Международный договор
Директива от 12 июля 2002 года № 2002/58/ЕС

В отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи) [рус., англ.]

Принята
Европейским парламентом
12 июля 2002 года,
Советом Европейского Союза
12 июля 2002 года
    (Брюссель, 12 июля 2002 года)
    (текст в редакции Директивы 2006/24/ЕС Европейского парламента и Совета ЕС от 15 марта 2006 г., Директивы 2009/136/ЕС Европейского парламента и Совета ЕС от 25 ноября 2009 г.)

    -------------------------------
    <*> Перевод Кудиновой О.П.
    <**> Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications). Опубликована в Официальном журнале (далее - ОЖ) N L 201, 31.7.2002, стр. 37.


    Европейский парламент и Совет Европейского Союза,
    руководствуясь Договором об учреждении Европейского сообщества, и, в частности, статьей 95,
    принимая во внимание рекомендации Европейской комиссии <*>,

    --------------------------------
    <*> ОЖ N C 365 E, 19.12.2000, стр. 223.


    принимая во внимание Заключение Европейского комитета по социальным и экономическим вопросам <*>,

    --------------------------------
    <*> ОЖ N C 123, 25.04.2001, стр. 53.


    руководствуясь разъяснениями Комитета регионов,
    действуя в соответствии с процедурой, предусмотренной статьей 251 Договора <*>,

    --------------------------------
    <*> Заключение Европейского парламента от 13 ноября 2001 г. (еще не опубликованное в Официальном журнале), Общая позиция Совета ЕС от 28 января 2002 г. (ОЖ N C 113 E, 14.05.2002, стр. 39) и Решение Европейского парламента от 30 мая 2002 г. (еще не опубликованное в Официальном журнале). Решение Совета ЕС от 25 июня 2002 г.


    поскольку:
    1) Директива Европейского парламента и Совета ЕС 95/46/ЕС от 24 октября 1995 г. о защите физических лиц при обработке персональных данных и свободном обращении таких данных <*> требует от государств-членов ЕС гарантий соблюдения прав и свобод физических лиц в связи с обработкой их персональных данных и в особенности их прав на конфиденциальность для обеспечения свободного движения потока информации о персональных данных в Сообществе.

    --------------------------------
    <*> ОЖ N L 281, 23.11.1995, стр. 31.


    2) Настоящая Директива стремится к соблюдению основополагающих прав и принципов, признанных в Хартии основных прав Европейского Союза. В частности, настоящая Директива стремится к обеспечению гарантий полного соблюдения прав, установленных статьями 7 и 8 названной Хартии.
    3) Конфиденциальность коммуникаций гарантируется в соответствии с международными нормами, касающимися прав человека, в частности, Европейской конвенцией о защите прав человека и основных свобод, а также конституциями государств-членов ЕС.
    4) Директива 97/66/ЕС Европейского парламента и Совета ЕС от 15 декабря 1997 г., касающаяся обработки персональных данных и защиты информации о частной жизни в сфере телекоммуникаций <*> перевела принципы, установленные в Директиве 95/46/ЕС в специальные правила, применяемые в сфере телекоммуникаций. Директива 97/66/ЕС должна быть адаптирована к изменениям на рынке и в технологиях оказания услуг электронной связи для обеспечения равного уровня защиты персональных данных и информации о частной жизни пользователей общедоступных услуг электронной связи независимо от используемых технологий. В связи с этим указанная Директива подлежит отмене и должна быть заменена настоящей Директивой.

    --------------------------------
    <*> ОЖ N L 24, 30.1.1998, стр. 1.


    5) В настоящее время новые передовые технологии вводятся в информационных сетях связи общего пользования в Сообществе, что порождает определенные требования к защите персональных данных и информации о частной жизни пользователя. Развитие информационного общества характеризуется введением новых услуг электронной связи. Доступ к цифровому мобильному Интернету стал возможным для широкой общественности. Данное средство цифровых телекоммуникаций имеет большую функциональную мощность и предлагает широкие возможности по обработке персональных данных. Успешное развитие этих услуг на международном уровне частично зависит от уверенности пользователей в том, что их частная жизнь будет находиться вне опасности.
    6) Интернет изменяет традиционные структуры рынка, предоставляя общую глобальную инфраструктуру для оказания широкого диапазона услуг электронной связи. Общедоступные услуги электронной связи через сеть Интернет открывают не только новые возможности для пользователей, но также и новые опасности, угрожающие их персональным данным и информации о личной жизни.
    7) Применительно к коммуникациям, осуществляемым посредством общедоступной телекоммуникационной сети, должны быть разработаны специальные законодательные, регулятивные и технические положения, с тем чтобы обеспечить защиту основных прав и свобод физических лиц и законных интересов юридических лиц. В особенности это имеет большое значение в связи с увеличивающейся способностью автоматизированного хранения и обработки персональных данных абонентов и пользователей.
    8) Законодательные, регламентарные и административные положения, принятые государствами-членами ЕС в отношении защиты персональных данных, информации о частной жизни и законных интересов юридических лиц в сфере электронных коммуникаций, должны быть согласованы, с тем чтобы избежать препятствий на внутреннем рынке услуг электронной связи в соответствии со статьей 14 Договора. Такое согласование должно быть сведено к установлению требований, необходимых для гарантии того, что продвижение и развитие новых услуг связи в сфере электронных коммуникаций и информационных сетей между государствами-членами ЕС не имеют препятствий.
    9) Государства-члены ЕС как провайдеры и пользователи совместно с компетентными органами Сообщества, должны сотрудничать в вопросах введения и развития соответствующих технологий, если это необходимо для обеспечения гарантий, предусмотренных настоящей Директивой, при этом принимая в особенный расчет цели минимизации обработки персональных данных и использования по возможности анонимных данных или данных, представленных под псевдонимом.
    10) В сфере электронных коммуникаций Директива 95/46/ЕС применяется, в частности, в отношении всех случаев, касающихся защиты основных прав и свобод, которые специально не затрагиваются настоящей Директивой, включая обязательства оператора и права индивидов. Директива 95/46/ЕС применяется в отношении не публичных услуг предоставления связи.
    11) Так же, как и Директива 95/46/ЕС, настоящая Директива не обращается к проблемам защиты основных прав и свобод, связанных с осуществлением видов деятельности, не регулируемых законодательством Сообщества. Поэтому она не изменяет существующий баланс между правом индивида на частную жизнь и возможностью государств-членов ЕС принять меры, упомянутые в статье 15 (1) настоящей Директивы, необходимые для защиты общественной безопасности, обороны, государственной безопасности (включая экономическое благосостояние государства, когда деятельность имеет отношение к делам государственной безопасности) и применение уголовного права. Следовательно, настоящая Директива не оказывает влияния на способность государств-членов ЕС производить законный перехват информации, передаваемой с помощью электронной связи, или принимать другие необходимые меры для любой из этих целей, в соответствии с Европейской конвенцией о защите прав человека и основных свобод, и разъяснениями, содержащимися в постановлениях Европейского суда по правам человека. Такие меры должны быть уместными, строго пропорциональными намеченной цели и необходимыми в пределах демократического общества и должны относиться к адекватным мерам безопасности в соответствии с Европейской конвенцией о защите прав человека и основных свобод.
    12) Абонентами общедоступных услуг электронной связи могут являться физические или юридические лица. В дополнение к Директиве 95/46/ЕС настоящая Директива имеет целью защиту основных прав физических лиц и, в частности, их права на частную жизнь так же, как и законных интересов юридических лиц. Настоящая Директива не влечет за собой обязательств государств-членов ЕС по расширению сферы применения Директивы 95/46/ЕС для защиты законных интересов юридических лиц, применяемой в рамках действующего законодательства Сообщества и национального законодательства.
    13) Договорное отношение между абонентом и провайдером может повлечь за собой осуществление абонентом периодических платежей или единовременной платы за оказанные услуги или услуги, подлежащей оказанию. Заранее оплаченные карты также рассматриваются в качестве договора.
    14) Местонахождение данных может характеризоваться широтой, долготой и высотой терминального оборудования пользователя, направлением пути, уровнем точности информации о размещении данных, идентификацией ячейки сети, в которой располагается терминальное оборудование пользователя в определенный момент времени, и временем регистрации информации о размещении данных.
    15) Коммуникация может включать любое обозначение, перечисление или адресацию информации, предоставленной отправителем сообщения или пользователем связи для осуществления коммуникации. Трафик данных может включать любое перемещение информации через сеть, по которой осуществляется коммуникация с целью передачи данных. Трафик данных, inter alia, включает сведения о направлении, длительности, времени передачи или объеме передаваемого сообщения, используемом протоколе, месте положения терминального оборудования отправителя или получателя сообщения, сети, по которой начинается или заканчивается соединение, начале, конце, продолжительности соединения. Эти данные также могут включать информацию о формате, в котором передается сообщение по сети передачи данных.
    16) Информация, являющаяся частью теле-радиовещательных услуг, предоставляемая через сеть связи общего пользования, предназначается для потенциально неограниченного круга лиц и не относится к коммуникациям в значении настоящей Директивы. Однако в случаях, когда индивидуальный пользователь или абонент, получающий такую информацию, может быть идентифицирован, например, при помощи услуги предоставления видеоканала по требованию, передаваемая информация охватывается понятием коммуникации, применяемым для целей настоящей Директивы.
    17) Для целей настоящей Директивы согласие пользователя или абонента, независимо от того, является последний юридическим или физическим лицом, должно иметь то же значение, что и согласие в отношении данных, определяемое и описываемое далее в Директиве 95/46/ЕС. Согласие может быть дано любым соответствующим способом, позволяющим установить свободно выраженное и осознанное волеизъявление пользователя, в том числе с помощью проставления отметки при посещении интернет-сайта.
    18) Дополнительные услуги могут, к примеру, включать консультации по выбору наименее дорогих тарифных планов, руководства по выбору маршрутов, транспортную информацию, прогнозы погоды и информацию для туристов.
    19) Предъявление определенных требований, относящихся к презентации и блокированию вызывающего и идентифицированного соединенного номера и автоматическому повтору вызова абонентского номера, связанного с моделирующим устройством, не должно производиться в обязательном порядке в случаях, когда выполнение таких требований окажется технически невозможным или потребует осуществления непропорциональных экономических затрат. Для заинтересованных сторон важно быть информированными о таких случаях, поэтому государствам-членам ЕС следует уведомлять о них Европейскую комиссию.
    20) Операторы должны принять соответствующие меры для обеспечения безопасности предоставляемых услуг, если это необходимо, то совместно с провайдером сети, и информировать абонентов о любых экстренных угрозах повреждения безопасности сети. Возможность наступления такой угрозы особенно характерна для услуг электронных коммуникаций, предоставляемых в открытой сети, такой как Интернет или в аналогичной ей мобильной телефонной сети. Абонентам и пользователям таких услуг особенно важно быть полностью информированными своими провайдерами о существующих угрозах повреждения безопасности, выходящих за пределы средств защиты, имеющихся у провайдера. Провайдеры, предоставляющие услуги коллективного доступа в сеть Интернет, должны информировать пользователей и абонентов о мерах, которые они могут предпринять для защиты безопасности их коммуникаций, например, с помощью использования специального программного обеспечения или технологий шифрования. Требование об информировании абонентов о возможных угрозах безопасности не освобождает провайдера от обязанности предпринять за свой счет соответствующие неотложные меры для нейтрализации любых новых непредвиденных угроз безопасности и восстановить нормальный уровень безопасности коммуникаций. Предоставление абоненту информации об угрозе безопасности должно быть бесплатным, за исключением той номинальной платы, которую осуществляет абонент при получении или сборе информации, например, при скачивании сообщения, отправленного по электронной почте. Безопасность оценивается в свете статьи 17 Директивы 95/46/ЕС.
    21) Для того чтобы защитить конфиденциальность коммуникаций, включая их содержание и любые данные, имеющие отношение к этим коммуникациям, должны быть предприняты меры по предотвращению несанкционированного доступа к таким коммуникациям посредством сетей связи общего пользования и общедоступных услуг электронной связи. Национальным законодательством отдельных государств-членов ЕС запрещается только международный несанкционированный доступ к коммуникациям.
    22) Запрещение хранения сообщений и относящихся к ним данных о трафике лицам, не являющимся пользователями, или без согласия пользователей не подразумевает запрет любого автоматического, промежуточного и временного хранения данной информации, необходимого исключительно в целях ее передачи по сети электронной связи. При этом предусматривается, что информация не хранится дольше, чем это необходимо для ее передачи и управления трафиком, и что в течение такого периода хранения гарантируется ее конфиденциальность. Настоящая Директива не должна препятствовать более длительному хранению такой информации при наличии необходимости оптимизации дальнейшей передачи общедоступной информации пользователям услуги по их запросу, учитывая, что эта информация будет в любом случае находиться в общем доступе без ограничения, и что любые данные об индивидуальных пользователях или абонентах, запрашивающих такую информацию, уничтожаются.
    23) Конфиденциальность коммуникаций должна также быть гарантирована в законной деловой практике. В случае, когда это необходимо и разрешено законодательно, сообщения могут быть записаны в целях предоставления доказательств совершения коммерческих сделок. Директива 95/46/ЕС предусматривает такую обработку данных. Стороны, обменивающиеся сообщениями, должны быть заранее осведомлены о том, что информация записывается, о целях записи информации и о длительности хранения информации. Сохраненное сообщение должно быть удалено, как только это будет возможным, но в любом случае не позднее окончания срока, в течение которого сделка может быть оспорена по закону.
    24) Терминальное оборудование пользователей сетей электронной связи и любая информация, хранящаяся на таком оборудовании, относятся к сфере частной жизни пользователей, требующей защиты в соответствии с Европейской конвенцией о защите прав человека и основных свобод. Так называемые шпионские программы, компьютерные вирусы, скрытые идентификаторы и другие аналогичные устройства могут внедряться на терминальное оборудование пользователей без их ведома с целями получения доступа к информации, хранения скрытой информации или отслеживания деятельности пользователя и могут серьезным образом вторгнуться в личную жизнь этих пользователей. Использование подобных программ может быть разрешено только в законных целях с уведомлением пользователей, которых это касается.
    25) Тем не менее, подобные программы, например, так называемые "cookies" <*> могут быть законным и полезным инструментом, к примеру, в анализе эффективности проекта вэб-сайта и его рекламирования, а также для подтверждения соответствия пользователей, совершающих сделки он-лайн. В случаях, когда указанные программы, например cookies, предназначаются для законной цели, такой как содействие оказанию информационных общественных услуг, их использование должно быть разрешено с условием, что пользователи обеспечиваются ясной и точной информацией в соответствии с Директивой 95/46/ЕС о целях cookies или аналогичных программ для гарантии того, что пользователи осознают информацию, помещенную на используемое ими терминальное оборудование. Пользователи должны иметь возможность отказаться от cookies или другой аналогичной программы, сохраненных на их терминальном оборудовании. Это особенно важно, когда кроме основного пользователя к его терминальному оборудованию имеют доступ другие пользователи, получающие тем самым доступ к личным сведениям, хранящимся на таком оборудовании. Предупреждение о сохранении программ на терминальном оборудовании пользователя и информирование пользователя о возможности отказа от такого сохранения может быть сделано однажды перед использованием различных программ, подлежащих установке на терминальном оборудовании пользователя в течение одного соединения, а также может распространяться на любое дальнейшее использование этих программ в течение последующих соединений. Предупреждение о сохранении программ на терминальном оборудовании пользователя и информирование пользователя о возможности отказа от такого сохранения, а также запрос согласия пользователя должны осуществляться максимально удобными для пользователя способами. Доступ к определенному содержанию вэб-сайта все еще может ставиться в зависимость от того, насколько хорошо cookies или аналогичное устройство, используемое в законных целях, осуществляет информационное распознавание.

    --------------------------------
    <*> Cookies - идентификационные файлы Интернет, сохраняемые на терминальном оборудовании пользователя, позволяющие сохранять индивидуальную информацию о пользователе сети - прим. перев.


    26) Данные об абонентах, обработанные в сетях электронной связи для установления соединения и передачи информации, содержат сведения о частной жизни физических лиц и касаются их прав на уважительное отношение к переписке либо затрагивают законные интересы юридических лиц. Такие данные могут храниться в пределах ограниченного срока, в течение того времени, которое необходимо для автоматизированного формирования счетов за пользование связью (биллинга) и за межсоединение. Любая дальнейшая обработка таких данных, которую может произвести провайдер общедоступных услуг электронной связи для продвижения услуг электронной связи или для оказания дополнительных услуг, может быть осуществлена только с согласия абонента, полученного на основе точной и полной информации, предоставленной провайдером общедоступных услуг электронной связи. Данная информация должна содержать сведения о видах дальнейшей обработки данных, которые собирается произвести провайдер и о праве абонента не давать согласие или аннулировать свое согласие на такую обработку. Данные трафика, использованные для продвижения услуг связи или для оказания дополнительных услуг также должны быть удалены или сделаны анонимными после оказания услуги. Провайдеры должны всегда держать абонентов в курсе того, какие виды данных они обрабатывают, с какими целями и в течение какого периода времени.
    27) Точный момент завершения передачи сообщения, после которого данные трафика подлежат удалению, за исключением целей биллинга, может зависеть от вида предоставляемых услуг электронных коммуникаций. Например, при телефонном звонке передача голосового сообщения будет завершена в тот момент, когда любой из пользователей прекратит соединение. При использовании электронной почты передача сообщения заканчивается в тот момент, когда адресат получает сообщение, как правило, от сервера своего провайдера.
    28) Обязательство удалить данные трафика или сделать такие данные анонимными после того, как в них исчезает необходимость для передачи сообщения, не противоречит таким процедурам в Интернет, как кэширование в доменной именной системе IP адресов или кэширование IP адресов, привязанных к физическим адресам или использование информации о логине для управления правом доступа к сетям или услугам.
    29) Провайдер услуг при необходимости в индивидуальных случаях может обрабатывать данные трафика, имеющие отношение к абонентам и пользователям, для обнаружения технического отказа или ошибки в передаче сообщений. Данные трафика, необходимые для биллинга, также могут быть обработаны провайдером для обнаружения и пресечения мошенничества, заключающегося в неоплаченном пользовании услугами электронной связи.
    30) Системы предоставления услуг пользования сетями электронной связи должны быть разработаны так, чтобы ограничить количество необходимых персональных данных до строгого минимума. Любые виды деятельности, относящиеся к услугам электронной связи, но не связанные с передачей сообщений и биллингом, должны основываться на обобщенных данных трафика, которые не могут относиться к абонентам и пользователям. В случае, когда такие виды деятельности не могут быть основаны на обобщенных данных, их следует рассматривать как дополнительные услуги, для которых требуется согласие абонента.
    31) Необходимость получения согласия пользователя или абонента на обработку персональных данных в целях оказания отдельной дополнительной услуги будет зависеть от данных, подлежащих обработке, и от вида услуги, подлежащей оказанию, а также от того, будет ли возможно технически, процедурно и в договорном порядке различить, каким абонентом осуществляется индивидуальное пользование услугой электронной связи: физическим или юридическим лицом.
    32) В случае, когда провайдер услуг электронной связи или дополнительных услуг заключает с другим юридическим лицом агентский договор по обработке персональных данных, необходимых для предоставления этих услуг, такой договор и последующая обработка данных должны быть в полном соответствии с требованиями, предъявляемыми к операторам и обработчикам по обработке персональных данных, установленными в Директиве 95/46/ЕС. В случае, когда предоставление дополнительных услуг требует направления данных трафика или данных местоположения провайдером услуг электронной связи провайдеру дополнительных услуг, абоненты или пользователи, к которым относятся эти данные, должны быть также полностью информированы о совершении такой отправки перед тем, как дать свое согласие на обработку данных.
    33) Введение перечисленных биллинговых счетов улучшило положение абонентов, предоставив им возможность проверять точность снимаемых провайдером сумм. В то же время данное нововведение способно подвергнуть угрозе безопасность информации о частной жизни пользователей общедоступных услуг электронной связи. Поэтому для защиты информации о частной жизни пользователей государствам-членам ЕС следует поощрять развитие таких опций услуг электронной связи, как альтернативные системы оплаты, позволяющие осуществлять анонимный или строго частный доступ к общедоступным услугам электронной связи, например, с помощью телефонных карт или оплату с помощью кредитных карт. К тому же государства-члены ЕС могут просить операторов предлагать своим абонентам другой вид детализированного счета, в котором определенное количество цифр вызываемого номера было удалено.
    34) Что касается идентификации вызывающего номера, то здесь необходимо защитить право вызывающей стороны скрывать показ номера, с которого осуществляется вызов, а также право принимающей стороны отклонять вызовы с неопределенных номеров. В определенных случаях существует обоснование для отмены устранения показа номера, с которого осуществляется вызов. Определенные абоненты, в частности, телефонные линии помощи и подобные организации, заинтересованы в гарантировании анонимности вызывающих их абонентов. Что касается соединенного номера, то здесь необходимо защитить право и законный интерес вызываемой стороны отказать в показе идентифицированного номера, с которым вызывающая сторона уже соединена, в особенности в случае последующих вызовов. Провайдеры общедоступных услуг электронной связи должны информировать своих абонентов о наличии в сети идентификации вызывающего и соединенного номера и обо всех услугах, предлагаемых на базе идентификации вызывающего и соединенного номера, так же как и о доступных частных опциях. Это позволит абонентам сделать выбор, основанный на знаниях о частных опциях, которые они могут использовать. Частные опции, предлагаемые для каждого телефонного номера, не обязательно должны быть доступны в качестве автоматической услуги сети, но могут быть получены по простому запросу, направленному провайдеру общедоступных услуг электронной связи.
    35) В цифровых мобильных сетях данные о географическом местоположении терминального оборудования пользователя услуг мобильной связи обрабатываются для того, чтобы сделать возможной передачу сообщений. Такие данные являются данными трафика, подпадающими под действие статьи 6 настоящей Директивы. Однако, в дополнение, цифровые мобильные сети могут располагать возможностью по обработке данных местоположения, более точных, чем это необходимо для передачи сообщений, и используемых для предоставления дополнительных услуг, таких как индивидуализированная информация о трафике или путевой навигатор для водителей. Обработка данных, необходимых для оказания дополнительных услуг, может допускаться только после получения согласия абонентов на такую обработку. Даже в случаях, когда абоненты дали свое согласие, они должны иметь возможность бесплатно и простым способом изъявить временный отказ от обработки данных местоположения.
    36) Государства-члены ЕС могут ограничить права пользователей и абонентов на частную жизнь в отношении определения номера вызывающего абонента, в случаях, когда это необходимо для отслеживания злонамеренных вызовов, а также в отношении определения номера вызывающего абонента и данных местоположения, когда это необходимо в целях наиболее эффективного выполнения своих задач службами скорой помощи. Государства-члены ЕС могут принять специальные положения для того, чтобы уполномочить провайдеров услуг электронной связи обеспечивать доступ к определению номера вызывающего абонента и данным местоположения без предварительного согласия заинтересованных абонентов или пользователей.
    37) Абонентам должны быть предоставлены гарантии от помех, которые могут быть вызваны автоматическим повтором вызова другими лицами. Более того, в таких случаях абонентам должна быть предоставлена возможность остановить повторные вызовы, посылаемые на их оборудование, простым запросом, направленным провайдеру общедоступных услуг электронной связи.
    38) Справочники абонентов услуг электронной связи широко распространены и общедоступны. Право на частную жизнь физических лиц и законные интересы юридических лиц требуют предоставления абонентам возможности определить, опубликованы ли их личные данные в справочнике, и если да, то какие именно. Поставщики общедоступных справочников должны информировать абонентов, подлежащих включению в справочник, о целях, которые преследует справочник и о любом возможном способе использования электронной версии общедоступного справочника, особенно о таких функциях поиска, встроенных в программное обеспечение, как обратный поиск, позволяющий пользователям справочника находить имя и адрес абонента на основе одного телефонного номера.
    39) Обязательство информировать абонентов о целях общедоступных справочников, в которые подлежат включению личные данные абонентов, возлагается на сторону, собирающую данные для такого включения. В случаях, когда данные могут быть переданы одному или более третьим лицам, абонент должен быть информирован о такой возможности и о получателях или категориях возможных получателей. Любая передача данных возможна при условии, что данные не могут быть использованы для целей иных, чем те, для которых они были собраны. Если сторона, осуществляющая сбор данных у абонента, или любая третья сторона, в адрес которой были переданы данные, желает использовать данные для какой-либо дополнительной цели, то новое согласие абонента должно быть получено либо инициативной стороной по сбору данных, либо третьей стороной, в адрес которой были переданы данные.
    40) Абонентам должны быть предоставлены гарантии от невмешательства в их частную жизнь незапрашиваемых сообщений, посылаемых в целях прямого маркетинга с помощью устройств автоматического вызова, телефаксов, электронных писем, в том числе SMS сообщений. Эти формы незапрашиваемых коммерческих сообщений с одной стороны относительно просты и дешевы для отправки, но с другой стороны могут наложить бремя оплаты на получателя. Более того, в некоторых случаях их объем может создать трудности для сетей электронной связи и терминального оборудования. Для таких форм незапрашиваемых сообщений, посылаемых в целях прямого маркетинга, оправдано требовать того, чтобы перед отправкой таких сообщений было получено явное согласие получателей. Единый рынок требует согласованного подхода для обеспечения простых общих правил Сообщества для организаций и пользователей.
    41) В контексте существующих клиентских отношений будет разумным допустить использование данных электронного контакта для предложения аналогичных товаров и услуг, но только той компанией, которая получила данные электронного контакта в соответствии с Директивой 95/46/ЕС. После того, как получены данные электронного контакта, клиент должен быть информирован об их дальнейшем использовании в целях прямого маркетинга ясным и отчетливым образом, а также должен получить возможность изъявить отказ от такого использования данных. Уведомление о возможности отказа должно осуществляться бесплатно при каждом последующем сообщении, посылаемом в целях прямого маркетинга, за исключением платы, взимаемой за передачу сообщения, содержащего отказ.
    42) Другие формы прямого маркетинга, которые являются более дорогостоящими для отправителя и не налагают никаких финансовых затрат на абонентов и пользователей, такие как голосовые телефонные звонки одного лица другому, могут оправдывать поддержание системы, дающей абонентам или пользователям возможность показывать, что они не хотят получать такие звонки. Однако для того чтобы не уменьшать существующие уровни защиты информации о частной жизни, государства-члены ЕС должны наделяться правом поддерживать национальные системы, позволяя осуществлять такие звонки только в отношении тех абонентов и пользователей, которые дали свое предварительное согласие.
    43) В целях обеспечения эффективной реализации правил Сообщества в отношении незапрашиваемых сообщений в целях прямого маркетинга необходимо запретить использование ложных идентификаторов или ложных адресов возврата или номеров во время отправки незапрашиваемых сообщений в целях прямого маркетинга.
    44) Отдельные системы электронной почты позволяют абонентам просматривать отправителя и предметную линию электронной почты, а также удалять сообщение без необходимости загрузки остального содержания электронного сообщения и любых прикрепленных файлов, снижая таким образом затраты, которые могут возникнуть в результате загрузки незапрашиваемых электронных сообщений или прикрепленных файлов. Данные меры могут продолжать оставаться полезными в отдельных случаях как дополнительное средство к основным обязательствам, установленным в настоящей Директиве.
    45) Настоящая Директива не противоречит мерам, принимаемым государствами-членами ЕС для защиты законных интересов юридических лиц в отношении незапрашиваемых сообщений, отправляемых в целях прямого маркетинга. В случаях когда государства-члены ЕС устанавливают для юридических лиц, являющихся в основном деловыми пользователями, реестр, свободный от получения незапрашиваемых сообщений, полностью применяются положения статьи 7 Директивы 2000/31/ЕС Европейского парламента и Совета ЕС от 8 июня 2000 г. о некоторых правовых аспектах услуг информационного общества и, в частности, об электронной торговле на внутреннем рынке (Директива об электронной торговле <*>).

    --------------------------------
    <*> ОЖ N L 178, 17.07.2000, стр. 1.


    46) Функциональные возможности для оказания услуг электронной связи могут быть интегрированы в сети или в любой части терминального оборудования пользователя, включая программное обеспечение. Защита персональных данных и информации о частной жизни пользователя общедоступных услуг электронной связи должна быть независимой от конфигурации различных компонентов, необходимых для оказания услуги и от распределения необходимых функциональных возможностей между этими компонентами. Директива 95/46/ЕС охватывает любую форму обработки персональных данных независимо от используемой технологии. Существование особых правил оказания услуг электронной связи наряду с общими правилами для других компонентов, необходимых для оказания таких услуг, не может способствовать защите персональных данных и информации о частной жизни технологически нейтральным способом. В связи с этим представляется необходимым принятие мер, требующих от производителей отдельных видов оборудования, используемого для оказания услуг электронной связи, создавать их программный продукт таким образом, чтобы он содержал гарантии того, что персональные данные и информация о частной жизни абонентов и пользователей защищены должным образом. Принятие таких мер в соответствии с Директивой 1999/5/ЕС Европейского парламента и Совета ЕС от 9 марта 1999 г. о радиооборудовании и телекоммуникационном терминальном оборудовании и взаимном признании их соответствия <*> будет гарантировать, что внедрение технических особенностей оборудования для оказания услуг электронной связи, включая программное обеспечение для защиты данных, согласовано таким образом, чтобы соответствовать потребностям обеспечения внутреннего рынка.

    --------------------------------
    <*> ОЖ N L 91, 07.04.1999, стр. 10.


    47) В случае если произошло несоблюдение прав пользователей и абонентов, национальное законодательство должно предусматривать судебные средства защиты. Штрафы должны быть наложены на любое лицо, независимо от того какое право на него распространяется: частное или публичное, если данное лицо не в состоянии выполнить меры, принятые в соответствии с настоящей Директивой.
    48) В сфере применения настоящей Директивы будет полезным заимствование опыта Рабочей группы по защите личности в связи с обработкой персональных данных, созданной в соответствии со статьей 29 Директивы 95/46/ЕС, и состоящей из представителей контрольных органов государств-членов ЕС.
    49) В целях обеспечения соответствия с положениями настоящей Директивы, необходимо предпринять отдельные специальные меры по обработке данных, выполнимые уже на дату вступления в силу национального законодательства, вводящего в действие нормативные акты, принятые согласно настоящей Директиве,
    приняли настоящую Директиву:
    1.Настоящая Директива обеспечивает гармонизацию национальных положений, необходимых для гарантии соответствующего уровня защиты основных прав и свобод, и, в частности, права на частную жизнь и конфиденциальность информации о частной жизни в связи с обработкой персональных данных в сфере электронных коммуникаций, и для обеспечения свободного движения таких данных, передвижения оборудования для электронной связи и услуг электронной связи в Сообществе.
    2.Положения настоящей Директивы конкретизируют и дополняют Директиву 95/46/ЕС в целях, указанных в пункте 1 настоящей статьи. Более того, положения настоящей Директивы предусматривают защиту законных интересов абонентов, являющихся юридическими лицами.
    3.Настоящая Директива не должна применяться в отношении видов деятельности, которые выходят за пределы регулирования Договора об учреждении Европейского сообщества, таких как те, что подпадают под действие разделов V и VI Договора о Европейском Союзе, и в любом случае не должна применяться в отношении видов деятельности, касающихся общественной безопасности и обороны, государственной безопасности (включая экономическое благосостояние государства, когда речь идет о делах государственной безопасности) и в отношении деятельности государства в областях уголовного права.

    --------------------------------
    <*> Часть пунктов статьи удалена актами, вносящими изменения - прим. перев.


    Если не предусмотрено иное, определения, содержащиеся в Директиве 95/46/ЕС и в Директиве 2002/21/ЕС Европейского парламента и Совета ЕС от 7 марта 2002 г. об общих рамках регулирования электронных коммуникационных сетей и услуг (Рамочная директива <*>), подлежат применению.

    --------------------------------
    <*> ОЖ N L 108, 24.04.2002, стр. 33.


    Также подлежат применению следующие определения:
    a) под "пользователем" понимается любое физическое лицо, которое потребляет услуги электронной связи общего доступа в личных или деловых целях без обязательной предварительной подписки на предоставление таких услуг;
    b) под "данными трафика" понимаются данные, обработанные в целях осуществления передачи сообщения по сети электронной связи или в целях формирования счета за пользование услугами электронной связи;
    c) под "данными местоположения" понимаются любые данные, обработанные в сети электронной связи или службой предоставления услуг электронной связи, отражающие географическое местоположение конечной станции пользователя общедоступных услуг;
    d) под "сообщением" понимается любая информация, которой обмениваются или которая передается между ограниченным кругом лиц посредством общедоступных услуг электронной связи. В это понятие не включается информация, передаваемая в рамках широкого оповещения общественности по сети электронной связи, за исключением случаев, когда передаваемая информация может иметь отношение к определенному пользователю или абоненту, получающему эту информацию;
    f) "согласие" абонента или пользователя соответствует определению согласия в отношении данных в Директиве 95/46/ЕС;
    g) под "дополнительной услугой" понимается любая услуга, требующая обработки данных трафика или данных местоположения, являющихся дополнительными к тем данным, которые необходимы для передачи сообщения или формирования счетов за пользование связью;
    h) под "электронной почтой" понимается любое текстовое, голосовое, звуковое или графическое сообщение, посланное через общедоступную сеть связи, которое может храниться в сети или на терминальном оборудовании получателя до того момента, как оно будет принято получателем;
    i) под "повреждением системы безопасности персональных данных" понимается повреждение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, сохраненным или обработанным иным образом в связи с предоставлением общедоступных услуг электронной связи в Сообществе.
    Настоящая Директива должна применяться в отношении обработки персональных данных в связи с предоставлением общедоступных услуг электронной связи в сетях связи коллективного доступа в Сообществе, в том числе в сетях связи коллективного доступа, поддерживающих сбор данных и устройства идентификации.
    1.Провайдер общедоступных услуг электронной связи должен предпринять необходимые технические и организационные меры для обеспечения безопасности предоставляемых услуг, при необходимости совместно с провайдером сети связи общего доступа, если это касается вопроса безопасности сети. Принимая во внимание уровень развития технологий и стоимость их внедрения, данные меры должны гарантировать уровень безопасности, соответствующий имеющимся угрозам.
    1a. Не нарушая Директивы 95/46/ЕС, меры, упоминаемые в пункте 1 настоящей статьи, должны по меньшей мере:
    - гарантировать, что доступ к персональным данным может быть предоставлен только уполномоченному персоналу в разрешенных законом целях,
    - защищать персональные данные, сохраненные или переданные, от случайного или незаконного уничтожения, случайной потери или изменения, несанкционированного или незаконного хранения, обработки, доступа или раскрытия и
    - гарантировать введение политики безопасности в отношении обработки персональных данных.
    Соответствующие национальные органы власти должны иметь возможность проверить меры, принятые провайдерами общедоступных услуг электронной связи и издать рекомендации о лучших достижениях в отношении уровня безопасности, полученных в результате принятых мер.
    2.При наличии определенной угрозы повреждения системы безопасности сети, провайдер общедоступных услуг электронной связи должен информировать абонентов в отношении такой угрозы, а в случаях, когда угроза выходит за пределы средств защиты, доступных провайдеру, - о любых возможных средствах защиты, включая информацию о затратах на их приобретение.
    3.В случае повреждения системы безопасности персональных данных провайдер общедоступных услуг электронной связи должен без необоснованного промедления довести до сведения компетентных национальных органов власти о таком повреждении.
    При наличии вероятности того, что повреждение системы безопасности персональных данных неблагоприятным образом затронет персональные данные или информацию о частной жизни абонента или индивидуального пользователя, провайдер также должен без необоснованного промедления уведомить абонента или индивидуального пользователя о таком повреждении.
    Уведомление абонента или индивидуального пользователя о повреждении безопасности персональных данных не требуется, если провайдер продемонстрировал компетентным органам то, что им были приняты необходимые технологические защитные меры, и то, что эти меры были применены в отношении данных, затронутых в результате повреждения системы безопасности. Такие технологические защитные меры должны представить данные, непонятные любому лицу, не имеющему к ним санкционированного доступа.
    Без ущерба действию обязательств провайдера по уведомлению абонентов и заинтересованных индивидов, в случаях, когда провайдер еще не уведомил абонента или индивида о повреждении в системе безопасности персональных данных, компетентные национальные органы власти, оценив вероятные отрицательные последствия этого повреждения, могут потребовать от провайдера осуществить такое уведомление.
    Уведомление абонента или индивида должно как минимум описывать характер повреждения системы безопасности персональных данных, содержать указание на контактные пункты, где можно получить дополнительную информацию, и на меры, которые могут быть приняты для того, чтобы смягчить возможные неблагоприятные последствия от повреждения в системе безопасности персональных данных. Уведомление, обращенное к национальным компетентным органам власти, должно, кроме того, описывать последствия повреждения системы безопасности персональных данных, меры, предложенные и принятые провайдером в отношении адресата, само повреждение системы безопасности персональных данных.
    4.В связи с любыми техническими мерами, принятыми в соответствии с пунктом 5 настоящей статьи, компетентные национальные органы могут принять руководящие положения, и в случае необходимости издать инструкции, касающиеся обстоятельств, при наступлении которых провайдеры услуг обязаны сделать уведомление о повреждении в системе безопасности персональных данных, формате такого уведомления и способе его осуществления. Указанные органы также должны иметь возможность проверить, выполнили ли провайдеры услуг свои обязательства по осуществлению уведомления в соответствии с настоящим пунктом, и наложить соответствующие штрафные санкции, в случае если провайдеры не поступили должным образом.
    Провайдеры услуг должны вести учет повреждений в системе безопасности персональных данных, включая в список факты, связанные с повреждением, последствия повреждения, и принятые меры по восстановлению. Включенные в список факты должны быть достаточными для того, чтобы дать возможность компетентным национальным органам власти проверить их на соответствие положениям пункта 3 настоящей статьи. Данный список должен включать только информацию, необходимую для этой цели.
    5.Для обеспечения последовательности выполнения мер, указанных в пунктах 2, 3 и 4 настоящей статьи, Европейская комиссия может после консультации с Европейским агентством по сетевой и информационной безопасности (ENISA), Рабочей группой по защите личности в связи с обработкой персональных данных, основанной в соответствии со статьей 29 Директивы 95/46/ЕС, а также Европейским контролирующим органом по защите данных, принять технические исполнительные меры, касающиеся обстоятельств, формата и процедур, применимых к требованиям по информированию и осуществлению уведомления, упоминаемым в настоящей статье. При принятии таких мер Европейская комиссия должна привлечь всех имеющих отношение к делу заинтересованных лиц для того, чтобы быть информированными о лучших технических и экономических способах реализации настоящей статьи.
    Меры, разработанные для того, чтобы исправить несущественные элементы настоящей Директивы, дополняя ее, должны быть приняты в соответствии с регулятивной процедурой с уточнением, содержащимся в пункте 2 статьи 14a настоящей Директивы.
    1.Государства-члены ЕС в своем национальном законодательстве должны гарантировать конфиденциальность передаваемых сообщений и относящихся к ним данных трафика посредством сети связи общего пользования и общедоступных услуг электронной связи. В частности, они должны запретить прослушивание, несанкционированное подключение, хранение или другие виды перехвата или слежки за сообщениями и относящимися к ним данными трафика лицам, не являющимся пользователями, без согласия заинтересованных пользователей, кроме случаев получения санкционированного разрешения на осуществление этих действий в соответствии с пунктом 1 статьи 15 настоящей Директивы. Положения настоящего пункта не должны препятствовать техническому хранению, необходимому для передачи сообщения, не нарушая принципа конфиденциальности.
    2.Пункт 1 настоящей статьи не должен затрагивать законодательно разрешенную запись сообщений и относящихся к ним данных трафика, когда такая запись производится в ходе законной деловой практики для целей предоставления доказательства совершения коммерческой сделки или осуществления любого другого делового взаимодействия.
    3.Государства-члены ЕС должны гарантировать, что хранение информации или получение доступа к информации, уже сохраненной на терминальном оборудовании абонента или пользователя, допускается только при условии, что заинтересованный абонент или пользователь дали свое согласие, будучи обеспеченными точной и полной информацией в соответствии с Директивой 95/46/ЕС, помимо прочего, о целях обработки информации. Данное положение не должно препятствовать любому техническому хранению или доступу к информации с единственной целью осуществления передачи сообщения по сети электронной связи, или в случае наличия необходимости оказания провайдером услуги информационного общества соответствующих услуг по явно выраженному запросу абонента или пользователя.
    1.Данные трафика, касающиеся абонентов и пользователей, обработанные и сохраненные провайдером сети связи общего доступа или провайдером общедоступных услуг электронной связи, должны быть уничтожены или сделаны анонимными, если в них нет дальнейшей необходимости для передачи сообщения, без ущерба действию пунктов 2, 3 и 5 настоящей статьи и пункта 1 статьи 15 настоящей Директивы.
    2.Данные трафика, необходимые для формирования счетов абонента за пользование связью и межсоединение, могут быть обработаны. Такая обработка допустима только до истечения периода времени, в течение которого может быть законодательно оспорен счет за услуги или взыскана плата за межсоединение.
    3.В целях продвижения услуг электронных коммуникаций или дополнительных услуг провайдер общедоступных услуг электронной связи может осуществлять обработку данных, упоминаемых в пункте 1 настоящей статьи. Данная обработка допускается до той степени и на протяжении такого периода времени, какие необходимы для подобных услуг или маркетинга, при условии, что абонент или пользователь, к которым относятся эти данные, дал свое предварительное согласие на их обработку. Абонентам или пользователям должна быть предоставлена возможность отозвать свое согласие на обработку данных трафика в любое время.
    4.Провайдер услуг должен информировать абонента или пользователя о видах данных трафика, находящихся в обработке, и о длительности такой обработки для целей, упоминаемых в пункте 2 настоящей статьи, и до получения согласия, в целях, упоминаемых в пункте 3 настоящей статьи.
    5.Обработка данных трафика в соответствии с пунктами 1, 2, 3 и 4 настоящей статьи должна быть ограничена для лиц, действующих под руководством провайдеров сетей связи общего доступа, провайдеров общедоступных услуг электронной связи, в пределах, необходимых для осуществления данными лицами следующих видов деятельности: управления трафиком или биллингом, рассмотрения требований клиентов, обнаружения мошенничества, продвижения услуг электронной связи или предоставления дополнительных услуг.
    6.Пункты 1, 2, 3 и 5 настоящей статьи подлежат применению без ущерба действию возможности компетентных органов быть информированными о данных трафика в соответствии с применимым законодательством в целях урегулирования споров, в частности, споров по вопросам межсоединения и биллинга.
    1.Абоненты должны иметь право получать не детализированные счета.
    2.Государства-члены ЕС должны применять национальные положения для того, чтобы согласовать права абонентов, получающих детализированные счета, с правом вызывающих пользователей и вызываемых абонентов на неприкосновенность частной жизни, например, путем гарантирования доступности для указанных пользователей или абонентов таких приемлемых альтернативных способов коммуникаций или осуществления платежей, которые повышают безопасность их частной жизни.
    1.В случае, когда предлагается показ определения вызывающего номера, провайдер услуг должен предоставить вызывающему пользователю возможность простыми способами и бесплатно отменить показ определения вызывающего номера в отношении каждого вызова. Вызывающий абонент должен иметь такую возможность в отношении каждого телефонного номера.
    2.В случае, когда предлагается показ определения вызывающего номера, провайдер услуг должен предложить вызывающему абоненту возможность обоснованно, бесплатно и простым способом использовать функцию по отмене показа определения вызывающего номера для входящих вызовов.
    3.В случае, когда предлагается показ определения вызывающего номера и когда такой показ осуществляется перед тем, как будет установлен вызов, провайдер услуг должен предоставить вызываемому абоненту возможность с использованием простых средств отклонять входящие вызовы, по которым вызывающим абонентом или пользователем был заранее отменен показ определения вызывающего номера.
    4.В случае, когда предлагается показ соединенного номера, провайдер услуг должен предоставить вызываемому абоненту бесплатную возможность с использованием простых средств отменять показ соединенного номера для вызывающего пользователя.
    5.Пункт 1 настоящей статьи должен также применяться в отношении вызовов, адресованных в третьи страны, появляющиеся в Сообществе. Пункты 2, 3 и 4 настоящей статьи также должны применяться в отношении входящих вызовов в третьих странах.
    6.Государства-члены ЕС должны гарантировать, что в случаях, когда предлагается показ вызывающего и/или соединенного номера, провайдер общедоступных услуг электронной связи информирует об этом общественность, а также он информирует о возможностях, установленных в пунктах 2, 3 и 4 настоящей статьи.
    1.В случаях, когда допускается возможность обработки данных местоположения, отличных от данных трафика и имеющих отношение к абонентам или пользователям общедоступных услуг электронной связи, такие данные могут быть обработаны только после того, как они будут сделаны анонимными, или с согласия пользователей или абонентов. При этом такая обработка допускается до той степени и в течение такого периода времени, какие необходимы для оказания дополнительных услуг. Провайдер услуг должен информировать пользователей или абонентов перед получением их согласия о типе данных местоположения, отличных от данных трафика, которые будут обрабатываться, о длительности и целях обработки, а также о том, будут ли передаваться данные третьей стороне в целях оказания дополнительных услуг. Пользователям или абонентам должна быть предоставлена возможность в любое время отозвать свое согласие на обработку данных местоположения, отличных от данных трафика.
    2.В случае, когда согласие пользователя или абонента на обработку данных местоположения, отличных от данных трафика, уже получено, у пользователя или абонента должна сохраняться возможность простым способом и бесплатно временно отказаться от обработки таких данных применительно к каждому соединению с сетью или каждой передаче сообщения.
    3.Обработка данных местоположения, отличных от данных трафика в соответствии с пунктами 1 и 2 настоящей статьи, должна быть ограничена для лиц, действующих под руководством провайдера сети связи общего доступа или провайдера общедоступных услуг электронной связи или третьей стороны, предоставляющей дополнительные услуги. Данное ограничение должно осуществляться до пределов, необходимых для предоставления дополнительных услуг.
    Государства-члены ЕС должны гарантировать, что существуют прозрачные процедуры, регулирующие способ, которым провайдер сети связи общего пользования и/или общедоступных услуг электронной связи может устранить:
    a) временную отмену показа определения вызывающего номера по заявлению абонента, требующего отслеживания злонамеренных вызовов или вызовов, создающих помехи. В этом случае в соответствии с национальным законодательством данные номера вызывающего абонента, будут сохраняться и будут сделаны доступными провайдером сети связи общего пользования и/или общедоступных услуг электронной связи;
    b) отмену показа определения номера вызывающего абонента и временный отказ или отсутствие согласия абонента или пользователя на обработку данных местоположения в отношении каждого телефонного номера для организаций, имеющих дело с экстренными вызовами и признаваемыми таковыми государством-членом ЕС, в том числе для правоохранительных органов, служб скорой медицинской помощи, пожарных команд в целях реагирования на такие вызовы.
    Государства-члены ЕС должны гарантировать, что любой абонент имеет возможность простым способом и бесплатно остановить автоматический повтор вызова, посылаемого на терминальное оборудование абонента третьей стороной.
    1.Государства-члены ЕС должны гарантировать, что абоненты перед включением их в справочник бесплатно проинформированы о цели (целях) печатного или электронного справочника абонентов, находящегося в свободном доступе или запрашиваемого через справочные службы, в которые могут быть включены их персональные данные, и о любых дальнейших возможностях использования данных, основанных на функциях поиска, встроенных в электронные версии справочника.
    2.Государства-члены ЕС должны гарантировать, что абонентам предоставлена возможность определять, включены ли их персональные данные в общедоступный справочник. Если персональные данные абонентов включены в общедоступный справочник, то абонентам должна быть предоставлена возможность определять, до какой степени эти данные имеют отношение к целям справочника, определенным поставщиком справочника, а также возможность проверять, вносить исправления в данные или отзывать такие данные. Отказ абонентов от включения их данных в общедоступный справочник абонентов, проверка персональных данных, внесение в них исправлений или отзыв персональных данных из справочника абонентов должны осуществляться бесплатно.
    3.Государства-члены ЕС могут потребовать, чтобы для любых целей общедоступного справочника, иных, чем поиск деталей контакта людей на базе их имени и необходимого минимального количества других идентификационных признаков, было запрошено дополнительное согласие абонентов.
    4.Пункты 1 и 2 настоящей статьи должны применяться в отношении абонентов, являющихся физическими лицами. Государства-члены ЕС также должны гарантировать в рамках законодательства Сообщества и применимого национального законодательства, что законные интересы абонентов, не являющихся физическими лицами, в связи с внесением их в общедоступные справочники достаточно защищены.
    1.Использование систем связи автоматического повтора вызова без человеческого вмешательства (устройства автоматического дозвона), факсимильных аппаратов (факсов) или электронной почты в целях прямого маркетинга допускается только в отношении абонентов или пользователей, давших свое предварительное согласие.
    2.Несмотря на положения пункта 1 настоящей статьи, в случаях когда физическое или юридическое лицо получает от своих клиентов адрес электронной почты в связи с продажей товара или оказанием услуги, в соответствии с Директивой 95/46/ЕС то же самое физическое или юридическое лицо может использовать эти адреса в целях прямого маркетинга своих собственных аналогичных товаров и услуг при условии, что клиентам ясно и отчетливо предоставляется возможность возражать бесплатно и простым способом против такого использования их электронных адресов во время предоставления ими своих адресов и при получении ими каждого сообщения в том случае, если клиент первоначального не отказался от использования своего электронного адреса.
    3.Государства-члены ЕС должны принять соответствующие меры для гарантии недопущения отправки незапрашиваемых сообщений в целях прямого маркетинга, в случаях иных, чем те, что упоминаются в пунктах 1 и 2 настоящей статьи, как без согласия заинтересованных абонентов и пользователей, так и в отношении абонентов или пользователей, не желающих получать такие сообщения.
    Государства-члены ЕС также должны принять меры для определения разницы в национальном законодательстве между этими двумя возможностями неполучения абонентами незапрашиваемых сообщений, принимая в расчет, что обе эти возможности должны быть бесплатными для абонента или пользователя.
    4.В любом случае должна быть запрещена практика отправки в целях прямого маркетинга электронной почты, маскирующей или скрывающей идентификацию отправителя в нарушение статьи 6 Директивы 2000/31/ЕС, отправка сообщений с недействительного адреса, на который получатель не может отправить запрос о прекращении отправки таких сообщений, либо отправка в нарушение указанной статьи почты, побуждающей получателей посещать вэб-сайты.
    5.Пункты 1 и 3 настоящей статьи должны применяться в отношении абонентов, являющихся физическими лицами. Государства-члены ЕС должны также гарантировать, в рамках законодательства Сообщества и применимого национального законодательства, что законные интересы абонентов, не являющихся физическими лицами, в отношении незапрашиваемых сообщений достаточно защищены.
    6.Без предубеждения к любому административному средству защиты права, которое может быть создано, inter alia, в соответствии с пунктом 2 статьи 15a настоящей Директивы, государства-члены ЕС должны гарантировать, что любое физическое или юридическое лицо, ощутившее на себе неблагоприятные последствия нарушений национальных положений, принятых согласно настоящей статье и в связи с этим имеющих законный интерес в прекращении или запрещении подобных нарушений, включая провайдера услуг электронной связи, защищающего свои законные деловые интересы, может начать судебное разбирательство в отношении таких нарушений. Государства-члены ЕС могут также установить особые правила о штрафах, применимых к провайдерам услуг электронной связи, которые в результате своей небрежности способствуют нарушению национальных положений, принятых в соответствии с настоящей статьей.
    1.При реализации положений настоящей Директивы государства-члены ЕС должны гарантировать применительно к пунктам 2 и 3 настоящей статьи, что на терминальное или иное оборудование для электронной связи не налагаются обязательные требования к особым техническим характеристикам, которые могут препятствовать размещению оборудования на рынке и свободному обращению такого оборудования как в отдельном государстве-члене ЕС, так и между государствами-членами ЕС.
    2.В случаях, когда условия настоящей Директивы могут быть реализованы только при предъявлении особых требований к техническим характеристикам в сетях электронной связи, государства-члены ЕС должны информировать об этом Европейскую комиссию в соответствии Директивой 98/34/ЕС Европейского парламента и Совета ЕС от 22 июня 1998 г. о процедуре предоставления информации в области технических стандартов и регламентов, а также правилах оказания услуг в информационном обществе <*>.

    --------------------------------
    <*> ОЖ N L 204, 21.07.1998, стр. 37. Текст в редакции Директивы 98/48/ЕС (ОЖ N L 217, 05.08.1998, стр. 18).


    3.В случае необходимости могут быть приняты меры для гарантии того, что терминальное оборудование сконструировано таким образом, чтобы обеспечивать право пользователей на защиту и осуществление контроля использования их персональных данных в соответствии с Директивой 1999/5/ЕС и Решением 87/95/ЕЭС Совета ЕС от 22 декабря 1986 г. о стандартизации в сфере информационных технологий и коммуникаций <*>.

    --------------------------------
    <*> ОЖ N L 36, 07.02.1987, стр. 31. Текст в редакции Акта о присоединении 1994 г.


    Статья 14a. Порядок взаимодействия с Комитетом по связи
    1.Европейской комиссии должна быть оказана помощь Комитетом по связи, образованным в соответствии со статьей 22 Директивы 2002/21/ЕС (Рамочная директива).
    2.При ссылке на настоящий пункт, подлежат применению пункты 1 - 4 статьи 5 "a" и статья 7 Решения 1999/468/ЕС, имеющие отношение к положениям статьи 8 данного документа.
    3.При ссылке на настоящий пункт, подлежат применению пункты 1, 2, 4 и 6 статьи 5 "a" и статья 7 Решения 1999/468/ЕС, имеющие отношение к положениям статьи 8 данного документа.
    1.Государства-члены ЕС могут принять законодательные меры для ограничения области прав и обязанностей, предусмотренных статьями 5, 6, пунктами 1, 2, 3 и 4 статьи 8 и статьей 9 настоящей Директивы, если такое ограничение представляет собой необходимую, соответствующую и пропорциональную меру в рамках демократического общества для осуществления защиты национальной (государственной) безопасности, обороны и общественной безопасности, предотвращения, расследования, обнаружения и судебного преследования преступных действий или несанкционированного использования системы электронной связи, как об этом говорится в пункте 1 статьи 13 Директивы 95/46/ЕС. В связи с этим государства-члены ЕС могут, помимо прочего, принять законодательные меры, предусматривающие сохранение данных на определенный период по основаниям, предусмотренным в настоящем пункте. Все меры, упоминаемые в настоящем пункте, должны находиться в соответствии с общими принципами законодательства Сообщества, включая те, что содержатся в пунктах 1 и 2 статьи 6 Договора о Европейском Союзе.
    1a. Пункт 1 настоящей статьи не должен применяться к данным, в отношении которых Директивой 2006/24/ЕС Европейского парламента и Совета ЕС от 15 марта 2006 г. об удержании данных, генерированных или обработанных в связи с оказанием общедоступных услуг электронной связи или сетей связи общего доступа <*>, предъявляются требования по их удержанию в целях, указанных в пункте 1 статьи 1 названной Директивы.

    --------------------------------
    <*> ОЖ N L 105, 13.04.2006, стр. 54.


    1b. Провайдеры услуг должны установить внутренние процедуры для ответа на запросы о предоставлении доступа к персональным данным пользователя, основанные на национальных положениях, принятых в соответствии с пунктом 1 настоящей статьи. Они должны обеспечить компетентные национальные органы власти по их требованию информацией об этих процедурах, количестве полученных запросов, примененных правовых обоснованиях и информацией о своих ответных действиях.
    2.Положения раздела III о судебных средствах защиты, ответственности и санкциях, предусмотренных Директивой 95/46/ЕС, должны применяться в связи с учетом национальных положений, принятых в соответствии с настоящей Директивой и с учетом прав индивидов, проистекающих из настоящей Директивы.
    3.Рабочая группа по защите личности в связи с обработкой персональных данных, созданная на основании статьи 29 Директивы 95/46/ЕС, также должна решать задачи, поставленные в статье 30 указанной Директивы, связанные с вопросами, входящими в сферу регулирования настоящей Директивы, а именно защиты основных прав, свобод и законных интересов в сфере электронных коммуникаций.
    Статья 15a. Применение и вступление в силу
    1.Государства-члены ЕС должны установить нормы о штрафах, включая при необходимости санкции за совершение преступлений, применяемые за нарушения национальных положений, принятых в соответствии с настоящей Директивой, а также принять все меры, необходимые для реализации указанных санкций. Предусмотренные штрафы должны быть эффективными, пропорциональными и сдерживающими и могут быть применены в период совершения любого нарушения, даже в случаях когда последствия нарушения были впоследствии устранены. Государства-члены ЕС должны уведомить об этих положениях Европейскую комиссию в срок до 25 мая 2011 г. без задержек, которые могут возникнуть в связи с принятием впоследствии любых касающихся их поправок.
    2.Без ущерба действию любого доступного средства судебной защиты, государства-члены ЕС должны гарантировать, что компетентные национальные органы власти и другие имеющие отношение к делу национальные органы имеют полномочия давать указания о прекращении нарушений, упоминаемых в пункте 1 настоящей статьи.
    3.Государства-члены ЕС должны гарантировать, что компетентные национальные органы власти и другие соответствующие национальные органы имеют необходимые следственные полномочия и ресурсы, включая полномочие на получение любой имеющей отношение к делу информации, которая может им понадобиться для отслеживания и реализации национальных положений, принятых в соответствии с настоящей Директивой.
    4.Соответствующие национальные регулирующие органы могут принять меры для обеспечения эффективной трансграничной кооперации по реализации национальных законодательных актов, принятых в соответствии с настоящей Директивой, и создать согласованные условия для оказания услуг, включающих трансграничный обмен потоками данных.
    Национальные регулирующие органы должны обеспечить Европейскую комиссию заблаговременно перед принятием любой из этих мер кратким отчетом, содержащим перечень оснований для осуществления действий, предусмотренные меры и предложенный способ действия. Европейская комиссия, изучив данную информацию и получив консультацию Европейского агентства по сетевой и информационной безопасности (ENISA) и Рабочей группы по защите личности в связи с обработкой персональных данных, созданной на основании статьи 29 Директивы 95/46/ЕС, может вслед за этим дать свои комментарии или рекомендации, в частности, для обеспечения гарантий того, что предусмотренные меры не скажутся неблагоприятным образом на функционировании международного рынка. Национальные регулирующие органы при выборе мер должны предельным образом учитывать рекомендации и комментарии Европейской комиссии.
    1.Статья 12 настоящей Директивы не должна применяться в отношении выпусков справочников, уже изготовленных или размещенных на рынке в печатной или электронной форме прежде, чем национальные положения, принятые в соответствии с настоящей Директивой, вступят в силу.
    2.В случаях, когда персональные данные абонентов услуг стационарной или мобильной общедоступной голосовой телефонии были включены в общедоступный справочник абонентов в соответствии с положениями Директивы 95/46/ЕС и статьей 11 Директивы 97/66/ЕС перед тем, как национальные положения, принятые согласно настоящей Директиве, вступили в силу, персональные данные таких абонентов могут оставаться включенными в этот справочник в его печатной или электронной версиях, включая версии с функциями поиска, до тех пор пока абоненты не изъявят об их исключении из справочников, получив информацию о целях и возможностях в соответствии со статьей 12 настоящей Директивы.
    1.До 31 октября 2003 г. государства-члены ЕС должны ввести в действие положения, необходимые для исполнения настоящей Директивы, и немедленно сообщить об этом Европейской комиссии.
    Указанные положения, принятые государствами-членами ЕС, должны содержать ссылку на настоящую Директиву или сопровождаться такой ссылкой в случае их официального опубликования. Способы, которыми может быть сделана данная ссылка, должны устанавливаться государствами-членами ЕС.
    2.Государства-члены ЕС должны довести до сведения Европейской комиссии текст положений национального законодательства, принимаемого ими в сфере регулирования настоящей Директивы и любых последующих изменений этих положений.
    Европейская комиссия должна представить Европейскому парламенту и Совету ЕС не позднее трех лет по истечении даты, упоминаемой в пункте 1 статьи 17 настоящей Директивы отчет о применении Директивы и ее влиянии на экономических агентов и потребителей, в особенности положений, касающихся незапрашиваемых сообщений, принимая во внимание международную среду. Для этой цели Европейская комиссия может затребовать от государств-членов ЕС информацию, которая должна быть предоставлена без неоправданной задержки. При необходимости Европейская комиссия должна представить предложения о внесении изменений в настоящую Директиву, учитывая результаты данного отчета, любые изменения в сфере электронных коммуникаций и любое иное предложение, которое она сочтет необходимым для повышения эффективности настоящей Директивы.
    Директива 97/66/ЕС тем самым утрачивает силу с даты, указанной в пункте 1 статьи 17 настоящей Директивы.
    Ссылки, сделанные на утратившую силу Директиву, должны рассматриваться как ссылки, сделанные на настоящую Директиву.
    Настоящая Директива вступает в силу в день ее опубликования в Официальном журнале Европейского сообщества.
    Настоящая Директива адресована государствам-членам ЕС.
    Совершено в Брюсселе 12 июля 2002 г.
    (Подписи)
    DIRECTIVE No. 2002/58/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL CONCERNING THE PROCESSING OF PERSONAL DATA AND THE PROTECTION OF PRIVACY IN THE ELECTRONIC COMMUNICATIONS SECTOR (DIRECTIVE ON PRIVACY AND ELECTRONIC COMMUNICATIONS) (Brussels, 12.VII.2002)
    (Amended by Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006, Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009) The European Parliament and the Council of the European Union,
    Having regard to the Treaty establishing the European Community, and in particular Article 95 thereof,
    Having regard to the proposal from the Commission <*>,

    --------------------------------
    <*> OJ C 365 E, 19.12.2000, p. 223.


    Having regard to the opinion of the Economic and Social Committee <*>,

    --------------------------------
    <*> OJ C 123, 25.4.2001, p. 53.


    Having consulted the Committee of the Regions,
    Acting in accordance with the procedure laid down in Article 251 of the Treaty <*>,

    --------------------------------
    <*> Opinion of the European Parliament of 13 November 2001 (not yet published in the Official Journal), Council Common Position of 28 January 2002 (OJ C 113 E, 14.5.2002, p. 39) and Decision of the European Parliament of 30 May 2002 (not yet published in the Official Journal). Council Decision of 25 June 2002.


    Whereas:
    (1) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data <*> requires Member States to ensure the rights and freedoms of natural persons with regard to the processing of personal data, and in particular their right to privacy, in order to ensure the free flow of personal data in the Community.

    --------------------------------
    <*> OJ L 281, 23.11.1995, p. 31.


    (2) This Directive seeks to respect the fundamental rights and observes the principles recognised in particular by the Charter of fundamental rights of the European Union. In particular, this Directive seeks to ensure full respect for the rights set out in Articles 7 and 8 of that Charter.
    (3) Confidentiality of communications is guaranteed in accordance with the international instruments relating to human rights, in particular the European Convention for the Protection of Human Rights and Fundamental Freedoms, and the constitutions of the Member States.
    (4) Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector <*> translated the principles set out in Directive 95/46/EC into specific rules for the telecommunications sector. Directive 97/66/EC has to be adapted to developments in the markets and technologies for electronic communications services in order to provide an equal level of protection of personal data and privacy for users of publicly available electronic communications services, regardless of the technologies used. That Directive should therefore be repealed and replaced by this Directive.

    ------------------------------
    <*> OJ L 24, 30.1.1998, p. 1.


    (5) New advanced digital technologies are currently being introduced in public communications networks in the Community, which give rise to specific requirements concerning the protection of personal data and privacy of the user. The development of the information society is characterised by the introduction of new electronic communications services. Access to digital mobile networks has become available and affordable for a large public. These digital networks have large capacities and possibilities for processing personal data. The successful cross-border development of these services is partly dependent on the confidence of users that their privacy will not be at risk.
    (6) The Internet is overturning traditional market structures by providing a common, global infrastructure for the delivery of a wide range of electronic communications services. Publicly available electronic communications services over the Internet open new possibilities for users but also new risks for their personal data and privacy.
    (7) In the case of public communications networks, specific legal, regulatory and technical provisions should be made in order to protect fundamental rights and freedoms of natural persons and legitimate interests of legal persons, in particular with regard to the increasing capacity for automated storage and processing of data relating to subscribers and users.
    (8) Legal, regulatory and technical provisions adopted by the Member States concerning the protection of personal data, privacy and the legitimate interest of legal persons, in the electronic communication sector, should be harmonised in order to avoid obstacles to the internal market for electronic communication in accordance with Article 14 of the Treaty. Harmonisation should be limited to requirements necessary to guarantee that the promotion and development of new electronic communications services and networks between Member States are not hindered.
    (9) The Member States, providers and users concerned, together with the competent Community bodies, should cooperate in introducing and developing the relevant technologies where this is necessary to apply the guarantees provided for by this Directive and taking particular account of the objectives of minimising the processing of personal data and of using anonymous or pseudonymous data where possible.
    (10) In the electronic communications sector, Directive 95/46/EC applies in particular to all matters concerning protection of fundamental rights and freedoms, which are not specifically covered by the provisions of this Directive, including the obligations on the controller and the rights of individuals. Directive 95/46/EC applies to non-public communications services.
    (11) Like Directive 95/46/EC, this Directive does not address issues of protection of fundamental rights and freedoms related to activities which are not governed by Community law. Therefore it does not alter the existing balance between the individual's right to privacy and the possibility for Member States to take the measures referred to in Article 15(1) of this Directive, necessary for the protection of public security, defence, State security (including the economic well-being of the State when the activities relate to State security matters) and the enforcement of criminal law. Consequently, this Directive does not affect the ability of Member States to carry out lawful interception of electronic communications, or take other measures, if necessary for any of these purposes and in accordance with the European Convention for the Protection of Human Rights and Fundamental Freedoms, as interpreted by the rulings of the European Court of Human Rights. Such measures must be appropriate, strictly proportionate to the intended purpose and necessary within a democratic society and should be subject to adequate safeguards in accordance with the European Convention for the Protection of Human Rights and Fundamental Freedoms.
    (12) Subscribers to a publicly available electronic communications service may be natural or legal persons. By supplementing Directive 95/46/EC, this Directive is aimed at protecting the fundamental rights of natural persons and particularly their right to privacy, as well as the legitimate interests of legal persons. This Directive does not entail an obligation for Member States to extend the application of Directive 95/46/EC to the protection of the legitimate interests of legal persons, which is ensured within the framework of the applicable Community and national legislation.
    (13) The contractual relation between a subscriber and a service provider may entail a periodic or a one-off payment for the service provided or to be provided. Prepaid cards are also considered as a contract.
    (14) Location data may refer to the latitude, longitude and altitude of the user's terminal equipment, to the direction of travel, to the level of accuracy of the location information, to the identification of the network cell in which the terminal equipment is located at a certain point in time and to the time the location information was recorded.
    (15) A communication may include any naming, bering or addressing information provided by the sender of a communication or the user of a connection to carry out the communication. Traffic data may include any translation of this information by the network over which the communication is transmitted for the purpose of carrying out the transmission. Traffic data may, inter alia, consist of data referring to the routing, duration, time or volume of a communication, to the protocol used, to the location of the terminal equipment of the sender or recipient, to the network on which the communication originates or terminates, to the beginning, end or duration of a connection. They may also consist of the format in which the communication is conveyed by the network.
    (16) Information that is part of a broadcasting service provided over a public communications network is intended for a potentially unlimited audience and does not constitute a communication in the sense of this Directive. However, in cases where the individual subscriber or user receiving such information can be identified, for example with video-on-demand services, the information conveyed is covered within the meaning of a communication for the purposes of this Directive.
    (17) For the purposes of this Directive, consent of a user or subscriber, regardless of whether the latter is a natural or a legal person, should have the same meaning as the data subject's consent as defined and further specified in Directive 95/46/EC. Consent may be given by any appropriate method enabling a freely given specific and informed indication of the user's wishes, including by ticking a box when visiting an Internet website.
    (18) Value added services may, for example, consist of advice on least expensive tariff packages, route guidance, traffic information, weather forecasts and tourist information.
    (19) The application of certain requirements relating to presentation and restriction of calling and connected line identification and to automatic call forwarding to subscriber lines connected to analogue exchanges should not be made mandatory in specific cases where such application would prove to be technically impossible or would require a disproportionate economic effort. It is important for interested parties to be informed of such cases and the Member States should therefore notify them to the Commission.
    (20) Service providers should take appropriate measures to safeguard the security of their services, if necessary in conjunction with the provider of the network, and inform subscribers of any special risks of a breach of the security of the network. Such risks may especially occur for electronic communications services over an open network such as the Internet or analogue mobile telephony. It is particularly important for subscribers and users of such services to be fully informed by their service provider of the existing security risks which lie outside the scope of possible remedies by the service provider. Service providers who offer publicly available electronic communications services over the Internet should inform users and subscribers of measures they can take to protect the security of their communications for instance by using specific types of software or encryption technologies. The requirement to inform subscribers of particular security risks does not discharge a service provider from the obligation to take, at its own costs, appropriate and immediate measures to remedy any new, unforeseen security risks and restore the normal security level of the service. The provision of information about security risks to the subscriber should be free of charge except for any nominal costs which the subscriber may incur while receiving or collecting the information, for instance by downloading an electronic mail message. Security is appraised in the light of Article 17 of Directive 95/46/EC.
    (21) Measures should be taken to prevent unauthorised access to communications in order to protect the confidentiality of communications, including both the contents and any data related to such communications, by means of public communications networks and publicly available electronic communications services. National legislation in some Member States only prohibits intentional unauthorised access to communications.
    (22) The prohibition of storage of communications and the related traffic data by persons other than the users or without their consent is not intended to prohibit any automatic, intermediate and transient storage of this information in so far as this takes place for the sole purpose of carrying out the transmission in the electronic communications network and provided that the information is not stored for any period longer than is necessary for the transmission and for traffic management purposes, and that during the period of storage the confidentiality remains guaranteed. Where this is necessary for making more efficient the onward transmission of any publicly accessible information to other recipients of the service upon their request, this Directive should not prevent such information from being further stored, provided that this information would in any case be accessible to the public without restriction and that any data referring to the individual subscribers or users requesting such information are erased.
    (23) Confidentiality of communications should also be ensured in the course of lawful business practice. Where necessary and legally authorised, communications can be recorded for the purpose of providing evidence of a commercial transaction. Directive 95/46/EC applies to such processing. Parties to the communications should be informed prior to the recording about the recording, its purpose and the duration of its storage. The recorded communication should be erased as soon as possible and in any case at the latest by the end of the period during which the transaction can be lawfully challenged.
    (24) Terminal equipment of users of electronic communications networks and any information stored on such equipment are part of the private sphere of the users requiring protection under the European Convention for the Protection of Human Rights and Fundamental Freedoms. So-called spyware, web bugs, hidden identifiers and other similar devices can enter the user's terminal without their knowledge in order to gain access to information, to store hidden information or to trace the activities of the user and may seriously intrude upon the privacy of these users. The use of such devices should be allowed only for legitimate purposes, with the knowledge of the users concerned.
    (25) However, such devices, for instance so-called "cookies", can be a legitimate and useful tool, for example, in analysing the effectiveness of website design and advertising, and in verifying the identity of users engaged in on-line transactions. Where such devices, for instance cookies, are intended for a legitimate purpose, such as to facilitate the provision of information society services, their use should be allowed on condition that users are provided with clear and precise information in accordance with Directive 95/46/EC about the purposes of cookies or similar devices so as to ensure that users are made aware of information being placed on the terminal equipment they are using. Users should have the opportunity to refuse to have a cookie or similar device stored on their terminal equipment. This is particularly important where users other than the original user have access to the terminal equipment and thereby to any data containing privacy-sensitive information stored on such equipment. Information and the right to refuse may be offered once for the use of various devices to be installed on the user's terminal equipment during the same connection and also covering any further use that may be made of those devices during subsequent connections. The methods for giving information, offering a right to refuse or requesting consent should be made as user-friendly as possible. Access to specific website content may still be made conditional on the well-informed acceptance of a cookie or similar device, if it is used for a legitimate purpose.
    (26) The data relating to subscribers processed within electronic communications networks to establish connections and to transmit information contain information on the private life of natural persons and concern the right to respect for their correspondence or concern the legitimate interests of legal persons. Such data may only be stored to the extent that is necessary for the provision of the service for the purpose of billing and for interconnection payments, and for a limited time. Any further processing of such data which the provider of the publicly available electronic communications services may want to perform, for the marketing of electronic communications services or for the provision of value added services, may only be allowed if the subscriber has agreed to this on the basis of accurate and full information given by the provider of the publicly available electronic communications services about the types of further processing it intends to perform and about the subscriber's right not to give or to withdraw his/her consent to such processing. Traffic data used for marketing communications services or for the provision of value added services should also be erased or made anonymous after the provision of the service. Service providers should always keep subscribers informed of the types of data they are processing and the purposes and duration for which this is done.
    (27) The exact moment of the completion of the transmission of a communication, after which traffic data should be erased except for billing purposes, may depend on the type of electronic communications service that is provided. For instance for a voice telephony call the transmission will be completed as soon as either of the users terminates the connection. For electronic mail the transmission is completed as soon as the addressee collects the message, typically from the server of his service provider.
    (28) The obligation to erase traffic data or to make such data anonymous when it is no longer needed for the purpose of the transmission of a communication does not conflict with such procedures on the Internet as the caching in the domain name system of IP addresses or the caching of IP addresses to physical address bindings or the use of log-in information to control the right of access to networks or services.
    (29) The service provider may process traffic data relating to subscribers and users where necessary in individual cases in order to detect technical failure or errors in the transmission of communications. Traffic data necessary for billing purposes may also be processed by the provider in order to detect and stop fraud consisting of unpaid use of the electronic communications service.
    (30) Systems for the provision of electronic communications networks and services should be designed to limit the amount of personal data necessary to a strict minimum. Any activities related to the provision of the electronic communications service that go beyond the transmission of a communication and the billing thereof should be based on aggregated, traffic data that cannot be related to subscribers or users. Where such activities cannot be based on aggregated data, they should be considered as value added services for which the consent of the subscriber is required.
    (31) Whether the consent to be obtained for the processing of personal data with a view to providing a particular value added service should be that of the user or of the subscriber, will depend on the data to be processed and on the type of service to be provided and on whether it is technically, procedurally and contractually possible to distinguish the individual using an electronic communications service from the legal or natural person having subscribed to it.
    (32) Where the provider of an electronic communications service or of a value added service subcontracts the processing of personal data necessary for the provision of these services to another entity, such subcontracting and subsequent data processing should be in full compliance with the requirements regarding controllers and processors of personal data as set out in Directive 95/46/EC. Where the provision of a value added service requires that traffic or location data are forwarded from an electronic communications service provider to a provider of value added services, the subscribers or users to whom the data are related should also be fully informed of this forwarding before giving their consent for the processing of the data.
    (33) The introduction of itemised bills has improved the possibilities for the subscriber to check the accuracy of the fees charged by the service provider but, at the same time, it may jeopardise the privacy of the users of publicly available electronic communications services. Therefore, in order to preserve the privacy of the user, Member States should encourage the development of electronic communication service options such as alternative payment facilities which allow anonymous or strictly private access to publicly available electronic communications services, for example calling cards and facilities for payment by credit card. To the same end, Member States may ask the operators to offer their subscribers a different type of detailed bill in which a certain ber of digits of the called ber have been deleted.
    (34) It is necessary, as regards calling line identification, to protect the right of the calling party to withhold the presentation of the identification of the line from which the call is being made and the right of the called party to reject calls from unidentified lines. There is justification for overriding the elimination of calling line identification presentation in specific cases. Certain subscribers, in particular help lines and similar organisations, have an interest in guaranteeing the anonymity of their callers. It is necessary, as regards connected line identification, to protect the right and the legitimate interest of the called party to withhold the presentation of the identification of the line to which the calling party is actually connected, in particular in the case of forwarded calls. The providers of publicly available electronic communications services should inform their subscribers of the existence of calling and connected line identification in the network and of all services which are offered on the basis of calling and connected line identification as well as the privacy options which are available. This will allow the subscribers to make an informed choice about the privacy facilities they may want to use. The privacy options which are offered on a per-line basis do not necessarily have to be available as an automatic network service but may be obtainable through a simple request to the provider of the publicly available electronic communications service.
    (35) In digital mobile networks, location data giving the geographic position of the terminal equipment of the mobile user are processed to enable the transmission of communications. Such data are traffic data covered by Article 6 of this Directive. However, in addition, digital mobile networks may have the capacity to process location data which are more precise than is necessary for the transmission of communications and which are used for the provision of value added services such as services providing individualised traffic information and guidance to drivers. The processing of such data for value added services should only be allowed where subscribers have given their consent. Even in cases where subscribers have given their consent, they should have a simple means to temporarily deny the processing of location data, free of charge.
    (36) Member States may restrict the users' and subscribers' rights to privacy with regard to calling line identification where this is necessary to trace nuisance calls and with regard to calling line identification and location data where this is necessary to allow emergency services to carry out their tasks as effectively as possible. For these purposes, Member States may adopt specific provisions to entitle providers of electronic communications services to provide access to calling line identification and location data without the prior consent of the users or subscribers concerned.
    (37) Safeguards should be provided for subscribers against the nuisance which may be caused by automatic call forwarding by others. Moreover, in such cases, it must be possible for subscribers to stop the forwarded calls being passed on to their terminals by simple request to the provider of the publicly available electronic communications service.
    (38) Directories of subscribers to electronic communications services are widely distributed and public. The right to privacy of natural persons and the legitimate interest of legal persons require that subscribers are able to determine whether their personal data are published in a directory and if so, which. Providers of public directories should inform the subscribers to be included in such directories of the purposes of the directory and of any particular usage which may be made of electronic versions of public directories especially through search functions embedded in the software, such as reverse search functions enabling users of the directory to discover the name and address of the subscriber on the basis of a telephone ber only.
    (39) The obligation to inform subscribers of the purpose(s) of public directories in which their personal data are to be included should be imposed on the party collecting the data for such inclusion. Where the data may be transmitted to one or more third parties, the subscriber should be informed of this possibility and of the recipient or the categories of possible recipients. Any transmission should be subject to the condition that the data may not be used for other purposes than those for which they were collected. If the party collecting the data from the subscriber or any third party to whom the data have been transmitted wishes to use the data for an additional purpose, the renewed consent of the subscriber is to be obtained either by the initial party collecting the data or by the third party to whom the data have been transmitted.
    (40) Safeguards should be provided for subscribers against intrusion of their privacy by unsolicited communications for direct marketing purposes in particular by means of automated calling machines, telefaxes, and e-mails, including SMS messages. These forms of unsolicited commercial communications may on the one hand be relatively easy and cheap to send and on the other may impose a burden and/or cost on the recipient. Moreover, in some cases their volume may also cause difficulties for electronic communications networks and terminal equipment. For such forms of unsolicited communications for direct marketing, it is justified to require that prior explicit consent of the recipients is obtained before such communications are addressed to them. The single market requires a harmonised approach to ensure simple, Community-wide rules for businesses and users.
    (41) Within the context of an existing customer relationship, it is reasonable to allow the use of electronic contact details for the offering of similar products or services, but only by the same company that has obtained the electronic contact details in accordance with Directive 95/46/EC. When electronic contact details are obtained, the customer should be informed about their further use for direct marketing in a clear and distinct manner, and be given the opportunity to refuse such usage. This opportunity should continue to be offered with each subsequent direct marketing message, free of charge, except for any costs for the transmission of this refusal.
    (42) Other forms of direct marketing that are more costly for the sender and impose no financial costs on subscribers and users, such as person-to-person voice telephony calls, may justify the maintenance of a system giving subscribers or users the possibility to indicate that they do not want to receive such calls. Nevertheless, in order not to decrease existing levels of privacy protection, Member States should be entitled to uphold national systems, only allowing such calls to subscribers and users who have given their prior consent.
    (43) To facilitate effective enforcement of Community rules on unsolicited messages for direct marketing, it is necessary to prohibit the use of false identities or false return addresses or bers while sending unsolicited messages for direct marketing purposes.
    (44) Certain electronic mail systems allow subscribers to view the sender and subject line of an electronic mail, and also to delete the message, without having to download the rest of the electronic mail's content or any attachments, thereby reducing costs which could arise from downloading unsolicited electronic mails or attachments. These arrangements may continue to be useful in certain cases as an additional tool to the general obligations established in this Directive.
    (45) This Directive is without prejudice to the arrangements which Member States make to protect the legitimate interests of legal persons with regard to unsolicited communications for direct marketing purposes. Where Member States establish an opt-out register for such communications to legal persons, mostly business users, the provisions of Article 7 of Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the internal market (Directive on electronic commerce) <*> are fully applicable.

    --------------------------------
    <*> OJ L 178, 17.7.2000, p. 1.


    (46) The functionalities for the provision of electronic communications services may be integrated in the network or in any part of the terminal equipment of the user, including the software. The protection of the personal data and the privacy of the user of publicly available electronic communications services should be independent of the configuration of the various components necessary to provide the service and of the distribution of the necessary functionalities between these components. Directive 95/46/EC covers any form of processing of personal data regardless of the technology used. The existence of specific rules for electronic communications services alongside general rules for other components necessary for the provision of such services may not facilitate the protection of personal data and privacy in a technologically neutral way. It may therefore be necessary to adopt measures requiring manufacturers of certain types of equipment used for electronic communications services to construct their product in such a way as to incorporate safeguards to ensure that the personal data and privacy of the user and subscriber are protected. The adoption of such measures in accordance with Directive 1999/5/EC of the European Parliament and of the Council of 9 March 1999 on radio equipment and telecommunications terminal equipment and the mutual recognition of their conformity <*> will ensure that the introduction of technical features of electronic communication equipment including software for data protection purposes is harmonised in order to be compatible with the implementation of the internal market.

    --------------------------------
    <*> OJ L 91, 7.4.1999, p. 10.


    (47) Where the rights of the users and subscribers are not respected, national legislation should provide for judicial remedies. Penalties should be imposed on any person, whether governed by private or public law, who fails to comply with the national measures taken under this Directive.
    (48) It is useful, in the field of application of this Directive, to draw on the experience of the Working Party on the Protection of Individuals with regard to the Processing of Personal Data composed of representatives of the supervisory authorities of the Member States, set up by Article 29 of Directive 95/46/EC.
    (49) To facilitate compliance with the provisions of this Directive, certain specific arrangements are needed for processing of data already under way on the date that national implementing legislation pursuant to this Directive enters into force,
    Have adopted this Directive:
    1.This Directive provides for the harmonisation of the national provisions required to ensure an equivalent level of protection of fundamental rights and freedoms, and in particular the right to privacy and confidentiality, with respect to the processing of personal data in the electronic communication sector and to ensure the free movement of such data and of electronic communication equipment and services in the Community.
    2.The provisions of this Directive particularise and complement Directive 95/46/EC for the purposes mentioned in paragraph 1. Moreover, they provide for protection of the legitimate interests of subscribers who are legal persons.
    3.This Directive shall not apply to activities which fall outside the scope of the Treaty establishing the European Community, such as those covered by Titles V and VI of the Treaty on European Union, and in any case to activities concerning public security, defence, State security (including the economic well-being of the State when the activities relate to State security matters) and the activities of the State in areas of criminal law.
    Save as otherwise provided, the definitions in Directive 95/46/EC and in Directive 2002/21/EC of the European Parliament and of the Council of 7 March 2002 on a common regulatory framework for electronic communications networks and services (Framework Directive) <*> shall apply.

    --------------------------------
    <*> OJ L 108, 24.4.2002, p. 33.


    The following definitions shall also apply:
    (a) "user" means any natural person using a publicly available electronic communications service, for private or business purposes, without necessarily having subscribed to this service;
    (b) "traffic data" means any data processed for the purpose of the conveyance of a communication on an electronic communications network or for the billing thereof;
    (c) "location data" means any data processed in an electronic communications network or by an electronic communications service, indicating the geographic position of the terminal equipment of a user of a publicly available electronic communications service;
    (d) "communication" means any information exchanged or conveyed between a finite ber of parties by means of a publicly available electronic communications service. This does not include any information conveyed as part of a broadcasting service to the public over an electronic communications network except to the extent that the information can be related to the identifiable subscriber or user receiving the information;
    (f) "consent" by a user or subscriber corresponds to the data subject's consent in Directive 95/46/EC;
    (g) "value added service" means any service which requires the processing of traffic data or location data other than traffic data beyond what is necessary for the transmission of a communication or the billing thereof;
    (h) "electronic mail" means any text, voice, sound or image message sent over a public communications network which can be stored in the network or in the recipient's terminal equipment until it is collected by the recipient;
    (i) "personal data breach" means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed in connection with the provision of a publicly available electronic communications service in the Community.
    This Directive shall apply to the processing of personal data in connection with the provision of publicly available electronic communications services in public communications networks in the Community, including public communications networks supporting data collection and identification devices.
    1.The provider of a publicly available electronic communications service must take appropriate technical and organisational measures to safeguard security of its services, if necessary in conjunction with the provider of the public communications network with respect to network security. Having regard to the state of the art and the cost of their implementation, these measures shall ensure a level of security appropriate to the risk presented.
    1a. Without prejudice to Directive 95/46/EC, the measures referred to in paragraph 1 shall at least:
    - ensure that personal data can be accessed only by authorised personnel for legally authorised purposes,
    - protect personal data stored or transmitted against accidental or unlawful destruction, accidental loss or alteration, and unauthorised or unlawful storage, processing, access or disclosure, and,
    - ensure the implementation of a security policy with respect to the processing of personal data,
    Relevant national authorities shall be able to audit the measures taken by providers of publicly available electronic communication services and to issue recommendations about best practices concerning the level of security which those measures should achieve.
    2.In case of a particular risk of a breach of the security of the network, the provider of a publicly available electronic communications service must inform the subscribers concerning such risk and, where the risk lies outside the scope of the measures to be taken by the service provider, of any possible remedies, including an indication of the likely costs involved.
    3.In the case of a personal data breach, the provider of publicly available electronic communications services shall, without undue delay, notify the personal data breach to the competent national authority.
    When the personal data breach is likely to adversely affect the personal data or privacy of a subscriber or individual, the provider shall also notify the subscriber or individual of the breach without undue delay.
    Notification of a personal data breach to a subscriber or individual concerned shall not be required if the provider has demonstrated to the satisfaction of the competent authority that it has implemented appropriate technological protection measures, and that those measures were applied to the data concerned by the security breach. Such technological protection measures shall render the data unintelligible to any person who is not authorised to access it.
    Without prejudice to the provider's obligation to notify subscribers and individuals concerned, if the provider has not already notified the subscriber or individual of the personal data breach, the competent national authority, having considered the likely adverse effects of the breach, may require it to do so.
    The notification to the subscriber or individual shall at least describe the nature of the personal data breach and the contact points where more information can be obtained, and shall recommend measures to mitigate the possible adverse effects of the personal data breach. The notification to the competent national authority shall, in addition, describe the consequences of, and the measures proposed or taken by the provider to address, the personal data breach.
    4.Subject to any technical implementing measures adopted under paragraph 5, the competent national authorities may adopt guidelines and, where necessary, issue instructions concerning the circumstances in which providers are required to notify personal data breaches, the format of such notification and the manner in which the notification is to be made. They shall also be able to audit whether providers have complied with their notification obligations under this paragraph, and shall impose appropriate sanctions in the event of a failure to do so.
    Providers shall maintain an inventory of personal data breaches comprising the facts surrounding the breach, its effects and the remedial action taken which shall be sufficient to enable the competent national authorities to verify compliance with the provisions of paragraph 3. The inventory shall only include the information necessary for this purpose.
    5.In order to ensure consistency in implementation of the measures referred to in paragraphs 2, 3 and 4, the Commission may, following consultation with the European Network and Information Security Agency (ENISA), the Working Party on the Protection of Individuals with regard to the Processing of Personal Data established by Article 29 of Directive 95/46/EC and the European Data Protection Supervisor, adopt technical implementing measures concerning the circumstances, format and procedures applicable to the information and notification requirements referred to in this Article. When adopting such measures, the Commission shall involve all relevant stakeholders particularly in order to be informed of the best available technical and economic means of implementation of this Article.
    Those measures, designed to amend non-essential elements of this Directive by supplementing it, shall be adopted in accordance with the regulatory procedure with scrutiny referred to in Article 14a(2).
    1.Member States shall ensure the confidentiality of communications and the related traffic data by means of a public communications network and publicly available electronic communications services, through national legislation. In particular, they shall prohibit listening, tapping, storage or other kinds of interception or surveillance of communications and the related traffic data by persons other than users, without the consent of the users concerned, except when legally authorised to do so in accordance with Article 15(1). This paragraph shall not prevent technical storage which is necessary for the conveyance of a communication without prejudice to the principle of confidentiality.
    2.Paragraph 1 shall not affect any legally authorised recording of communications and the related traffic data when carried out in the course of lawful business practice for the purpose of providing evidence of a commercial transaction or of any other business communication.
    3.Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia, about the purposes of the processing. This shall not prevent any technical storage or access for the sole purpose of carrying out the transmission of a communication over an electronic communications network, or as strictly necessary in order for the provider of an information society service explicitly requested by the subscriber or user to provide the service.
    1.Traffic data relating to subscribers and users processed and stored by the provider of a public communications network or publicly available electronic communications service must be erased or made anonymous when it is no longer needed for the purpose of the transmission of a communication without prejudice to paragraphs 2, 3 and 5 of this Article and Article 15(1).
    2.Traffic data necessary for the purposes of subscriber billing and interconnection payments may be processed. Such processing is permissible only up to the end of the period during which the bill may lawfully be challenged or payment pursued.
    3.For the purpose of marketing electronic communications services or for the provision of value added services, the provider of a publicly available electronic communications service may process the data referred to in paragraph 1 to the extent and for the duration necessary for such services or marketing, if the subscriber or user to whom the data relate has given his or her prior consent. Users or subscribers shall be given the possibility to withdraw their consent for the processing of traffic data at any time.
    4.The service provider must inform the subscriber or user of the types of traffic data which are processed and of the duration of such processing for the purposes mentioned in paragraph 2 and, prior to obtaining consent, for the purposes mentioned in paragraph 3.
    5.Processing of traffic data, in accordance with paragraphs 1, 2, 3 and 4, must be restricted to persons acting under the authority of providers of the public communications networks and publicly available electronic communications services handling billing or traffic management, customer enquiries, fraud detection, marketing electronic communications services or providing a value added service, and must be restricted to what is necessary for the purposes of such activities.
    6.Paragraphs 1, 2, 3 and 5 shall apply without prejudice to the possibility for competent bodies to be informed of traffic data in conformity with applicable legislation with a view to settling disputes, in particular interconnection or billing disputes.
    1.Subscribers shall have the right to receive non-itemised bills.
    2.Member States shall apply national provisions in order to reconcile the rights of subscribers receiving itemised bills with the right to privacy of calling users and called subscribers, for example by ensuring that sufficient alternative privacy enhancing methods of communications or payments are available to such users and subscribers.
    1.Where presentation of calling line identification is offered, the service provider must offer the calling user the possibility, using a simple means and free of charge, of preventing the presentation of the calling line identification on a per-call basis. The calling subscriber must have this possibility on a per-line basis.
    2.Where presentation of calling line identification is offered, the service provider must offer the called subscriber the possibility, using a simple means and free of charge for reasonable use of this function, of preventing the presentation of the calling line identification of incoming calls.
    3.Where presentation of calling line identification is offered and where the calling line identification is presented prior to the call being established, the service provider must offer the called subscriber the possibility, using a simple means, of rejecting incoming calls where the presentation of the calling line identification has been prevented by the calling user or subscriber.
    4.Where presentation of connected line identification is offered, the service provider must offer the called subscriber the possibility, using a simple means and free of charge, of preventing the presentation of the connected line identification to the calling user.
    5.Paragraph 1 shall also apply with regard to calls to third countries originating in the Community. Paragraphs 2, 3 and 4 shall also apply to incoming calls originating in third countries.
    6.Member States shall ensure that where presentation of calling and/or connected line identification is offered, the providers of publicly available electronic communications services inform the public thereof and of the possibilities set out in paragraphs 1, 2, 3 and 4.
    1.Where location data other than traffic data, relating to users or subscribers of public communications networks or publicly available electronic communications services, can be processed, such data may only be processed when they are made anonymous, or with the consent of the users or subscribers to the extent and for the duration necessary for the provision of a value added service. The service provider must inform the users or subscribers, prior to obtaining their consent, of the type of location data other than traffic data which will be processed, of the purposes and duration of the processing and whether the data will be transmitted to a third party for the purpose of providing the value added service. Users or subscribers shall be given the possibility to withdraw their consent for the processing of location data other than traffic data at any time.
    2.Where consent of the users or subscribers has been obtained for the processing of location data other than traffic data, the user or subscriber must continue to have the possibility, using a simple means and free of charge, of temporarily refusing the processing of such data for each connection to the network or for each transmission of a communication.
    3.Processing of location data other than traffic data in accordance with paragraphs 1 and 2 must be restricted to persons acting under the authority of the provider of the public communications network or publicly available communications service or of the third party providing the value added service, and must be restricted to what is necessary for the purposes of providing the value added service.
    Member States shall ensure that there are transparent procedures governing the way in which a provider of a public communications network and/or a publicly available electronic communications service may override:
    (a) the elimination of the presentation of calling line identification, on a temporary basis, upon application of a subscriber requesting the tracing of malicious or nuisance calls. In this case, in accordance with national law, the data containing the identification of the calling subscriber will be stored and be made available by the provider of a public communications network and/or publicly available electronic communications service;
    (b) the elimination of the presentation of calling line identification and the temporary denial or absence of consent of a subscriber or user for the processing of location data, on a per-line basis for organisations dealing with emergency calls and recognised as such by a Member State, including law enforcement agencies, ambulance services and fire brigades, for the purpose of responding to such calls.
    Member States shall ensure that any subscriber has the possibility, using a simple means and free of charge, of stopping automatic call forwarding by a third party to the subscriber's terminal.
    1.Member States shall ensure that subscribers are informed, free of charge and before they are included in the directory, about the purpose(s) of a printed or electronic directory of subscribers available to the public or obtainable through directory enquiry services, in which their personal data can be included and of any further usage possibilities based on search functions embedded in electronic versions of the directory.
    2.Member States shall ensure that subscribers are given the opportunity to determine whether their personal data are included in a public directory, and if so, which, to the extent that such data are relevant for the purpose of the directory as determined by the provider of the directory, and to verify, correct or withdraw such data. Not being included in a public subscriber directory, verifying, correcting or withdrawing personal data from it shall be free of charge.
    3.Member States may require that for any purpose of a public directory other than the search of contact details of persons on the basis of their name and, where necessary, a minimum of other identifiers, additional consent be asked of the subscribers.
    4.Paragraphs 1 and 2 shall apply to subscribers who are natural persons. Member States shall also ensure, in the framework of Community law and applicable national legislation, that the legitimate interests of subscribers other than natural persons with regard to their entry in public directories are sufficiently protected.
    1.The use of automated calling and communication systems without human intervention (automatic calling machines), facsimile machines (fax) or electronic mail for the purposes of direct marketing may be allowed only in respect of subscribers or users who have given their prior consent.
    2.Notwithstanding paragraph 1, where a natural or legal person obtains from its customers their electronic contact details for electronic mail, in the context of the sale of a product or a service, in accordance with Directive 95/46/EC, the same natural or legal person may use these electronic contact details for direct marketing of its own similar products or services provided that customers clearly and distinctly are given the opportunity to object, free of charge and in an easy manner, to such use of electronic contact details at the time of their collection and on the occasion of each message in case the customer has not initially refused such use.
    3.Member States shall take appropriate measures to ensure that unsolicited communications for the purposes of direct marketing, in cases other than those referred to in paragraphs 1 and 2, are not allowed either without the consent of the subscribers or users concerned or in respect of subscribers or users who do not wish to receive these communications, the choice between these options to be determined by national legislation, taking into account that both options must be free of charge for the subscriber or user.
    4.In any event, the practice of sending electronic mail for the purposes of direct marketing which disguise or conceal the identity of the sender on whose behalf the communication is made, which contravene Article 6 of Directive 2000/31/EC, which do not have a valid address to which the recipient may send a request that such communications cease or which encourage recipients to visit websites that contravene that Article shall be prohibited.
    5.Paragraphs 1 and 3 shall apply to subscribers who are natural persons. Member States shall also ensure, in the framework of Community law and applicable national legislation, that the legitimate interests of subscribers other than natural persons with regard to unsolicited communications are sufficiently protected.
    6.Without prejudice to any administrative remedy for which provision may be made, inter alia, under Article 15a(2), Member States shall ensure that any natural or legal person adversely affected by infringements of national provisions adopted pursuant to this Article and therefore having a legitimate interest in the cessation or prohibition of such infringements, including an electronic communications service provider protecting its legitimate business interests, may bring legal proceedings in respect of such infringements. Member States may also lay down specific rules on penalties applicable to providers of electronic communications services which by their negligence contribute to infringements of national provisions adopted pursuant to this Article.
    1.In implementing the provisions of this Directive, Member States shall ensure, subject to paragraphs 2 and 3, that no mandatory requirements for specific technical features are imposed on terminal or other electronic communication equipment which could impede the placing of equipment on the market and the free circulation of such equipment in and between Member States.
    2.Where provisions of this Directive can be implemented only by requiring specific technical features in electronic communications networks, Member States shall inform the Commission in accordance with the procedure provided for by Directive 98/34/EC of the European Parliament and of the Council of 22 June 1998 laying down a procedure for the provision of information in the field of technical standards and regulations and of rules on information society services <*>.

    --------------------------------
    <*> OJ L 204, 21.7.1998, p. 37. Directive as amended by Directive 98/48/EC (OJ L 217, 5.8.1998, p. 18).


    3.Where required, measures may be adopted to ensure that terminal equipment is constructed in a way that is compatible with the right of users to protect and control the use of their personal data, in accordance with Directive 1999/5/EC and Council Decision 87/95/EEC of 22 December 1986 on standardisation in the field of information technology and communications <*>.

    --------------------------------
    <*> OJ L 36, 7.2.1987, p. 31. Decision as last amended by the 1994 Act of Accession.


    Article 14a. Committee procedure
    1.The Commission shall be assisted by the Communications Committee established by Article 22 of Directive 2002/21/EC (Framework Directive).
    2.Where reference is made to this paragraph, Article 5a(1) to (4) and Article 7 of Decision 1999/468/EC shall apply, having regard to the provisions of Article 8 thereof.
    3.Where reference is made to this paragraph, Article 5a(1), (2), (4) and (6) and Article 7 of Decision 1999/468/EC shall apply, having regard to the provisions of Article 8 thereof.
    1.Member States may adopt legislative measures to restrict the scope of the rights and obligations provided for in Article 5, Article 6, Article 8(1), (2), (3) and (4), and Article 9 of this Directive when such restriction constitutes a necessary, appropriate and proportionate measure within a democratic society to safeguard national security (i.e. State security), defence, public security, and the prevention, investigation, detection and prosecution of criminal offences or of unauthorised use of the electronic communication system, as referred to in Article 13(1) of Directive 95/46/EC. To this end, Member States may, inter alia, adopt legislative measures providing for the retention of data for a limited period justified on the grounds laid down in this paragraph. All the measures referred to in this paragraph shall be in accordance with the general principles of Community law, including those referred to in Article 6(1) and (2) of the Treaty on European Union.
    1a. Paragraph 1 shall not apply to data specifically required by Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks <*> to be retained for the purposes referred to in Article 1(1) of that Directive.

    --------------------------------
    <*> OJ L 105, 13.4.2006, p. 54.


    1b. Providers shall establish internal procedures for responding to requests for access to users' personal data based on national provisions adopted pursuant to paragraph 1. They shall provide the competent national authority, on demand, with information about those procedures, the ber of requests received, the legal justification invoked and their response.
    2.The provisions of Chapter III on judicial remedies, liability and sanctions of Directive 95/46/EC shall apply with regard to national provisions adopted pursuant to this Directive and with regard to the individual rights derived from this Directive.
    3.The Working Party on the Protection of Individuals with regard to the Processing of Personal Data instituted by Article 29 of Directive 95/46/EC shall also carry out the tasks laid down in Article 30 of that Directive with regard to matters covered by this Directive, namely the protection of fundamental rights and freedoms and of legitimate interests in the electronic communications sector.
    Article 15a. Implementation and enforcement
    1.Member States shall lay down the rules on penalties, including criminal sanctions where appropriate, applicable to infringements of the national provisions adopted pursuant to this Directive and shall take all measures necessary to ensure that they are implemented. The penalties provided for must be effective, proportionate and dissuasive and may be applied to cover the period of any breach, even where the breach has subsequently been rectified. The Member States shall notify those provisions to the Commission by 25 May 2011, and shall notify it without delay of any subsequent amendment affecting them.
    2.Without prejudice to any judicial remedy which might be available, Member States shall ensure that the competent national authority and, where relevant, other national bodies have the power to order the cessation of the infringements referred to in paragraph 1.
    3.Member States shall ensure that the competent national authority and, where relevant, other national bodies have the necessary investigative powers and resources, including the power to obtain any relevant information they might need to monitor and enforce national provisions adopted pursuant to this Directive.
    4.The relevant national regulatory authorities may adopt measures to ensure effective cross-border cooperation in the enforcement of the national laws adopted pursuant to this Directive and to create harmonised conditions for the provision of services involving cross-border data flows.
    The national regulatory authorities shall provide the Commission, in good time before adopting any such measures, with a summary of the grounds for action, the envisaged measures and the proposed course of action. The Commission may, having examined such information and consulted ENISA and the Working Party on the Protection of Individuals with regard to the Processing of Personal Data established by Article 29 of Directive 95/46/EC, make comments or recommendations thereupon, in particular to ensure that the envisaged measures do not adversely affect the functioning of the internal market. National regulatory authorities shall take the utmost account of the Commission's comments or recommendations when deciding on the measures.
    1.Article 12 shall not apply to editions of directories already produced or placed on the market in printed or off-line electronic form before the national provisions adopted pursuant to this Directive enter into force.
    2.Where the personal data of subscribers to fixed or mobile public voice telephony services have been included in a public subscriber directory in conformity with the provisions of Directive 95/46/EC and of Article 11 of Directive 97/66/EC before the national provisions adopted in pursuance of this Directive enter into force, the personal data of such subscribers may remain included in this public directory in its printed or electronic versions, including versions with reverse search functions, unless subscribers indicate otherwise, after having received complete information about purposes and options in accordance with Article 12 of this Directive.
    1.Before 31 October 2003 Member States shall bring into force the provisions necessary to comply with this Directive. They shall forthwith inform the Commission thereof.
    When Member States adopt those provisions, they shall contain a reference to this Directive or be accompanied by such a reference on the occasion of their official publication. The methods of making such reference shall be laid down by the Member States.
    2.Member States shall communicate to the Commission the text of the provisions of national law which they adopt in the field governed by this Directive and of any subsequent amendments to those provisions.
    The Commission shall submit to the European Parliament and the Council, not later than three years after the date referred to in Article 17(1), a report on the application of this Directive and its impact on economic operators and consumers, in particular as regards the provisions on unsolicited communications, taking into account the international environment. For this purpose, the Commission may request information from the Member States, which shall be supplied without undue delay. Where appropriate, the Commission shall submit proposals to amend this Directive, taking account of the results of that report, any changes in the sector and any other proposal it may deem necessary in order to improve the effectiveness of this Directive.
    Directive 97/66/EC is hereby repealed with effect from the date referred to in Article 17(1).
    References made to the repealed Directive shall be construed as being made to this Directive.
    This Directive shall enter into force on the day of its publication in the Official Journal of the European Communities.
    This Directive is addressed to the Member States.
    Done at Brussels, 12 July 2002.