиковать э ти перечни в Реестре держателей массивов персональных данных (ст. 19, ст. 31); рассматривать конфликтные ситуации в случае несогласия держателя (обладателя) массива персональных данных с заявлением субъекта персональных данных (ст. 2010); контролировать испо льзование персональных данных, по лученных органами государственной власти и органами местного самоуправления от других государственных держателей (обладателей) персональных данных (ст. 21); вести регистр первичного учета физических лиц, персональные данные которых имеются государственных держателей (ст. 22); осуществлять справочное обслуживание физических и юридических лиц, органов госу дарственной власти и органов местного самоуправления на основе данных регистра первичного учета персональных данных (ст. 22); выдавать юридическим лицам, определяемым Правительством Российской Федерации, лицензии на работу с персональными данными, а
также хранить сведения о держателях массивов персональных данных, которые получили лицензию (ст. 29); регистрировать массивы персональных данных и держателей э тих массивов (без выделения госу дарственных держателей) (ст. 31); учитывать массив персональных данных и держателей этих данных, включая и держателей массивов персональных данных, осуществляю щих работу с персональными данными по лицензии (ст. 31). Абстрагируясь от текста законопроекта, можно свести перечисленные функции к следующим: 1) выдача лицензий юридическим лицам (ст. 29), кстати органы государственной власти тоже являю тся юридическими лицами; 2) регистрация держателей персональных данных, перечней и/или массивов персональных данных (ст. 19, 20, 31) 3) ведение реестра держателей, включающего сведения о собираемых ими массивах и перечнях персональных данных, и его опубли кование (ст. 19, 31); 4) ведение регистра субъектов персональных данных (ст. 22); 5) справочное “обслуживание персональными данными” юридических и физических лиц (ст. 22); 6) контроль за деятельностью держателей персональных данных (ст. 18, 19, 21); 7) рассмотрение жалоб субъектов персональных данных и конфликтных ситуаций (ст. 13, 14, 20). Практически все перечисленные функции потребуют о т уполномоченного органа исполнительной власти допо лнительных затрат, не предусмотренных государственным бюджетом. Эти затраты, очевидно, не будут компенсированы дохо дами от лицензирования и справочного обслуживания. Тем не менее, в финансово -экономическом обосновании законопроекта утверждается, ч то затраты госбюджета не потребуются. Такое “лукавство” - попытка выдать законопроект за незатратный и в силу этого обеспечить его более спокойное про хождение в Государственной Думе. Какой ценой? Возможно, что в случае наделения уполномоченного органа исполнительной власти соответствующими полномочиями затраты на обеспечение его деятельности будут меньше, чем затраты на создание службы Уполномоченного по правам персональных данных. Из э тих соображений можно было не спешить создавать службу Уполномоченного по правам человека, а наделить соответствующими функциями МВД или ФСБ, либо просто адресовать страждущих в вышестоящие органы или суд.
С другой стороны, неясно, какой уполномоченный орган имеется в виду, ведь практически все органы собирают и ведут массивы, включающие персональные данные, поэтому уполномоченный орган будет вынужден контролировать сам себя. Наконец, “степень независимости” уполномоченного органа исполнительной власти в части защиты прав субъекта персональных данных прямо пропорциональна эффективности э той защиты. Другие незначительные “новации” нового варианта законопр оекта (перетасовка положений первого законопроекта между статьями, введение неопределенных терминов типа “государственные держатели” и ведение первичного регистра персональных данных11), полагаем, не улучшают текст законопроекта. Наличие альтернативных законопроектов пока не усложняет их рассмотрение, даже, напротив, обостряет противоречия, заставляя депутатов делать выбор. Однако нельзя исключить возможность отзыва первого законопроекта, тогда отстаивать иные принципы правовой защиты персональных данных будет непросто. Выбор должно сделать и общество - осознать приоритет интересов личности, ее прав и свобод, и позаботиться о принятии закона, эффективно защищающего интересы каждо го и всех.
МОД ЕЛ Ь НЫ Й З АКО Н ПЕР С ОН АЛ Ь НЫ Х Д АН Н ЫХ”
“О
П рин ят н а че ты рн адц атом плен арном засед ании Межпарл амен тской Ассамблеи госуд арс тв - учас тни ков С НГ (Постано вление № 14 -19 от 16 ок тяб ря 1999 года) Приложение Настоящий Закон определяет операции с персональными данными и их правовой режим с учетом общепризнанных норм международного права и обязательств по международным до говорам. Статья 1. Цель Закона Целью Закона является защита прав человека в отношении его персональных данных и операций с ними, определение правового режима использования персональных данных и функций их держателей. Статья 2. Основные термины и определения Персональные данные - информация (зафиксированная на материальном носителе) о конкретном человеке, ко торая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профес сии, служебном и финансовом положении, состоянии здоровья и прочие. Материальные носители - материальные объекты (в том числе физические поля), в которых персональные данные нахо дят свое отображение о виде символов, образов и сигналов. Субъект персональных данных (субъект) - человек, к ко торому относятся соответствующие персональные данные. Держатель персональных данных (дер жатель) - органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие действия с персональными данными на законных основаниях. Действия (операции) дер жателя с персональными данными сбор, хранение, у точнение, передача, блокирование, обезличивание и уничтожение персональных данных. Сбор персональных данных - документально оформленная процедура получения держателем персональных данных от субъектов этих данных.
Передача персональных данных - предоставление держателем персональных данных третьим лицам в соответствии с законом и международными договорами. Трансграничная передача персональных да нных - передача держателем персональных данных э тих данных держателям, которые находятся под юрисдикцией другого госу дарства. Уточнение персональных данных - оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными национальным законодательством. Блокирование персональных данных - временное прекращение передачи, уточнения и унич тожения персональных данных. Уничто жение персональных данных - действия держателя персональных данных по приведению последних в состояние, не позволяющее восстановить их со держание. Обезл ичивание персональных данных - изъятие из персональных данных той их части, которая позво ляет отождествить их с конкретным человеком. База персональных данных - упорядоченный массив персональных данных, независимый о т вида материального носителя информации и используемых средств его обработки (ар хивы, кар тотеки, э лектронные базы данных). Режим конфиденциальности персональных данных - нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных. Статья 3. Принципы правового регулирования персональных данных 1. Персональные данные до лжны быть получены и обработаны законным образом на основании действующего законодательства. 2. Персональные данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме. 3. Персональные данные должны накапливаться для точно определенных и законных целей, не использоваться в противоречии с этими целями и не быть избыточными по отношению к ним. 4. Персональные данные, предоставляемые держателем, до лжны быть точными и в случае необ ходимости обновляться. 5. Персональные данные до лжны храниться не до льше, чем этого требует цель, для которой они накапливаются, и подлежать уничтожени ю по достижении э той цели или при миновании надобности. 6. До лжны приниматься меры для о храны персональных данных, исключающие случайное или несанкционированное разрушение или
случайную их у трату, а равно несанкционированный доступ к ним, изменение, блокирование или передачу данных. 7. Не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации. 8. Для лиц, занимающих высшие государственные должности, и кандидатов на эти до лжности национальным законодательством может быть установлен специальный правовой режим для их персональных данных, обеспечивающий открытость только общественно значимых данных. Статья 4. Правовой режим персональных данных 1. Правовой режим персональных данных - нормативно установленные правила, определяющие условия доступа, хранения, уточнения, передачи, блокирования, обезличивания и уничтожения персональных данных. 2. Персональные данные, нахо дящиеся в ведении держателя, относятся к конфиденциальной информации, кром е случаев, определенных настоящим Законом. 3. Режим конфиденциальности персональных данных снимается в случаях обезличивания персональных данных; требований субъекта в отношении своих персональных данных, не противоречащих национальному законодательству; включения персональных данных в общедоступные базы данных. 4. По желанию субъекта для его персональных данных может быть установлен режим общедоступной информации (био -, библиографические справочники, телефонные книги, адресные книги, частные объявления и т.д.). 5. С момента смерти субъекта персональных данных правовой режим персональных данных по длежит замене на режим ар хивного хранения или иной правовой режим, предусмотренный национальным законодательством. 6. Правовой режим для персональных данных, по лученных в результате деятельности правоо хранительных органов, устанавливается в соответствии с национальным законо дательством. 7. Защита персональных данных умершего лица может осуществляться другими лицами, в том числе наследниками, в порядке, предусмотренном национальным законодательством о защите чести, достоинства, деловой репу тации, личной и семейной тайн. Статья 5. Основные формы государственного регулирования Государство может осуществлять регулирование действий держателей персональных данных в формах:
- лицензирования действий с персональными данными; - регистрации баз персональных данных; - регистрации держателей персональных данных; - сертификации информационных систем, предназначенных для обработки персональных данных. Статья 6. Лицензирование действий (операций) с персональными данными Путем лицензирования действий с персональными данными обеспечивается государственный контроль над деятельностью в э той сфере. Лицензия на действия с персональными данными выдается органами исполнительной власти, на ко торые возложены функции защиты нрав субъектов персональных данных. В лицензии на действия с персональными данными указываю тся: - цели и способы получения и использования персональных данных, режимы и сроки их хранения; - категории или группы субъектов персональных данных; - перечень персональных данных; - источники персональных данных; - порядок информирования субъектов о получении их персональных данных; - меры по обеспечению сохранности персональных данных и конфиденциальности обращения с ними; - лица, непосредственно ответственные за работу с персональными данными; - требование наличия сер тификатов на информационные системы, предназначенные для обработки персональных данных, средств защиты информационных систем и персональных данных. Информационные продукты, содержащие персональные данные, а также информация, предоставляемая субъекту персональных данных, должны содержать ссылку на выданную лицензию. Лицензия не требуется: - органам государственной власти и органам местного самоуправления, осуществляю щим работу с персональными данными в соответствии со своей компетенцией; - в случае работы с персональными данными для целей, исключающих передачу персональных данных иным юридическим и физическим лицам; - в случае получения этих данных в личных целях, не предполагаю щих их распространения. Статья 7. Регистрация баз персональных данных
Регистрация баз персональных данных обеспечивает их гласный учет и позволяет информировать граждан о возможностях доступа к своим персональным данным. Базы персональных данных по длежат обязательной регистрации в органах испо лнительной власти, на которые возложены функции защиты прав субъектов персональных данных. При регистрации баз персональных данных фиксируются наименование баз персональных данных, цели по лучения и испо льзования персональных данных, перечень собираемых персональных данных, категории или группы субъектов персональных данных, сроки хранения персональных данных. Статья 8. Регистрация держателей персональных данных Регистрация держателей персональных данных обеспечивает ведение общедоступного реестра держателей персональных данных. При регистрации держателей персональных данных указываю тся: - цели и способы получения и использования персональных данных, режим и сроки их хранения; - категории или группы субъектов персональных данных; - источники персональных данных; - порядок информирования субъектов о сборе их персональных данных; - меры по обеспечению сохранности персональных данных и конфиденциальности действий с ними; - лица, непосредственно ответственные за работу с персональными данными; - требование наличия сер тификатов на информационные системы, предназначенные для обработки персональных данных, средств защиты информационных систем и персональных данных. Статья 9. Сертификация автоматизированных информационных систем, предназначенных для обработки персональных данных Сертификация автоматизированных информационных систем, предназначенных для обработки персональных данных, осуществляется с целью обеспечения требуемого уровня безопасности персональных данных. Сертификации по длежат предназначенные для обработки персональных данных автоматизированные информационные системы, а также средства защиты информационных систем и персональных данных. Сертификацию осуществляю т органы по сертификации к соответствии с национальным законо дательством. Статья 10. Трансграничная передача персональных данных
1. Не может запрещаться или ставиться под специальный контроль трансграничная передача персональных данных, за исключением случаев, создающих угрозу национальной безопасности и при необ еспечении адекватного уровня защиты персональных данных. 2. Государство обеспечивает законные меры зашиты нахо дящихся на его территории или передаваемых через его территорию персональных данных, исключающих их искажение и несанкционированное использование. 3. При трансграничной передаче персональных данных передающая сторона исходит из того, что в соответствии с межгосударственными соглашениями либо национальным законо дательством другая сторона обеспечивает адекватный уровень защиты прав субъектов персональ ных данных и о храны этих данных. 4. Передача персональных данных в страны, не обеспечивающие адекватный уровень защиты этих данных, может иметь место при условии: - явно выраженного согласия субъекта персональных данных на эту передачу; - необхо димости передачи персональных данных для заключения и (или) исполнения до говора между субъектом и держателем персональных данных либо между держателем и третьей стороной в интересах субъекта персональных данных; - если передача необ ходима для защиты жизненно важных и нтересов субъекта персональных данных; - если персональные данные содержатся в общедоступной базе персональных данных. Статья 11. Общедоступные базы персональных данных 1. В целях информационного обеспечения в стране могут создаваться общедоступные базы персональных данных (справочники, телефонные книги, адресные книги и т.д.). 2. В общедоступные базы персональных данных с письменного согласия субъекта могут включаться следующие персональные данные: фамилия, имя, отчество, го д и место рождения, адрес, номер ) контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом, сведения, по лученные из о ткрытых источников. 3. В случае, если персональные данные получены держателем из открытых источников либо иных общедоступных баз персональных данных, держатель общедоступной базы информирует субъекта о содержании его персональных данных и цели их испо льзования. 4. Сведения о конкретных субъектах могут быть в любое время исключены из базы на основании:
- распоряжения субъекта персональных данных; - решений правоо хранительных органов. 5. Режим конфиденциальности для общедоступных баз персональных данных не устанавливается. Статья 12. Права субъекта персональных данных 1. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо своих персональных данных за исключением случаев, предусмотренных пунктом 7 настоящей статьи. 2. В целях реализации своих прав и свобод субъект предоставляет необхо димые персональные данные, а также сведения об их изменениях в соответствующие органы государственной власти в объемах, определяемых законодательством. 3. Субъект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и иметь к ним доступ. Право на доступ может быть ограничено только в случаях, предусмотренных пунктом 7 настоящей статьи. Указанная информация должна быть выдана субъекту персональных данных в доступной документированной форме, четко и ясно выраженной и не должна содержать персональные данные, о тносящиеся к другим субъектам. 4. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя э тих данных внесения изменений в свои персональные данные. 5. В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий и о тношении его персональных данных, он вправе потребовать о т держателя блокирования э тих данных. 6. Если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вп раве обжаловать эти действия в административном, судебном или ином порядке в соответствии с национальным законодательством. В случае установления неправомерности действий при работе с персональными данными субъект данных имеет право на возмещение убытков и на иные формы обеспечения прав и соответствии с национальным законо дательством. 7. Ограничение прав субъекта на свои персональные данные возможно в отношении: а) права предоставления субъектом своих персональных данных для субъектов персональных данных, допущенных к сведениям,
составляю щим государственную тайну, - в пределах, установленных национальным законо дательством о государственной тайне; б) права доступа к своим персональным данным, внесения в них изменений и их блокирования в о тношении персональных данных, полученных в результате оперативно-розыскной деятельности, иных персональных данных в случаях, предусмотренных национальным законодательством. Статья 13. Права и обязанности держателя персональных данных 1. Юридические и физические лица по лучают право на действия с персональными данными на основании лицензии или в соответствии с разрешительным порядком, предусмотренным национальным законодательством. 2. Держатель персональных данных обязан: - получать персональные данные непосредственно от субъекта или из других источников с его согласия, за исключением случаев, предусмотренных действующим законо дательством; - обеспечивать режим конфиденциальности при использовании персональных данных в предусмотренных настоящим Законом случаях; - документально определять порядок работы с персональными данными служащих, а также лиц, несущих юридическую о тветственность за соблюдение режима конфиденциальности и со хранность персональных данных; - обеспечивать со хранность персональных данных, их уточнение, а также установленный в нормативном порядке режим доступа к ним; - сообщать субъекту по его требованию информацию о наличии персональных данных о нем, а также сами персональные данные. 3. Лица, которым персональные данные становятся известными благодаря их до лжностным обязанностям, принимают на себя обязательства и несут о тветственность за обеспечение конфиденциальности действий с этими персональными данными. Обязательства остаю тся в силе и после окончания работы с персональными данными в течение срока сохранения режима конфиденциальности. 4. В случаях выявления субъектом персональных данных их недостоверности или неправомерности действий с ними держатель обязан заблокировать э ти персональные данные на период проверки, после которой исправить их, снять блокирование или уничтожить. 5. Передача персональных данных другому держателю возможна только в том случае, если цели использования персональных данных новым держателем соответствуют целям их по лучения. Передача персональных данных в целях, не соответствующих целям их получ ения,
осуществляется либо с согласия субъекта, либо на основании закона. При передаче персональных данных другому держателю на него возлагается обязанность соблю дать режим конфиденциальности. Статья 14. Обезличивание персональных данных Для проведения статистических, социо логических, медицинских и других исследований держатель персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. При этом правовой режим, установленный для персональных данных, снимается. Обезличивание должно исключать возможность идентификации и субъекта персональных данных. Статья 15. Хранение и обновление персональных данных 1. Сроки хранения персональных данных определяю тся национальным законодательством с учетом целей их получения. Сроки хранения могут быть продлены только в интересах субъекта персональных данных или если это предусмотрено национальным законодательством. По истечении срока хранения или достижении целей получения персональных данных они по длежат унич тожению. Определенные персональные данные (личные дела, метрические книги и т.д.) после того, как практическая надобность в них отпадает, могут оставаться на постоянном хранении, приобретая статус ар хивного документа либо иной статус, предусмотренный национальным законодательством. 2. Держате ль персональных данных вносит изменения в имеющиеся у него персональные данные при условии документально го подтверждения достоверности новых данных: - в случаях, предусмотренных законом; - по собственной инициативе; - по инициативе субъекта, персональные данные ко торого подлежат изменению. Статья 16. Органы по защите прав субъектов персональных данных 1. Защита прав субъектов персональных данных осуществляется в общем порядке органами исполнительной власти, судебными органами, органами прокуратуры в соответствии с функциями и по лномочиями, определенными для них национальным законо дательством. 2. Для защиты прав субъектов персональных данных могут создаваться специальные органы, деятельность которых дополняет существующие возможности защиты прав субъектов. Специальные органы по защите прав субъектов персональных данных осуществляю т свою деятельность в пределах компетенции,
установленной национальным законодательством, и не вправе принимать решения, отнесенные к компетенции держателей персональных данных. 3. На указанные органы могут быть возложены: - лицензирование действий с персональными данными; - регистрация баз персональных данных; - регистрация держателей и ведение реестра держателей персональных данных; - представление интересов субъектов персональных данных в суде, расследование по фактам нарушения порядка работы с персональными данными по обращениям субъектов, а также на основании анализа других источников информации; - информирование органов государственной власти и граждан о положении дел в области защиты персональных данных; - представление в органы государственной власти предложений по развитию и совершенствованию нормативной базы, регламентирующей действия с персональными данными. 4. Во исполнение указанных функций органы по защите прав субъектов персональных данных могут наделяться следующими правами: - беспрепятственно получать доступ к массивам персональных данных; - запрашивать и получать от держателя персональных данных любые необхо димые сведения, документы и материалы; - проводить самостоятельно или совместно с уполномоченными органами и должностными лицами проверку деятельности держателей персональных данных, о тносительно которых имеется информация о нарушениях прав субъекта; - вносить предложения об отзыве лицензии на проведение действий с персональными данными (если лицензирование действий с персональными данными осуществляет другой орган); - в спорных случаях решать вопрос о снятии или установлении режима конфиденциальности; - блокировать персональные данные. Статья 17. Ответственность за нарушение Закона о персональных данных За нарушение настоящего Закона виновное лицо несет ответственность в порядке, установленном национальным законодательством.