ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ і РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про заснування Європейського Співтовариства і, зокрема, його статтю 100a,

Беручи до уваги пропозицію Комісії (1),

Беручи до уваги висновок Економічного і Соціального Комітету (2),

Діючи відповідно до процедури, викладеної в статті 189b Договору (3),

(1) OJ N C 277, 5. 1990, p. 3 і OJ N 311, 27. 11.1992, p. 30.

(2) OJ N 159, 17.6.1991, p. 38.

(3) Висновок Європейського Парламенту від 11 березня 1992 р. (OJ N C 94, 13.4.1992, p. 198), ратифікований 2 грудня 1993 р. (OJ N C 342, 20.12.1993, p. 30); Загальна позиція Ради від 20 лютого 1995 р. (OJ N C 93, 13. 4. 1995 р., p. I) і Рішення Європейського Парламенту від 15 червня 1995 р. (OJ N C 166, 3.7.1995).

1. Враховуючи, що цілі Співтовариства, викладені в Договорі, з поправками, внесеними Договором про Європейський Союз, полягають в створенні дедалі тіснішого союзу серед народів Європи, заохоченні більш тісних відносин між державами, що входять до Співтовариства, забезпеченні економічного і соціального прогресу шляхом спільних дій, спрямованих на усунення бар'єрів, що розділяють Європу, підтримку постійного поліпшення умов життя його народів, збереження і зміцнення миру та свободи, а також на розвиток демократії, яка базується на основних правах, визнаних конституціями і законами держав-членів та Європейською конвенцією про захист прав людини і основних свобод;

2. Враховуючи, що системи обробки даних створені для служіння людині; враховуючи, що вони, незалежно від національності чи місця проживання фізичних осіб, повинні поважати їхні основні права і свободи, особливо право на невтручання в особисте життя, і сприяти економічному і соціальному прогресу, розширенню торгівлі і добробуту людей;

3. Враховуючи, що створення і функціонування внутрішнього ринку, у якому згідно зі статтею 7a Договору гарантується вільне пересування товарів, осіб, послуг і капіталів, вимагає не тільки можливості вільного переміщення персональних даних з однієї держави-члена в іншу, але й захисту основних прав людей;

4. Враховуючи дедалі частіше застосування обробки персональних даних у Співтоваристві в різних сферах соціальної та економічної діяльності; враховуючи, що прогрес, досягнутий у сфері інформаційних технологій, значно полегшує обробку та обмін такими даними;

5. Враховуючи, що економічна і соціальна інтеграція, досягнута в результаті створення і функціонування внутрішнього ринку в розумінні статті 7a Договору, неминуче призведе до істотного збільшення транскордонних потоків персональних даних між усіма тими, хто бере участь в економічному і соціальному житті держав-членів, як в приватному, так і в державному статусі; враховуючи, що обмін персональними даними між підприємствами різних держав-членів має розвиватися; враховуючи, що відповідно до права Співтовариства державні органи різних держав-членів повинні співпрацювати й обмінюватися персональними даними для того, щоб могти виконувати свої обов'язки і завдання від імені органів влади в іншій державі-члені в контексті простору без внутрішніх кордонів, який створюється внутрішнім ринком;

6. Враховуючи, крім того, що збільшення науково-технічного співробітництва і узгоджене введення нових телекомунікаційних мереж у Співтоваристві роблять необхідним і полегшують здійснення транскордонних потоків персональних даних;

7. Враховуючи, що розходження в рівні захисту прав і свобод фізичних осіб, що надають держави-члени, в особливості права на невтручання в особисте життя, при обробці персональних даних, може перешкоджати передачі таких даних з території однієї держави-члена на територію іншої держави-члена; враховуючи, що такі розходження до того ж можуть стати перешкодою в здійсненні певних видів економічної діяльності на рівні Співтовариства, негативно відбитися на конкуренції, перешкоджати владі у виконанні її зобов'язань згідно з правом Співтовариства; враховуючи, що такі розходження в рівні захисту викликані існуванням великої різноманітності національних законів, постанов і адміністративних положень;

8. Враховуючи, що для усунення перешкод на шляху передачі персональних даних рівень захисту прав і свобод фізичних осіб при обробці цих даних повинен бути однаковим у всіх державах-членах; враховуючи, що ця мета, будучи життєво необхідною для внутрішнього ринку, не може бути досягнута державами-членами поодинці, особливо з урахуванням ступеня існуючих у даний час розходжень між відповідним законодавством держав-членів і необхідністю узгодження законів держав-членів для забезпечення єдиного підходу до регулювання транскордонних потоків персональних даних, тобто, дотримуючись цілей внутрішнього ринку, передбачених статтею 7a Договору; враховуючи, що в зв'язку з цим необхідні дії Співтовариства, спрямовані на зближення такого законодавства;

9. Враховуючи, що при рівному рівні захисту внаслідок зближення національних законодавств держави-члени більше не зможуть перешкоджати вільному пересуванню персональних даних між собою, посилаючись на обмеження, пов'язані із захистом прав і свобод фізичних осіб, а особливо права на невтручання в особисте життя; враховуючи, що державам-членам буде наданий певний ступінь свободи маневрування, який в контексті виконання Директиви може також використовуватись діловими і соціальними партнерами; враховуючи, що держави-члени в такий спосіб зможуть уточнити у своєму національному законодавстві загальні умови, що регулюють законність обробки даних; враховуючи, що при цьому держави-члени будуть прагнути поліпшити систему захисту, передбачену в їхньому законодавстві в даний час; враховуючи, що в межах певного ступеня свободи маневрування та відповідно до права Співтовариства можуть виникнути розбіжності в процесі здійснення Директиви, і це може вплинути на пересування даних як у державі-члені, так і в Співтоваристві;

10. Враховуючи, що метою національного законодавства про обробку персональних даних є захист основних прав і свобод, а особливо права на невтручання в особисте життя, що визнається як статтею 8 Європейської конвенції про захист прав людини й основних свобод, так і загальними принципами права Співтовариства; враховуючи, що з цієї причини зближення згаданих законодавств не повинне призвести до зниження рівня наданого ними захисту, а навпаки, повинне прагнути забезпечити високий рівень захисту в Співтоваристві;

11. Враховуючи, що принципи захисту прав і свобод фізичних осіб, а особливо права на невтручання в приватне життя, викладені в даній Директиві, уточнюють і посилюють принципи, викладені в Конвенції Ради Європи від 28 січня 1981 року про захист фізичних осіб при автоматизованій обробці персональних даних;

12. Враховуючи, що принципи захисту повинні застосовуватися до усіх випадків обробки персональних даних, здійснюваних будь-якою особою, чия діяльність регулюється правом Співтовариства; враховуючи, що ці принципи не поширюються на обробку даних, створених фізичною особою в процесі діяльності винятково особистого чи домашнього характеру, такої як переписування і ведення адресних книг;

13. Враховуючи, що діяльність, згадана в Розділах V і VI Договору про Європейський Союз, щодо суспільного порядку, оборони, державної безпеки чи діяльності держави в сфері кримінального законодавства, не входить до сфери дії права Співтовариства, без шкоди для зобов'язань, покладених на держави-члени згідно з параграфом 2 статті 56, статті 57 чи статті 100 Договору, що засновує Європейське Співтовариство; враховуючи, що обробка персональних даних, необхідна для захисту економічного добробуту держави, не входить до сфери дії даної Директиви, у випадках, коли така обробка пов'язана з питаннями державної безпеки;

14. Враховуючи, що з урахуванням важливості розвитку технологій, використовуваних для прийому, передачі, маніпуляцій, реєстрації, збереженні чи повідомленні звукових і візуальних даних, які стосуються фізичних осіб, який відбувається в інформаційному суспільстві, дана Директива повинна застосовуватися до обробки, що використовує такі дані;

15. Враховуючи, що обробка таких даних підпадає під дію даної Директиви лише в тих випадках, коли обробка є автоматизованою або коли оброблені дані розміщуються чи призначені для розміщення в картотеках, структурованих за визначеними критеріями, що стосуються фізичних осіб, таким чином, щоб забезпечити легкий доступ до відповідних персональних даних;

16. Враховуючи, що обробка звукових і візуальних даних, таких як, наприклад, відеоспостереження, не відноситися до сфери дії даної Директиви, якщо вона проводиться з метою суспільного порядку, оборони, державної безпеки чи в ході державної діяльності, що відноситься до сфери кримінального права, чи іншої діяльності, що не відноситися до сфери дії права Співтовариства;

17. Враховуючи, що до випадків, коли обробка звукових і візуальних даних провадиться з метою журналістики чи з метою літературної або художньої творчості, зокрема, в аудіовізуальній області, принципи Директиви повинні застосовуватися з обмеженнями відповідно до положень, викладених в статті 9;

18. Враховуючи, що для того, щоб уникнути втрати фізичною особою захисту, на який вона має право згідно з даною Директивою, будь-яка обробка персональних даних у Співтоваристві повинна відбуватися відповідно до законодавства однієї з держав-членів; враховуючи, що в зв'язку з цим обробка, здійснена в межах юрисдикції контролера, створеного в державі-члені, повинна регулюватися законодавством цієї держави;

19. Враховуючи, що створення такого органу на території держави-члена передбачає ефективне і реальне ведення діяльності на основі постійних домовленостей; враховуючи, що правова форма такої установи, незалежно від того є воно простою філією чи представництвом - суб'єктом права, не є вирішальним чинником у цьому відношенні; враховуючи, що при створенні єдиного контролера на території декількох держав-членів, зокрема, шляхом створення представництв, для запобігання порушення національних правил, він повинен забезпечити виконання своїми установами зобов'язань, накладених на них національним законодавством, що застосовується до його діяльності;

20. Враховуючи, що той факт, що обробка даних проводиться особою, яка перебуває в третій країні, не повинен перешкоджати захисту фізичних осіб, передбаченому даною Директивою; враховуючи, що в таких випадках обробка даних повинна регулюватися законами держави-члена, у якому розташовані використовувані засоби, і повинні існувати гарантії для забезпечення дотримання на практиці прав і обов'язків, передбачених даною Директивою;

21. Враховуючи, що дана Директива не завдає шкоди правилам територіальності, застосовуваним у кримінальних справах;

22. Враховуючи, що держави-члени більш точно визначають у законах, що приймаються, а також при здійсненні заходів на виконання даної Директиви, загальні умови, при яких обробка даних є законною; враховуючи, що, зокрема, стаття 5 у сполученні зі статтями 7 і 8 дозволяє державам-членам незалежно від загальних правил передбачати особливі умови обробки даних для певних секторів і для різних категорій даних, зазначених у статті 8;

23. Враховуючи, що держави-члени уповноважені забезпечити здійснення захисту фізичних осіб шляхом прийняття як загального закону про захист фізичних осіб при обробці персональних даних, так і галузевих законів, таких як ті, що стосуються, наприклад, статистичних установ;

24. Враховуючи, що законодавство про захист юридичних осіб при обробці даних, які їх стосуються, не зачіпається даною Директивою;

25. Враховуючи, що принципи захисту повинні бути відображені, з одного боку, у зобов'язаннях, що накладаються на осіб, на державні органи влади, підприємства, агентства чи інші органи, які відповідають за обробку, зокрема в тому, що стосується якості даних, технічної безпеки, повідомлення наглядових органів, і обставин, при яких може проводитися обробка, та, з іншого боку, у праві, яким наділені фізичні особи, чиї дані підлягають обробці, знати, що обробка дійсно проводиться, звертатися до даних, вимагати внесення змін і навіть заперечувати проти обробки за певних обставин;

26. Враховуючи, що принципи захисту повинні застосовуватися до будь-якої інформації, яка стосується встановленої особи чи особи, яку можна встановити; враховуючи, що для визначення того, чи можна особу встановити, повинні враховуватися всі засоби, використання яких контролером чи якою-небудь іншою особою імовірно очікувати для встановлення вище згаданої особи; враховуючи, що принципи захисту не застосовуються до даних, що надані анонімно таким чином, що суб'єкт даних не може бути встановлений; враховуючи, що кодекси поведінки в значенні статті 27 можуть бути корисним знаряддям для забезпечення керівництва щодо способів анонімного надання даних і їхнього збереження у формі, що забезпечує неможливість встановлення особи суб'єкта даних;

27. Враховуючи, що захист фізичних осіб повинен застосовуватися як до автоматизованої обробки даних, так і до ручної обробки; враховуючи, що масштаби такого захисту не повинні залежати від використовуваних методів, бо інакше це створить серйозну загрозу обходу закону; враховуючи, що, незважаючи на це, у тому що стосується ручної обробки, дана Директива охоплює тільки картотеки даних, але не неструктуровані справи; враховуючи, що, зокрема, вміст картотеки даних повинен бути структурований відповідно до визначених критеріїв щодо фізичних осіб, що забезпечувало б легкий доступ до персональних даних; враховуючи, що, відповідно до визначення в статті 2 (c), різні критерії визначення складових частин структурованої сукупності персональних даних і різні критерії управління доступом до такої сукупності можуть бути встановлені кожною державою-членом; враховуючи, що справи чи зібрання справ, як і їхні титульні аркуші, що не розроблені відповідно до визначених критеріїв, за жодних обставин не входять до сфери дії даної Директиви;

28. Враховуючи, що будь-яка обробка персональних даних повинна бути законною і справедливою по відношенню до фізичних осіб, яких вона безпосередньо стосується; враховуючи, що, зокрема, дані повинні бути достовірними, відповідними і не надмірними з точки зору цілей, заради яких проводитися їхня обробка; враховуючи, що ці цілі повинні бути чіткими і законними і повинні бути визначені на час збору даних; враховуючи, що цілі обробки даних, яка проводиться після збору даних, не повинні бути несумісними із цілями, визначеними спочатку;

29. Враховуючи, що подальша обробка персональних даних в історичних, статистичних чи наукових цілях не повинна розглядатися як несумісна з цілями, заради яких дані були зібрані раніше, за умови, що держави-члени забезпечать відповідні гарантії; враховуючи, що ці гарантії повинні, зокрема, виключати використання даних на підтримку заходів чи рішень відносно будь-якої конкретної особи;

30. Враховуючи, що для забезпечення законності обробки персональних даних, вона повинна, крім іншого, проводитися з дозволу суб'єкта даних чи бути необхідною для укладання чи виконання договору, обов'язкового для суб'єкта даних, або в якості правової вимоги, або для виконання завдання, яке здійснюється в інтересах суспільства чи при виконанні офіційних повноважень, або в законних інтересах фізичної чи юридичної особи, за умови, що враховуються інтереси чи права і свободи суб'єкта даних; враховуючи, що, зокрема, для того, щоб зберегти рівновагу між інтересами, які зачіпаються, в той же час гарантуючи ефективну конкуренцію, держави-члени можуть визначити обставини, при яких персональні дані можуть використовуватися чи надаватися третій стороні в контексті законної звичайної ділової діяльності компаній і інших органів; враховуючи, що держави-члени можуть аналогічним чином визначити умови, за яких персональні дані можуть надаватися третій стороні з метою маркетингу, здійснюваного або в комерційних цілях, або благодійною організацією чи будь-якою іншою асоціацією чи фондом, наприклад, політичного характеру, за умови дотримання положень, що дозволяють суб'єкту даних безкоштовно і без зазначення причин заперечувати проти обробки даних, які його стосуються;

31. Враховуючи, що обробка персональних даних повинна розглядатися також як законна, якщо вона проводитися з метою захисту інтересу, який є надзвичайно важливим для життя суб'єкта даних;

32. Враховуючи, що питання про те, чи повинен контролер, який виконує завдання в інтересах суспільства чи при виконанні офіційних повноважень, бути державним органом або іншою фізичною чи юридичною особою, що регулюється публічним правом чи приватним правом, такою як професійне об'єднання, повинне визначатися національними законодавствами;

33. Враховуючи, що дані, які за своєю природою можуть порушити основні свободи і таємницю приватного життя, не повинні оброблятися доти, доки суб'єкт даних не дасть своєї згоди; враховуючи, що, незважаючи на це, відступ від даної заборони повинен бути чітко викладений з огляду на особливі потреби, зокрема, якщо обробка цих даних проводиться у певних цілях, пов'язаних із здоров'ям, особами, які зв'язані правовим зобов'язанням зберігати професійну таємницю, або під час законної діяльності певних асоціацій чи фондів, метою яких є дозволити здійснення основних свобод;

34. Враховуючи, що держави-члени повинні бути також уповноважені, якщо це виправдовується важливим суспільним інтересом, відступати від заборони обробляти конфіденційні категорії даних, якщо це пов'язано із суспільними інтересами в таких сферах, як охорона суспільного здоров'я і соціальний захист, особливо з метою гарантування якості і рентабельності процедур, що використовуються під час врегулювання позовів про виплату допомоги і надання послуг у системі страхування здоров'я, а також у сфері наукових досліджень і урядової статистики; враховуючи, що, незважаючи на це, вони зобов'язані забезпечувати особливі і відповідні гарантії, спрямовані на захист основних прав і приватного життя людей;

35. Враховуючи, що, крім того, обробка персональних даних, яка здійснюється офіційними органами для досягнення цілей, встановлених у конституційному праві чи в міжнародному публічному праві, офіційно визнаних релігійних об'єднань здійснюється на важливих підставах суспільного інтересу;

36. Враховуючи, що якщо в ході виборчої діяльності функціонування демократичної системи в деяких державах-членах вимагає від політичних партій збору даних про політичні погляди людей, обробка таких даних може бути дозволена на важливих підставах суспільного інтересу, за умови створення відповідних гарантій;

37. Враховуючи, що обробка персональних даних для цілей журналістики чи художньої або літературної творчості, зокрема, в аудіовізуальному секторі, повинна підлягати звільненню від вимог, викладених у деяких положеннях даної Директиви, у тій мірі, у якій це необхідно для узгодження основних прав людини зі свободою інформації і особливо з правом одержувати і передавати інформацію, яке гарантується, передусім, статтею 10 Європейської конвенції про захист прав людини й основних свобод; враховуючи, що, виходячи з цього, держави-члени повинні визначити винятки і відступи, необхідні для досягнення балансу між основними правами в тому, що стосується загальних заходів щодо законності обробки даних, заходів для передачі даних третім країнам і повноважень наглядового органу; враховуючи, однак, що це не повинно призвести до того, що держави-члени встановлять винятки відносно заходів із забезпечення безпеки обробки; враховуючи, що, принаймні, наглядовий орган, відповідальний за цю галузь, повинен також бути наділений певними апостеріорними повноваженнями, наприклад, видавати регулярний звіт чи передавати справи судовим органам;

38. Враховуючи, що для того, щоб обробка даних була справедливою, суб'єкт даних повинен могти взнати про існування факту обробки і, якщо дані отримані від нього, повинен одержати точну і повну інформацію з урахуванням обставин збору даних;

39. Враховуючи, що деякі випадки обробки стосуються даних, які контролер одержав не від суб'єкта даних безпосередньо; враховуючи, крім того, що дані можуть бути відкриті законним шляхом третій стороні, навіть якщо це не було передбачено під час збору даних у суб'єкта даних; враховуючи, що у всіх цих випадках суб'єкт даних повинен бути проінформований про це тоді, коли дані записуються чи пізніше, коли вони вперше розкриваються третій стороні;

40. Враховуючи, однак, що дане зобов'язання не обов'язково накладати, якщо суб'єкт даних вже має необхідну інформацію; враховуючи, що; крім того, дане зобов'язання не накладається, якщо запис чи розкриття третій стороні будуть чітко передбачені законом або якщо надання інформації суб'єкту даних виявиться неможливим чи зажадає непропорційних зусиль, що може відбутися у випадку, коли обробка даних проводитися в історичних, статистичних чи наукових цілях; враховуючи, що при цьому може враховуватися число суб'єктів даних, вік даних і будь-які затверджені компенсаційні заходи;

41. Враховуючи, що будь-яка особа повинна мати можливість використати право доступу до даних, які стосуються її і перебувають в обробці, з метою їхньої перевірки, особливо перевірки точності і законності обробки; враховуючи, що з тих же причин кожен суб'єкт даних повинен також мати право знати логіку, застосовувану при автоматизованій обробці даних, які його стосуються, принаймні у випадку з автоматизованими рішеннями, про які йде мова в пункті 1 статті 15; враховуючи, що це право не повинне негативно впливати на торгові секрети чи інтелектуальну власність і, зокрема, на авторське право, що захищає програмне забезпечення; враховуючи, що, незважаючи на це, врахування цих факторів не повинне призвести до відмови суб'єкту даних у наданні всієї інформації;

42. Враховуючи, що держави-члени можуть в інтересах суб'єкта даних чи з метою захисту прав і свобод інших осіб обмежити права на доступ і на інформування; враховуючи, що вони, наприклад, можуть прийняти рішення, що доступ до медичних даних може бути отриманий тільки через медичного працівника;

43. Враховуючи, що обмеження прав на доступ і інформування та обмеження деяких інших зобов'язань контролера можуть подібним чином бути встановлені державами-членами в тій мірі, у якій вони необхідні для захисту, наприклад, національної безпеки, оборони, суспільної безпеки чи важливих економічних і фінансових інтересів держави-члена чи Союзу, а також у карних розслідуваннях, переслідуваннях і діях у зв'язку з порушенням етики встановлених професій; враховуючи, що перелік винятків і обмежень повинен включати задачі моніторингу, інспекції чи регулювання, що необхідні в трьох останніх із згаданих сфер відносно суспільної безпеки, економічних чи фінансових інтересів і попередження злочинності; враховуючи, що перерахування задач у цих трьох сферах не впливає на законність винятків чи обмежень, встановлених із причин державної безпеки чи оборони;

44. Враховуючи, що держави-члени можуть бути змушені, на підставі положень права Співтовариства, відступати від положень даної Директиви в тому, що стосується права доступу, зобов'язання інформувати фізичних осіб, якості даних; з метою виконання деяких із вищезгаданих цілей;

45. Враховуючи, що у випадках, коли дані можуть оброблятися законним шляхом на підставі суспільного інтересу, офіційних повноважень чи законних інтересів фізичної або юридичної особи, будь-який суб'єкт даних повинен, незважаючи на це, мати право на законних і незаперечних підставах, що стосуються його конкретної ситуації, опротестувати обробку будь-яких даних, які його стосуються; враховуючи, що, незважаючи на це, держави-члени можуть передбачити протилежні національні положення;

46. Враховуючи, що захист прав і свобод суб'єктів даних при обробці персональних даних вимагає прийняття відповідних технічних й організаційних заходів як при розробці системи обробки, так і під час самої обробки, зокрема для забезпечення безпеки і, таким чином, запобігання будь-якій незаконній обробці; враховуючи, що держави-члени повинні забезпечити дотримання контролерами таких заходів; враховуючи, що ці заходи повинні забезпечити відповідний рівень безпеки, з огляду на існуюче положення речей і вартість їхньої реалізації з врахуванням пов'язаного з обробкою ризику і характеру даних, що підлягають захисту;

47. Враховуючи, що, якщо повідомлення, що містить персональні дані, передається за допомогою телекомунікацій чи електронної пошти, єдиною метою яких є передача таких повідомлень, контролером у відношенні персональних даних, які містяться в повідомленні, буде вважатися особа, від якої виходить це повідомлення, а не особа, що надає послуги з передачі повідомлень; враховуючи, що, незважаючи на це, особи, що надають ці послуги, будуть, як правило, вважатися контролерами стосовно обробки додаткових персональних даних, необхідних для надання цієї послуги;

48. Враховуючи, що процедури повідомлення наглядового органу покликані забезпечити розкриття цілей і основних принципів будь-якого процесу обробки для перевірки того, що процес здійснюється відповідно до національних заходів, прийнятих відповідно до даної Директиви;

49. Враховуючи, що для того, щоб уникнути непотрібних адміністративних формальностей, звільнення від зобов'язання повідомляти і спрощення необхідного повідомлення можуть бути передбачені державами-членами у випадках, коли обробка навряд чи може завдати шкоди правам і свободам суб'єктів даних, і за умови, що вона проводиться відповідно до прийнятої державою-членом міри, що визначає її рамки; враховуючи, що звільнення чи спрощення можуть бути передбачені державами-членами за умови, що особа, призначена контролером, гарантує, що здійснена обробка даних навряд чи може завдати шкоди правам і свободам суб'єктів даних; враховуючи, що такий службовець із захисту даних незалежно від того, чи є він співробітником інституту контролера чи ні, повинен мати можливість виконувати свої функцій абсолютно незалежно;

50. Враховуючи, що звільнення чи спрощення може бути передбачене у випадках із процесами обробки, єдиною метою яких є ведення реєстру, що відповідно до національного законодавства, призначений для надання інформації населенню і є відкритим для звертань населення чи будь-якої особи, що демонструє законний інтерес;

51. Враховуючи, що, незважаючи на це, спрощення чи звільнення від зобов'язання повідомляти не звільняє контролера від жодних інших зобов'язань, що випливають з даної Директиви;

52. Враховуючи, що в цьому контексті апостеріорна перевірка компетентними органами в цілому повинна розглядатися як достатній захід;

53. Враховуючи, що, незважаючи на це, при деяких процесах обробки існує імовірність певних ризиків для прав і свобод суб'єктів даних в силу їхньої природи, їхнього обсягу чи їхніх цілей, як, наприклад, позбавлення фізичних осіб права, допомоги чи контракту, або через особливе використання нових технологій; враховуючи, що держави-члени за власним бажанням визначають ці ризики у своєму законодавстві;

54. Враховуючи, що з врахуванням всіх процесів обробки, які здійснюються в суспільстві, кількість процесів, які створюють такий особливий ризик, повинна бути обмеженою; враховуючи, що держави-члени повинні передбачити, що наглядовий орган чи службовець із захисту даних разом з органом перевіряють таку обробку до її виконання; враховуючи, що після проведення такої попередньої перевірки наглядовий орган у відповідності із своїм національним законодавством дає свій висновок чи дозвіл на здійснення обробки; враховуючи, що така перевірка може в однаковій мірі відбуватися в ході підготовки або законодавчого заходу національного парламенту, або заходу, що базується на такому законодавчому заході, що визначає природу обробки і встановлює відповідні гарантії;

55. Враховуючи, що у випадку порушення контролером прав суб'єктів даних, національне законодавство повинне передбачити судовий спосіб захисту; враховуючи, що будь-яка шкода, що може бути завдана людині в результаті незаконної обробки даних, повинна відшкодовуватися контролером, який може бути звільнений від відповідальності, якщо доведе, що він не є відповідальним за цю шкоду, зокрема у випадках, коли він встановлює наявність провини суб'єкта даних чи за форс-мажорних обставин; враховуючи, що санкції повинні застосовуватися до будь-якої особи, незалежно від того, керуються вони приватним чи публічним правом, якщо вона не виконує національних заходів, прийнятих відповідно до даної Директиви;

56. Враховуючи, що транскордонні потоки персональних даних необхідні для розширення міжнародної торгівлі; враховуючи, що захист фізичних осіб, гарантований у Співтоваристві даною Директивою, не перешкоджає передачі персональних даних третім країнам, що забезпечують адекватний рівень захисту; враховуючи, що адекватність рівня захисту, наданого третіми країнами, повинна оцінюватися у світлі всіх обставин, пов'язаних із процесом передачі чи сукупністю процесів передачі;

57. Враховуючи, що з одного боку, передача персональних даних третій країні, що не забезпечує адекватний рівень захисту, повинна бути заборонена;

58. Враховуючи, що повинні бути прийняті положення, які передбачають винятки з такої заборони при визначених обставинах: коли суб'єкт даних дав свою згоду, коли передача даних необхідна для контракту чи права вимоги, коли того вимагає захист важливого суспільного інтересу, наприклад, у випадках міжнародної передачі даних між податковими і митними органами чи між службами, що відповідають за питання соціального забезпечення, або коли передача даних здійснюється з реєстру, що створений відповідно до закону і призначений для консультацій населення чи осіб, що мають законний інтерес; враховуючи, що в цьому випадку така передача даних не повинна включати всі дані чи всі категорії даних, що містяться в реєстрі, і оскільки реєстр призначений для звертання осіб, що мають законний інтерес, передача даних повинна здійснюватися тільки на прохання цих осіб чи у випадку, якщо вони будуть одержувачами даних;

59. Враховуючи, що можуть бути застосовані особливі заходи, спрямовані на компенсацію відсутності захисту в третій країні, у випадках, коли контролер пропонує відповідні гарантії; враховуючи, що, крім того, повинні бути передбачені положення відносно порядку переговорів між Співтовариством і такими третіми країнами;

60. Враховуючи, що, в будь-якому випадку, передача даних третій країні може здійснюватися тільки в повній відповідності до положеннь, прийнятих державами-членами відповідно до даної Директиви, зокрема, її статті 8;

61. Враховуючи, що держави-члени і Комісія в межах своїх повноважень повинні заохочувати профспілкові об'єднання та інші зацікавлені представницькі організації до складання кодексів поведінки для того, щоб сприяти в застосуванні даної Директиви, беручи до уваги особливі характеристики обробки даних, що проводиться у визначених галузях, і дотримуючись національних положень, прийнятих з метою виконання даної Директиви;

62. Враховуючи, що створення в державах-членах наглядових органів, що наділені повною незалежністю у виконанні своїх функцій, є істотним елементом захисту фізичних осіб при обробці персональних даних;

63. Враховуючи, що такі органи повинні мати необхідні засоби для виконання своїх обов'язків, включаючи повноваження із розслідування і втручання, зокрема у випадках скарг фізичних осіб, і повноваження брати участь у судових розглядах; враховуючи, що такі органи повинні сприяти забезпеченню прозорості обробки в державах-членах, до юрисдикції яких вони належать;

64. Враховуючи, що органи влади різних держав-членів повинні допомагати одна одній у виконанні своїх обов'язків для того, щоб забезпечити дотримання правил захисту на належному рівні на всій території Європейського Союзу;

65. Враховуючи, що на рівні Співтовариства повинна бути створена Робоча група із захисту фізичних осіб при обробці даних, що буде абсолютно незалежною у виконанні своїх функцій; враховуючи, що беручи до уваги її особливий характер, вона повинна давати консультувати Комісію і, зокрема сприяти однаковому застосуванню національних правил, прийнятих відповідно до даної Директиви;

66. Враховуючи, що в питаннях передачі даних третім країнам застосування даної Директиви робить необхідним надання Комісії виконавчих повноважень і встановлення процедури, передбаченої Рішенням Ради 87/373/ЄЕС (4);

(4) OJ N L 197, 18.7.1987, p. 33.

67. Враховуючи, що 20 грудня 1994 року було досягнуто тимчасової згоди між Європейським Парламентом, Радою та Комісією про заходи із виконання актів, прийнятих відповідно до процедури, викладеної в статті 189b Договору ЄС;

68. Враховуючи, що викладені в даній Директиві принципи щодо захисту прав і свобод фізичних осіб, особливо, їхнього права на невтручання в приватне життя, при обробці персональних даних, можуть бути доповнені чи уточнені, зокрема, це стосується певних галузей, визначених правилами, що базуються на цих принципах;

69. Враховуючи, що державам-членам повинен надаватися період часу, що не перевищує трьох років з моменту набуття чинності національними заходами, що впроваджують дану Директиву, для послідовного застосування таких нових національних правил до всіх процесів обробки, що уже ведуться; враховуючи, що для полегшення їхньої рентабельної реалізації державам-членам надаватиметься подальший період, що закінчується через 12 років з дати прийняття даної Директиви, для забезпечення відповідності існуючих неавтоматизованых картотек до деяких положень Директиви; враховуючи, що, якщо дані, що містяться в таких картотеках, обробляються вручну в період цього подовженого перехідного періоду, ці картотеки повинні приводитись у відповідність до цих положень під час такої обробки;

70. Враховуючи, що суб'єкту даних не потрібно повторно давати свою згоду для того, щоб дозволити контролеру після набуття чинності національними положеннями, прийнятими відповідно до даної Директиви, продовжити обробку будь-яких чутливих даних, необхідних для виконання контракту, укладеного на основі вільної та поінформованої згоди до набуття чинності такими положеннями;

71. Враховуючи, що дана Директива не перешкоджає державам-членам у регулюванні маркетингової діяльності, орієнтованої на споживачів, що проживають на їхній території, у тій мірі, в якій таке регулювання не стосується захисту фізичних осіб при обробці персональних даних;

72. Враховуючи, що дана Директива дозволяє враховувати принцип громадського доступу до офіційних документів при здійсненні принципів, викладених у цій Директиві,

ПРИЙНЯЛИ ЦЮ ДИРЕКТИВУ:

Відповідно до цієї Директиви, держави-члени захищають основні права і свободи фізичних осіб і, особливо, їхнє право на невтручання в особисте життя при обробці персональних даних.

Держави-члени не обмежують і не забороняють вільну передачу персональних даних між державами-членами на підставах, пов'язаних із захистом, що надається згідно з пунктом 1.

В цілях даної Директиви:

(a) "персональні дані" означають будь-яку інформацію, що стосується встановленої фізичної особи чи фізичної особи, яку можна встановити ("суб'єкт даних"); особою, яку можна встановити, є така, яка може бути встановленою прямо чи непрямо, зокрема, за допомогою ідентифікаційного коду або одного чи більше факторів, притаманних фізичним, фізіологічним, розумовим, економічним, культурним чи соціальним аспектам її особистості;

(b) "обробка персональних даних" ("обробка") означає будь-яку операцію чи сукупність операцій, здійснюваних з персональними даними (за допомогою чи без допомоги автоматизованих засобів), таких як збір, реєстрація, організація, зберігання, адаптація чи зміна, пошук, консультація, використання, розкриття за допомогою передачі, поширення чи іншого надання, упорядкування чи комбінування, блокування, стирання чи знищення;

(c) "картотека персональних даних" ("картотека") означає будь-який структурований масив персональних даних, що є доступним за визначеними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах;

(d) "контролер" означає фізичну чи юридичну особу, державний орган, агентство або будь-який інший орган, що, окремо чи разом з іншими, визначає цілі і засоби обробки персональних даних; якщо цілі і засоби обробки визначені законодавчими чи нормативними положеннями держави чи Співтовариства, контролер або особливі критерії його призначення можуть визначатися правом держави чи Співтовариства;

(e) "оператор обробки даних" означає фізичну чи юридичну особу, державний орган, агентство чи будь-який інший орган, що обробляє персональні дані від імені контролера;

(f) "третя сторона" означає будь-яку фізичну чи юридичну особу, державний орган, агентство чи будь-який інший орган, інший ніж суб'єкт даних, контролер, оператор обробки даних і особи, що, будучи безпосередньо підпорядкованими контролеру чи оператору обробки даних, уповноважені обробляти дані;

(g) "одержувач" означає фізичну чи юридичну особу, державний орган, агентство чи будь-який інший орган, якому надаються дані, незалежно до того, третя особа це чи ні; однак, органи, що можуть одержувати дані в рамках окремого запиту, не розглядаються як одержувачі;

(h) "згода суб'єкта даних" означає будь-яке вільно виражене спеціальне і поінформоване зазначення його бажань, за допомогою якого суб'єкт даних дає свою згоду на обробку персональних даних, які його стосуються.

1. Дана Директива застосовується до обробки персональних даних за допомогою повного чи часткового використання автоматизованих засобів, а також до обробки неавтоматичними засобами персональних даних, що є частиною картотеки чи призначені для внесення в картотеку.

2. Дана Директива не застосовується до обробки персональних даних:

- протягом діяльності, що не входить у сферу дії права Співтовариства, такої як діяльність, передбачена Розділами V і VI Договору про Європейський Союз і, у будь-якому випадку, до операцій із обробки даних, що стосуються суспільної безпеки, оборони, державної безпеки (включаючи економічний добробут держави, якщо процес обробки стосується питань державної безпеки) і діяльності держави в сфері кримінального права,

- якщо вона проводиться фізичною особою під час діяльності виключно особистого чи побутового характеру.

1. Кожна держава-член застосовує національні положення, які вона приймає відповідно до даної Директиви, до обробки персональних даних, якщо:

(a) обробка здійснюється в контексті діяльності установи контролера на території держави-члена якщо ж один і той самий контролер заснований на території декількох держав-членів, він повинен вжити всіх необхідних заходів для забезпечення того, що кожна з цих установ дотримується зобов'язань, передбачених відповідним національним законодавством;

(b) контролер заснований не на території держави-члена, а у місці, де його національне законодавство застосовується відповідно до міжнародного публічного права;

(c) контролер не заснований на території Співтовариства, але з метою обробки персональних даних використовує автоматизоване чи будь-яке інше устаткування, розташоване на території згаданого держави-члена, за умови, що таке устаткування не використовується винятково з метою транзиту через територію Співтовариства.

2. За обставин, передбачених у підпункті (c) пункту 1, контролер повинен призначити представника на території цієї держави-члена, без шкоди для судових позовів, що можуть бути подані проти самого контролера.

Держави-члени в рамках положень цієї Глави більш точно визначають умови, за яких обробка персональних даних є законною.

1. Держави-члени передбачають, що персональні дані повинні:

(a) оброблятися чесно і законно;