Директива 95/46/ЄС Європейського Парламенту і Ради

Глава II

 

Основні принципи захисту даних

 

Стаття 4

 

Обов'язки Сторін

1. Кожна Сторона вживає необхідних заходів стосовно свого
внутрішнього законодавства для набуття чинності основними
принципами захисту даних, викладеними в цій главі.

 

2. Таких заходів уживають принаймні тоді, коли ця Конвенція
набуває чинності для відповідної Сторони.

 

Стаття 5

 

Якість даних

Персональні дані, що піддаються автоматизованій обробці,
повинні:

 

a) отримуватися та оброблятися сумлінно та законно;

 

b) зберігатися для визначених і законних цілей та не
використовуватися в спосіб, не сумісний із цими цілями;

 

c) бути адекватними, відповідними та ненадмірними стосовно
цілей, для яких вони зберігаються;

 

d) бути точними та в разі необхідності оновлюватися;

 

e) зберігатись у формі, яка дозволяє ідентифікацію суб'єктів
даних не довше, ніж це необхідно для мети, для якої такі дані
зберігаються.

 

Стаття 6

 

Особливі категорії даних

Персональні дані, що свідчать про расову приналежність,
політичні, релігійні чи інші переконання, а також дані, що
стосуються здоров'я або статевого життя, не можуть піддаватися
автоматизованій обробці, якщо внутрішнє законодавство не
забезпечує відповідних гарантій. Це правило також застосовується
до персональних даних, що стосуються засудження в кримінальному
порядку.

 

Стаття 7

 

Безпека даних

Для захисту персональних даних, що зберігаються у файлах
даних для автоматизованої обробки, уживають відповідних заходів
безпеки, спрямованих на запобігання випадковому чи
несанкціонованому знищенню або випадковій утраті, а також на
запобігання несанкціонованим доступу, зміні або поширенню.

 

Стаття 8

 

Додаткові гарантії для суб'єкта даних

Будь-якій особі надається можливість:

 

a) з'ясувати існування файлу персональних даних для
автоматизованої обробки, його головні цілі, а також особу та
постійне місце проживання чи головне місце роботи контролера
файлу;

 

b) отримувати через обґрунтовані періоди та без надмірної
затримки або витрат підтвердження або спростування факту
зберігання персональних даних, що її стосуються, у файлі даних для
автоматизованої обробки, а також отримувати такі дані в доступній
для розуміння формі;

 

c) вимагати у відповідних випадках виправлення або знищення
таких даних, якщо вони оброблялися всупереч положенням
внутрішнього законодавства, що запроваджують основоположні
принципи, визначені у статтях 5 і 6 цієї Конвенції;

 

d) використовувати засоби правового захисту в разі
невиконання передбаченого в пунктах "b" і "c" цієї статті прохання
про підтвердження або у відповідних випадках про надання,
виправлення або знищення персональних даних.

 

Стаття 9

 

Винятки та обмеження

1. Винятки з положень статей 5, 6 та 8 цієї Конвенції
дозволяються лише в рамках, визначених цією статтею.

 

2. Відхилення від положень статей 5, 6 та 8 цієї Конвенції
дозволяється тоді, коли таке відхилення передбачене законодавством
Сторони та є в демократичному суспільстві необхідним заходом,
спрямованим на:

 

a) захист державної та громадської безпеки, фінансових
інтересів Держави або на боротьбу з кримінальними
правопорушеннями;

 

b) захист суб'єкта даних або прав і свобод інших людей.

 

3. Обмеження стосовно здійснення прав, визначених у
пунктах "b", "c" та "d" статті 8, можуть установлюватися
законодавством стосовно файлів персональних даних для
автоматизованої обробки, що використовуються для цілей статистики
або наукових досліджень у випадках явної відсутності небезпеки
порушення недоторканості приватного життя суб'єктів даних.

 

Стаття 10

 

Санкції та засоби правового захисту

Кожна Сторона зобов'язується встановити відповідні санкції та
засоби правового захисту стосовно порушень положень внутрішнього
права, що запроваджують основоположні принципи захисту
персональних даних, визначені в цій главі.

 

Стаття 11

 

Розширення захисту

Жодне з положень цієї глави не тлумачиться як таке, що
обмежує можливості Сторони забезпечувати суб'єктам даних більший
ступінь захисту, ніж передбачений цією Конвенцією, або як таке, що
іншим чином завдає шкоди такій можливості.

 

Глава III

 

Транскордонні потоки даних

 

Стаття 12

 

Транскордонні потоки персональних даних
та внутрішнє законодавство

1. Стосовно передачі через національні кордони за допомогою
будь-яких засобів персональних даних, що піддаються
автоматизованій обробці або зібраних з метою їхньої
автоматизованої обробки, застосовуються такі положення.

 

2. Сторона не може лише з метою захисту недоторканості
приватного життя забороняти чи обумовлювати спеціальними дозволами
транскордонні потоки персональних даних, що передаються на
територію іншої Сторони.

 

3. Однак кожна Сторона має право відступати від положень
пункту 2:

 

a) якщо її законодавство містить конкретні положення для
певних категорій персональних даних або файлів персональних даних
для автоматизованої обробки, у зв'язку з особливостями цих даних
або файлів, за винятком випадків, коли положення іншої Сторони
забезпечують аналогічний захист;

 

b) якщо передача даних здійснюється з її території на
територію Держави, що не є Договірною Державою, через територію
іншої Сторони, для запобігання порушенню такою передачею
законодавства Сторони, зазначеної на початку цього пункту.

 

Глава IV

 

Взаємна допомога

 

Стаття 13

 

Співробітництво між Сторонами

1. Сторони погоджуються надавати одна одній взаємну допомогу
для реалізації цієї Конвенції.

 

2. Для цього:

 

a) кожна Сторона призначає один чи більше органів, назву та
адресу яких вона повідомляє Генеральному секретарю Ради Європи;

 

b) кожна Сторона, яка призначила більше одного органу,
зазначає у своєму повідомленні, згаданому в попередньому
підпункті, сферу повноважень кожного з них.

 

3. Орган, призначений однією Стороною, на прохання органу,
призначеного іншою Стороною:

 

a) надає інформацію про своє законодавство та адміністративну
практику в галузі захисту даних;

 

b) відповідно до свого внутрішнього законодавства та виключно
з метою захисту недоторканості приватного життя вживає всіх
відповідних заходів для надання фактичної інформації стосовно
конкретної автоматизованої обробки, яка здійснюється на його
території, але за винятком персональних даних, що обробляються.

 

Стаття 14

 

Допомога суб'єктам даних, які проживають за кордоном

1. Кожна Сторона надає допомогу будь-якій особі, яка постійно
проживає за кордоном, у здійсненні прав, наданих її внутрішнім
законодавством, що запроваджує принципи, визначені в статті 8 цієї
Конвенції.

 

2. Якщо така особа проживає на території іншої Сторони, їй
надається можливість подати своє прохання за посередництвом
органу, призначеного цією Стороною.

 

3. Прохання про надання допомоги повинно містити всі
необхідні відомості, що стосуються, inter alia:

 

a) прізвища, адреси та будь-яких інших відповідних
відомостей, які встановлюють особу, що звертається з проханням;

 

b) файлу персональних даних для автоматизованої обробки,
якого стосується прохання, або його контролера;

 

c) мети прохання.

 

Стаття 15

 

Гарантії стосовно допомоги,
що надається призначеними органами

1. Орган, який призначений однією Стороною і який отримав від
органу, призначеного іншою Стороною, інформацію, що супроводжує
прохання про надання допомоги, або інформацію у відповідь на його
прохання про надання допомоги, використовує цю інформацію лише для
цілей, зазначених у проханні про надання допомоги.

 

2. Кожна Сторона забезпечує, щоб особи, які працюють у
призначеному органі або діють від його імені, мали відповідні
зобов'язання стосовно збереження таємності або конфіденційності
такої інформації.

 

3. Призначеному органу на свій розсуд і без ясно вираженої
згоди суб'єкта даних, що проживає за кордоном, у жодному випадку
не дозволяється звертатися згідно з пунктом 2 статті 14 з
проханням про надання допомоги від імені відповідної особи.

 

Стаття 16

 

Відхилення прохань про надання допомоги

Призначений орган, до якого надіслано прохання про надання
допомоги згідно зі статтями 13 або 14 цієї Конвенції, може
відмовитися задовольняти таке прохання, якщо:

 

a) прохання є не сумісним з повноваженнями, якими наділені в
галузі захисту персональних даних органи, що відповідають за
виконання прохання;

 

b) прохання не відповідає положенням цієї Конвенції;

 

c) виконання прохання порушило б суверенітет, безпеку або
громадський порядок (ordre public) Сторони, якою він був
призначений, або права та основоположні свободи осіб, які
знаходяться під юрисдикцією цієї Сторони.

 

Стаття 17

 

Витрати на допомогу та порядок її надання

1. Взаємна допомога, яку Сторони надають одна одній згідно зі
статтею 13, та допомога, яку вони надають згідно зі статтею 14
суб'єктам даних, що проживають за кордоном, не може бути підставою
для сплати жодних витрат або зборів, за винятком тих, що
сплачуються у зв'язку з діяльністю експертів і перекладачів.
Витрати або збори у зв'язку з діяльністю останніх сплачуються
Стороною, яка призначила орган, що звертається з проханням про
надання допомоги.

 

2. На суб'єкта даних не може покладатися сплата витрат або
зборів, пов'язаних із заходами, яких було вжито від його імені на
території іншої Сторони, крім витрат або зборів, які на законних
підставах сплачуються резидентами такої Сторони.

 

3. Інші подробиці стосовно надання допомоги, що стосуються,
зокрема, форм і процедур, а також використання мов, визначаються
безпосередньо між відповідними Сторонами.

 

Глава V

 

Консультативний комітет

 

Стаття 18

 

Склад Комітету

1. Консультативний комітет створюється після набуття чинності
цією Конвенцією.

 

2. Кожна Сторона призначає до Комітету одного представника та
заступника представника. Будь-яка Держава - член Ради Європи, яка
не є Стороною Конвенції, має право бути представленою в Комітеті
спостерігачем.

 

3. Консультативний комітет одностайним рішенням може
запропонувати будь-якій Державі, яка не є членом Ради Європи і не
є Стороною Конвенції, бути представленою на тому чи тому засіданні
як спостерігач.

 

Стаття 19

 

Функції Комітету

Консультативний комітет:

 

a) може вносити пропозиції для сприяння застосуванню або
поліпшення застосування Конвенції;

 

b) може вносити пропозиції стосовно внесення змін та
доповнень до цієї Конвенції відповідно до статті 21;

 

c) надає свій висновок стосовно будь-якої пропозиції про
внесення змін та доповнень до цієї Конвенції, які передаються йому
на розгляд відповідно до пункту 3 статті 21;

 

d) на прохання Сторони може робити висновок з будь-якого
питання, що стосується застосування цієї Конвенції.

 

Стаття 20

 

Процедура

1. Консультативний комітет скликається Генеральним секретарем
Ради Європи. Його перше засідання відбувається у рамках дванадцяти
місяців після набрання чинності цією Конвенцією. У подальшому він
збирається принаймні раз на два роки й у будь-якому разі, коли
одна третина представників Сторін вимагає його скликання.

 

2. Кворумом засідання Консультативного комітету є більшість
представників Сторін.

 

3. Після кожного свого засідання Консультативний комітет
подає Комітетові Міністрів Ради Європи звіт про свою роботу та про
стан виконання Конвенції.

 

4. Відповідно до положень цієї Конвенції Консультативний
комітет складає свій регламент.

 

Глава VI

 

Зміни

 

Стаття 21

 

Зміни

1. Зміни до цієї Конвенції можуть пропонуватися Стороною,
Комітетом Міністрів Ради Європи або Консультативним комітетом.

 

2. Будь-яка пропозиція про внесення зміни надсилається
Генеральним секретарем Ради Європи Державам - членам Ради Європи
та кожній Державі, що не є членом Ради Європи, яка приєдналася до
цієї Конвенції або якій було запропоновано приєднатися до неї
відповідно до положень статті 23.

 

3. Крім того, будь-яку зміну, запропоновану Стороною або
Комітетом Міністрів, надсилають Консультативному комітетові, який
подає Комітетові міністрів свої стосовно цієї запропонованої
зміни.

 

4. Комітет Міністрів розглядає запропоновану зміну та
будь-який висновок, поданий Консультативним комітетом, і може
затвердити зміну.

 

5. Текст будь-якої зміни, затвердженої Комітетом Міністрів
відповідно до пункту 4 цієї статті, надсилається Сторонам для
прийняття.

 

6. Будь-яка зміна, затверджена відповідно до пункту 4 цієї
статті, набуває чинності на тридцятий день після того, як усі
Сторони повідомили Генеральному секретарю про її прийняття.

 

Глава VII

 

Заключні положення

 

Стаття 22

 

Набуття чинності

1. Ця Конвенція відкрита для підписання Державами - членами
Ради Європи. Вона підлягає ратифікації, прийняттю або схваленню.
Ратифікаційні грамоти або документи про прийняття чи схвалення
здаються на зберігання Генеральному секретарю Ради Європи.

 

2. Ця Конвенція набуває чинності в перший день місяця, що
настає після закінчення тримісячного періоду від дати, коли п'ять
Держав - членів Ради Європи висловили свою згоду на обов'язковість
для них цієї Конвенції відповідно до положень попереднього пункту.

 

3. Для будь-якої Держави-члена, яка в подальшому висловить
свою згоду на обов'язковість для неї цієї Конвенції, вона набуває
чинності в перший день місяця, що настає після закінчення
тримісячного періоду від дати здачі на зберігання ратифікаційної
грамоти або документа про прийняття чи схвалення.

 

Стаття 23

 

Приєднання Держав, що не є членами Ради Європи

1. Після набуття чинності цією Конвенцією, Комітет Міністрів
Ради Європи може запропонувати будь-якій Державі, яка не є членом
Ради Європи, приєднатися до цієї Конвенції за допомогою рішення,
що приймається більшістю голосів, передбаченою в пункті "d"
статті 20 Статуту Ради Європи ( 994_001 ), i шляхом одностайного
голосування представників Договірних Держав, які мають право
засідати в Комітеті.

 

2. Для будь-якої Держави, що приєдналася до цієї Конвенції,
Конвенція набуває чинності в перший день місяця, що настає після
закінчення тримісячного періоду від дати здачі на зберігання
документа про приєднання Генеральному секретарю Ради Європи.

 

Стаття 24

 

Територіальні положення

1. Будь-яка Держава, під час підписання або здачі на
зберігання своєї ратифікаційної грамоти або свого документа про
прийняття, схвалення чи приєднання, може визначити територію або
території, до яких застосовується ця Конвенція.

 

2. Будь-яка Держава може будь-коли після цього, шляхом
подання заяви на ім'я Генерального секретаря Ради Європи поширити
дію цієї Конвенції на будь-яку іншу територію, визначену в цій
заяві. Конвенція набуває чинності стосовно такої території в
перший день місяця, що настає після закінчення тримісячного
періоду від дати отримання такої заяви Генеральним секретарем.

 

3. Будь-яка заява, зроблена відповідно до двох попередніх
пунктів, може бути відкликана стосовно будь-якої території,
визначеної в цій заяві, шляхом подання відповідного повідомлення
на ім'я Генерального секретаря. Відкликання набуває чинності в
перший день місяця, що настає після закінчення шестимісячного
періоду від дати отримання такого повідомлення Генеральним
секретарем.

 

Стаття 25

 

Застереження

Жодне застереження стосовно положень цієї Конвенції не
дозволяється.

 

Стаття 26

 

Денонсація

1. Будь-яка Сторона може будь-коли денонсувати цю Конвенцію
шляхом подання відповідного повідомлення на ім'я Генерального
секретаря Ради Європи.

 

2. Така денонсація набуває чинності в перший день місяця, що
настає після закінчення шестимісячного періоду від дати отримання
такого повідомлення Генеральним секретарем.

 

Стаття 27

 

Повідомлення

Генеральний секретар Ради Європи повідомляє Державам - членам
Ради Європи та будь-якій Державі, що приєдналася до цієї
Конвенції, про:

 

a) будь-яке підписання;

 

b) здачу на зберігання будь-якої ратифікаційної грамоти чи
будь-якого документа про прийняття, схвалення або приєднання;

 

c) будь-яку дату набуття чинності цією Конвенцією відповідно
до статей 22, 23 та 24;

 

d) будь-яку іншу дію або повідомлення, що стосуються цієї
Конвенції.

 

На посвідчення чого ті, що підписалися нижче, належним чином
на те вповноважені, підписали цю Конвенцію.

 

Учинено в Страсбурзі 28 січня 1981 року англійською та
французькою мовами, причому обидва тексти є автентичними, в одному
примірнику, який зберігається в архівах Ради Європи. Генеральний
секретар Ради Європи надсилає засвідчені копії цієї Конвенції
кожній Державі - члену Ради Європи та будь-якій Державі, якій було
запропоновано приєднатися до цієї Конвенції.

 

Додатковий протокол
до Конвенції про захист осіб у зв'язку з автоматизованою
обробкою персональних даних щодо органів нагляду та
транскордонних потоків даних

Страсбург, 8 листопада 2001 року

Статус Протокола див. ( 994_767 )

{ Додатковий протокол ратифіковано із заявами згідно із Законом
N 2438-VI ( 2438-17 ) від 06.07.2010 }


Дата підписання: 08.11.2001

Дата ратифікації Україною: 06.07.2010

Дата набрання чинності для України: 01.01.2011


Офіційний переклад

 

Преамбула

Сторони цього Додаткового протоколу до Конвенції про захист
осіб у зв'язку з автоматизованою обробкою персональних даних
( 994_326 ), відкритої для підписання в Страсбурзі
28 січня 1981 року (далі - Конвенція),

 

будучи переконаними в тому, що органи нагляду, виконуючи свої
функції в повній незалежності, є елементом ефективного захисту
осіб у зв'язку з обробкою персональних даних;

 

беручи до уваги важливість обміну інформацією між народами;

 

беручи до уваги те, що зі зростанням обмінів персональними
даними через національні кордони необхідно гарантувати ефективний
захист прав людини та основоположних свобод, зокрема право на
недоторканість приватного життя стосовно таких обмінів
персональними даними;

 

домовилися про таке:

 

Стаття 1

 

Органи нагляду

1. Кожна Сторона передбачає один чи більше органів нагляду,
відповідальних за забезпечення дотримання заходів, які передбачено
її внутрішньодержавним правом і які втілюють принципи, викладені в
главах II і III Конвенції ( 994_326 ) та в цьому Протоколі.

 

2. a. Для цього зазначений вище орган нагляду має, зокрема,
повноваження стосовно розслідування та втручання, а також право
брати участь у судовому розгляді або повідомляти компетентним
судовим органам про порушення положень внутрішньодержавного права,
що втілюють принципи, викладені в пункті 1 статті 1 цього
Протоколу.

 

b. Кожний орган нагляду в межах своєї компетенції після
розгляду приймає рішення у зв'язку із заявами будь-якої особи
стосовно захисту її прав та основоположних свобод стосовно обробки
персональних даних.

 

3. Органи нагляду виконують свої функції в повній
незалежності.

 

4. Ті рішення органів нагляду, які викликають скарги, можна
оскаржувати в судах.

 

5. Відповідно до положень глави IV та без шкоди положенням
статті 13 Конвенції ( 994_326 ) органи нагляду співробітничають
між собою настільки, наскільки це необхідно для виконання їхніх
обов'язків, зокрема шляхом обміну будь-якою корисною інформацією.

 

Стаття 2

 

Транскордонні потоки персональних даних
до користувача, який не підпадає під юрисдикцію
Сторони Конвенції
( 994_326 )

1. Кожна Сторона передбачає, що передача персональних даних
користувачу, що знаходиться під юрисдикцією Держави чи
організації, яка не є Стороною Конвенції ( 994_326 ), може
здійснюватися, тільки якщо така Держава чи організація забезпечує
адекватний рівень захисту відповідної передачі даних.

 

2. Відступаючи від положень пункту 1 статті 2 цього
Протоколу, кожна Сторона може дозволити передачу персональних
даних:

 

a) якщо внутрішньодержавне право передбачає це у зв'язку з:

 

- специфічними інтересами суб'єкта даних або

 

- перевагою законних інтересів, зокрема важливих суспільних
інтересів, або

 

b) якщо гарантії, що, зокрема, можуть випливати з договірних
положень, надаються контролером, відповідальним за передачу, та
визнаються як достатні компетентними органами відповідно до
внутрішньодержавного права.

 

Стаття 3

 

Заключні положення

1. Сторони вважають положення статей 1 та 2 цього Протоколу
додатковими статтями Конвенції ( 994_326 ), і всі положення
Конвенції застосовуються відповідно.

 

2. Цей Протокол відкритий для підписання Державами, що
підписали Конвенцію ( 994_326 ). Після приєднання до Конвенції на
умовах, передбачених нею, Держави - члени Європейських
Співтовариств можуть підписати цей Протокол. Цей Протокол підлягає
ратифікації, прийняттю або затвердженню. Сторона, яка підписала
цей Протокол, не може його ратифікувати, прийняти або схвалити,
якщо вона раніше чи одночасно не ратифікувала, прийняла, схвалила
Конвенції чи не приєдналася до неї. Ратифікаційні грамоти,
документи про прийняття, затвердження чи приєднання до цього
Протоколу передаються на зберігання Генеральному секретарю Ради
Європи.

 

3. a. Цей Протокол набуває чинності в перший день місяця, що
настає після закінчення тримісячного періоду від дати, коли п'ять
Держав, що підписали його, висловили свою згоду на обов'язковість
для них цього Протоколу відповідно до положень пункту 2 статті 3.

 

b. Для будь-якої Держави, що підписала цей Протокол, і згодом
висловила свою згоду на обов'язковість для неї цього Протоколу,
він набуває чинності в перший день місяця, що настає після
закінчення тримісячного періоду від дати передачі на зберігання
ратифікаційної грамоти, документа про прийняття або затвердження.

 

4. a. Після набуття чинності цим Протоколом будь-яка Держава,
що приєдналася до Конвенції ( 994_326 ), може також приєднатися до
Протоколу.

 

b. Приєднання відбувається шляхом передачі на зберігання
Генеральному секретарю Ради Європи документа про приєднання, який
набуває чинності в перший день місяця, що настає після закінчення
тримісячного періоду від дати його передачі на зберігання.

 

5. a. Будь-яка Сторона може будь-коли денонсувати цей
Протокол за допомогою відповідного повідомлення на ім'я
Генерального секретаря Ради Європи.

 

b. Така денонсація набуває чинності в перший день місяця, що
настає після закінчення тримісячного періоду від дати отримання
такого повідомлення Генеральним секретарем.

 

6. Генеральний секретар Ради Європи повідомляє Державам -
членам Ради Європи, Європейським Співтовариствам та будь-якій
іншій Державі, яка приєдналася до цього Протоколу, про:

 

a) будь-яке підписання;

 

b) здачу на зберігання будь-якої ратифікаційної грамоти чи
будь-якого документа про прийняття або затвердження;

 

c) будь-яку дату набуття чинності цим Протоколом відповідно
до статті 3;

 

d) будь-яку іншу дію або повідомлення, які стосуються цього
Протоколу.

 

На посвідчення чого ті, що підписалися нижче, належним чином
на те вповноважені, підписали цей Протокол.

 

Учинено в Страсбурзі 8 листопада 2001 року англійською та
французькою мовами, причому обидва тексти є автентичними, в одному
примірнику, який зберігається в архівах Ради Європи. Генеральний
секретар Ради Європи надсилає засвідчені копії кожній Державі -
члену Ради Європи, Європейських Співтовариств та будь-якій
Державі, якій було запропоновано приєднатися до Конвенції
( 994_326 ).

 

 

Директива 95/46/ЄС Європейського Парламенту і Ради

"Про захист фізичних осіб при обробці персональних даних
і про вільне переміщення таких даних"
від 24 жовтня 1995 року


ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ і РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про заснування Європейського
Співтовариства ( 994_017 ) і, зокрема, його статтю 100a,

Беручи до уваги пропозицію Комісії (1),

Беручи до уваги висновок Економічного і Соціального Комітету
(2),

Діючи відповідно до процедури, викладеної в статті 189b
Договору ( 994_017 ) (3),

___________________
(1) OJ N C 277, 5. 1990, p. 3 і OJ N 311, 27. 11.1992, p. 30.

(2) OJ N 159, 17.6.1991, p. 38.

(3) Висновок Європейського Парламенту від 11 березня 1992 р.
(OJ N C 94, 13.4.1992, p. 198), ратифікований 2 грудня 1993 р. (OJ
N C 342, 20.12.1993, p. 30); Загальна позиція Ради від 20 лютого
1995 р. (OJ N C 93, 13. 4. 1995 р., p. I) і Рішення Європейського
Парламенту від 15 червня 1995 р. (OJ N C 166, 3.7.1995).

1. Враховуючи, що цілі Співтовариства, викладені в Договорі
( 994_017 ), з поправками, внесеними Договором про Європейський
Союз ( 994_029 ), полягають в створенні дедалі тіснішого союзу
серед народів Європи, заохоченні більш тісних відносин між
державами, що входять до Співтовариства, забезпеченні економічного
і соціального прогресу шляхом спільних дій, спрямованих на
усунення бар'єрів, що розділяють Європу, підтримку постійного
поліпшення умов життя його народів, збереження і зміцнення миру та
свободи, а також на розвиток демократії, яка базується на основних
правах, визнаних конституціями і законами держав-членів та
Європейською конвенцією про захист прав людини і основних свобод
( 995_004 );

2. Враховуючи, що системи обробки даних створені для служіння
людині; враховуючи, що вони, незалежно від національності чи місця
проживання фізичних осіб, повинні поважати їхні основні права і
свободи, особливо право на невтручання в особисте життя, і сприяти
економічному і соціальному прогресу, розширенню торгівлі і
добробуту людей;

3. Враховуючи, що створення і функціонування внутрішнього
ринку, у якому згідно зі статтею 7a Договору ( 994_017 )
гарантується вільне пересування товарів, осіб, послуг і капіталів,
вимагає не тільки можливості вільного переміщення персональних
даних з однієї держави-члена в іншу, але й захисту основних прав
людей;

4. Враховуючи дедалі частіше застосування обробки
персональних даних у Співтоваристві в різних сферах соціальної та
економічної діяльності; враховуючи, що прогрес, досягнутий у сфері
інформаційних технологій, значно полегшує обробку та обмін такими
даними;

5. Враховуючи, що економічна і соціальна інтеграція,
досягнута в результаті створення і функціонування внутрішнього
ринку в розумінні статті 7a Договору ( 994_017 ), неминуче
призведе до істотного збільшення транскордонних потоків
персональних даних між усіма тими, хто бере участь в економічному
і соціальному житті держав-членів, як в приватному, так і в
державному статусі; враховуючи, що обмін персональними даними між
підприємствами різних держав-членів має розвиватися; враховуючи,
що відповідно до права Співтовариства державні органи різних
держав-членів повинні співпрацювати й обмінюватися персональними
даними для того, щоб могти виконувати свої обов'язки і завдання
від імені органів влади в іншій державі-члені в контексті простору
без внутрішніх кордонів, який створюється внутрішнім ринком;

6. Враховуючи, крім того, що збільшення науково-технічного
співробітництва і узгоджене введення нових телекомунікаційних
мереж у Співтоваристві роблять необхідним і полегшують здійснення
транскордонних потоків персональних даних;

7. Враховуючи, що розходження в рівні захисту прав і свобод
фізичних осіб, що надають держави-члени, в особливості права на
невтручання в особисте життя, при обробці персональних даних, може
перешкоджати передачі таких даних з території однієї держави-члена
на територію іншої держави-члена; враховуючи, що такі розходження
до того ж можуть стати перешкодою в здійсненні певних видів
економічної діяльності на рівні Співтовариства, негативно
відбитися на конкуренції, перешкоджати владі у виконанні її
зобов'язань згідно з правом Співтовариства; враховуючи, що такі
розходження в рівні захисту викликані існуванням великої
різноманітності національних законів, постанов і адміністративних
положень;

8. Враховуючи, що для усунення перешкод на шляху передачі
персональних даних рівень захисту прав і свобод фізичних осіб при
обробці цих даних повинен бути однаковим у всіх державах-членах;
враховуючи, що ця мета, будучи життєво необхідною для внутрішнього
ринку, не може бути досягнута державами-членами поодинці, особливо
з урахуванням ступеня існуючих у даний час розходжень між
відповідним законодавством держав-членів і необхідністю узгодження
законів держав-членів для забезпечення єдиного підходу до
регулювання транскордонних потоків персональних даних, тобто,
дотримуючись цілей внутрішнього ринку, передбачених статтею 7a
Договору ( 994_017 ); враховуючи, що в зв'язку з цим необхідні дії
Співтовариства, спрямовані на зближення такого законодавства;

9. Враховуючи, що при рівному рівні захисту внаслідок
зближення національних законодавств держави-члени більше не
зможуть перешкоджати вільному пересуванню персональних даних між
собою, посилаючись на обмеження, пов'язані із захистом прав і
свобод фізичних осіб, а особливо права на невтручання в особисте
життя; враховуючи, що державам-членам буде наданий певний ступінь
свободи маневрування, який в контексті виконання Директиви може
також використовуватись діловими і соціальними партнерами;
враховуючи, що держави-члени в такий спосіб зможуть уточнити у
своєму національному законодавстві загальні умови, що регулюють
законність обробки даних; враховуючи, що при цьому держави-члени
будуть прагнути поліпшити систему захисту, передбачену в їхньому
законодавстві в даний час; враховуючи, що в межах певного ступеня
свободи маневрування та відповідно до права Співтовариства можуть
виникнути розбіжності в процесі здійснення Директиви, і це може
вплинути на пересування даних як у державі-члені, так і в
Співтоваристві;

10. Враховуючи, що метою національного законодавства про
обробку персональних даних є захист основних прав і свобод, а
особливо права на невтручання в особисте життя, що визнається як
статтею 8 Європейської конвенції про захист прав людини й основних
свобод ( 995_004 ), так і загальними принципами права
Співтовариства; враховуючи, що з цієї причини зближення згаданих
законодавств не повинне призвести до зниження рівня наданого ними
захисту, а навпаки, повинне прагнути забезпечити високий рівень
захисту в Співтоваристві;

11. Враховуючи, що принципи захисту прав і свобод фізичних
осіб, а особливо права на невтручання в приватне життя, викладені
в даній Директиві, уточнюють і посилюють принципи, викладені в
Конвенції Ради Європи від 28 січня 1981 року про захист фізичних
осіб при автоматизованій обробці персональних даних ( 994_326 );

12. Враховуючи, що принципи захисту повинні застосовуватися
до усіх випадків обробки персональних даних, здійснюваних
будь-якою особою, чия діяльність регулюється правом
Співтовариства; враховуючи, що ці принципи не поширюються на
обробку даних, створених фізичною особою в процесі діяльності
винятково особистого чи домашнього характеру, такої як
переписування і ведення адресних книг;

13. Враховуючи, що діяльність, згадана в Розділах V і VI
Договору про Європейський Союз ( 994_029 ), щодо суспільного
порядку, оборони, державної безпеки чи діяльності держави в сфері
кримінального законодавства, не входить до сфери дії права
Співтовариства, без шкоди для зобов'язань, покладених на
держави-члени згідно з параграфом 2 статті 56, статті 57 чи статті
100 Договору, що засновує Європейське Співтовариство ( 994_017 );
враховуючи, що обробка персональних даних, необхідна для захисту
економічного добробуту держави, не входить до сфери дії даної
Директиви, у випадках, коли така обробка пов'язана з питаннями
державної безпеки;

14. Враховуючи, що з урахуванням важливості розвитку
технологій, використовуваних для прийому, передачі, маніпуляцій,
реєстрації, збереженні чи повідомленні звукових і візуальних
даних, які стосуються фізичних осіб, який відбувається в
інформаційному суспільстві, дана Директива повинна застосовуватися
до обробки, що використовує такі дані;

15. Враховуючи, що обробка таких даних підпадає під дію даної
Директиви лише в тих випадках, коли обробка є автоматизованою або
коли оброблені дані розміщуються чи призначені для розміщення в
картотеках, структурованих за визначеними критеріями, що
стосуються фізичних осіб, таким чином, щоб забезпечити легкий
доступ до відповідних персональних даних;

16. Враховуючи, що обробка звукових і візуальних даних, таких
як, наприклад, відеоспостереження, не відноситися до сфери дії
даної Директиви, якщо вона проводиться з метою суспільного
порядку, оборони, державної безпеки чи в ході державної
діяльності, що відноситься до сфери кримінального права, чи іншої
діяльності, що не відноситися до сфери дії права Співтовариства;

17. Враховуючи, що до випадків, коли обробка звукових і
візуальних даних провадиться з метою журналістики чи з метою
літературної або художньої творчості, зокрема, в аудіовізуальній
області, принципи Директиви повинні застосовуватися з обмеженнями
відповідно до положень, викладених в статті 9;

18. Враховуючи, що для того, щоб уникнути втрати фізичною
особою захисту, на який вона має право згідно з даною Директивою,
будь-яка обробка персональних даних у Співтоваристві повинна
відбуватися відповідно до законодавства однієї з держав-членів;
враховуючи, що в зв'язку з цим обробка, здійснена в межах
юрисдикції контролера, створеного в державі-члені, повинна
регулюватися законодавством цієї держави;

19. Враховуючи, що створення такого органу на території
держави-члена передбачає ефективне і реальне ведення діяльності на
основі постійних домовленостей; враховуючи, що правова форма такої
установи, незалежно від того є воно простою філією чи
представництвом - суб'єктом права, не є вирішальним чинником у
цьому відношенні; враховуючи, що при створенні єдиного контролера
на території декількох держав-членів, зокрема, шляхом створення
представництв, для запобігання порушення національних правил, він
повинен забезпечити виконання своїми установами зобов'язань,
накладених на них національним законодавством, що застосовується
до його діяльності;

20. Враховуючи, що той факт, що обробка даних проводиться
особою, яка перебуває в третій країні, не повинен перешкоджати
захисту фізичних осіб, передбаченому даною Директивою; враховуючи,
що в таких випадках обробка даних повинна регулюватися законами
держави-члена, у якому розташовані використовувані засоби, і
повинні існувати гарантії для забезпечення дотримання на практиці
прав і обов'язків, передбачених даною Директивою;

21. Враховуючи, що дана Директива не завдає шкоди правилам
територіальності, застосовуваним у кримінальних справах;

22. Враховуючи, що держави-члени більш точно визначають у
законах, що приймаються, а також при здійсненні заходів на
виконання даної Директиви, загальні умови, при яких обробка даних
є законною; враховуючи, що, зокрема, стаття 5 у сполученні зі
статтями 7 і 8 дозволяє державам-членам незалежно від загальних
правил передбачати особливі умови обробки даних для певних
секторів і для різних категорій даних, зазначених у статті 8;

23. Враховуючи, що держави-члени уповноважені забезпечити
здійснення захисту фізичних осіб шляхом прийняття як загального
закону про захист фізичних осіб при обробці персональних даних,
так і галузевих законів, таких як ті, що стосуються, наприклад,
статистичних установ;

24. Враховуючи, що законодавство про захист юридичних осіб
при обробці даних, які їх стосуються, не зачіпається даною
Директивою;

25. Враховуючи, що принципи захисту повинні бути відображені,
з одного боку, у зобов'язаннях, що накладаються на осіб, на
державні органи влади, підприємства, агентства чи інші органи, які
відповідають за обробку, зокрема в тому, що стосується якості
даних, технічної безпеки, повідомлення наглядових органів, і
обставин, при яких може проводитися обробка, та, з іншого боку, у
праві, яким наділені фізичні особи, чиї дані підлягають обробці,
знати, що обробка дійсно проводиться, звертатися до даних,
вимагати внесення змін і навіть заперечувати проти обробки за
певних обставин;

26. Враховуючи, що принципи захисту повинні застосовуватися
до будь-якої інформації, яка стосується встановленої особи чи
особи, яку можна встановити; враховуючи, що для визначення того,
чи можна особу встановити, повинні враховуватися всі засоби,
використання яких контролером чи якою-небудь іншою особою імовірно
очікувати для встановлення вище згаданої особи; враховуючи, що
принципи захисту не застосовуються до даних, що надані анонімно
таким чином, що суб'єкт даних не може бути встановлений;
враховуючи, що кодекси поведінки в значенні статті 27 можуть бути
корисним знаряддям для забезпечення керівництва щодо способів
анонімного надання даних і їхнього збереження у формі, що
забезпечує неможливість встановлення особи суб'єкта даних;

27. Враховуючи, що захист фізичних осіб повинен
застосовуватися як до автоматизованої обробки даних, так і до
ручної обробки; враховуючи, що масштаби такого захисту не повинні
залежати від використовуваних методів, бо інакше це створить
серйозну загрозу обходу закону; враховуючи, що, незважаючи на це,
у тому що стосується ручної обробки, дана Директива охоплює тільки
картотеки даних, але не неструктуровані справи; враховуючи, що,
зокрема, вміст картотеки даних повинен бути структурований
відповідно до визначених критеріїв щодо фізичних осіб, що
забезпечувало б легкий доступ до персональних даних; враховуючи,
що, відповідно до визначення в статті 2 (c), різні критерії
визначення складових частин структурованої сукупності персональних
даних і різні критерії управління доступом до такої сукупності
можуть бути встановлені кожною державою-членом; враховуючи, що
справи чи зібрання справ, як і їхні титульні аркуші, що не
розроблені відповідно до визначених критеріїв, за жодних обставин
не входять до сфери дії даної Директиви;

28. Враховуючи, що будь-яка обробка персональних даних
повинна бути законною і справедливою по відношенню до фізичних
осіб, яких вона безпосередньо стосується; враховуючи, що, зокрема,
дані повинні бути достовірними, відповідними і не надмірними з
точки зору цілей, заради яких проводитися їхня обробка;
враховуючи, що ці цілі повинні бути чіткими і законними і повинні
бути визначені на час збору даних; враховуючи, що цілі обробки
даних, яка проводиться після збору даних, не повинні бути
несумісними із цілями, визначеними спочатку;

29. Враховуючи, що подальша обробка персональних даних в
історичних, статистичних чи наукових цілях не повинна розглядатися
як несумісна з цілями, заради яких дані були зібрані раніше, за
умови, що держави-члени забезпечать відповідні гарантії;
враховуючи, що ці гарантії повинні, зокрема, виключати
використання даних на підтримку заходів чи рішень відносно
будь-якої конкретної особи;

30. Враховуючи, що для забезпечення законності обробки
персональних даних, вона повинна, крім іншого, проводитися з
дозволу суб'єкта даних чи бути необхідною для укладання чи
виконання договору, обов'язкового для суб'єкта даних, або в якості
правової вимоги, або для виконання завдання, яке здійснюється в
інтересах суспільства чи при виконанні офіційних повноважень, або
в законних інтересах фізичної чи юридичної особи, за умови, що
враховуються інтереси чи права і свободи суб'єкта даних;
враховуючи, що, зокрема, для того, щоб зберегти рівновагу між
інтересами, які зачіпаються, в той же час гарантуючи ефективну
конкуренцію, держави-члени можуть визначити обставини, при яких
персональні дані можуть використовуватися чи надаватися третій
стороні в контексті законної звичайної ділової діяльності компаній
і інших органів; враховуючи, що держави-члени можуть аналогічним
чином визначити умови, за яких персональні дані можуть надаватися
третій стороні з метою маркетингу, здійснюваного або в комерційних
цілях, або благодійною організацією чи будь-якою іншою асоціацією
чи фондом, наприклад, політичного характеру, за умови дотримання
положень, що дозволяють суб'єкту даних безкоштовно і без
зазначення причин заперечувати проти обробки даних, які його
стосуються;

31. Враховуючи, що обробка персональних даних повинна
розглядатися також як законна, якщо вона проводитися з метою
захисту інтересу, який є надзвичайно важливим для життя суб'єкта
даних;

32. Враховуючи, що питання про те, чи повинен контролер, який
виконує завдання в інтересах суспільства чи при виконанні
офіційних повноважень, бути державним органом або іншою фізичною
чи юридичною особою, що регулюється публічним правом чи приватним
правом, такою як професійне об'єднання, повинне визначатися
національними законодавствами;

33. Враховуючи, що дані, які за своєю природою можуть
порушити основні свободи і таємницю приватного життя, не повинні
оброблятися доти, доки суб'єкт даних не дасть своєї згоди;
враховуючи, що, незважаючи на це, відступ від даної заборони
повинен бути чітко викладений з огляду на особливі потреби,
зокрема, якщо обробка цих даних проводиться у певних цілях,
пов'язаних із здоров'ям, особами, які зв'язані правовим
зобов'язанням зберігати професійну таємницю, або під час законної
діяльності певних асоціацій чи фондів, метою яких є дозволити
здійснення основних свобод;

34. Враховуючи, що держави-члени повинні бути також
уповноважені, якщо це виправдовується важливим суспільним
інтересом, відступати від заборони обробляти конфіденційні
категорії даних, якщо це пов'язано із суспільними інтересами в
таких сферах, як охорона суспільного здоров'я і соціальний захист,
особливо з метою гарантування якості і рентабельності процедур, що
використовуються під час врегулювання позовів про виплату допомоги
і надання послуг у системі страхування здоров'я, а також у сфері
наукових досліджень і урядової статистики; враховуючи, що,
незважаючи на це, вони зобов'язані забезпечувати особливі і
відповідні гарантії, спрямовані на захист основних прав і
приватного життя людей;

35. Враховуючи, що, крім того, обробка персональних даних,
яка здійснюється офіційними органами для досягнення цілей,
встановлених у конституційному праві чи в міжнародному публічному
праві, офіційно визнаних релігійних об'єднань здійснюється на
важливих підставах суспільного інтересу;

36. Враховуючи, що якщо в ході виборчої діяльності
функціонування демократичної системи в деяких державах-членах
вимагає від політичних партій збору даних про політичні погляди
людей, обробка таких даних може бути дозволена на важливих
підставах суспільного інтересу, за умови створення відповідних
гарантій;

37. Враховуючи, що обробка персональних даних для цілей
журналістики чи художньої або літературної творчості, зокрема, в
аудіовізуальному секторі, повинна підлягати звільненню від вимог,
викладених у деяких положеннях даної Директиви, у тій мірі, у якій
це необхідно для узгодження основних прав людини зі свободою
інформації і особливо з правом одержувати і передавати інформацію,
яке гарантується, передусім, статтею 10 Європейської конвенції про
захист прав людини й основних свобод ( 995_004 ); враховуючи, що,
виходячи з цього, держави-члени повинні визначити винятки і
відступи, необхідні для досягнення балансу між основними правами в
тому, що стосується загальних заходів щодо законності обробки
даних, заходів для передачі даних третім країнам і повноважень
наглядового органу; враховуючи, однак, що це не повинно призвести
до того, що держави-члени встановлять винятки відносно заходів із
забезпечення безпеки обробки; враховуючи, що, принаймні,
наглядовий орган, відповідальний за цю галузь, повинен також бути
наділений певними апостеріорними повноваженнями, наприклад,
видавати регулярний звіт чи передавати справи судовим органам;

38. Враховуючи, що для того, щоб обробка даних була
справедливою, суб'єкт даних повинен могти взнати про існування
факту обробки і, якщо дані отримані від нього, повинен одержати
точну і повну інформацію з урахуванням обставин збору даних;

39. Враховуючи, що деякі випадки обробки стосуються даних,
які контролер одержав не від суб'єкта даних безпосередньо;
враховуючи, крім того, що дані можуть бути відкриті законним
шляхом третій стороні, навіть якщо це не було передбачено під час
збору даних у суб'єкта даних; враховуючи, що у всіх цих випадках
суб'єкт даних повинен бути проінформований про це тоді, коли дані
записуються чи пізніше, коли вони вперше розкриваються третій
стороні;

40. Враховуючи, однак, що дане зобов'язання не обов'язково
накладати, якщо суб'єкт даних вже має необхідну інформацію;
враховуючи, що; крім того, дане зобов'язання не накладається, якщо
запис чи розкриття третій стороні будуть чітко передбачені законом
або якщо надання інформації суб'єкту даних виявиться неможливим чи
зажадає непропорційних зусиль, що може відбутися у випадку, коли
обробка даних проводитися в історичних, статистичних чи наукових
цілях; враховуючи, що при цьому може враховуватися число суб'єктів
даних, вік даних і будь-які затверджені компенсаційні заходи;

41. Враховуючи, що будь-яка особа повинна мати можливість
використати право доступу до даних, які стосуються її і
перебувають в обробці, з метою їхньої перевірки, особливо
перевірки точності і законності обробки; враховуючи, що з тих же
причин кожен суб'єкт даних повинен також мати право знати логіку,
застосовувану при автоматизованій обробці даних, які його
стосуються, принаймні у випадку з автоматизованими рішеннями, про
які йде мова в пункті 1 статті 15; враховуючи, що це право не
повинне негативно впливати на торгові секрети чи інтелектуальну
власність і, зокрема, на авторське право, що захищає програмне
забезпечення; враховуючи, що, незважаючи на це, врахування цих
факторів не повинне призвести до відмови суб'єкту даних у наданні
всієї інформації;

42. Враховуючи, що держави-члени можуть в інтересах суб'єкта
даних чи з метою захисту прав і свобод інших осіб обмежити права
на доступ і на інформування; враховуючи, що вони, наприклад,
можуть прийняти рішення, що доступ до медичних даних може бути
отриманий тільки через медичного працівника;

43. Враховуючи, що обмеження прав на доступ і інформування та
обмеження деяких інших зобов'язань контролера можуть подібним
чином бути встановлені державами-членами в тій мірі, у якій вони
необхідні для захисту, наприклад, національної безпеки, оборони,
суспільної безпеки чи важливих економічних і фінансових інтересів
держави-члена чи Союзу, а також у карних розслідуваннях,
переслідуваннях і діях у зв'язку з порушенням етики встановлених
професій; враховуючи, що перелік винятків і обмежень повинен
включати задачі моніторингу, інспекції чи регулювання, що
необхідні в трьох останніх із згаданих сфер відносно суспільної
безпеки, економічних чи фінансових інтересів і попередження
злочинності; враховуючи, що перерахування задач у цих трьох сферах
не впливає на законність винятків чи обмежень, встановлених із
причин державної безпеки чи оборони;

44. Враховуючи, що держави-члени можуть бути змушені, на
підставі положень права Співтовариства, відступати від положень
даної Директиви в тому, що стосується права доступу, зобов'язання
інформувати фізичних осіб, якості даних; з метою виконання деяких
із вищезгаданих цілей;

45. Враховуючи, що у випадках, коли дані можуть оброблятися
законним шляхом на підставі суспільного інтересу, офіційних
повноважень чи законних інтересів фізичної або юридичної особи,
будь-який суб'єкт даних повинен, незважаючи на це, мати право на
законних і незаперечних підставах, що стосуються його конкретної
ситуації, опротестувати обробку будь-яких даних, які його
стосуються; враховуючи, що, незважаючи на це, держави-члени можуть
передбачити протилежні національні положення;

46. Враховуючи, що захист прав і свобод суб'єктів даних при
обробці персональних даних вимагає прийняття відповідних технічних
й організаційних заходів як при розробці системи обробки, так і
під час самої обробки, зокрема для забезпечення безпеки і, таким
чином, запобігання будь-якій незаконній обробці; враховуючи, що
держави-члени повинні забезпечити дотримання контролерами таких
заходів; враховуючи, що ці заходи повинні забезпечити відповідний
рівень безпеки, з огляду на існуюче положення речей і вартість
їхньої реалізації з врахуванням пов'язаного з обробкою ризику і
характеру даних, що підлягають захисту;

47. Враховуючи, що, якщо повідомлення, що містить персональні
дані, передається за допомогою телекомунікацій чи електронної
пошти, єдиною метою яких є передача таких повідомлень, контролером
у відношенні персональних даних, які містяться в повідомленні,
буде вважатися особа, від якої виходить це повідомлення, а не
особа, що надає послуги з передачі повідомлень; враховуючи, що,
незважаючи на це, особи, що надають ці послуги, будуть, як
правило, вважатися контролерами стосовно обробки додаткових
персональних даних, необхідних для надання цієї послуги;

48. Враховуючи, що процедури повідомлення наглядового органу
покликані забезпечити розкриття цілей і основних принципів
будь-якого процесу обробки для перевірки того, що процес
здійснюється відповідно до національних заходів, прийнятих
відповідно до даної Директиви;

49. Враховуючи, що для того, щоб уникнути непотрібних
адміністративних формальностей, звільнення від зобов'язання
повідомляти і спрощення необхідного повідомлення можуть бути
передбачені державами-членами у випадках, коли обробка навряд чи
може завдати шкоди правам і свободам суб'єктів даних, і за умови,
що вона проводиться відповідно до прийнятої державою-членом міри,
що визначає її рамки; враховуючи, що звільнення чи спрощення
можуть бути передбачені державами-членами за умови, що особа,
призначена контролером, гарантує, що здійснена обробка даних
навряд чи може завдати шкоди правам і свободам суб'єктів даних;
враховуючи, що такий службовець із захисту даних незалежно від
того, чи є він співробітником інституту контролера чи ні, повинен
мати можливість виконувати свої функцій абсолютно незалежно;

50. Враховуючи, що звільнення чи спрощення може бути
передбачене у випадках із процесами обробки, єдиною метою яких є
ведення реєстру, що відповідно до національного законодавства,
призначений для надання інформації населенню і є відкритим для
звертань населення чи будь-якої особи, що демонструє законний
інтерес;

51. Враховуючи, що, незважаючи на це, спрощення чи звільнення
від зобов'язання повідомляти не звільняє контролера від жодних
інших зобов'язань, що випливають з даної Директиви;

52. Враховуючи, що в цьому контексті апостеріорна перевірка
компетентними органами в цілому повинна розглядатися як достатній
захід;

53. Враховуючи, що, незважаючи на це, при деяких процесах
обробки існує імовірність певних ризиків для прав і свобод
суб'єктів даних в силу їхньої природи, їхнього обсягу чи їхніх
цілей, як, наприклад, позбавлення фізичних осіб права, допомоги чи
контракту, або через особливе використання нових технологій;
враховуючи, що держави-члени за власним бажанням визначають ці
ризики у своєму законодавстві;

54. Враховуючи, що з врахуванням всіх процесів обробки, які
здійснюються в суспільстві, кількість процесів, які створюють
такий особливий ризик, повинна бути обмеженою; враховуючи, що
держави-члени повинні передбачити, що наглядовий орган чи
службовець із захисту даних разом з органом перевіряють таку
обробку до її виконання; враховуючи, що після проведення такої
попередньої перевірки наглядовий орган у відповідності із своїм
національним законодавством дає свій висновок чи дозвіл на
здійснення обробки; враховуючи, що така перевірка може в однаковій
мірі відбуватися в ході підготовки або законодавчого заходу
національного парламенту, або заходу, що базується на такому
законодавчому заході, що визначає природу обробки і встановлює
відповідні гарантії;

55. Враховуючи, що у випадку порушення контролером прав
суб'єктів даних, національне законодавство повинне передбачити
судовий спосіб захисту; враховуючи, що будь-яка шкода, що може
бути завдана людині в результаті незаконної обробки даних, повинна
відшкодовуватися контролером, який може бути звільнений від
відповідальності, якщо доведе, що він не є відповідальним за цю
шкоду, зокрема у випадках, коли він встановлює наявність провини
суб'єкта даних чи за форс-мажорних обставин; враховуючи, що
санкції повинні застосовуватися до будь-якої особи, незалежно від
того, керуються вони приватним чи публічним правом, якщо вона не
виконує національних заходів, прийнятих відповідно до даної
Директиви;

56. Враховуючи, що транскордонні потоки персональних даних
необхідні для розширення міжнародної торгівлі; враховуючи, що
захист фізичних осіб, гарантований у Співтоваристві даною
Директивою, не перешкоджає передачі персональних даних третім
країнам, що забезпечують адекватний рівень захисту; враховуючи, що
адекватність рівня захисту, наданого третіми країнами, повинна
оцінюватися у світлі всіх обставин, пов'язаних із процесом
передачі чи сукупністю процесів передачі;

57. Враховуючи, що з одного боку, передача персональних даних
третій країні, що не забезпечує адекватний рівень захисту, повинна
бути заборонена;

58. Враховуючи, що повинні бути прийняті положення, які
передбачають винятки з такої заборони при визначених обставинах:
коли суб'єкт даних дав свою згоду, коли передача даних необхідна
для контракту чи права вимоги, коли того вимагає захист важливого
суспільного інтересу, наприклад, у випадках міжнародної передачі
даних між податковими і митними органами чи між службами, що
відповідають за питання соціального забезпечення, або коли
передача даних здійснюється з реєстру, що створений відповідно до
закону і призначений для консультацій населення чи осіб, що мають
законний інтерес; враховуючи, що в цьому випадку така передача
даних не повинна включати всі дані чи всі категорії даних, що
містяться в реєстрі, і оскільки реєстр призначений для звертання
осіб, що мають законний інтерес, передача даних повинна
здійснюватися тільки на прохання цих осіб чи у випадку, якщо вони
будуть одержувачами даних;

59. Враховуючи, що можуть бути застосовані особливі заходи,
спрямовані на компенсацію відсутності захисту в третій країні, у
випадках, коли контролер пропонує відповідні гарантії; враховуючи,
що, крім того, повинні бути передбачені положення відносно порядку
переговорів між Співтовариством і такими третіми країнами;

60. Враховуючи, що, в будь-якому випадку, передача даних
третій країні може здійснюватися тільки в повній відповідності до
положеннь, прийнятих державами-членами відповідно до даної
Директиви, зокрема, її статті 8;

61. Враховуючи, що держави-члени і Комісія в межах своїх
повноважень повинні заохочувати профспілкові об'єднання та інші
зацікавлені представницькі організації до складання кодексів
поведінки для того, щоб сприяти в застосуванні даної Директиви,
беручи до уваги особливі характеристики обробки даних, що
проводиться у визначених галузях, і дотримуючись національних
положень, прийнятих з метою виконання даної Директиви;

62. Враховуючи, що створення в державах-членах наглядових
органів, що наділені повною незалежністю у виконанні своїх
функцій, є істотним елементом захисту фізичних осіб при обробці
персональних даних;

63. Враховуючи, що такі органи повинні мати необхідні засоби
для виконання своїх обов'язків, включаючи повноваження із
розслідування і втручання, зокрема у випадках скарг фізичних осіб,
і повноваження брати участь у судових розглядах; враховуючи, що
такі органи повинні сприяти забезпеченню прозорості обробки в
державах-членах, до юрисдикції яких вони належать;

64. Враховуючи, що органи влади різних держав-членів повинні
допомагати одна одній у виконанні своїх обов'язків для того, щоб
забезпечити дотримання правил захисту на належному рівні на всій
території Європейського Союзу;

65. Враховуючи, що на рівні Співтовариства повинна бути
створена Робоча група із захисту фізичних осіб при обробці даних,
що буде абсолютно незалежною у виконанні своїх функцій;
враховуючи, що беручи до уваги її особливий характер, вона повинна
давати консультувати Комісію і, зокрема сприяти однаковому
застосуванню національних правил, прийнятих відповідно до даної
Директиви;

66. Враховуючи, що в питаннях передачі даних третім країнам
застосування даної Директиви робить необхідним надання Комісії
виконавчих повноважень і встановлення процедури, передбаченої
Рішенням Ради 87/373/ЄЕС (4);

___________________
(4) OJ N L 197, 18.7.1987, p. 33.

 

67. Враховуючи, що 20 грудня 1994 року було досягнуто
тимчасової згоди між Європейським Парламентом, Радою та Комісією
про заходи із виконання актів, прийнятих відповідно до процедури,
викладеної в статті 189b Договору ЄС ( 994_029 );