© Державна наукова установа “Інститут інформації, безпеки і права Національної академії правових наук України”, 2021
Ми будемо Вам вдячні, якщо при використанні матеріалів сайту Ви зробите посилання на сайт ДНУ ІІБП НАПрН України.
В і д р е д а к ц і й н о ї к о л е г і ї
Неофіційний переклад
Постанова
Ради Європейського Союзу № 2008/977/JHA від 27.11. 2008 року
“Про захист персональних даних в рамках поліцейського та судового співробітництва у кримінальних справах”
Рада Європейського Союзу –
Беручи до уваги Договір про Європейський Союз, і зокрема його Статті 30, 31 і 34(2)(b),
Беручи до уваги пропозиції Комісії Європейського Союзу,
Беручи до уваги позицію Європейського Парламенту, оскільки:
(1) Європейський Союз має мету збереження та розвиток Союзу як зони свободи, безпеки та правосуддя, в якій забезпечується високий рівень безпеки шляхом здійснення спільних дій держав-членів в галузі поліцейського і судового співробітництва у кримінальних справах;
(2) Поліцейське відповідно до Статті 30 (1) (b) і судове співробітництво у кримінальних справах відповідно до Статті 31 (1) (а) Договору про Європейський Союз передбачає здійснення обробки даних з урахуванням положень про захист персональних даних;
(3) Законодавство, на яке розповсюджується дія Розділу VI Договору про Європейський Союз, повинно сприяти поліцейській та судовій співпраці, а також законності і дотриманню прав на недоторканність приватного життя і захисту персональних даних;
(4) Гаазька програма про зміцнення свободи, безпеки та правосуддя в Європейському Союзі, прийнята Радою Європи 4 листопада 2004 року, підкреслила необхідність інноваційного підходу до транскордонного обміну правоохоронної інформацією з дотриманням суворого нагляду за ключовими умовами в області захисту даних. Це знайшло своє відображення в Плані дій Ради та Комісії, що був покликаний реалізувати Гаазьку програму;
(5) Документів на європейському рівні щодо галузі кримінального права не достатньо. Директива 95/46/ЄС від 24 жовтня 1995 року “Про захист осіб у зв’язку з обробкою персональних даних і вільним обігом цих даних” не застосовується в рамках діяльності, яка передбачена Розділом VI Договору про Європейський Союз щодо галузі кримінального права;
(6) Ця Рамкова постанова відноситься тільки до даних, зібраних компетентними органами з метою запобігання, розслідування і виявлення кримінальних злочинів чи виконання кримінальних покарань. Ця Рамкова постанова не обмежує права держав-членів більш точно визначати на національному рівні цілі використання персональних даних для яких вони були вперше зібрані. Обробка даних для історичних, статистичних або наукових цілей не повинно розглядатися як несумісна з первинною метою обробка даних;
(7) Область дії цієї Рамкової постанови обмежується обробкою персональних даних, що передаються між державами членами.
(8) Держави-члени мають забезпечити на національному рівні такий захист даних, щоб він відповідав положенням цієї Рамкової постанови. Ця постанова не перешкоджає державам-членам забезпечувати вищий, ніж передбачений нею рівень захисту персональних даних;
(9) Ця Рамкова постанова не застосовується до персональних даних, отриманих державами-членами або створених в них, про які в ній не йде мова;
(10) Законодавство держав-членів не повинно бути приводом для зменшення рівня захисту даних, а навпаки, має забезпечувати високий рівень такого захисту в рамках Союзу;
(11) В рамках поліцейської та судової діяльності необхідно визначити мету захисту персональних даних, а також встановлювати правила їх обробки, згідно з якими дані, якими обмінюються сторони, були оброблені згідно з принципами щодо їх якості. Законна діяльність поліції, митних, судових та інших компетентних органів не повинна бути під загрозою;
(12) Принцип точності даних має застосовуватися з урахуванням змісту і мети їх обробки. Наприклад, під час судового розгляду інформація базується на суб’єктивному сприйнятті індивідів. Отже, вимога про точність даних не є тотожним щодо точності заяви, а стосується лише факту, що конкретна заява була зроблена;
(13) Якщо персональні дані більше не потрібні для запобігання, розслідування і виявлення кримінальних злочинів або виконання кримінальних покарань то вони зберігаються як окремий набір даних. Зберігання в базі даних окремого набору даних з іншими даними може бути припустимим, якщо вони захищені від доступу. Період зберігання залежить від цілей зберігання і законних інтересів суб’єктів цих даних. Для зберігання даних в історичних цілях може бути передбачений довгий період;
(14) Дані можуть бути вилучені шляхом знищення носія даних;
(15) Що стосується неточної, неповної інформації або застарілої інформації, що передана чи стає доступною іншій державі-члену і у подальшому оброблена органами, що вповноважені приймати юридично зобов’язуючі рішення, її знищення або блокування має здійснюватися відповідно до національного законодавства;
(16) Забезпечення високого рівня захисту персональних даних фізичних осіб вимагає загальних положень для визначення законності і якості даних, що обробляються компетентними органами в інших державах-членах;
(17) На європейському рівні необхідно встановити умови, при яких компетентні органи держав-членів матимуть можливість передавати і надавати владі і приватним особам держав-членів персональні дані, отримані від інших держав-членів. Передача приватним особам персональних даних органами юрисдикції, поліцією або митними органами необхідна для судового розслідування злочинів або для запобігання загрозі суспільній безпеці, або для запобігання збитків правам фізичних осіб, наприклад, шляхом публікації застережень про підробку цінних паперів у банках та кредитних установах, або в області злочинності в транспортних засобах, повідомляючи персональні дані страховим компаніям з метою запобігання незаконного обігу викрадених транспортних засобах, або з метою поліпшення умов для повернення викрадених автотранспортних засобів з закордону. Це не стосується передачі поліцейських або судових спав приватним особам;
(18) Правила Рамкової постанови про передачу судовими органами, поліцією або митними органами персональних даних не застосовуються для передачі даних приватним особам (наприклад, адвокатам і потерпілим) в рамках кримінального судочинства;
(19) Подальша обробка персональних даних, отриманих від компетентного органу іншої держави-члена, зокрема, передача або надання доступу до таких даних, повинна регулюватися загальними правилами на європейському рівні;
(20) Якщо персональні дані можуть бути додатково оброблені після того як держава-член, від якої ці дані були отримані, надала своє погодження, кожна держава-член повинна мати можливість визначати умови такого погодження, у тому числі, наприклад, шляхом загальної згоди для категорій інформації або категорії подальшої обробки;
(21) Персональні дані, призначені для обробки в адміністративних цілях, могуть надаватися наглядовим органам;
(22) Від поліції, митних, судових та інших компетентних органів на рівні законодавства може вимагатися щоб дані відправлялися лише до тих органів влади в третіх державах або до міжнародних органів, які мають зобов’язання запобігати, розслідувати і виявляти кримінальні злочини або виконувати кримінальні покарання;
(23) Там, де персональні дані передаються державами-членами третім державам або міжнародним установам, ці дані повинні, в принципі, отримати адекватний рівень захисту;
(24) Коли персональні дані передаються державами-членами третім державам або міжнародним установам, така передача, як правило, повинна відбуватися тільки після того, як держава-член, від якої були отримані дані, дала свою згоду на таку передачу. Кожна держава-член повинна мати можливість визначати умови такої згоди, у тому числі, наприклад, шляхом загальної згоди для різновидів інформації або для різновидів подальшої обробки;
(25) З метою ефективної співпраці між правоохоронними органами, у випадку, коли характер загрози для суспільної безпеки держав-членів або третіх держав вимагає настільки невідкладних дій, що не дає можливості отримати попереднє погодження вчасно, компетентний орган повинен мати змогу передавати відповідні персональні дані третім державам без такого попереднього погодження. Цей принцип може застосовуватися, коли під загрозою знаходяться інтереси держав-членів еквівалентної значущості, наприклад, у разі, коли потенційно небезпечний об’єкт в державі-члені є предметом безпосередньої і серйозної загрозою, або коли може бути серйозно порушена фінансова система держави-члена;
(26) З метою забезпечення суб’єктів даних ефективним правовим захистом може виникнути необхідність проінформувати суб’єктів щодо використання їх даних, зокрема у випадках, коли відбулося серйозне зазіхання на їх права у результаті заходів по збору даних;
(27) Держави-члени повинні забезпечити, щоб суб'єкт даних був проінформований про те, що персональні дані можуть або вже збираються, обробляються і передаються іншій державі-члену. Порядок реалізації права суб’єкта даних бути проінформованим, а також і виключень з нього, має бути визначений в національному законодавстві. Це порядок може мати загальну форму, наприклад, у вигляді публікації переліку операцій з обробки;
(28) З метою забезпечення захисту персональних даних необхідно визначити права суб'єкта даних не ставлячи під загрозу інтереси кримінальних розслідувань;
(29) Деякі держави-члени надають право доступу суб’єкту до персональних даних через систему національного наглядового органу. При такому доступі в законодавстві цих держав-членів може бути передбачено, що національний наглядовий орган буде інформувати суб’єкта даних тільки про те, що всі необхідні зміни мали місце. Однак, в таких випадках, як доступ до судових записів з метою отримання копії довідки про власну судимість чи документа, що відноситься до власних слухань в поліції, держави-члени надають суб’єктам даних можливість прямого доступу;
(30) Необхідно встановити загальні правила про відповідальність і покарання за незаконне використання даних компетентними органами і судовий захист, доступний суб’єктам даних. Кожна держава-член має визначити суть своїх правил про правопорушення і покарання, які застосовуються при порушенні внутрішніх положень про захист персональних даних;
(31) Ця Рамкова постанова допускає принцип доступу громадськості до офіційних документів, який має бути прийнятий до уваги при впровадженні її принципів;
(32) У разі потреби обробки персональних даних, яка має специфічні ризики порушення основних прав і свобод, наприклад, обробка за допомогою нових технологій, механізмів і процедур, необхідно забезпечити, щоб компетентні національні наглядові органи проводили консультації до встановлення нових систем обробки;
(33) Створення в державах-членах наглядових органів, що здійснюють свої функції в умовах повної незалежності, є найважливішим компонентом захисту персональних даних, що обробляються в рамках поліцейського і судового співробітництва між державами-членами;
(34) Наглядові органи, що створені в державах-членах відповідно до Директиви 95/46/ЄC, повинні взяти на себе відповідальність за виконання положень цієї Рамкової постанови;
(35) Наглядові органи повинні мати у своєму розпорядженні необхідні засоби для виконання своїх обов’язків, у тому числі у вигляді повноважень проводити розслідування і втручання (особливо в разі надходження скарг від фізичних осіб), або брати участь у судових розглядах. Ці наглядові органи повинні допомагати забезпечувати прозорість обробки даних в державі-члені, під юрисдикцією якої вони знаходяться. Їх повноваження не повинні впливати на конкретні норми кримінального переслідування або незалежності судової влади;
(36) Ця Рамкова постанова не впливає на захист персональних даних, передбачений Директивою 95/46/ЄС “Про захист осіб у зв’язку з обробкою персональних даних і вільним обігом цих даних” і в Директиві 2002/58/ЄС від 12 липня 2002 “Про обробку персональних даних та захист таємниці у секторі телекомунікацій”;
(37) Ця Рамкова постанова має застосовуватися з урахуванням положень Рамкової постанови Ради Європейського Союзу № 2005/222/JHA від 24 лютого 2005 року “Про заходи у зв’язку з нападами на інформаційні системи”;
(38) Ця Рамкова постанова має застосовуватися без шкоди існуючим зобов’язанням держав-членів Союзу на підставі двосторонніх і/або багатосторонніх угод з третіми державами.
(39) Ця Рамкова постанова не повинна впливати на положення про захист даних щодо функціонування Європолу, Євроюсту, Шенгенської і митної інформаційних систем, а також в тих, що забезпечуються прямий доступ держав-членів до певних інформаційних систем інших держав-членів. Те ж саме стосується положень про захист даних, що регулюють автоматизовану передачу між державами-членами даних щодо профілів ДНК*, дактилоскопічних даних і даних національної реєстрації транспортного засобу відповідно до Постанови Ради № 2008/615/JHA від 23 червня 2008 року “Про посилення транскордонного співробітництва у зв’язку з боротьбою з тероризмом і транскордонною злочинністю”;
(40) В інших випадках положення актів про захист даних, прийнятих на підставі Розділу VI Договору про Європейський Союз, встановлюють державам-членам, які отримують персональні дані від інших держав-членів особливі умови стосовно цілей використання цих даних. Щодо інших аспектів захисту даних застосовуються положення Конвенції Ради Європи від 28 січня 1981 “Про захист осіб у зв’язку з автоматизованою обробкою персональних даних”. Коли положення цих актів встановлюють умови отримання державами-членами інших персональних даних, ніж ті, які містяться у відповідних положення цієї Рамкової постанови, старі положення повинні залишитися незмінними;
(41) Ця Рамкова постанова не впливає на Конвенцію Ради Європи “Про захист осіб у зв’язку з автоматизованою обробкою персональних даних”, Додатковий протокол до цієї Конвенції від 8 листопада 2001 року та на Конвенцію Ради Європи “Про судове співробітництво у кримінальних справах”;
Прийняла цю рамкову постанову:
Стаття 1. Цілі та область застосування
1. Метою цієї Рамкової постанови є забезпечення високого рівня захисту основних прав і свобод фізичних осіб, що передбачені розділом VI Договору про Європейський Союз, і зокрема їх права на недоторканність приватного життя в рамках поліцейського і судового співробітництва у кримінальних справах, гарантуючи при цьому високий рівень суспільної безпеки.
2. Держави-члени повинні захищати права і свободи фізичних осіб, і зокрема їх право на недоторканність приватного життя, якщо з метою запобігання, розслідування і виявлення кримінальних злочинів і виконання кримінальних покарань персональні дані:
(а) передаються або були передані, або надані державам-членам;
(b) передаються або були передані, або надані державами-членами органам або інформаційним системам, створеним на основі розділу VI Договору про Європейський Союз; або
(с) передаються, або були передані, або надані компетентним органам держав-членів компетентними органами або інформаційними системами, створеними на основі Договору про Європейський Союз і Договору про заснування Європейського Співтовариства.
3. Ця Рамкова постанова застосовується для процесу обробки персональних даних повністю або частково за допомогою автоматичних засобів або іншим чином, які є частиною системи реєстрації даних або які планується використати у якості частини системи реєстрації даних.
4. Ця Рамкова постанова застосовується без шкоди для основних національних інтересів безпеки і розвідувальної діяльності у сфері національної безпеки.
5. Ця Рамкова постанова не повинна перешкоджати державам-членам забезпечувати вищий рівень захисту персональних даних, ніж передбачений цією Рамковою постановою.
Стаття 2. Визначення
Для цілей цієї Рамкової постанови:
(а) “персональні дані” означають будь-яку інформацію, що стосується ідентифікованої фізичної особи (“суб’єкта даних”); ідентифікована особа – це особа, яку можливо ідентифікувати, прямо чи опосередковано, зокрема за допомогою ідентифікаційного номера або за допомогою одного або більше факторів, які є специфічними з точки зору її фізичної, фізіологічної, психічної, економічної, культурної чи соціальної ідентичності;
(b) “обробка персональних даних” і “обробка” – будь-яка операція або набір операцій, які здійснюються на основі персональних даних, за допомогою або без автоматичних засобів, такі, як збір, запис, формування, зберігання, адаптація чи зміна, вилучення, використання, розкриття шляхом розповсюдження чи надання, групування, блокування, знищення;
(с) “блокування” – маркування персональних даних, що зберігаються, з метою обмеження їх обробки в майбутньому;
(d) “системи реєстрації персональних даних” – будь-який структурований набір персональних даних, які є доступні для перегляду у відповідності з конкретними критеріями або доступні повністю, частково чи розділено за функціональною або географічною ознакою;
(е) “процесор” – будь-який об’єкт, який обробляє персональні дані від імені контролера;
(f) “одержувач” – будь-який орган, якому розкриваються дані;
(g) “згода суб’єкта даних” – будь-яке вільно надане незаперечне підтвердження згоди суб’єкта даних на використання його персональних даних;
(h) “компетентні органи” – установи або органи, засновані згідно з юридичними актами, прийнятими Радою відповідно до Розділу VI Договору про Європейський Союз, а також поліція, митні, судові та інші органи держав-членів, які уповноважені згідно з національним законодавством обробляти персональні дані в рамках цієї Рамкової постанови;
(i) “контролер” – фізична чи юридична особа, державні органи чи будь-які інші органи, якій самостійно або спільно з іншими визначають цілі і засоби обробки персональних даних;
(j) “посилання” – маркування персональних даних, що зберігаються, без обмеження їх обробки в майбутньому;
(k) “робити анонімним” – змінити персональні дані таким чином, щоб деталі особистого чи матеріальне становища не могли більше бути розпізнаними або тільки за умов використання нераціонально великих витрат часу, ресурсів та праці для їх отримання.
Стаття 3. Принципи законності, пропорційності та цілі
1. Персональні дані можуть бути зібрані компетентними органами лише для конкретних, чітко сформульованих і законних цілей в рамках своїх завдань і можуть бути оброблені тільки для тих же цілей, для яких були зібрані. Обробка даних повинна бути законною і адекватною, а не надмірною по відношенню до цілей, для яких вони були зібрані.
2. Допускається подальша обробка даних для інших цілей якщо:
(а) така обробка не суперечить цілям, для яких вони були зібрані;
(b) компетентні органи мають право застосовувати такі дані для таких інших цілей у відповідності з діючими правовими положеннями; та
(с) обробка є необхідною і відповідає цим іншим цілям.
Компетентні органи можуть також в подальшому обробляти передані персональні дані для історичних, статистичних або наукових цілей, за умов, що держави-члени нададуть відповідні гарантії, що такі дані залишаться анонімними.
Стаття 4. Виправлення, знищення і блокування
1. Персональні дані повинні бути виправлені, якщо вони є неточними, і, де це можливо і необхідно, завершені або оновлені.
2. Персональні дані повинні бути знищені або залишатися анонімними, якщо вони більше не потрібні для цілей, для яких вони були зібрані чи у подальшому оброблені на законних підставах. Цей пункт не повинен впливати на процес архівування даних в окремий набір даних за відповідний період відповідно до національного законодавства.
3. Персональні дані повинні бути заблоковані, а не знищенні, якщо існують достатні підстави вважати, що знищення може вплинути на законі інтереси суб’єкта даних. Заблоковані дані повинні оброблятися тільки з метою, для якої їх не було видалено.
4. Коли персональні дані містяться в судових рішеннях або записах, пов’язаних з видачею судового рішення, їх знищення або блокування здійснюється у відповідності з національними правилами про судовий розгляд.
Стаття 5. Встановлення тимчасових рамок для знищення і перегляду
Для знищення персональних даних або для періодичного перегляду встановлюються певні граничні терміни. Дотримання цих термінів повинні забезпечувати певні процедури.
Стаття 6. Обробка особливих даних
Обробка персональних даних щодо расового або етнічного походження, політичних поглядів, релігійних чи філософських переконань, або профспілкового членства та обробка даних, що стосуються здоров’я або статевого життя, повинна бути дозволена тільки тоді, коли це абсолютно необхідно і коли національне законодавство забезпечує достатні гарантії захисту.
Стаття 7. Автоматизовані індивідуальні рішення
Рішення, що призводить до несприятливих юридичних наслідків для суб’єктів персональних даних і яке отримано виключно шляхом автоматизованої їх обробки, дозволяється тільки, якщо це дозволено законом, який встановлює законодавчі міри захисту інтересів суб'єкта даних.
Стаття 8. Перевірка якості даних, які передаються або стають доступними
1. Компетентні органи повинні вживати всіх розумних заходів, щоб забезпечити, що неточні, неповні персональні дані або дані не на відповідну дату не передавалися або не надавалися. З цією метою компетентні органи повинні, наскільки це можливо, перевірити якість персональних даних, перш ніж вони будуть передані або надані. Під час кожної передачі даних повинна бути надана наявна інформація, яка дозволить державі-члену, що отримує ці дані, оцінити ступінь точності, повноти, актуальність і надійність даних. Якщо персональні дані були передані без запиту, установа, що їх отримала, повинна перевірити без затримки, чи ці дані необхідні для мети, для якої вони були передані.
2. Необхідно без затримки повідомити одержувача у випадку, якщо з’ясується, що були передані неправильні дані або вони незаконно передані. У відповідності до Статті 4 таки дані повинні бути виправлені, знищені або заблоковані без затримки.
Стаття 9. Граничні терміни
1. Після передачі даних сторона, що передає дані, може відповідно до національного законодавства і Статей 4 та 5 встановити термін їх зберігання, після закінчення якого одержувач має знищити або заблокувати дані, або перевірити, чи вони необхідні. Це зобов'язання не застосовується, якщо на момент закінчення цього терміну, дані стають необхідними для поточних розслідувань, переслідування за кримінальні злочини або виконання кримінальних покарань.
2. Коли сторона, що передає дані, не встановлює термінів, відповідно до пункту 1 повинні застосовуватися терміни для зберігання даних, передбачені національним законодавством приймаючої держави-члена, які зазначені в Статтях 4 і 5.
Стаття 10. Реєстрація і документування
1. Кожна передача персональних даних має бути зареєстрована з метою перевірки законності обробки даних, самоконтролю і забезпечення належної їх цілісності і безпеки.
2. Для контролю за захистом даних на прохання компетентного наглядового органу мають бути повідомлені записи реєстрації або документи, що підготовлені згідно з пунктом 1. Компетентний наглядовий орган повинен використовувати цю інформацію тільки для контролю за захистом даних і забезпечення належної обробки даних, а також їх цілісності і безпеки.
Стаття 11. Обробка персональних даних, отриманих від держав-членів або до яких держави-члени дають доступ
Персональні дані, отримані від компетентного органу іншої держави-члена або до яких цей орган дає доступ, можуть, відповідно до вимог Статті 3 (2) бути додатково оброблені тільки для наступних цілей, відмінних від тих, для яких вони були передані або надані:
(а) запобігання, розслідування і виявлення кримінальних злочинів або виконання кримінального покарання, крім тих, для яких вони були передані або надані;
(б) інші судові і адміністративні процедури, безпосередньо пов’язані із запобіганням, розслідуванням і виявленням кримінальних злочинів і виконанням кримінальних покарань;
(с) попередження безпосередньої і серйозної загрози для громадської безпеки, або
(d) для будь-якої іншої цілі, за попередньої згоди держави-члена, що надає дані, або за згодою суб’єкта даних, що надана у відповідності до національного законодавства.
Надані персональні дані можуть також у подальшому оброблятися компетентними органами для історичних, статистичних або наукових цілей, за умов, що держави-члени нададуть відповідні гарантії, наприклад, що дані залишаться анонімними.
Стаття 12. Дотримання національних обмежень щодо обробки
1. Коли відповідно до законодавства держави-члена, що надає дані, при певних обставинах для обміну даними між органами цієї держави-члена застосовуються особливі обмеження щодо обробки даних, органи, що передають дані, повинні проінформувати отримувача про такі обмеження. Одержувач зобов’язаний забезпечити дотримання цих обмежень.
2. Враховуючи пункт 1 та відповідно до Розділу VI Договору про Європейський Союз, держави-члени не повинні встановлювати обмеження щодо передачі даних іншим державам-членам, крім тих обмежень, що встановлені на аналогічні передачі даних в межах держави.
Стаття 13. Передача даних органам третіх держав або міжнародним установам
1. Держави-члени повинні забезпечувати, щоб персональні дані, передані компетентним органом іншої держави-члена або до яких цим органом надається доступ, могли бути передані до третіх держав або міжнародних організацій, тільки якщо:
(а) це необхідно для запобігання, розслідування і виявлення кримінальних злочинів та виконання кримінальних покарань;
(b) на владу третьої держави або міжнародну установу, що є отримувачем даних, покладено обов’язок щодо попередження, розслідування і виявлення кримінальних злочинів або виконання кримінальних покарань;
(с) держава-член, від якої були отримані дані, дала свою згоду на передачу даних відповідно до свого національного законодавства; і
(d) третя держава або міжнародна установа забезпечує адекватний рівень захисту даних.
2. Передача без попередньої згоди відповідно до пункту 1 (с) допускається, якщо вона має важливе значення для запобігання безпосередній загрозі суспільній безпеці держав-членів чи третіх держав і така згода не може бути отримана вчасно. Орган, відповідальний за надання згоди, має бути невідкладно проінформований про це.
3. Як виключення з положень пункту 1 (d), персональні дані можуть бути передані, якщо:
(а) національне законодавство держави-члена, яка передає дані, це дозволяє у зв’язку з:
(i) конкретними законними інтересами суб’єкта даних; або
(ii) законними інтересами, що превалюють, особливо у зв’язку з важливими суспільними інтересами; або
(b) третя держава або міжнародна установа – отримувач даних надає гарантії, які держава-член вважає прийнятним, беручи до уваги своє національне законодавство.
4. Прийнятність рівня захисту, на яку йде посилання у пункті 1 (d), має бути оцінена з урахуванням всіх обставин, що виникають в процесі передачі даних. Особлива увага має бути приділена змісту даних, меті і тривалості процесу обробки даних, державі або міжнародній установі походження, що є кінцевим пунктом призначення даних, нормам закону з цього питання, як загальним, так і територіальним, що діють у третій державі або міжнародній установі, професійним правилам і заходам безпеки, які застосовуються.
Стаття 14. Передача даних приватним особам в державах-членах
1. Держави-члени повинні забезпечити, щоб персональні дані, які отримані від компетентного органу іншої держави-члена, могли бути передані приватним особам, тільки якщо:
(а) компетентний орган держави-члена, від якого були отримані дані, дав згоду на передачу відповідно до свого національного законодавства;
(b) не зачіпають законні інтереси суб’єкта даних, що запобігають передачі даних; та
(с) в окремих випадках передача даних має важливе значення для компетентного органу, що передає такі дані приватній особі, з ціллю:
(i) виконання завдань, покладених на нього законодавством;
(ii) запобігання, розслідування і виявлення кримінальних злочинів та виконання кримінальних покарань;
(iii) попередження безпосередньої і серйозної загрози для громадської безпеки; або
(iv) запобігання серйозних порушень прав людини.
2. Компетентний орган, що передає дані приватній особі, повинен повідомити цій особі цілі, виключно для яких можуть бути використані дані.
Стаття 15. Інформація за запитом компетентного органу
На запит компетентного органу, який надає дані чи відкриває до них доступ, одержувач повинен повідомити про обробку цих даних.
Стаття 16. Інформація для суб’єкта даних
1. Держави-члени повинні забезпечити, щоб суб’єкт даних був проінформований щодо збору і обробки персональних даних компетентними органами відповідних держав згідно з національним законодавством.
2. Коли персональні дані були передані, кожна держава-член може відповідно до положень свого національного законодавства висловити прохання, щоб інші держави-члени не інформувати суб’єкта даних про це. У такому випадку держава-член не повинна інформувати суб’єкта даних про передачу даних без попередньої згоди іншої держави-члена.
Стаття 17. Право доступу
1. Кожен суб’єкт даних має право отримати на запит персональні дані, без обмежень і затримки або витрат щонайменше підтвердження від національного наглядового органу:
(а) стосовно того, чи були дані, що відносяться до цього суб’єкта, і інформацію про хід обробки даних, передані одержувачам; або
(b) що всі необхідні перевірки мали місце.
2. Держави-члени можуть приймати законодавчі заходи, що обмежують доступ до інформації відповідно до пункту 1 (а), у випадку коли таке обмеження при належному врахуванні законних інтересів осіб є необхідним і раціональним:
(а) для того, щоб уникнути перешкод для юридичних розслідувань або процедур;
(b) для того, щоб уникнути шкоди для запобігання, виявлення, розслідування і переслідування за кримінальні злочини або для виконання кримінальних покарань;
(c) для захисту громадської безпеки;
(d) для захисту національної безпеки;
(е) захисту суб’єкта даних або прав і свобод інших осіб.
3. Будь-яка відмова або обмеження доступу суб’єкту до даних повинні бути викладені в письмовому вигляді. Фактичні чи юридичні причини, на яких ґрунтується таке рішення, мають бути також доведені до нього. Це твердження може бути опущено якщо існує причина, зазначена в пункті 2 (а) (е). У всіх цих випадках до суб'єкта даних необхідно бути доведено, що він може звернутися в компетентні національні наглядові, судові органи або до суду.
Стаття 18. Право на виправлення, знищення чи блокування
1. Суб'єкт даних має право очікувати від контролера виконання своїх обов’язків, що стосуються виправлення, знищення або блокування персональних даних, відповідно до Статтей 4, 8 та 9, які випливають з цієї Рамкової постанови. Держави-члени повинні встановити, чи даний суб'єкт може скористатися цим правом напряму через контролера або за посередництвом компетентних національних наглядових органів. Якщо контролер не дає згоди на виправлення, стирання чи блокування даних, така відмова повинна бути повідомлена суб’єкту даних у письмовій формі. Суб’єкт даних повинен бути поінформований про існуючі можливості щодо подачі скарги або судового оскарження що передбачені в національному законодавстві. Після розгляду скарги або судового оскарження, суб’єкт даних повинен бути проінформований стосовно правомірності дій контролера. Держави-члени можуть також передбачити обов’язок національних наглядових органів інформувати суб’єкта даних про проведення огляду.
2. Посилання на дані можливе у випадку, коли точність персональних даних заперечується суб’єктом даних і їх точність або неточність не може бути встановлена.
Стаття 19. Право на компенсацію
1. Особа, якій було завдано шкоди в результаті обробки даних або будь-яких дій, несумісних з положеннями, прийнятими відповідно до цієї Рамкової постанови, має право на отримання компенсації за завданий збиток від уповноваженого національним законодавством органом.
2. Після того як компетентний орган держави-члена передав персональні дані, одержувач не може в контексті своєї відповідальності по відношенню до потерпілої сторони відповідно до національного законодавства приводити в свій захист аргумент, що передані дані були неточними. Якщо одержувач виплачує компенсацію за шкоду, що виникла у зв’язку з використанням неправильно переданих даних, компетентний орган, що передає дані, повинен відшкодувати одержувачу суму збитків, беручи до уваги будь-яку провину, яка може лежати на одержувачі.
Стаття 20. Оскарження в судовому порядку
Без шкоди для будь-яких адміністративних заходів правового захисту, у яких може виникнути необхідність до того як звертатися до судових органів, суб'єкт даних має право на судовий захист у разі будь-якого порушення права, гарантованого йому національним законодавством.
Стаття 21. Конфіденційність обробки
1. Будь-яка особа, яка має доступ до персональних даних, які підпадають під дію цієї Рамкової постанови, може обробляти такі дані, тільки якщо ця особа є членом компетентного органу чи діє за його дорученням, якщо це не забороняється законодавством.
2. Особи, що працюють на компетентні органи держави-члена, зобов'язані виконувати всі правила захисту даних, які застосовуються компетентним органом.
Стаття 22. Безпека обробки
1. Держави-члени мають забезпечити, щоб компетентні органи здійснювали технічні та організаційні заходи для захисту персональних даних від випадкового або незаконного знищення або втрати, зміни, несанкціонованого доступу або розкриття, зокрема, завдяки передачі через мережу або надання прямого автоматизованого доступу, і проти всіх інших незаконних форм обробки, беручи до уваги, зокрема, ризики, що виникають при обробці, і зміст даних, що повинні бути захищені.
2. Що стосується автоматизованої обробки даних, кожна держава-член має вжити заходів, спрямованих на:
(а) відмову особам у несанкціонованому доступі до обладнання, що використовується для обробки персональних даних (контроль за доступом до обладнання);
(b) запобігання несанкціонованому зчитуванню, копіюванню, зміні або видаленню носіїв даних (контроль за носіями даних);
(c) запобігання несанкціонованому введенню даних і несанкціонованих інспекцій, змін або виключення персональних дані, що зберігаються (контроль за зберіганням);
(d) недопущення використання автоматизованих систем обробки та передачі даних не уповноваженими на це особами (контроль за користувачем);
(е) забезпечення того, щоб особи, які допущені до автоматизованої системи обробки, мали доступ тільки до даних, до яких вони уповноважені мати доступ (контроль за доступом);
(f) забезпечення можливості перевірки і встановлення, в які органи персональні дані були або можуть бути передані за допомогою обладнання (контроль за передачею даних);
(g) забезпечення можливості перевірки і встановлення, які персональні дані, коли і ким були введенні в автоматизовані системи обробки даних (вхідний контроль);
(h) запобігання несанкціонованому копіюванню, зміні або видаленню персональних даних при їх передачі або під час транспортування носіїв інформації (транспортний контроль);
(i) забезпечення того, що встановлені системи могли, в разі переривання, бути відновлені;
(j) забезпечення того, щоб система повідомляла про появу помилок у її функціях (надійність) та забезпечувала зберігання і не пошкодження даних через її несправності (цілісність).
3. Держави-члени мають забезпечити, щоб процесори застосовувались за наявності гарантій щодо дотримання технічних та організаційних вимог відповідно до пункту 1 та виконання положень Статті 21, за чим зобов’язаний стежити компетентний орган.
4. Персональні дані можуть бути оброблені процесором тільки на основі законодавчого акта або письмового договору.
Стаття 23. Попередні консультації
Держави-члени повинні забезпечити, щоб компетентні національні наглядові органи проводити консультації до початку обробки персональних даних, які стануть частиною нової системи реєстрації, що буде створена у тих випадках, коли:
(а) повинні бути оброблені особливі різновиди даних, зазначені у Статті 6; або
(b) тип обробки, зокрема з використанням нових технологій, механізмів і процедур, має особливі ризики для прав і свобод суб’єкта даних, зокрема, недоторканність приватного життя.
Стаття 24. Штрафи
Держави-учасники повинні вжити належних заходів для забезпечення повного здійснення положень цієї Рамкової постанови і, зокрема, встановлюють ефективні, співмірні і стримуючі заходи покарання у випадку порушення положень цієї Рамкової постанови.
Стаття 25. Національні наглядові органи
1. Кожна держава-член повинна забезпечити, щоб один або декілька державних органів були відповідальні за надання консультацій і здійснення контролю за застосуванням на своїй території положень, прийнятих державами-членами відповідно до цієї Рамкової постанови. При здійсненні покладених на них функцій ці органи повинні діяти в умовах повної самостійності.
2. Кожен орган повинен, зокрема, бути наділений:
(а) слідчими повноваженнями, такими як на доступ до даних, які є предметом операцій з обробки, і для збору всієї інформації, необхідної для виконання своїх контролюючих функцій;
(b) дієвими повноваженнями щодо посередництва, такими як надання висновків перед тим як здійснюється процес обробки даних, а також забезпечення відповідної публікації таких висновків, блокування, стирання або знищення даних, введення тимчасової або постійної заборони на обробку даних, попередження або застереження контролера, або передача цього питання на розгляд національного парламенту чи іншого політичного інституту;
(c) правом брати участь у судових розглядах або довести це порушення до відома судової влади. Рішення наглядового органу можуть бути оскаржені в судовому порядку.
3. Кожен наглядовий орган має розглядати позови, подані з боку будь-якої особи, що стосуються захисту його прав і свобод у зв’язку з обробкою персональних даних. Зацікавлена особа має бути поінформовано про результати розгляду такого позову.
4. Держави-члени повинні забезпечити, щоб члени і співробітники наглядових органів були обмежені положеннями про захист даних, що застосовуються до даного компетентного органу, і навіть після звільнення співробітників, вони повинні бути зобов’язані зберігати професійну таємницю щодо конфіденційної інформації, до якої вони мали доступ.
Стаття 26. Зв’язок з угодами з третіми державами
Ця Рамкова постанова застосовується без шкоди для будь-яких зобов’язань, обов’язкових для держав-членів або в рамках Союзу на підставі двосторонніх і/або багатосторонніх угод з третіми державами, що існують на момент прийняття цієї Рамкової постанови.
Стаття 27. Аналіз
1. Держави-члени до 27 листопада 2013 р. повинні звітувати Комісії про національні заходи, які були вжиті для забезпечення повного дотримання цієї Рамкової постанови. Комісія звітує перед Європейським парламентом протягом одного року про результати аналізу.
Стаття 28. Зв’язок з раніше прийнятими актами Союзу
Прийняті раніше акти відповідно до Розділу VI Договору про Європейський Союз, що регулюють обмін персональними даними між державами-членами або доступ уповноважених органів до інформаційних систем, мають пріоритет над положеннями цієї Рамкової постанови.
Стаття 29. Впровадження
1. Держави-члени повинні вжити необхідних заходів для виконання положень цієї Рамкової постанови до 27 листопада 2010 року.
2. До тієї ж дати держави-члени повинні направити до Генерального Секретаря Ради і в Комісію текст положень, що переноситимуть в їх національне законодавство щодо цієї Рамкової постанови, а також інформацію про наглядові органи, згадані у Статті 25.
Стаття 30. Набуття чинності
Ця Рамкова постанова набуває чинності з дати її публікації в Офіційному журналі Європейського Союзу.
Брюссель, 27 листопада 2008 р.
____________________________________________
Переклад з англ. – Віри Брижко.
Режим доступу: //www.eur-lex.europaeu/LexUriServ/L exUriServ.do?uri=OJ:L:2008:350:0060:01:EN:HTML
~~~~~~~~~~~~ * * * ~~~~~~~~~~~~~
* Від перекладача: Профіль ДНК – сукупність ознак молекулярно-генетичного аналізу, що дозволяє досліджувати особливі ділянки ДНК і виділяти стан генів, на основі яких можливе проведення ідентифікації особи.
© Державна наукова установа “Інститут інформації, безпеки і права Національної академії правових наук України”, 2021
Ми будемо Вам вдячні, якщо при використанні матеріалів сайту Ви зробите посилання на сайт ДНУ ІІБП НАПрН України.
01024, Україна, м. Київ, вул. Пилипа Орлика, 3
тел/факс (044) 235-22-90
E-mail: pravo@ippi.org.ua
WWW: ippi.org.ua