Держави - члени Ради Європи, які підписали цю Конвенцію,

беручи до уваги те, що метою Ради Європи є досягнення більшого єднання між її членами, яке ґрунтується, зокрема, на дотриманні верховенства права, а також прав людини й основоположних свобод;

беручи до уваги те, що бажано поширювати гарантії прав й основоположних свобод кожної людини, зокрема права на повагу до недоторканості приватного життя, з огляду на зростання транскордонного потоку персональних даних, які піддаються автоматизованій обробці;

підтверджуючи водночас свою відданість свободі інформації незалежно від кордонів;

визнаючи необхідність узгодження основоположних цінностей поваги до недоторканості приватного життя й безперешкодного обміну інформацією між народами;

домовилися про таке:

Метою цієї Конвенції є забезпечення на території кожної Сторони для кожної особи, незалежно від її громадянства або місця проживання, дотримання її прав й основоположних свобод, зокрема її права на недоторканість приватного життя, у зв'язку з автоматизованою обробкою персональних даних, що її стосуються (далі - захист даних).

Для цілей цієї Конвенції:

a) термін "персональні дані" означає будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною (далі - суб'єкт даних);

b) термін "файл даних для автоматизованої обробки" означає будь-який масив даних, що піддається автоматизованій обробці;

c) термін "автоматизована обробка" включає такі операції, що здійснюються повністю або частково за допомогою автоматизованих засобів: зберігання даних, виконання логічних та (або) арифметичних операцій із цими даними, їхню зміну, знищення, вибірку або поширення;

d) термін "контролер файлу" означає фізичну або юридичну особу, державний орган, установу чи будь-який інший орган, що уповноважений відповідно до національного законодавства вирішувати, яким повинно бути призначення файлу даних для автоматизованої обробки, які категорії персональних даних повинні зберігатися та які операції повинні здійснюватися з ними.

1. Сторони зобов'язуються застосовувати цю Конвенцію до файлів персональних даних для автоматизованої обробки та до автоматизованої обробки персональних даних у державному та приватному секторах.

2. Будь-яка Держава під час підписання або здачі на зберігання своєї ратифікаційної грамоти або документа про прийняття, схвалення або приєднання чи будь-коли в подальшому може повідомити за допомогою заяви на ім'я Генерального секретаря Ради Європи про те, що вона:

a) не буде застосовувати цієї Конвенції до певних категорій файлів персональних даних для автоматизованої обробки, перелік яких буде зданий на зберігання. Однак до цього переліку вона не повинна включати категорії файлів даних для автоматизованої обробки, які згідно з її внутрішнім законодавством підпадають під дію положень про захист даних. Отже, вона не повинна вносити змін до цього переліку за допомогою нової заяви щоразу, коли згідно з її внутрішнім законодавством під дію положень про захист персональних даних підпадають додаткові категорії файлів персональних даних для автоматизованої обробки;

b) також буде застосовувати цю Конвенцію до інформації, яка стосується груп осіб, асоціацій, фондів, компаній, корпорацій та будь-яких інших організацій, що безпосередньо чи опосередковано складаються з окремих осіб, незалежно від того, мають чи не мають такі установи статус юридичної особи;

c) також буде застосовувати цю Конвенцію до файлів персональних даних, які не обробляються автоматизовано.

3. Будь-яка Держава, що поширила сферу застосування цієї Конвенції за допомогою будь-якої із заяв, передбачених у підпунктах "b" і "c" викладеного вище пункту 2, може повідомити в зазначеній заяві, що такі поширення сфери застосування цієї Конвенції стосується лише певних категорій файлів персональних даних, перелік яких буде зданий на зберігання.

4. Будь-яка Сторона, яка за допомогою заяви, передбаченої в підпункті "a" викладеного вище пункту 2, виключила певні категорії файлів персональних даних для автоматизованої обробки, не може вимагати застосування Конвенції до таких категорій Стороною, яка не виключила їх.

5. Так само Сторона, яка не здійснила того чи того поширення, передбаченого в підпунктах "b" і "c" викладеного вище пункту 2, не може вимагати застосування цієї Конвенції за цими підпунктами стосовно Сторони, яка здійснила такі поширення.

6. Заяви, передбачені у викладеному вище пункті 2, набувають чинності з моменту набуття чинності Конвенцією для Держави, яка їх зробила, якщо такі заяви було зроблено під час підписання або здачі на зберігання її ратифікаційної грамоти або документа про прийняття, схвалення чи приєднання або через три місяці після отримання їх Генеральним секретарем Ради Європи, якщо вони їх було зроблено будь-коли в подальшому. Такі заяви можуть бути відкликані повністю або частково за допомогою повідомлення на ім'я Генерального секретаря Ради Європи. Такі відкликання набувають чинності через три місяці з дати отримання такого повідомлення.

1. Кожна Сторона вживає необхідних заходів стосовно свого внутрішнього законодавства для набуття чинності основними принципами захисту даних, викладеними в цій главі.

2. Таких заходів уживають принаймні тоді, коли ця Конвенція набуває чинності для відповідної Сторони.

Персональні дані, що піддаються автоматизованій обробці, повинні:

a) отримуватися та оброблятися сумлінно та законно;

b) зберігатися для визначених і законних цілей та не використовуватися в спосіб, не сумісний із цими цілями;

c) бути адекватними, відповідними та ненадмірними стосовно цілей, для яких вони зберігаються;

d) бути точними та в разі необхідності оновлюватися;

e) зберігатись у формі, яка дозволяє ідентифікацію суб'єктів даних не довше, ніж це необхідно для мети, для якої такі дані зберігаються.

Персональні дані, що свідчать про расову приналежність, політичні, релігійні чи інші переконання, а також дані, що стосуються здоров'я або статевого життя, не можуть піддаватися автоматизованій обробці, якщо внутрішнє законодавство не забезпечує відповідних гарантій. Це правило також застосовується до персональних даних, що стосуються засудження в кримінальному порядку.

Для захисту персональних даних, що зберігаються у файлах даних для автоматизованої обробки, уживають відповідних заходів безпеки, спрямованих на запобігання випадковому чи несанкціонованому знищенню або випадковій утраті, а також на запобігання несанкціонованим доступу, зміні або поширенню.

Будь-якій особі надається можливість:

a) з'ясувати існування файлу персональних даних для автоматизованої обробки, його головні цілі, а також особу та постійне місце проживання чи головне місце роботи контролера файлу;

b) отримувати через обґрунтовані періоди та без надмірної затримки або витрат підтвердження або спростування факту зберігання персональних даних, що її стосуються, у файлі даних для автоматизованої обробки, а також отримувати такі дані в доступній для розуміння формі;

c) вимагати у відповідних випадках виправлення або знищення таких даних, якщо вони оброблялися всупереч положенням внутрішнього законодавства, що запроваджують основоположні принципи, визначені у статтях 5 і 6 цієї Конвенції;

d) використовувати засоби правового захисту в разі невиконання передбаченого в пунктах "b" і "c" цієї статті прохання про підтвердження або у відповідних випадках про надання, виправлення або знищення персональних даних.

1. Винятки з положень статей 5, 6 та 8 цієї Конвенції дозволяються лише в рамках, визначених цією статтею.

2. Відхилення від положень статей 5, 6 та 8 цієї Конвенції дозволяється тоді, коли таке відхилення передбачене законодавством Сторони та є в демократичному суспільстві необхідним заходом, спрямованим на:

a) захист державної та громадської безпеки, фінансових інтересів Держави або на боротьбу з кримінальними правопорушеннями;

b) захист суб'єкта даних або прав і свобод інших людей.

3. Обмеження стосовно здійснення прав, визначених у пунктах "b", "c" та "d" статті 8, можуть установлюватися законодавством стосовно файлів персональних даних для автоматизованої обробки, що використовуються для цілей статистики або наукових досліджень у випадках явної відсутності небезпеки порушення недоторканості приватного життя суб'єктів даних.

Кожна Сторона зобов'язується встановити відповідні санкції та засоби правового захисту стосовно порушень положень внутрішнього права, що запроваджують основоположні принципи захисту персональних даних, визначені в цій главі.

Жодне з положень цієї глави не тлумачиться як таке, що обмежує можливості Сторони забезпечувати суб'єктам даних більший ступінь захисту, ніж передбачений цією Конвенцією, або як таке, що іншим чином завдає шкоди такій можливості.

1. Стосовно передачі через національні кордони за допомогою будь-яких засобів персональних даних, що піддаються автоматизованій обробці або зібраних з метою їхньої автоматизованої обробки, застосовуються такі положення.

2. Сторона не може лише з метою захисту недоторканості приватного життя забороняти чи обумовлювати спеціальними дозволами транскордонні потоки персональних даних, що передаються на територію іншої Сторони.

3. Однак кожна Сторона має право відступати від положень пункту 2:

a) якщо її законодавство містить конкретні положення для певних категорій персональних даних або файлів персональних даних для автоматизованої обробки, у зв'язку з особливостями цих даних або файлів, за винятком випадків, коли положення іншої Сторони забезпечують аналогічний захист;

b) якщо передача даних здійснюється з її території на територію Держави, що не є Договірною Державою, через територію іншої Сторони, для запобігання порушенню такою передачею законодавства Сторони, зазначеної на початку цього пункту.