Международный договор
Директива от 24 октября 1995 года № 95/46/ЕС

О защите физических лиц при обработке персональных данных и о свободном обращении таких данных [рус., англ.]

Принята
Европейским парламентом
24 октября 1995 года,
Советом Европейского Союза
24 октября 1995 года

    --------------------------------
    <*> Перевод Мальцева А.
    <**> Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Опубликована в Официальном журнале (далее - ОЖ) N L 281, 23.11.1995, стр. 31.


    Европейский парламент и Совет Европейского Союза,
    руководствуясь Договором об учреждении Европейского экономического сообщества, и, в частности, статьей 100 "a" Договора,
    руководствуясь предложением Европейской комиссии <*>,

    --------------------------------
    <*> ОЖ N C 277, 05.11.1990, стр. 3 и ОЖ N C 311, 27.11.1992, стр. 30.

    руководствуясь заключением Европейского комитета по экономическим и социальным вопросам <*>,

    {note}-------------------------------
    <*> ОЖ N C 159, 17.6.1991, стр. 38.


    действуя в соответствии с процедурой, установленной в статье 189 "b" Договора <*>,

    --------------------------------
    <*> Заключение Европейского парламента от 11 марта 1992 (ОЖ N C 94, 13.4.1992, стр. 198), подтвержденное 2 декабря 1993 (ОЖ N C 342, 20.12.1993, стр. 30); Общая позиция Совета ЕС от 20 февраля 1995 (ОЖ N C 93, 13.4.1995, стр. 1) и Решение Европейского парламента от 15 июня 1995 (ОЖ N C 166, 03.7.1995).


    1) Поскольку цели Сообщества, установленные в Договоре, с изменениями, внесенными Договором о Европейском Союзе, включают в себя создание все более тесного союза народов Европы, способствование тесным связям между государствами, входящими в Сообщество, обеспечение экономического и социального прогресса путем общих действий, направленных на устранение разделяющих Европу барьеров, поощрение постоянного улучшения условий жизни их народов, сохранение и укрепление мира и свободы и продвижение демократии, основанной на основных правах, признаваемых конституциями и законами государств-членов ЕС и Европейской конвенцией о защите прав человека и основных свобод;
    2) Поскольку системы обработки данных предназначены для службы человеку; поскольку независимо от гражданства или местожительства физических лиц, эти системы должны соблюдать основные права и свободы, в том числе право на неприкосновенность частной жизни, и благоприятствовать экономическому и социальному прогрессу, развитию торговли и благополучию людей;
    3) Поскольку создание и функционирование внутреннего рынка, в котором, в соответствии со статьей 7 "a" Договора, гарантируется свободное движение товаров, лиц, услуг и капитала, требует не только свободы передачи персональных данных из одного государства-члена ЕС в другое, но также гарантий основных прав граждан;
    4) Поскольку в Сообществе все чаще прибегают к обработке персональных данных в различных сферах экономической и социальной жизни; поскольку прогресс, достигнутый в сфере информационных технологий, существенно упрощает обработку и обмен такими данными;
    5) Поскольку экономическая и социальная интеграция, проистекающая из создания и функционирования внутреннего рынка в значении статьи 7 "a" Договора безусловно приведет к существенному увеличению трансграничных потоков персональных данных между всеми участвующими в экономической и социальной жизни в государствах-членах ЕС в частном или публичном качестве; поскольку развивается обмен персональными данными между предприятиями в различных государствах-членах ЕС; поскольку органы власти государств-членов ЕС призываются, в соответствии с правом Сообществ, сотрудничать и обмениваться персональными данными с целью исполнения своих обязанностей или осуществления задач от имени органа власти другого государства-члена ЕС в контексте пространства без внутренних границ, образованного внутренним рынком;
    6) Поскольку, к тому же, увеличение научно-технического сотрудничества и скоординированное внедрение в Сообществе новых телекоммуникационных сетей неизбежно влекут за собой и облегчают трансграничную передачу персональных данных;
    7) Поскольку различия в уровне защиты в государствах-членах ЕС прав и свобод граждан, в том числе права на неприкосновенность частной жизни, при обработке персональных данных могут препятствовать передаче таких данных с территории одного государства-члена ЕС на территорию другого государства-члена ЕС; поскольку эти различия могут таким образом образовывать препятствие осуществлению некоторых видов экономической деятельности на уровне Сообщества, нарушать конкуренцию и препятствовать властям в исполнении их обязанностей, предусмотренных правом Сообщества; поскольку эти различия в уровне защиты вызваны существованием широкого многообразия национальных законов, подзаконных актов и административных распоряжений;
    8) Поскольку, с целью устранения препятствий потокам персональных данных, уровень защиты прав и свобод граждан при обработке таких данных должен быть равноценным во всех государствах-членах ЕС; поскольку эта цель очень важна для внутреннего рынка, но не может быть достигнута усилиями отдельных государств-членов ЕС, особенно ввиду масштаба расхождений, которые существуют в настоящее время между соответствующими законами государств-членов ЕС, и необходимости координировать эти законодательства государств-членов ЕС с тем, чтобы обеспечить согласованный порядок регулирования трансграничной передачи персональных данных, в соответствии с целью внутреннего рынка, предусмотренной в статье 7 "a" Договора; поскольку для этого необходима деятельность Сообщества по сближению законодательств в данной сфере;
    9) Поскольку, принимая во внимание равноценную защиту, проистекающую из сближения национальных законодательств, государства-члены ЕС более не смогут препятствовать свободе движения персональных данных между ними по основаниям, относящимся к защите прав и свобод граждан, и в особенности к защите права на неприкосновенность частной жизни; поскольку у государств-членов ЕС останется известная свобода действий, которая может, в контексте реализации Директивы, использоваться также экономическими и социальными партнерами; поскольку таким образом государства-члены ЕС смогут конкретизировать в своем национальном законодательстве общие условия, определяющие законность обработки данных; поскольку тем самым государства-члены ЕС стремятся улучшить защиту, предоставляемую в настоящее время по их законодательству; поскольку в рамках этой свободы действий и в соответствии с правом Сообщества, при реализации Директивы могут возникнуть несоответствия, и это может повлиять на движение данных внутри государства-члена ЕС и внутри Сообщества;
    10) Поскольку предмет национальных законодательств об обработке персональных данных состоит в защите основных прав и свобод, в частности, права на неприкосновенность частной жизни, которое признано в статье 8 Европейской конвенции о защите прав человека и основных свобод и среди общих принципов права Сообщества; поскольку по этой причине сближение данного законодательства не должно приводить к уменьшению предоставляемой им защиты, но должно, наоборот, стремиться обеспечить высокий уровень защиты в Сообществе;
    11) Поскольку принципы защиты прав и свобод физических лиц, в том числе права на неприкосновенность частной жизни, которые содержатся в настоящей Директиве, наполняют содержанием и расширяют принципы, содержащиеся в Конвенции Совета Европы от 28 января 1981 о защите физических лиц при автоматизированной обработке персональных данных;
    12) Поскольку принципы защиты должны применяться ко всякой обработке персональных данных любым лицом, чья деятельность регулируется правом Сообществ; поскольку из нее должна исключаться обработка данных, выполняемая физическим лицом при осуществлении деятельности исключительно личного или бытового характера, такого как переписка и ведение записей адресов;
    13) Поскольку деятельность, указанная в V и VI разделах Договора о Европейском Союзе, касающаяся общественной безопасности, обороны, государственной безопасности и деятельности государства в сфере уголовного права выходит за рамки права Сообществ, без ущерба для обязательств, возложенных на государства-члены ЕС в соответствии с параграфом 2 статьи 56, статьей 57 или статьей 100 "a" Договора, учреждающего Европейское Сообщество; поскольку обработка персональных данных, которая необходима для обеспечения экономического благосостояния государства, не подпадает под действие настоящей Директивы, когда такая обработка связана с вопросами государственной безопасности;
    14) Поскольку, принимая во внимание значимость осуществляющегося в настоящее время, в рамках информационного общества, развития техники, используемой для сбора, распространения, обработки, записи, хранения или передачи звука и изображений, относящихся к физическим лицам, настоящая Директива применяется к обработке таких данных;
    15) Поскольку обработка таких данных регулируется настоящей Директивой, только если она автоматизирована или если обрабатываемые данные содержатся или предназначены для содержания в файловой системе, структурированной в соответствии с конкретными критериями, относящимися к физическим лицам, с целью обеспечения легкого доступа к соответствующим персональным данным;
    16) Поскольку обработка звука и изображений, например, в случаях видеонаблюдения, не подпадает под действие данной Директивы, если она осуществляется для целей общественной безопасности, обороны, государственной безопасности или в процессе деятельности государства, относящейся к сфере уголовного права, или иной деятельности, не регулируемой правом Сообществ;
    17) Поскольку в том, что относится к обработке звука и изображений, осуществляемой в целях журналистской деятельности, либо в целях литературного или художественного самовыражения, в частности, в аудиовизуальной сфере, принципы Директивы должны применяться ограничительно, в соответствии с нормами, сформулированными в статье 9;
    18) Поскольку, с целью обеспечения того, что физические лица не лишены защиты, на которую они имеют право по настоящей Директиве, всякая обработка персональных данных в Сообществе должна осуществляться в соответствии с законодательством одного из государств-членов ЕС; поскольку в этой связи обработка, осуществляемая под руководством оператора, учрежденного в государстве-члене ЕС, должна регулироваться законодательством этого государства;
    19) Поскольку учреждение на территории государства-члена ЕС предполагает эффективное и реальное осуществление деятельности посредством прочных договоренностей; принимая во внимание, что правовая форма такой организации, как обычного филиала, так и дочернего общества, обладающего правосубъектностью, не является определяющим фактором в данном отношении; поскольку, когда один оператор учрежден на территории нескольких государств-членов ЕС, особенно в форме дочерних обществ, он должен гарантировать, во избежание любого обхода национальных правил, что каждая из таких организаций выполняет обязанности, установленные национальным законодательством, применимым к ее деятельности;
    20) Поскольку факт осуществления обработки данных лицом, учрежденным в третьей стране, не должен препятствовать защите физических лиц, предусмотренной в настоящей Директиве; поскольку в таких случаях обработка должна регулироваться законодательством государства-члена ЕС, в котором находятся средства, используемые для обработки данных, и должны обеспечиваться гарантии фактического уважения прав и обязанностей, предусмотренных настоящей Директивой;
    21) Поскольку настоящая Директива не противоречит правилам территориальности, применяемым в уголовном праве;
    22) Поскольку государства-члены ЕС определяют более точно в своем законодательстве или при введении в действие мер, принимаемых согласно настоящей Директиве, общие обстоятельства, при которых обработка является правомерной; поскольку, в частности, статья 5, в сочетании со статьями 7 и 8, позволяет государствам-членам ЕС, независимо от общих правил, устанавливать особые условия обработки в конкретных отраслях и обработки различных категорий данных, предусмотренных статьей 8;
    23) Поскольку государства-члены ЕС управомочены гарантировать осуществление защиты физических лиц как с помощью общего Закона о защите физических лиц при обработке персональных данных, так и посредством отраслевого законодательства, касающегося, например, статистических учреждений;
    24) Поскольку законодательство, относящееся к защите юридических лиц при обработке касающихся их данных, не затрагивается настоящей Директивой;
    25) Поскольку принципы защиты должны быть отражены, с одной стороны, в обязательствах, налагаемых на лица, государственные органы, предприятия, агентства или другие органы, ответственные за обработку данных, в частности, в отношении качества данных, технической безопасности, уведомления надзорного органа, и обстоятельств, при которых может выполняться обработка, и, с другой стороны, в правах, предоставленных физическим лицам, чьи данные подвергаются обработке, быть уведомленными о проведении обработки, иметь доступ к данным, просить об их исправлении, и даже возражать против их обработки при определенных обстоятельствах;
    26) Поскольку принципы защиты данных должны применяться к любой информации, касающейся определенного или определяемого лица; поскольку для определения того, является ли лицо определяемым, следует учитывать всю совокупность средств, которые с разумной долей вероятности могут использоваться оператором или любым другим лицом с целью определения данного лица; поскольку принципы защиты не применяются к данным, которые сделаны анонимными таким способом, что субъект данных более не является определяемым; поскольку кодексы поведения по смыслу статьи 27 могут быть полезным инструментом, предоставляющим указания относительно способов, с помощью которых данные можно сделать анонимными и сохранить в том виде, в котором определение субъекта данных более невозможно;
    27) Поскольку защита физических лиц должна осуществляться при автоматической обработке данных в той же мере, что и при ручной обработке; поскольку объем данной защиты не должен фактически зависеть от используемой техники, иначе это создало бы серьезный риск обхода закона; поскольку, все же, настоящая Директива распространяется только на файловые системы, а не на неструктурированные файлы; поскольку, в частности, содержание файловой системы должно быть структурировано в соответствии с конкретными критериями, относящимися к физическим лицам, позволяющими осуществлять легкий доступ к персональным данным; поскольку, в соответствии с определением в статье 2 "c", различные критерии для определения составляющих структурированного набора персональных данных и различные критерии, регулирующие доступ к такому набору, могут быть определены каждым государством-членом ЕС; поскольку файлы или группы файлов, а также их титульные листы, которые не структурированы в соответствии с конкретными критериями, ни при каких обстоятельствах не подпадают под действие настоящей Директивы;
    28) Поскольку любая обработка персональных данных должна быть правомерной и добросовестной по отношению к соответствующим физическим лицам; поскольку, в частности, данные должны быть достаточными, релевантными и не избыточными по отношению к целям, для которых они обрабатываются; поскольку такие цели должны быть явно выраженными и законными и должны быть определены во время сбора данных; поскольку цели обработки, следующей за сбором данных, не должны быть несовместимыми с первоначально определенными целями;
    29) Поскольку дальнейшая обработка персональных данных для исторических, статистических или научных целей, как правило, не должна считаться несовместимой с целями, для которых эти данные были ранее собраны, при условии, что государства-члены ЕС предоставляют надлежащие гарантии; поскольку эти гарантии должны, в частности, исключать использование данных в поддержку мер или решений в отношении любого конкретного физического лица;
    30) Поскольку, чтобы быть правомерной, обработка персональных данных должна, кроме того, осуществляться с согласия субъекта данных или быть необходимой для заключения или исполнения договора, имеющего обязательную силу для субъекта данных, или в качестве законного требования, или быть необходимой для выполнения задачи, реализуемой в общественном интересе или при осуществлении государственной власти, или в законных интересах физического либо юридического лица, при условии, что интересы или права и свободы субъекта данных не имеют преимущества; поскольку, в частности, для поддержания баланса между интересами сторон при обеспечении эффективной конкуренции, государства-члены ЕС могут определять обстоятельства, при которых персональные данные могут использоваться и доводиться до сведения третьих лиц в контексте обычной законной деловой деятельности компаний и других юридических лиц; поскольку государства-члены ЕС могут так же определить условия, при которых персональные данные могут доводиться до сведения третьих лиц для целей маркетинга, независимо от того, осуществляются ли они коммерческой или благотворительной организацией, либо любым другим объединением или фондом, например, политического характера, при соблюдении норм, позволяющих субъекту данных бесплатно и без необходимости указывать причины возражать против обработки относящихся к нему данных;
    31) Поскольку обработка персональных данных должна равным образом считаться правомерной, когда она выполняется, чтобы защитить интерес, который имеет важное значение для жизни субъекта данных;
    32) Поскольку национальное законодательство определяет, должен ли оператор, выполняющий задачу, реализуемую в общественном интересе или при осуществлении государственной власти, являться государственным органом, либо другим физическим или юридическим лицом, регулируемым публичным правом или частным правом, таким как профессиональное объединение;
    33) Поскольку персональные данные, которые по своему характеру способны нарушать основные свободы и неприкосновенность частной жизни, не должны обрабатываться, если только субъект данных не даст своего явно выраженного согласия; поскольку при этом исключения из данного запрета должны быть явным образом предусмотрены применительно к конкретным нуждам, в частности, когда обработка этих данных осуществляется в определенных лечебно-оздоровительных целях лицами, ограниченными законным обязательством сохранения профессиональной тайны, или в ходе правомерных действий определенных объединений или фондов, цель которых состоит в обеспечении осуществления основных свобод;
    34) Поскольку государства-члены ЕС должны быть вправе, когда это оправдано по соображениям важных общественных интересов, отступать от запрета обработки чувствительных категорий данных там, где существенные основания общественного интереса это оправдывают, в таких областях как здравоохранение и социальная защита (особенно с целью обеспечения качества и рентабельности процедур, используемых для урегулирования претензий о компенсациях и услугах в системе медицинского страхования), научные исследования и правительственная статистика; поскольку, однако, для них обязательно предоставление конкретных и надлежащих гарантий с тем, чтобы защитить основные права и неприкосновенность частной жизни граждан;
    35) Поскольку, кроме того, обработка персональных данных государственными властями для достижения целей, сформулированных в конституционном праве или в международном публичном праве, официально признанных религиозных объединений, осуществляется по важным основаниям общественного интереса;
    36) Поскольку там, где функционирование демократической системы в отдельных государствах-членах ЕС требует в процессе избирательных мероприятий того, что политические партии собирают данные о политических взглядах людей, обработка таких данных может быть разрешена по соображениям важного общественного интереса, при условии установления надлежащих гарантий;
    37) Поскольку обработка персональных данных в целях журналистской деятельности, либо в целях литературного или художественного самовыражения, в частности, в аудиовизуальной сфере, должна давать право на освобождение от требований отдельных норм настоящей Директивы в части, необходимой для приведения основных прав человека в соответствие со свободой информации и, в частности, с правом получать и передавать информацию, гарантированным, в особенности, в статье 10 Европейской конвенции о защите прав человека и основных свобод; поскольку государства-члены ЕС должны по этой причине сформулировать исключения и ограничения, необходимые для обеспечения баланса между основными правами, касающимися общих мер в отношении законности обработки данных, мер по передаче информации третьим странам и правомочий надзорного органа; поскольку это, однако, не должно приводить государства-члены ЕС к формулированию ограничения данных мер для обеспечения безопасности обработки данных; поскольку во всяком случае надзорный орган, ответственный за данную отрасль, должен иметь отдельные фактические правомочия, к примеру, публиковать периодический отчет или передавать вопросы на рассмотрение судебным властям;
    38) Поскольку обработка данных должна быть справедливой, субъект данных должен иметь возможность узнать о проведении обработки данных и, если данные запрашиваются у него, ему должна быть предоставлена точная и полная информация, учитывающая обстоятельства сбора данных;
    39) Поскольку отдельные действия по обработке затрагивают данные, которые оператор не получил напрямую от субъекта данных; поскольку при этом данные могут на законном основании сообщаться третьим лицам, даже если раскрытие данных не предполагалось в момент их получения от субъекта данных; поскольку во всех этих случаях субъект данных должен быть проинформирован, когда данные записываются или, самое позднее, когда они впервые сообщаются третьему лицу;
    40) Поскольку, однако, возложение этого обязательства не является необходимым, если субъект данных уже обладает такой информацией; поскольку, кроме того, такого обязательства не возникнет, если запись или раскрытие данных прямо предусмотрены законом, либо если доказано, что предоставление информации субъекту данных невозможно или повлечет за собой несоразмерные усилия, что может произойти, когда обработка осуществляется для исторических, статистических или научных целей; поскольку, в этой связи, могут приниматься во внимание число субъектов данных, возраст данных и любые принятые компенсирующие меры;
    41) Поскольку любое лицо должно быть в состоянии осуществлять право на доступ к относящимся к нему данным, которые подвергаются обработке, с тем чтобы проверить, в частности, точность данных и правомерность их обработки; поскольку, по тем же причинам, каждый субъект данных должен также иметь право знать алгоритмы, задействованные в автоматической обработке касающихся его данных, по меньшей мере, в случае автоматизированных решений, упомянутых в статье 15 (1); поскольку осуществление данного права не должно негативно сказываться на защите коммерческой тайны и интеллектуальной собственности, и, в частности, авторского права на программное обеспечение; поскольку данные соображения не должны, тем не менее, приводить к отказу в предоставлении любой информации субъекту данных;
    42) Поскольку государства-члены ЕС могут, в интересах субъекта данных или для защиты прав и свобод других лиц, ограничивать права на доступ и на информацию; поскольку они могут, например, установить, что доступ к медицинским данным может быть получен только через работников здравоохранения;
    43) Поскольку ограничения прав на доступ и на информацию, и отдельных обязанностей оператора могут также налагаться государствами-членами ЕС в части, необходимой для защиты, к примеру, национальной безопасности, обороны, общественной безопасности или важных экономических или финансовых интересов государства-члена ЕС или Европейского Союза, а также расследования преступлений, уголовного преследования и исков, связанных с нарушениями этики в регулируемых профессиях; поскольку список исключений и ограничений должен включать задачи контроля, досмотра и регулирования, необходимых в последних трех упомянутых областях, касающихся общественной безопасности, экономических или финансовых интересов и предотвращения преступлений; поскольку перечисление задач в данных трех областях не затрагивает правомерность исключений или ограничений по соображениям государственной безопасности или обороны;
    44) Поскольку государства-члены ЕС могут также иметь основания, в соответствии с нормами права Сообщества, отступать от норм настоящей Директивы, касающихся права на доступ, обязанности уведомлять лица и качества данных, с тем чтобы гарантировать некоторые из упомянутых выше целей;
    45) Поскольку, в случаях, когда данные могут правомерно обрабатываться по соображениям общественного интереса, государственной власти, либо законных интересов физического или юридического лица, любой субъект данных при этом должен быть вправе возражать против обработки относящихся к нему данных по законным и веским основаниям, связанным с его особенным положением; поскольку, несмотря на это, государства-члены ЕС могут устанавливать нормы национального законодательства, устанавливающие обратный порядок;
    46) Поскольку защита прав и свобод субъектов данных в отношении обработки персональных данных требует принятия соответствующих технических и организационных мер как при разработке систем обработки, так и во время самой обработки, особенно в целях поддержания безопасности и, тем самым, предотвращения любой неправомерной обработки; поскольку государства-члены ЕС обязаны гарантировать, что операторы соблюдают данные меры; поскольку данные меры должны обеспечить надлежащий уровень безопасности, учитывая уровень технического развития и затраты по их внедрению в отношении к рискам, присущим обработке и характеру данных, подлежащих защите;
    47) Поскольку в случаях, когда сообщение, содержащее персональные данные, передается посредством телекоммуникационных услуг или услуг электронной почты, единственной целью которых является передача таких сообщений, в отношении персональных данных, содержащихся в сообщении, оператор, как правило, будет считаться лицом, от которого исходит сообщение, а не лицом, предлагающим услуги по передаче данных; поскольку, несмотря на это, лица, предлагающие подобные услуги, как правило, будут считаться операторами в отношении дополнительных персональных данных, необходимых для оказания услуги;
    48) Поскольку процедуры уведомления надзорного органа предназначены для обеспечения раскрытия целей и основных характеристик всякой операции по обработке данных в целях проверки осуществления такой операции в соответствии с национальными мерами, принятыми согласно настоящей Директиве;
    49) Поскольку, во избежание неподходящих административных формальностей, государствами-членами ЕС может быть предусмотрено освобождение от обязанности уведомления и упрощение требуемого уведомления в случаях, когда маловероятно, что обработка данных неблагоприятно затронет права и свободы субъектов данных, при условии, что это соответствует мере, принятой государством-членом ЕС, устанавливающей ее границы; поскольку такое освобождение или упрощение может также устанавливаться государствами-членами ЕС, где лицо, назначенное оператором, гарантирует, что осуществляемая обработка неспособна неблагоприятно затронуть права и свободы субъектов данных; поскольку такой служащий, занимающийся защитой данных, независимо от того, является ли он работником оператора, должен иметь возможность осуществлять свои должностные обязанности полностью независимо;
    50) Поскольку такое освобождение или упрощение может предусматриваться в случаях операций по обработке, единственная цель которых состоит в ведении реестра, предназначенного, в соответствии с национальным законодательством, для предоставления информации общественности и открытого для доступа общественности или любого лица, проявляющего законный интерес;
    51) Поскольку, тем не менее, освобождение от обязательства об уведомлении или его упрощение не освобождают оператора от любых других обязательств, обусловленных настоящей Директивой;
    52) Поскольку, в данном контексте, проверка ex post facto, осуществляемая компетентными властями, должна, в принципе, считаться достаточной мерой;
    53) Поскольку, тем не менее, отдельные операции по обработке могут создавать конкретные риски для прав и свобод субъектов данных, в соответствии с их характером, их масштабом или их целями, такие как недопущение физических лиц до пользования правом, льготой или договором, либо в силу специфического использования новых технологий; поскольку государства-члены ЕС могут конкретизировать такие риски в своем законодательстве, если они того пожелают;
    54) Поскольку, по отношению ко всей обработке данных, предпринимаемой в обществе, ее объем, создающий такие конкретные риски, должен быть сильно ограничен; поскольку государства-члены ЕС должны предусмотреть, что надзорный орган или служащий, занимающийся защитой данных во взаимодействии с этим органом, контролирует такую обработку перед тем, как она будет осуществлена; поскольку вслед за предварительной проверкой, надзорный орган может, в соответствии с национальным законодательством, дать заключение или разрешение, касающееся данной обработки; поскольку такая проверка может совершаться равным образом в процессе подготовки как законодательной меры национального парламента, так и меры, основанной на такой законодательной мере, которая определяет характер обработки и устанавливает соответствующие гарантии;
    55) Поскольку, если оператор не соблюдает права субъектов данных, национальное законодательство должно предусматривать судебную защиту этих прав; поскольку любой ущерб, который соответствующее лицо могло бы понести в результате неправомерной обработки данных, должен компенсироваться оператором, который может быть освобожден от ответственности, если он докажет, что он не отвечает за данный ущерб, в частности, в случаях, когда он установит нарушение со стороны субъекта данных или в случае обстоятельств непреодолимой силы; поскольку должны налагаться санкции на любое лицо, независимо от того, регулируется ли оно частным или публичным правом, которое нарушает национальные меры, принятые в соответствии с настоящей Директивой;
    56) Поскольку трансграничные потоки персональных данных необходимы для расширения международной торговли; поскольку защита физических лиц, гарантированная в Сообществе настоящей Директивой, не препятствует передаче персональных данных в третьи страны, которые обеспечивают достаточный уровень их защиты; поскольку достаточность уровня защиты, предоставляемой третьей страной, должна оцениваться в свете всех обстоятельств, связанных с операцией по передаче или с последовательностью операций по передаче;
    57) Поскольку, с другой стороны, должна быть запрещена передача персональных данных в третью страну, которая не обеспечивает достаточный уровень их защиты;
    58) Поскольку должны предусматриваться исключения из данного запрета в определенных случаях, когда субъект данных дал свое согласие, когда передача данных необходима в связи с договором или правом требования, когда того требует защита важного общественного интереса, например, в случаях международной передачи данных между налоговыми или таможенными органами, или между службами, компетентными в сфере социального обеспечения, или когда передача осуществляется из реестра, созданного по закону и предназначенного для доступа общественности или лиц, имеющих законный интерес; поскольку в таком случае передача данных не должна затрагивать все данные или целые категории данных, содержащихся в реестре, и, когда реестр предназначен для доступа лиц, имеющих законный интерес, передача данных должна производиться только по требованию данных лиц или если они будут их получателями;
    59) Поскольку могут быть приняты конкретные меры, чтобы компенсировать недостаток защиты данных в третьей стране в случаях, когда оператор предлагает соответствующие гарантии; поскольку, кроме того, должны предусматриваться процедуры переговоров между Сообществом и такими третьими странами;
    60) Поскольку во всяком случае передача данных в третьи страны может осуществляться только в полном соответствии с нормами, принятыми государствами-членами ЕС согласно настоящей Директиве и, в частности, ее статьи 8;
    61) Поскольку государства-члены ЕС и Европейская комиссия, в соответствующих сферах их компетенции, должны, чтобы способствовать применению настоящей Директивы, побуждать торгово-промышленные ассоциации и другие заинтересованные представительные организации разрабатывать кодексы поведения, учитывающие конкретные характеристики обработки данных, осуществляемой в определенных отраслях, и соблюдающие национальные нормы, принятые во исполнение настоящей Директивы;
    62) Поскольку создание в государствах-членах ЕС надзорных органов, полностью независимых в осуществлении своих функций, является важнейшим компонентом защиты физических лиц при обработке персональных данных;
    63) Поскольку такие органы должны располагать необходимыми средствами для осуществления их обязанностей, включая право проводить расследования и вмешиваться, особенно в случаях жалоб от физических лиц, и правомочия по участию в судебных процессах; поскольку такие органы должны способствовать обеспечению прозрачности при обработке данных в государствах-членах ЕС, под юрисдикцию которых они подпадают;
    64) Поскольку властям в различных государствах-членах ЕС потребуется взаимное содействие при исполнении их обязанностей, с тем, чтобы гарантировать, что правила защиты данных соблюдаются должным образом на всей территории Европейского Союза;
    65) Поскольку на уровне Сообщества должна быть создана рабочая группа по защите физических лиц при обработке персональных данных, полностью независимая при исполнении своих обязанностей; поскольку, принимая во внимание ее специфику, она должна консультировать Европейскую комиссию и, в частности, способствовать единообразному применению национальных правил, принятых в соответствии с настоящей Директивой;
    66) Поскольку в отношении передачи данных в третьи страны применение настоящей Директивы требует предоставления Европейской комиссии полномочий на исполнение и установления процедуры, изложенной в Решении Совета ЕС 87/373/ЕЭС <*>;

    -------------------------------
    <*> ОЖ N L 197, 18.7.1987, стр. 33.


    67) Поскольку 20 декабря 1994 г. между Европейским парламентом, Советом ЕС и Европейской комиссией было достигнуто соглашение о modus vivendi относительно мер по исполнению актов, принятых в соответствии с процедурой, установленной в статье 189 "b" Договора;
    68) Поскольку принципы, установленные в настоящей Директиве в отношении защиты прав и свобод физических лиц, в том числе права на неприкосновенность частной жизни, могут быть дополнены или уточнены в части обработки персональных данных конкретными правилами, основанными на данных принципах, особенно когда это касается определенных отраслей;
    69) Поскольку государствам-членам ЕС следует предоставить срок не более трех лет с момента вступления в силу мер, преобразующих настоящую Директиву в национальное право, в течение которого они постепенно применят новые национальные правила ко всем уже осуществляющимся операциям по обработке данных; поскольку, чтобы способствовать рентабельности их реализации, государствам-членам ЕС будет предоставлен дополнительный срок, истекающий через 12 лет после даты принятия настоящей Директивы, для обеспечения соответствия существующих ручных файловых систем отдельным нормам настоящей Директивы; поскольку, когда данные, содержащиеся в таких файловых системах, обрабатываются вручную в течение этого расширенного переходного периода, такие системы должны быть приведены в соответствие с этими нормами в момент такой обработки;
    70) Поскольку субъекту данных не нужно вновь давать свое согласие, чтобы после вступления в силу национальных норм, принятых в соответствии с настоящей Директивой, оператор продолжал обработку любых конфиденциальных данных, необходимых для исполнения договора, заключенного на основе свободного и сознательного согласия до вступления в силу данных норм;
    71) Поскольку настоящая Директива не препятствует государствам-членам ЕС регулировать маркетинговую деятельность, направленную на потребителей, проживающих на их территории, насколько подобное регулирование не касается защиты физических лиц при обработке персональных данных;
    72) Поскольку настоящая Директива позволяет принимать во внимание принцип общественного доступа к официальным документам при реализации принципов, установленных в настоящей Директиве;
    приняли настоящую Директиву:

  1. ГЛАВА I.Общие положения

    2. 1.В соответствии с настоящей Директивой, государства-члены ЕС защищают основные права и свободы физических лиц, и, в частности, их право на неприкосновенность частной жизни при обработке персональных данных.
    2.Государства-члены ЕС не могут ни ограничить, ни запретить свободное обращение персональных данных между государствами-членами ЕС по соображениям, связанным с защитой, предоставленной согласно параграфу 1.
    Для целей настоящей Директивы:
    a) "персональные данные" означают любую информацию, относящуюся к определенному или определяемому физическому лицу ("субъекту данных"); определяемым является лицо, которое может быть определено, прямо или косвенно, в частности, через идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;
    b) "обработка персональных данных" ("обработка") означает любую операцию или последовательность операций, осуществляемых с персональными данными, с использованием автоматических средств или без такового, таких как сбор, запись, организация, хранение, модификация или замена, извлечение, консультирование, использование, раскрытие через передачу, распространение или предоставление доступа другим способом, блокирование, стирание или разрушение;
    c) "файловая система персональных данных" ("файловая система") означает любой структурированный набор персональных данных, доступных по определенным критериям, будь то централизованный, децентрализованный или распределенный по функциональному или географическому принципу;
    d) "оператор" означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; когда цели и способы обработки определены законодательством или подзаконными актами на национальном уровне или уровне Сообщества, оператор или конкретные критерии его назначения могут быть установлены национальным законодательством или законодательством Сообщества;
    e) "обработчик" означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который обрабатывает персональные данные от имени оператора;
    f) "третье лицо" означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который не является субъектом данных, оператор, обработчик и лица, управомоченные обрабатывать данные под прямым руководством оператора или обработчика;
    g) "получатель" означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, являющийся или нет третьим лицом, которому раскрывают данные; несмотря на это, органы власти, которые могут получать данные в рамках частного запроса, не рассматриваются как получатели;
    h) "согласие субъекта данных" означает любое свободно данное конкретное и сознательное указание на его желания, которым субъект данных выражает свое согласие на обработку относящихся к нему персональных данных.
    1.Настоящая Директива применяется к полной или частичной обработке персональных данных автоматизированными средствами и к обработке неавтоматизированными средствами персональных данных, составляющих часть файловой системы или предназначенных составлять часть файловой системы.
    2.Настоящая Директива не применяется к обработке персональных данных:
    - в процессе деятельности, которая выходит за рамки права Сообщества, такой как указанная в V и VI разделах Договора о Европейском Союзе, и, во всяком случае, в операциях по обработке, касающихся общественной безопасности, обороны, государственной безопасности (включая экономическое благосостояние государства, когда операция по обработке относится к вопросам государственной безопасности) и деятельности государства в сфере уголовного права,
    - физическим лицом в процессе исключительно личной или бытовой деятельности.
    1.Каждое государство-член ЕС применяет к обработке персональных данных национальные нормы, которые принимает в соответствии с настоящей Директивой, когда:
    a) обработка осуществляется в контексте деятельности учреждения оператора на территории государства-члена ЕС; когда один оператор учрежден на территории нескольких государств-членов ЕС, он должен принять необходимые меры, гарантирующие, что каждое из таких учреждений соблюдает обязательства, установленные применимым национальным правом;
    b) оператор учрежден не на территории государства-члена ЕС, но в месте, в котором его национальное право применяется в силу международного публичного права;
    c) оператор не учрежден на территории Сообщества, и использует для обработки персональных данных оборудование, автоматизированное или нет, расположенное на территории указанного государства-члена ЕС, если такое оборудование не используется только для целей транзита через территорию Сообщества.
    2.В обстоятельствах, указанных в параграфе 1 "c", оператор должен назначить представителя, учрежденного на территории этого государства-члена ЕС, без ущерба для судебных исков, которые могут быть предъявлены против самого оператора.

  2. ГЛАВА II.Общие правила о законности обработки персональных данных

    3. Статья 5 <*>

    -------------------------------
    <*> Некоторые статьи в оригинале данной Директивы даны без названия - прим. перев.


    Государства-члены ЕС определяют более точно, в рамках положений настоящей главы, условия, при которых обработка персональных данных является законной.

  3. Раздел I.Принципы, относящиеся к качеству данных

    4. 1.Государства-члены ЕС предусматривают, что персональные данные должны:
    a) обрабатываться справедливо и законно;
    b) собираться для конкретных, явно выраженных и законных целей и не обрабатываться в дальнейшем способом, несовместимым с данными целями. Дальнейшая обработка данных для исторических, статистических и научных целей не считается несовместимой, при условии, что государства-члены ЕС предоставляют надлежащие гарантии;
    c) быть достаточными, релевантными и не избыточными по отношению к целям, для которых они собираются и/или обрабатываются в дальнейшем;
    d) быть точными и, при необходимости, актуализированными; требуется предпринимать все возможные шаги, чтобы гарантировать, что неточные или неполные данные, по отношению к целям, для которых они были собраны или в дальнейшем обработаны, будут стерты или исправлены;
    e) храниться в форме, позволяющей проводить идентификацию субъектов данных не дольше, чем это необходимо для целей, с которыми они были собраны или в дальнейшем обработаны. Государства-члены ЕС устанавливают надлежащие гарантии для персональных данных, хранящихся в течение более долгих сроков для исторических, статистических или научных целей.
    2.Оператор обеспечивает соблюдение параграфа 1.

  4. Раздел II.Критерии законности обработки данных

    5. Государства-члены ЕС предусматривают, что персональные данные могут обрабатываться только если:
    a) субъект данных однозначно дал свое согласие; или
    b) обработка необходима для исполнения договора, стороной которого является субъект данных или в целях принятия мер по просьбе субъекта данных до заключения договора; или
    c) обработка необходима для соблюдения юридического обязательства, субъектом которого является оператор; или
    d) обработка необходима в целях защиты жизненно важных интересов субъекта данных; или
    e) обработка необходима для выполнения задачи, осуществляемой в общественном интересе, или при исполнении официальных правомочий, возложенных на оператора или третье лицо, которому раскрываются данные; или
    f) обработка необходима для целей законных интересов, преследуемых оператором или третьим лицом или лицами, которым раскрываются данные, за исключением случаев, когда перед такими интересами имеют преимущество интересы, связанные с основными правами и свободами субъекта данных, которые требуют защиты согласно статье 1 (1).

  5. Раздел III.Специальные категории обработки

    6. 1.Государства-члены ЕС запрещают обработку персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни.
    2.Параграф 1 не применяется, когда:
    a) субъект данных дал свое явно выраженное согласие на обработку этих данных, кроме случаев, когда законодательство государства-члена ЕС устанавливает, что запрет, упомянутый в параграфе 1, не может быть отменен с согласия субъекта данных; или
    b) обработка необходима для целей исполнения обязательств и осуществления особых прав оператора в сфере трудового права, насколько это разрешено национальным законодательством, предусматривающим достаточные гарантии; или
    c) обработка необходима в целях защиты жизненно важных интересов субъекта данных или другого лица, если субъект данных физически или юридически неспособен дать свое согласие; или
    d) обработка осуществляется в ходе законной деятельности с соответствующими гарантиями фондом, объединением или любой другой некоммерческой организацией с политической, философской, религиозной или профсоюзной целью и при условии, что обработка относится только к членам такой организации или к лицам, которые поддерживают с ней регулярный контакт в связи с ее целями, и что данные не раскрываются третьим лицам без согласия субъектов данных; или
    e) обработка связана с данными, которые явно преданы огласке субъектом данных, или необходима для установления, осуществления или защиты правовых требований.
    3.Параграф 1 не применяется, когда обработка данных требуется для целей профилактической медицины, медицинской диагностики, оказания медицинской помощи или лечения, либо управления здравоохранением, и когда эти данные обрабатываются работником здравоохранения согласно национальному законодательству или правилам, установленным компетентными национальными органами в отношении обязанности хранения профессиональной тайны или иным лицом, также ограниченным равноценным обязательством хранения тайны.
    4.При условии предоставления надлежащих гарантий, государства-члены ЕС могут, по соображениям важного общественного интереса, устанавливать исключения, в дополнение к тем, которые сформулированы в параграфе 2, либо в национальном законодательстве, либо в решении надзорного органа.
    5.Обработка данных, относящихся к административным правонарушениям, уголовным судимостям или мерам безопасности, может осуществляться только под контролем официального органа, или, если национальное законодательство представляет надлежащие конкретные гарантии, за исключением ограничений, которые могут предоставляться государствами-членами ЕС, в соответствии с национальными нормами, предусматривающими надлежащие конкретные гарантии. Однако, полный реестр уголовных судимостей может вестись только под контролем официального органа.
    Государства-члены ЕС могут предусмотреть, что данные, относящиеся к административным санкциям или судебным решениям по гражданским делам, также обрабатываются под контролем официального органа.
    6.Европейская комиссия уведомляется об отступлениях от параграфа 1, предусмотренных в параграфах 4 и 5.
    7.Государства-члены ЕС определяют условия, при которых может производиться обработка национального идентификационного номера или любого другого общепринятого идентификатора.
    Государства-члены ЕС предусматривают исключения или ограничения положений настоящей главы, главы IV и главы VI для обработки персональных данных, осуществляемой исключительно в целях журналистской деятельности, либо в целях художественного или литературного самовыражения, только если они необходимы для приведения в соответствие права на неприкосновенность частной жизни с правилами, регулирующими свободу слова.

  6. Раздел IV.Информация, предоставляемая субъекту данных

    7. Государства-члены ЕС предусматривают, что оператор или его представитель должен предоставить субъекту данных, от которого получаются относящиеся к нему данные, по меньшей мере следующую информацию, кроме случаев, когда она у него уже имеется:
    a) наименование оператора и его представителя, если таковой имеется;
    b) цели обработки, для которых предназначены данные;
    c) любая другая информация, такая как:
    - получатели или категории получателей данных,
    - являются ли ответы на вопросы обязательными или добровольными, как и возможные последствия отсутствия ответа,
    - существование права доступа и права исправлять относящиеся к нему данные,
    насколько такая дополнительная информация необходима, с учетом конкретных обстоятельств, в которых собираются данные, чтобы гарантировать их справедливую обработку в отношении субъекта данных.
    1.Когда данные не были получены от субъекта данных, государства-члены ЕС предусматривают, что оператор или его представитель должен при проведении записи персональных данных или, если предвидится их раскрытие третьему лицу, не позже чем при первом раскрытии данных предоставить субъекту данных по меньшей мере следующую информацию, кроме случаев, когда она у него уже имеется:
    a) личность оператора и его представителя, если таковой имеется;
    b) цели обработки;
    c) любую другую информацию, такая как:
    - категории данных,
    - получатели или категории получателей,
    - существование права доступа и права исправлять относящиеся к нему данные,
    насколько такая дополнительная информация необходима, с учетом конкретных обстоятельств, в которых обрабатываются данные, чтобы гарантировать их справедливую обработку в отношении субъекта данных.
    2.Параграф 1 не применяется, когда, например, при обработке для статистических целей или для целей исторического или научного исследования, предоставление такой информации невозможно или повлечет за собой несоразмерные усилия, либо если запись или раскрытие данных прямо предусмотрено законом. В таких случаях государства-члены ЕС предусматривают соответствующие гарантии.

  7. Раздел V.Право субъекта данных на доступ к данным

    8. Государства-члены ЕС гарантируют каждому субъекту данных право получать от оператора:
    a) без ограничения, в разумные интервалы и без чрезмерной задержки или расходов:
    - подтверждение того, осуществляется или нет обработка относящихся к нему данных, и информацию по меньшей мере о целях обработки, категориях данных и получателях или категориях получателей, которым раскрываются данные,
    - сообщение ему в понятной форме данных, подвергающихся обработке, и любой имеющейся информации об их источнике,
    - знание об алгоритмах, задействованных в автоматической обработке касающихся его данных, по меньшей мере в случае автоматизированных решений, упомянутых в статье 15 (1);
    b) по мере необходимости, исправление, стирание или блокирование данных, обработка которых не соответствует нормам настоящей Директивы, в частности из-за неполноты или неточности самих данных;
    c) уведомление третьих лиц, которым были раскрыты данные, о любом исправлении, стирании или блокировании данных, осуществляемых в соответствии с пунктом "b", за исключением случаев, когда это невозможно или повлечет за собой несоразмерные усилия.

  8. Раздел VI.Исключения и ограничения

    9. 1.Государства-члены ЕС могут принимать законодательные меры, ограничивающие сферу применения обязательств и прав, предусмотренных статьями 6 (1), 10, 11 (1), 12 и 21, когда такое ограничение образует необходимые меры для обеспечения:
    a) национальной безопасности;
    b) обороны;
    c) общественной безопасности;
    d) предотвращения, расследования, раскрытия и преследования уголовных преступлений или нарушений этики в регулируемых профессиях;
    e) важного экономического или финансового интереса государства-члена ЕС или Европейского Союза, включая валютные, бюджетные и налоговые вопросы;
    f) функции по наблюдению, проверке или регламентированию, связанной, даже изредка, с исполнением официальных полномочий в случаях, указанных в пунктах "c", "d" и "e";
    g) защиты субъекта данных или прав и свобод других лиц.
    2.При условии наличия достаточных правовых гарантий, в частности того, что данные не используются для принятия мер или решений в отношении любого конкретного физического лица, государства-члены ЕС могут, когда очевидно, что не существует никакого риска нарушения неприкосновенности частной жизни субъекта данных, ограничить законодательной мерой права, предусмотренные в статье 12, когда данные обрабатываются только для целей научного исследования или хранятся в персонализированной форме в течение срока, не превышающего периода, необходимого исключительно для создания статистических данных.

  9. Раздел VII.Право субъекта данных на возражение

    10. Государства-члены ЕС предоставляют субъекту данных право:
    a) по меньшей мере, в случаях, указанных в пунктах "e" и "f" статьи 7, возражать в любое время по веским законным основаниям, относящимся к его конкретной ситуации, против обработки относящихся к нему данных, если национальное законодательство не предусматривает иного. В случае, когда возражение оправдано, обработка, инициированная оператором, не может далее задействовать эти данные;
    b) возражать, по запросу и бесплатно, против обработки относящихся к нему персональных данных, обработку которых для целей прямого маркетинга предполагает оператор, или быть осведомленным перед тем, как персональные данные впервые будут раскрыты третьим лицам или будут использованы от их имени для целей прямого маркетинга, и пользоваться прямо предложенным правом бесплатно возражать против такого раскрытия или использования.
    Государства-члены ЕС принимают необходимые меры для обеспечения того, что субъекты данных знают о существовании права, указанного в первом подпараграфе пункта "b".
    1.Государства-члены ЕС предоставляют каждому лицу право не подвергаться действию решения, которое порождает правовые последствия, касающиеся его или существенно влияющие на него, основанные только на автоматической обработке данных, предназначенных для оценки отдельных относящихся к нему проявлений, таких как результаты работы, кредитоспособность, надежность, поведение и т.д.
    2.В соответствии с другими статьями настоящей Директивы, государства-члены ЕС предусматривают, что лицо может подвергаться действию решения, подобного упомянутому в параграфе 1, если такое решение:
    a) принято в ходе заключения или исполнения договора, при условии, что просьба о заключении или исполнении договора, поданная субъектом данных, была удовлетворена, или что существуют надлежащие меры обеспечения его законных интересов, такие как средства, позволяющие ему изложить свою точку зрения; или
    b) разрешено законом, который также устанавливает меры, гарантирующие законные интересы субъекта данных.

  10. Раздел VIII.Конфиденциальность и безопасность обработки

    11. Любое лицо, действующее под руководством оператора или обработчика, включая самого обработчика, которое имеет доступ к персональным данным, не может их обрабатывать, кроме как по поручению оператора, если оно не обязано это делать по закону.
    1.Государства-члены ЕС предусматривают, что оператор должен осуществлять надлежащие технические и организационные меры для защиты персональных данных от случайного или неправомерного разрушения, либо случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети, и от всех иных неправомерных форм обработки.
    С учетом уровня технического развития и стоимости их осуществления, такие меры обеспечивают уровень безопасности, соответствующий рискам, присущим обработке и характеру данных, подлежащих защите.
    2.Государства-члены ЕС предусматривают, что оператор должен, когда обработка осуществляется от его имени, выбирать обработчика, предоставляющего достаточные гарантии в отношении мер технической безопасности и организационных мер, регулирующих осуществляемую обработку, и должен обеспечить соблюдение этих мер.
    3.Осуществление обработки с помощью обработчика должно регулироваться договором или законодательным актом, связывающим обработчика с оператором и обуславливающим, в частности, что:
    - обработчик действует только по поручению оператора,
    - обязанности, изложенные в параграфе 1, как это определено законодательством государства-члена ЕС, в котором учрежден обработчик, возлагаются также на обработчика.
    4.Для целей сохранения доказательств, части договора или правового акта, относящиеся к защите данных и требования, относящиеся к мерам, указанным в параграфе 1, фиксируются в письменной или другой аналогичной форме.

  11. Раздел IX.Уведомление

    12. 1.Государства-члены ЕС предусматривают, что оператор или его представитель, если таковой имеется, должен уведомить надзорный орган, указанный в статье 28, перед осуществлением любой полностью или частично автоматизированной операции по обработке или последовательности таких операций, предназначенных, чтобы служить одной цели или нескольким связанным целям.
    2.Государства-члены ЕС могут предусмотреть упрощение или освобождение от такого уведомления только в следующих случаях и при следующих условиях:
    - когда, для категорий операций по обработке, которые, учитывая объем подлежащих обработке данных, неспособны неблагоприятно затронуть права и свободы субъектов персональных данных, они определяют цели обработки, данные или категории данных, подлежащих обработке, категорию или категории субъектов данных, получателей или категории получателей, которым будут раскрыты данные, и срок хранения данных, и/или
    - когда оператор, в соответствии с национальным законодательством, которое регулирует его деятельность, назначает служащего, занимающегося защитой данных, ответственного, в частности:
    - за обеспечение внутреннего применения в независимом порядке национальных норм, принятых в соответствии с настоящей Директивой,
    - за ведение реестра операций по обработке, осуществляемых оператором и содержащих сведения, упомянутые в статье 21 (2), тем самым гарантирующего, что права и свободы субъектов персональных данных не будут неблагоприятно затронуты операциями по обработке.
    3.Государства-члены ЕС могут предусмотреть, что параграф 1 не применяется к обработке, чьей единственной целью является ведение реестра, который, в соответствии с законами или подзаконными актами, предназначен для предоставления информации общественности и который открыт для доступа как общественности в целом, так любого лица, проявляющего законный интерес.
    4.Государства-члены ЕС могут предусмотреть освобождение от обязательства по уведомлению или упрощение уведомления при операциях по обработке, указанных в статье 8 (2) "d".
    5.Государства-члены ЕС могут оговорить, что некоторые или все неавтоматизированные операции по обработке, затрагивающие персональные данные, должны осуществляться с уведомлением, или предусмотреть, что эти операции по обработке должны осуществляться с упрощенным уведомлением.
    1.Государства-члены ЕС определяют информацию, которая предоставляется при уведомлении. Оно содержит, по меньшей мере:
    a) наименование и адрес оператора и его представителя, если таковой имеется;
    b) цель или цели обработки;
    c) описание категории или категорий субъектов данных и данных или категорий данных, относящихся к ним;
    d) информацию о получателях или категориях получателей, которым могут раскрываться данные;
    e) информацию о предполагаемой передаче данных в третьи страны;
    f) общее описание, позволяющее осуществить предварительную оценку целесообразности мер, принятых в соответствии со статьей 17 для обеспечения безопасности обработки.
    2.Государства-члены ЕС определяют процедуры, по которым надзорный орган должен уведомляться о любом изменении информации, указанной в параграфе 1.
    1.Государства-члены ЕС определяют операции по обработке, которые могут создавать конкретные риски для прав и свобод субъектов данных и проверяют, что эти операции по обработке изучаются до их начала.
    2.Такие предварительные проверки осуществляются надзорным органом вслед за получением уведомления от оператора или служащего, занимающегося защитой данных, который, в случаях сомнения, должен проконсультироваться с надзорным органом.
    3.Государства-члены ЕС могут также осуществлять такие проверки в контексте подготовки как законодательной меры национального парламента, так и меры, основанной на такой законодательной мере, которая определяет характер обработки и устанавливает соответствующие гарантии.
    1.Государства-члены ЕС принимают меры, гарантирующие публичность операций по обработке.
    2.Государства-члены ЕС предусматривают, что надзорный орган ведет реестр операций по обработке, о которых он уведомляется в соответствии со статьей 18.
    Реестр содержит, по меньшей мере, информацию, перечисленную в пунктах "a" - "e" параграфа 1 статьи 19.
    Любое лицо может ознакомиться с данным реестром.
    3.Государства-члены ЕС предусматривают, в отношении не требующих уведомления операций по обработке, что операторы или иной орган, назначенный государствами-членами ЕС, предоставляют, по меньшей мере, информацию, указанную в пунктах "a" - "e" параграфа 1 статьи 19 в оптимальной форме любому лицу по его просьбе.
    Государства-члены ЕС могут предусмотреть, что данная норма не применяется к обработке, чьей единственной целью является ведение реестра, который, в соответствии с законами или подзаконными актами, предназначен для предоставления информации общественности и открыт для доступа как общественности в целом, так любого лица, способного представить доказательства законного интереса.

  12. Глава III.Судебная защита прав, ответственность и санкции

    13. Без ущерба для какого-либо административного средства правовой защиты, которое может предусматриваться до обращения в судебный орган, inter alia, государства-члены ЕС предусматривают право любого лица на судебную защиту от любого нарушения прав, гарантированных ему национальным законодательством, применимым к осуществляемой обработке.
    1.Государства-члены ЕС предусматривают, что любое лицо, которое понесло ущерб в результате неправомерной операции по обработке или какого-либо действия, несовместимого с национальными нормами, принятыми в соответствии с настоящей Директивой, имеет право получить компенсацию от оператора за понесенный ущерб.
    2.Оператор может быть полностью или частично освобожден от такой ответственности, если он докажет, что он не несет ответственности за событие, вызвавшее ущерб.
    Государства-члены ЕС принимают надлежащие меры для обеспечения полного осуществления норм настоящей Директивы и, в частности, устанавливают санкции, налагаемые в случае нарушения норм, принятых в соответствии с настоящей Директивой.

  13. ГЛАВА IV.Передача персональных данных в третьи страны

    14. 1.Государства-члены ЕС предусматривают, что передача в третью страну персональных данных, которые подвергаются обработке или предназначены для обработки после передачи, может осуществляться только если, без ущерба для соблюдения национальных норм, принятых в соответствии с иными нормами настоящей Директивы, соответствующая третья страна обеспечивает достаточный уровень защиты.
    2.Достаточность уровня защиты, предоставляемого третьей страной, оценивается в свете всех обстоятельств, связанных с операцией по передаче или с последовательностью операций по передаче данных; особое внимание уделяется характеру данных, цели и продолжительности предлагаемой операции или операций по обработке, стране происхождения и стране конечного назначения, законодательным правилам, как общим, так и отраслевым, действующим в соответствующей третьей стране, а также профессиональным правилам и мерам безопасности, соблюдаемым в этой стране.
    3.Государства-члены ЕС и Европейская комиссия информируют друг друга о случаях, когда они считают, что третья страна не обеспечивает достаточный уровень защиты по смыслу параграфа 2.
    4.Если Европейская комиссия установит, в соответствии с процедурой, предусмотрено в статье 31 (2), что третья страна не обеспечивает достаточный уровень защиты по смыслу параграфа 2 настоящей статьи, государства-члены ЕС принимают необходимые меры, чтобы предотвратить любую передачу данных того же типа в соответствующую третью страну.
    5.В подходящий момент Европейская комиссия вступает в переговоры с целью исправления ситуации, обусловленной заключением, сделанным согласно параграфу 4.
    6.Европейская комиссия может установить, в соответствии с процедурой, упомянутой в статье 31 (2), что третья страна обеспечивает достаточный уровень защиты по смыслу параграфа 2 настоящей статьи, в силу ее внутреннего законодательства или международных обязательств, которые она дала, особенно после завершения переговоров, упомянутых в параграфе 5, по защите частной жизни, основных свобод и прав физических лиц.
    Государства-члены ЕС принимают меры, необходимые для исполнения решения Европейской комиссии.
    1.В порядке отступления от положений статьи 25, и если иное не предусмотрено внутренним законодательством, регулирующим конкретные случаи, государства-члены ЕС предусматривают, что передача или последовательность передач персональных данных в третью страну, которая не обеспечивает достаточный уровень защиты по смыслу статьи 25 (2), может совершаться при условии, что:
    a) субъект данных однозначно дал свое согласие на предполагаемую передачу данных; или
    b) передача необходима для исполнения договора между субъектом данных и оператором или осуществления преддоговорных мер, принимаемых по просьбе субъекта данных; или
    c) передача необходима для заключения или исполнения договора, заключенного в интересе субъекта данных между оператором и третьим лицом; или
    d) передача необходима или требуется на основании закона по соображениям важного общественного интереса, либо для установления, осуществления или защиты правовых требований; или
    e) передача необходима в целях защиты жизненно важных интересов субъекта данных; или
    f) передача осуществляется из реестра, который, в соответствии с законами или подзаконными актами, предназначен для предоставления информации общественности и который открыт для доступа как общественности в целом, так и любого лица, могущего продемонстрировать законный интерес, в той мере, в какой в конкретном случае выполняются условия, установленные законодательством о доступе.
    2.Без ущерба для положений параграфа 1, государство-член ЕС может разрешить передачу или последовательность передач персональных данных в третью страну, которая не обеспечивает достаточный уровень защиты по смыслу статьи 25 (2), когда оператор представляет достаточные гарантии в отношении защиты частной жизни и основных прав и свобод физических лиц и относительно осуществления соответствующих прав; такие гарантии могут, в частности, следовать из соответствующих условий договора.
    3.Государство-член ЕС информирует Европейскую комиссию и другие государства-члены ЕС о разрешениях, которые оно выдает в соответствии с параграфом 2.
    Если государство-член ЕС или Европейская комиссия возражает по обоснованным причинам, связанным с защитой частной жизни и основных прав и свобод физических лиц, Европейская комиссия принимает надлежащие меры в соответствии с процедурой, установленной в статье 31 (2).
    Государства-члены ЕС принимают необходимые меры для исполнения решения Европейской комиссии.
    4.Когда Европейская комиссия решает, в соответствии с процедурой, установленной в статье 31 (2), что отдельные стандартные договорные условия предлагают достаточные гарантии, предусмотренные параграфом 2, государства-члены ЕС принимают необходимые меры для исполнения решения Европейской комиссии.

  14. ГЛАВА V.Кодексы поведения

    15. 1.Государства-члены ЕС и Европейская комиссия содействуют разработке кодексов поведения, предназначенных содействовать надлежащему применению национальных норм, принятых государствами-членами ЕС в соответствии с настоящей Директивой, принимая во внимание конкретные характеристики различных отраслей.
    2.Государства-члены ЕС предусматривают, что торгово-промышленные ассоциации и другие организации, представляющие иные категории операторов, которые разработали проекты национальных кодексов поведения или которые намереваются изменять или расширять существующие национальные кодексы, чтобы представить их для заключения в национальный орган власти.
    Государства-члены ЕС предусматривают, что данный орган власти выясняет, среди прочего, соответствуют ли представленные ему проекты национальным нормам, принятым в соответствии с настоящей Директивой. Если он считает нужным, данный орган власти запрашивает мнение субъектов данных или их представителей.
    3.Проекты кодексов Сообщества и изменения или дополнения существующих кодексов Сообщества могут представляться в рабочую группу, упомянутую в статье 29. Эта рабочая группа определяет, среди прочего, соответствуют ли представленные ей проекты национальным нормам, принятым в соответствии с настоящей Директивой. Если он считает нужным, данный орган запрашивает мнение субъектов данных или их представителей. Европейская комиссия может обеспечивать надлежащую публичность кодексов, одобренных рабочей группой.

  15. ГЛАВА VI.Надзорный орган и рабочая группа по защите физических лиц при обработке персональных данных

    16. 1.Каждое государство-член ЕС предусматривает, что один или несколько государственных органов ответственны за контроль применения на их территории норм, принятых государствами-членами ЕС в соответствии с настоящей Директивой.
    Эти органы пользуются полной независимостью при осуществлении возложенных на них функций.
    2.Каждое государство-член ЕС предусматривает, что при разработке административных мер или подзаконных актов, относящихся к защите прав и свобод физических лиц при обработке персональных данных, проводятся консультации с надзорными органами.
    3.В частности, каждый такой орган наделяется:
    - полномочиями по расследованию, такими как право доступа к данным, составляющим предмет операций по обработке, и право собирать всю информацию, необходимую для исполнения его обязанностей по надзору,
    - эффективными полномочиями вмешательства, такими как, например, высказывание мнения до осуществления операций по обработке, в соответствии со статьей 20, и обеспечение надлежащей публикации таких мнений, право давать распоряжения о блокировании, стирании или разрушении данных, право вводить временный или окончательный запрет на обработку, право предупреждать оператора или выносить ему выговор, или право передавать вопрос национальным парламентам или иным политическим институтам,
    - правом участвовать в процессуальных действиях, когда национальные нормы, принятые в соответствии с настоящей Директивой, были нарушены, или правом обратить внимание судебных властей на эти нарушения.
    Решения надзорного органа, вызывающие жалобы, могут быть обжалованы в судах.
    4.Каждый надзорный орган рассматривает претензии, поданные любым лицом или объединением, представляющим это лицо в отношении защиты его прав и свобод при обработке персональных данных. Соответствующее лицо информируется об итоге рассмотрения претензии.
    Каждый надзорный орган, в частности, рассматривает заявленные любым лицом требования о проверках правомерности обработки данных при применении национальных норм, принятых в соответствии со статьей 13 настоящей Директивы. Такое лицо, по меньшей мере, информируется о том, что проверка проведена.
    5.Каждый надзорный орган регулярно составляет отчет о своей деятельности. Данный отчет публикуется.
    6.Независимо от национального права, применимого к соответствующей обработке, каждый надзорный орган имеет право осуществлять на территории своего государства-члена ЕС полномочия, предоставленные ему в соответствии с параграфом 3. Каждому такому органу может быть предложено осуществлять свои полномочия органом другого государства-члена ЕС.
    Надзорные органы взаимодействуют друг с другом, насколько это необходимо для исполнения их обязанностей, в частности, обмениваясь всей полезной информацией.
    7.Государства-члены ЕС предусматривают, что члены и сотрудники надзорного органа, даже после окончания их службы, подлежат обязанности хранения профессиональной тайны в отношении конфиденциальной информации, к которой у них есть доступ.
    1.Настоящим учреждается рабочая группа по защите физических лиц при обработке персональных данных, далее именуемая "рабочая группа".
    Она имеет совещательный статус и действует независимо.
    2.Рабочая группа состоит из представителя надзорного органа или органов, назначенного от каждого из государств-членов ЕС и представителя органа или органов, созданных в интересах институций и органов Сообщества, и представителя Европейской комиссии.
    Каждый член рабочей группы назначается органом или органами, которые он представляет. Если государство-член ЕС создало более одного надзорного органа, те выдвигают единого представителя. То же относится и к органам, созданным в интересах институций и органов Сообщества.
    3.Рабочая группа принимает решения простым большинством голосов представителей надзорных органов.
    4.Рабочая группа избирает своего председателя. Срок полномочий председателя составляет два года. Он может быть переизбран.
    5.Секретариат рабочей группы обеспечивается Европейской комиссией.
    6.Рабочая группа принимает свои правила процедуры.
    7.Рабочая группа рассматривает вопросы, включенные в ее повестку дня ее председателем, как по его инициативе, так и по просьбе представителя надзорных органов или по просьбе Европейской комиссии.
    1.Рабочая группа:
    a) рассматривает любой вопрос, охватывающий применение национальных мер, принятых согласно настоящей Директиве, в целях содействия единообразного применения таких мер;
    b) дает Европейской комиссии заключение относительно уровня защиты данных в Сообществе и в третьих странах;
    c) дает советы Европейской комиссии по любому предполагаемому изменению настоящей Директивы, по любым дополнительным или специальным мерам, гарантирующим права и свободы физических лиц при обработке персональных данных и по любым другим предполагаемым мерам на уровне Сообщества, затрагивающим такие права и свободы;
    d) дает заключение относительно кодексов поведения, разработанных на уровне Сообщества.
    2.Если рабочая группа установит, что между законодательством и практикой государств-членов ЕС появляются расхождения, способные повлиять на эквивалентность защиты лиц при обработке персональных данных в Сообществе, она уведомляет Европейскую комиссию в связи с этим.
    3.Рабочая группа может, по своей инициативе, давать рекомендации по всем вопросам, относящимся к защите лиц при обработке персональных данных в Сообществе.
    4.Заключения и рекомендации рабочей группы направляются в Европейскую комиссию и в комитет, упомянутый в статье 31.
    5.Европейская комиссия уведомляет рабочую группу о предпринятых действиях в ответ на ее заключения и рекомендации. Она это делает в отчете, который направляется также в Европейский парламент и в Совет ЕС. Данный отчет публикуется.
    6.Рабочая группа составляет ежегодный отчет о ситуации по защите физических лиц при обработке персональных данных в Сообществе и в третьих странах, который она передает в Европейскую комиссию, Европейский парламент и Совет ЕС. Данный отчет публикуется.

  16. Глава VII.Исполнительные меры сообщества

    17. 1.Европейской комиссии помогает комитет.
    2.При ссылке на настоящую статью, применяются статьи 4 и 7 Решения 1999/468/ЕС <*>, с учетом норм его статьи 8.

    -------------------------------
    <*> Решение Совета ЕС 1999/468/ЕС от 28 июня 1999 г., устанавливающее порядок осуществления полномочий на исполнение, предоставленных Европейской комиссии (ОЖ N L 184, 17.7.1999, стр. 23)


    Срок, указанный в статье 4 (3) Решения 1999/468/ЕС, устанавливается в три месяца.
    3.Комитет принимает свои правила процедуры.
    ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
    1.Государства-члены ЕС вводят в действие законодательные, регламентарные и административные положения, необходимые для соблюдения настоящей Директивы, не позже чем в конце трехлетнего периода с даты ее принятия.
    Когда государства-члены ЕС принимают эти меры, последние содержат ссылку на настоящую Директиву или сопровождаются такой ссылкой при их официальной публикации. Способы указания такой ссылки устанавливаются государствами-членами ЕС.
    2.Государства-члены ЕС гарантируют, что обработка, уже осуществляющаяся на дату вступления в силу национальных норм, принятых в соответствии с настоящей Директивой, приводится в соответствие с настоящими положениями в течение трех лет с этой даты.
    В порядке отступления от положений предыдущего подпараграфа, государства-члены ЕС могут предусмотреть, что обработка данных, уже содержащихся в ручных файловых системах на дату вступления в силу национальных норм, принятых во исполнение настоящей Директивы, приводится в соответствие со статьями 6, 7 и 8 настоящей Директивы в течение 12 лет с даты ее принятия. Государства-члены ЕС, однако, предоставляют субъекту данных право получать по его просьбе и, в частности, во время осуществления его права доступа, исправления, стирания или блокирования данных, которые неполны, неточны или хранятся способом, несовместимым с законными целями, преследуемыми оператором.
    3.В порядке отступления от положений параграфа 2, государства-члены ЕС могут предусмотреть, с соблюдением надлежащих гарантий, что данные, хранящиеся только с целью исторического исследования, не нуждаются в приведении в соответствие со статьями 6, 7 и 8 настоящей Директивы.
    4.Государства-члены ЕС сообщают Европейской комиссии текст норм национального законодательства, которые они приняли в сфере, охватываемой настоящей Директивой.
    Европейская комиссия регулярно докладывает Совету ЕС и Европейскому парламенту, начиная не позже чем через три года с даты, указанной в статье 32 (1), о применении настоящей Директивы, прилагая к своему докладу, если это необходимо, подходящие предложения о внесении изменений. Данный доклад публикуется.
    Европейская комиссия рассматривает, в частности, применение настоящей Директивы к обработке звуковых данных и данных изображений, относящихся к физическим лицам, и представляет соответствующие предложения, которые окажутся необходимыми, учитывая достижения в сфере информационных технологий и в свете уровня развития информационного общества.
    Настоящая Директива адресована государствам-членам ЕС.
    Совершено в Люксембурге 24 октября 1995 г.
    (Подписи)
    DIRECTIVE No. 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL ON THE PROTECTION OF INDIVIDUALS WITH REGARD TO THE PROCESSING OF PERSONAL DATA AND ON THE FREE MOVEMENT OF SUCH DATA
    (Luxembourg, 24.X.1995)
    (Amended by Regulation (EC) No 1882/2003 of the European Parliament and of the Council of 29 September 2003)
    The European Parliament and the Council of the European Union,
    Having regard to the Treaty establishing the European Community, and in particular Article 100a thereof,
    Having regard to the proposal from the Commission <*>,

    --------------------------------
    <*> OJ No C 277, 5.11.1990, p. 3 and OJ No C 311, 27.11.1992, p. 30.


    Having regard to the opinion of the Economic and Social Committee <*>,

    --------------------------------
    <*> OJ No C 159, 17.6.1991, p 38.


    Acting in accordance with the procedure referred to in Article 189b of the Treaty <*>,

    -------------------------------
    <*> Opinion of the European Parliament of 11 March 1992 (OJ No C 94, 13.4.1992, p. 198), confirmed on 2 December 1993 (OJ No C 342, 20.12.1993, p. 30); Council common position of 20 February 1995 (OJ No C 93, 13.4.1995, p. 1) and Decision of the European Parliament of 15 June 1995 (OJ No C 166, 3.7.1995).


    (1) Whereas the objectives of the Community, as laid down in the Treaty, as amended by the Treaty on European Union, include creating an ever closer union among the peoples of Europe, fostering closer relations between the States belonging to the Community, ensuring economic and social progress by common action to eliminate the barriers which divide Europe, encouraging the constant improvement of the living conditions of its peoples, preserving and strengthening peace and liberty and promoting democracy on the basis of the fundamental rights recognized in the constitution and laws of the Member States and in the European Convention for the Protection of Human Rights and Fundamental Freedoms;
    (2) Whereas data-processing systems are designed to serve man; whereas they must, whatever the nationality or residence of natural persons, respect their fundamental rights and freedoms, notably the right to privacy, and contribute to economic and social progress, trade expansion and the well-being of individuals;
    (3) Whereas the establishment and functioning of an internal market in which, in accordance with Article 7a of the Treaty, the free movement of goods, persons, services and capital is ensured require not only that personal data should be able to flow freely from one Member State to another, but also that the fundamental rights of individuals should be safeguarded;
    (4) Whereas increasingly frequent recourse is being had in the Community to the processing of personal data in the various spheres of economic and social activity; whereas the progress made in information technology is making the processing and exchange of such data considerably easier;
    (5) Whereas the economic and social integration resulting from the establishment and functioning of the internal market within the meaning of Article 7a of the Treaty will necessarily lead to a substantial increase in cross-border flows of personal data between all those involved in a private or public capacity in economic and social activity in the Member States; whereas the exchange of personal data between undertakings in different Member States is set to increase; whereas the national authorities in the various Member States are being called upon by virtue of Community law to collaborate and exchange personal data so as to be able to perform their duties or carry out tasks on behalf of an authority in another Member State within the context of the area without internal frontiers as constituted by the internal market;
    (6) Whereas, furthermore, the increase in scientific and technical cooperation and the coordinated introduction of new telecommunications networks in the Community necessitate and facilitate cross-border flows of personal data;
    (7) Whereas the difference in levels of protection of the rights and freedoms of individuals, notably the right to privacy, with regard to the processing of personal data afforded in the Member States may prevent the transmission of such data from the territory of one Member State to that of another Member State; whereas this difference may therefore constitute an obstacle to the pursuit of a ber of economic activities at Community level, distort competition and impede authorities in the discharge of their responsibilities under Community law; whereas this difference in levels of protection is due to the existence of a wide variety of national laws, regulations and administrative provisions;
    (8) Whereas, in order to remove the obstacles to flows of personal data, the level of protection of the rights and freedoms of individuals with regard to the processing of such data must be equivalent in all Member States; whereas this objective is vital to the internal market but cannot be achieved by the Member States alone, especially in view of the scale of the divergences which currently exist between the relevant laws in the Member States and the need to coordinate the laws of the Member States so as to ensure that the cross-border flow of personal data is regulated in a consistent manner that is in keeping with the objective of the internal market as provided for in Article 7a of the Treaty; whereas Community action to approximate those laws is therefore needed;
    (9) Whereas, given the equivalent protection resulting from the approximation of national laws, the Member States will no longer be able to inhibit the free movement between them of personal data on grounds relating to protection of the rights and freedoms of individuals, and in particular the right to privacy; whereas Member States will be left a margin for manoeuvre, which may, in the context of implementation of the Directive, also be exercised by the business and social partners; whereas Member States will therefore be able to specify in their national law the general conditions governing the lawfulness of data processing; whereas in doing so the Member States shall strive to improve the protection currently provided by their legislation; whereas, within the limits of this margin for manoeuvre and in accordance with Community law, disparities could arise in the implementation of the Directive, and this could have an effect on the movement of data within a Member State as well as within the Community;
    (10) Whereas the object of the national laws on the processing of personal data is to protect fundamental rights and freedoms, notably the right to privacy, which is recognized both in Article 8 of the European Convention for the Protection of Human Rights and Fundamental Freedoms and in the general principles of Community law; whereas, for that reason, the approximation of those laws must not result in any lessening of the protection they afford but must, on the contrary, seek to ensure a high level of protection in the Community;
    (11) Whereas the principles of the protection of the rights and freedoms of individuals, notably the right to privacy, which are contained in this Directive, give substance to and amplify those contained in the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to Automatic Processing of Personal Data;
    (12) Whereas the protection principles must apply to all processing of personal data by any person whose activities are governed by Community law; whereas there should be excluded the processing of data carried out by a natural person in the exercise of activities which are exclusively personal or domestic, such as correspondence and the holding of records of addresses;
    (13) Whereas the acitivities referred to in Titles V and VI of the Treaty on European Union regarding public safety, defence, State security or the acitivities of the State in the area of criminal laws fall outside the scope of Community law, without prejudice to the obligations incumbent upon Member States under Article 56(2), Article 57 or Article 100a of the Treaty establishing the European Community; whereas the processing of personal data that is necessary to safeguard the economic well-being of the State does not fall within the scope of this Directive where such processing relates to State security matters;
    (14) Whereas, given the importance of the developments under way, in the framework of the information society, of the techniques used to capture, transmit, manipulate, record, store or communicate sound and image data relating to natural persons, this Directive should be applicable to processing involving such data;
    (15) Whereas the processing of such data is covered by this Directive only if it is automated or if the data processed are contained or are intended to be contained in a filing system structured according to specific criteria relating to individuals, so as to permit easy access to the personal data in question;
    (16) Whereas the processing of sound and image data, such as in cases of video surveillance, does not come within the scope of this Directive if it is carried out for the purposes of public security, defence, national security or in the course of State activities relating to the area of criminal law or of other activities which do not come with in the scope of Community law;
    (17) Whereas, as far as the processing of sound and image data carried out for purposes of journalism or the purposes of literary or artistic expression is concerned, in particular in the audiovisual field, the principles of the Directive are to apply in a restricted manner according to the provisions laid down in Article 9;
    (18) Whereas, in order to ensure that individuals are not deprived of the protection to which they are entitled under this Directive, any processing of personal data in the Community must be carried out in accordance with the law of one of the Member States; whereas, in this connection, processing carried out under the responsibility of a controller who is established in a Member State should be governed by the law of that State;
    (19) Whereas establishment on the territory of a Member State implies the effective and real exercise of activity through stable arrangements; whereas the legal form of such an establishment, whether simply branch or a subsidiary with a legal personality, is not the determining factor in this respect; whereas, when a single controller is established on the territory of several Member States, particularly by means of subsidiaries, he must ensure, in order to avoid any circumvention of national rules, that each of the establishments fulfils the obligations imposed by the national law applicable to its activities;
    (20) Whereas the fact that the processing of data is carried out by a person established in a third country must not stand in the way of the protection of individuals provided for in this Directive; whereas in these cases, the processing should be governed by the law of the Member State in which the means used are located, and there should be guarantees to ensure that the rights and obligations provided for in this Directive are respected in practice;
    (21) Whereas this Directive is without prejudice to the rules of territoriality applicable in criminal matters;
    (22) Whereas Member States shall more precisely define in the laws they enact or when bringing into force the measures taken under this Directive the general circumstances in which processing is lawful; whereas in particular Article 5, in conjunction with Articles 7 and 8, allows Member States, independently of general rules, to provide for special processing conditions for specific sectors and for the various categories of data covered by Article 8;
    (23) Whereas Member States are empowered to ensure the implementation of the protection of individuals both by means of a general law on the protection of individuals as regards the processing of personal data and by sectorial laws such as those relating, for example, to statistical institutes;
    (24) Whereas the legislation concerning the protection of legal persons with regard to the processing data which concerns them is not affected by this Directive;
    (25) Whereas the principles of protection must be reflected, on the one hand, in the obligations imposed on persons, public authorities, enterprises, agencies or other bodies responsible for processing, in particular regarding data quality, technical security, notification to the supervisory authority, and the circumstances under which processing can be carried out, and, on the other hand, in the right conferred on individuals, the data on whom are the subject of processing, to be informed that processing is taking place, to consult the data, to request corrections and even to object to processing in certain circumstances;
    (26) Whereas the principles of protection must apply to any information concerning an identified or identifiable person; whereas, to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person; whereas the principles of protection shall not apply to data rendered anonymous in such a way that the data subject is no longer identifiable; whereas codes of conduct within the meaning of Article 27 may be a useful instrument for providing guidance as to the ways in which data may be rendered anonymous and retained in a form in which identification of the data subject is no longer possible;
    (27) Whereas the protection of individuals must apply as much to automatic processing of data as to manual processing; whereas the scope of this protection must not in effect depend on the techniques used, otherwise this would create a serious risk of circumvention; whereas, nonetheless, as regards manual processing, this Directive covers only filing systems, not unstructured files; whereas, in particular, the content of a filing system must be structured according to specific criteria relating to individuals allowing easy access to the personal data; whereas, in line with the definition in Article 2(c), the different criteria for determining the constituents of a structured set of personal data, and the different criteria governing access to such a set, may be laid down by each Member State; whereas files or sets of files as well as their cover pages, which are not structured according to specific criteria, shall under no circumstances fall within the scope of this Directive;
    (28) Whereas any processing of personal data must be lawful and fair to the individuals concerned; whereas, in particular, the data must be adequate, relevant and not excessive in relation to the purposes for which they are processed; whereas such purposes must be explicit and legitimate and must be determined at the time of collection of the data; whereas the purposes of processing further to collection shall not be incompatible with the purposes as they were originally specified;
    (29) Whereas the further processing of personal data for historical, statistical or scientific purposes is not generally to be considered incompatible with the purposes for which the data have previously been collected provided that Member States furnish suitable safeguards; whereas these safeguards must in particular rule out the use of the data in support of measures or decisions regarding any particular individual;
    (30) Whereas, in order to be lawful, the processing of personal data must in addition be carried out with the consent of the data subject or be necessary for the conclusion or performance of a contract binding on the data subject, or as a legal requirement, or for the performance of a task carried out in the public interest or in the exercise of official authority, or in the legitimate interests of a natural or legal person, provided that the interests or the rights and freedoms of the data subject are not overriding; whereas, in particular, in order to maintain a balance between the interests involved while guaranteeing effective competition, Member States may determine the circumstances in which personal data may be used or disclosed to a third party in the context of the legitimate ordinary business activities of companies and other bodies; whereas Member States may similarly specify the conditions under which personal data may be disclosed to a third party for the purposes of marketing whether carried out commercially or by a charitable organization or by any other association or foundation, of a political nature for example, subject to the provisions allowing a data subject to object to the processing of data regarding him, at no cost and without having to state his reasons;
    (31) Whereas the processing of personal data must equally be regarded as lawful where it is carried out in order to protect an interest which is essential for the data subject's life;
    (32) Whereas it is for national legislation to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public administration or another natural or legal person governed by public law, or by private law such as a professional association;
    (33) Whereas data which are capable by their nature of infringing fundamental freedoms or privacy should not be processed unless the data subject gives his explicit consent; whereas, however, derogations from this prohibition must be explicitly provided for in respect of specific needs, in particular where the processing of these data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy or in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms;
    (34) Whereas Member States must also be authorized, when justified by grounds of important public interest, to derogate from the prohibition on processing sensitive categories of data where important reasons of public interest so justify in areas such as public health and social protection - especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system - scientific research and government statistics; whereas it is incumbent on them, however, to provide specific and suitable safeguards so as to protect the fundamental rights and the privacy of individuals;
    (35) Whereas, moreover, the processing of personal data by official authorities for achieving aims, laid down in constitutional law or international public law, of officially recognized religious associations is carried out on important grounds of public interest;
    (36) Whereas where, in the course of electoral activities, the operation of the democratic system requires in certain Member States that political parties compile data on people's political opinion, the processing of such data may be permitted for reasons of important public interest, provided that appropriate safeguards are established;
    (37) Whereas the processing of personal data for purposes of journalism or for purposes of literary of artistic expression, in particular in the audiovisual field, should qualify for exemption from the requirements of certain provisions of this Directive in so far as this is necessary to reconcile the fundamental rights of individuals with freedom of information and notably the right to receive and impart information, as guaranteed in particular in Article 10 of the European Convention for the Protection of Human Rights and Fundamental Freedoms; whereas Member States should therefore lay down exemptions and derogations necessary for the purpose of balance between fundamental rights as regards general measures on the legitimacy of data processing, measures on the transfer of data to third countries and the power of the supervisory authority; whereas this should not, however, lead Member States to lay down exemptions from the measures to ensure security of processing; whereas at least the supervisory authority responsible for this sector should also be provided with certain ex-post powers, e.g. to publish a regular report or to refer matters to the judicial authorities;
    (38) Whereas, if the processing of data is to be fair, the data subject must be in a position to learn of the existence of a processing operation and, where data are collected from him, must be given accurate and full information, bearing in mind the circumstances of the collection;
    (39) Whereas certain processing operations involve data which the controller has not collected directly from the data subject; whereas, furthermore, data can be legitimately disclosed to a third party, even if the disclosure was not anticipated at the time the data were collected from the data subject; whereas, in all these cases, the data subject should be informed when the data are recorded or at the latest when the data are first disclosed to a third party;
    (40) Whereas, however, it is not necessary to impose this obligation of the data subject already has the information; whereas, moreover, there will be no such obligation if the recording or disclosure are expressly provided for by law or if the provision of information to the data subject proves impossible or would involve disproportionate efforts, which could be the case where processing is for historical, statistical or scientific purposes; whereas, in this regard, the ber of data subjects, the age of the data, and any compensatory measures adopted may be taken into consideration;
    (41) Whereas any person must be able to exercise the right of access to data relating to him which are being processed, in order to verify in particular the accuracy of the data and the lawfulness of the processing; whereas, for the same reasons, every data subject must also have the right to know the logic involved in the automatic processing of data concerning him, at least in the case of the automated decisions referred to in Article 15(1); whereas this right must not adversely affect trade secrets or intellectual property and in particular the copyright protecting the software; whereas these considerations must not, however, result in the data subject being refused all information;
    (42) Whereas Member States may, in the interest of the data subject or so as to protect the rights and freedoms of others, restrict rights of access and information; whereas they may, for example, specify that access to medical data may be obtained only through a health professional;
    (43) Whereas restrictions on the rights of access and information and on certain obligations of the controller may similarly be imposed by Member States in so far as they are necessary to safeguard, for example, national security, defence, public safety, or important economic or financial interests of a Member State or the Union, as well as criminal investigations and prosecutions and action in respect of breaches of ethics in the regulated professions; whereas the list of exceptions and limitations should include the tasks of monitoring, inspection or regulation necessary in the three last-mentioned areas concerning public security, economic or financial interests and crime prevention; whereas the listing of tasks in these three areas does not affect the legitimacy of exceptions or restrictions for reasons of State security or defence;
    (44) Whereas Member States may also be led, by virtue of the provisions of Community law, to derogate from the provisions of this Directive concerning the right of access, the obligation to inform individuals, and the quality of data, in order to secure certain of the purposes referred to above;
    (45) Whereas, in cases where data might lawfully be processed on grounds of public interest, official authority or the legitimate interests of a natural or legal person, any data subject should nevertheless be entitled, on legitimate and compelling grounds relating to his particular situation, to object to the processing of any data relating to himself; whereas Member States may nevertheless lay down national provisions to the contrary;
    (46) Whereas the protection of the rights and freedoms of data subjects with regard to the processing of personal data requires that appropriate technical and organizational measures be taken, both at the time of the design of the processing system and at the time of the processing itself, particularly in order to maintain security and thereby to prevent any unauthorized processing; whereas it is incumbent on the Member States to ensure that controllers comply with these measures; whereas these measures must ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks inherent in the processing and the nature of the data to be protected;
    (47) Whereas where a message containing personal data is transmitted by means of a telecommunications or electronic mail service, the sole purpose of which is the transmission of such messages, the controller in respect of the personal data contained in the message will normally be considered to be the person from whom the message originates, rather than the person offering the transmission services; whereas, nevertheless, those offering such services will normally be considered controllers in respect of the processing of the additional personal data necessary for the operation of the service;
    (48) Whereas the procedures for notifying the supervisory authority are designed to ensure disclosure of the purposes and main features of any processing operation for the purpose of verification that the operation is in accordance with the national measures taken under this Directive;
    (49) Whereas, in order to avoid unsuitable administrative formalities, exemptions from the obligation to notify and simplification of the notification required may be provided for by Member States in cases where processing is unlikely adversely to affect the rights and freedoms of data subjects, provided that it is in accordance with a measure taken by a Member State specifying its limits; whereas exemption or simplification may similarly be provided for by Member States where a person appointed by the controller ensures that the processing carried out is not likely adversely to affect the rights and freedoms of data subjects; whereas such a data protection official, whether or not an employee of the controller, must be in a position to exercise his functions in complete independence;
    (50) Whereas exemption or simplification could be provided for in cases of processing operations whose sole purpose is the keeping of a register intended, according to national law, to provide information to the public and open to consultation by the public or by any person demonstrating a legitimate interest;
    (51) Whereas, nevertheless, simplification or exemption from the obligation to notify shall not release the controller from any of the other obligations resulting from this Directive;
    (52) Whereas, in this context, ex post facto verification by the competent authorities must in general be considered a sufficient measure;
    (53) Whereas, however, certain processing operation are likely to pose specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes, such as that of excluding individuals from a right, benefit or a contract, or by virtue of the specific use of new technologies; whereas it is for Member States, if they so wish, to specify such risks in their legislation;
    (54) Whereas with regard to all the processing undertaken in society, the amount posing such specific risks should be very limited; whereas Member States must provide that the supervisory authority, or the data protection official in cooperation with the authority, check such processing prior to it being carried out; whereas following this prior check, the supervisory authority may, according to its national law, give an opinion or an authorization regarding the processing; whereas such checking may equally take place in the course of the preparation either of a measure of the national parliament or of a measure based on such a legislative measure, which defines the nature of the processing and lays down appropriate safeguards;
    (55) Whereas, if the controller fails to respect the rights of data subjects, national legislation must provide for a judicial remedy; whereas any damage which a person may suffer as a result of unlawful processing must be compensated for by the controller, who may be exempted from liability if he proves that he is not responsible for the damage, in particular in cases where he establishes fault on the part of the data subject or in case of force majeure; whereas sanctions must be imposed on any person, whether governed by private of public law, who fails to comply with the national measures taken under this Directive;
    (56) Whereas cross-border flows of personal data are necessary to the expansion of international trade; whereas the protection of individuals guaranteed in the Community by this Directive does not stand in the way of transfers of personal data to third countries which ensure an adequate level of protection; whereas the adequacy of the level of protection afforded by a third country must be assessed in the light of all the circumstances surrounding the transfer operation or set of transfer operations;
    (57) Whereas, on the other hand, the transfer of personal data to a third country which does not ensure an adequate level of protection must be prohibited;
    (58) Whereas provisions should be made for exemptions from this prohibition in certain circumstances where the data subject has given his consent, where the transfer is necessary in relation to a contract or a legal claim, where protection of an important public interest so requires, for example in cases of international transfers of data between tax or customs administrations or between services competent for social security matters, or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest; whereas in this case such a transfer should not involve the entirety of the data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or if they are to be the recipients;
    (59) Whereas particular measures may be taken to compensate for the lack of protection in a third country in cases where the controller offers appropriate safeguards; whereas, moreover, provision must be made for procedures for negotiations between the Community and such third countries;
    (60) Whereas, in any event, transfers to third countries may be effected only in full compliance with the provisions adopted by the Member States pursuant to this Directive, and in particular Article 8 thereof;
    (61) Whereas Member States and the Commission, in their respective spheres of competence, must encourage the trade associations and other representative organizations concerned to draw up codes of conduct so as to facilitate the application of this Directive, taking account of the specific characteristics of the processing carried out in certain sectors, and respecting the national provisions adopted for its implementation;
    (62) Whereas the establishment in Member States of supervisory authorities, exercising their functions with complete independence, is an essential component of the protection of individuals with regard to the processing of personal data;
    (63) Whereas such authorities must have the necessary means to perform their duties, including powers of investigation and intervention, particularly in cases of complaints from individuals, and powers to engage in legal proceedings; whereas such authorities must help to ensure transparency of processing in the Member States within whose jurisdiction they fall;
    (64) Whereas the authorities in the different Member States will need to assist one another in performing their duties so as to ensure that the rules of protection are properly respected throughout the European Union;
    (65) Whereas, at Community level, a Working Party on the Protection of Individuals with regard to the Processing of Personal Data must be set up and be completely independent in the performance of its functions; whereas, having regard to its specific nature, it must advise the Commission and, in particular, contribute to the uniform application of the national rules adopted pursuant to this Directive;
    (66) Whereas, with regard to the transfer of data to third countries, the application of this Directive calls for the conferment of powers of implementation on the Commission and the establishment of a procedure as laid down in Council Decision 87/373/EEC <*>;

    -------------------------------
    <*> OJ No L 197, 18.7.1987, p. 33.


    (67) Whereas an agreement on a modus vivendi between the European Parliament, the Council and the Commission concerning the implementing measures for acts adopted in accordance with the procedure laid down in Article 189b of the EC Treaty was reached on 20 December 1994;
    (68) Whereas the principles set out in this Directive regarding the protection of the rights and freedoms of individuals, notably their right to privacy, with regard to the processing of personal data may be supplemented or clarified, in particular as far as certain sectors are concerned, by specific rules based on those principles;
    (69) Whereas Member States should be allowed a period of not more than three years from the entry into force of the national measures transposing this Directive in which to apply such new national rules progressively to all processing operations already under way; whereas, in order to facilitate their cost-effective implementation, a further period expiring 12 years after the date on which this Directive is adopted will be allowed to Member States to ensure the conformity of existing manual filing systems with certain of the Directive's provisions; whereas, where data contained in such filing systems are manually processed during this extended transition period, those systems must be brought into conformity with these provisions at the time of such processing;
    (70) Whereas it is not necessary for the data subject to give his consent again so as to allow the controller to continue to process, after the national provisions taken pursuant to this Directive enter into force, any sensitive data necessary for the performance of a contract concluded on the basis of free and informed consent before the entry into force of these provisions;
    (71) Whereas this Directive does not stand in the way of a Member State's regulating marketing activities aimed at consumers residing in territory in so far as such regulation does not concern the protection of individuals with regard to the processing of personal data;
    (72) Whereas this Directive allows the principle of public access to official documents to be taken into account when implementing the principles set out in this Directive,
    Have adopted this Directive:
    1.In accordance with this Directive, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data.
    2.Member States shall neither restrict nor prohibit the free flow of personal data between Member States for reasons connected with the protection afforded under paragraph 1.
    For the purposes of this Directive:
    (a) "personal data" shall mean any information relating to an identified or identifiable natural person ("data subject"); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification ber or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;
    (b) "processing of personal data" ("processing") shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;
    (c) "personal data filing system" ("filing system") shall mean any structured set of personal data which are accessible according to specific criteria, whether centralized, decentralized or dispersed on a functional or geographical basis;
    (d) "controller" shall mean the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by national or Community laws or regulations, the controller or the specific criteria for his nomination may be designated by national or Community law;
    (e) "processor" shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;
    (f) "third party" shall mean any natural or legal person, public authority, agency or any other body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorized to process the data;
    (g) "recipient" shall mean a natural or legal person, public authority, agency or any other body to whom data are disclosed, whether a third party or not; however, authorities which may receive data in the framework of a particular inquiry shall not be regarded as recipients;
    (h) "the data subject's consent" shall mean any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed.
    1.This Directive shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.
    2.This Directive shall not apply to the processing of personal data:
    - in the course of an activity which falls outside the scope of Community law, such as those provided for by Titles V and VI of the Treaty on European Union and in any case to processing operations concerning public security, defence, State security (including the economic well-being of the State when the processing operation relates to State security matters) and the activities of the State in are as of criminal law,
    - by a natural person in the course of a purely personal or household activity.
    1.Each Member State shall apply the national provisions it adopts pursuant to this Directive to the processing of personal data where:
    (a) the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; when the same controller is established on the territory of several Member States, he must take the necessary measures to ensure that each of these establishments complies with the obligations laid down by the national law applicable;
    (b) the controller is not established on the Member State's territory, but in a place where its national law applies by virtue of international public law;
    (c) the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community.
    2.In the circumstances referred to in paragraph 1(c), the controller must designate a representative established in the territory of that Member State, without prejudice to legal actions which could be initiated against the controller himself.
    Member States shall, within the limits of the provisions of this Chapter, determine more precisely the conditions under which the processing of personal data is lawful.
    Section I. PRINCIPLES RELATING TO DATA QUALITY
    1.Member States shall provide that personal data must be:
    (a) processed fairly and lawfully;
    (b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes. Further processing of data for historical, statistical or scientific purposes shall not be considered as incompatible provided that Member States provide appropriate safeguards;
    (c) adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed;
    (d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified;
    (e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the data were collected or for which they are further processed. Member States shall lay down appropriate safeguards for personal data stored for longer periods for historical, statistical or scientific use.
    2.It shall be for the controller to ensure that paragraph 1 is complied with.
    Section II. CRITERIA FOR MAKING DATA PROCESSING LEGITIMATE
    Member States shall provide that personal data may be processed only if:
    (a) the data subject has unambiguously given his consent; or
    (b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; or
    (c) processing is necessary for compliance with a legal obligation to which the controller is subject; or
    (d) processing is necessary in order to protect the vital interests of the data subject; or
    (e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller or in a third party to whom the data are disclosed; or
    (f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests for fundamental rights and freedoms of the data subject which require protection under Article 1(1).
    Section III. SPECIAL CATEGORIES OF PROCESSING
    1.Member States shall prohibit the processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of data concerning health or sex life.
    2.Paragraph 1 shall not apply where:
    (a) the data subject has given his explicit consent to the processing of those data, except where the laws of the Member State provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject's giving his consent; or
    (b) processing is necessary for the purposes of carrying out the obligations and specific rights of the controller in the field of employment law in so far as it is authorized by national law providing for adequate safeguards; or
    (c) processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving his consent; or
    (d) processing is carried out in the course of its legitimate activities with appropriate guarantees by a foundation, association or any other non-profit-seeking body with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members of the body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed to a third party without the consent of the data subjects; or
    (e) the processing relates to data which are manifestly made public by the data subject or is necessary for the establishment, exercise or defence of legal claims.
    3.Paragraph 1 shall not apply where processing of the data is required for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject under national law or rules established by national competent bodies to the obligation of professional secrecy or by another person also subject to an equivalent obligation of secrecy.
    4.Subject to the provision of suitable safeguards, Member States may, for reasons of substantial public interest, lay down exemptions in addition to those laid down in paragraph 2 either by national law or by decision of the supervisory authority.
    5.Processing of data relating to offences, criminal convictions or security measures may be carried out only under the control of official authority, or if suitable specific safeguards are provided under national law, subject to derogations which may be granted by the Member State under national provisions providing suitable specific safeguards. However, a complete register of criminal convictions may be kept only under the control of official authority.
    Member States may provide that data relating to administrative sanctions or judgements in civil cases shall also be processed under the control of official authority.
    6.Derogations from paragraph 1 provided for in paragraphs 4 and 5 shall be notified to the Commission.
    7.Member States shall determine the conditions under which a national identification ber or any other identifier of general application may be processed.
    Member States shall provide for exemptions or derogations from the provisions of this Chapter, Chapter IV and Chapter VI for the processing of personal data carried out solely for journalistic purposes or the purpose of artistic or literary expression only if they are necessary to reconcile the right to privacy with the rules governing freedom of expression.
    Section IV. INFORMATION TO BE GIVEN TO THE DATA SUBJECT
    Member States shall provide that the controller or his representative must provide a data subject from whom data relating to himself are collected with at least the following information, except where he already has it:
    (a) the identity of the controller and of his representative, if any;
    (b) the purposes of the processing for which the data are intended;
    (c) any further information such as
    - the recipients or categories of recipients of the data,
    - whether replies to the questions are obligatory or voluntary, as well as the possible consequences of failure to reply,
    - the existence of the right of access to and the right to rectify the data concerning him
    in so far as such further information is necessary, having regard to the specific circumstances in which the data are collected, to guarantee fair processing in respect of the data subject.
    1.Where the data have not been obtained from the data subject, Member States shall provide that the controller or his representative must at the time of undertaking the recording of personal data or if a disclosure to a third party is envisaged, no later than the time when the data are first disclosed provide the data subject with at least the following information, except where he already has it:
    (a) the identity of the controller and of his representative, if any;
    (b) the purposes of the processing;
    (c) any further information such as
    - the categories of data concerned,
    - the recipients or categories of recipients,
    - the existence of the right of access to and the right to rectify the data concerning him
    in so far as such further information is necessary, having regard to the specific circumstances in which the data are processed, to guarantee fair processing in respect of the data subject.
    2.Paragraph 1 shall not apply where, in particular for processing for statistical purposes or for the purposes of historical or scientific research, the provision of such information proves impossible or would involve a disproportionate effort or if recording or disclosure is expressly laid down by law. In these cases Member States shall provide appropriate safeguards.
    Section V. THE DATA SUBJECT'S RIGHT OF ACCESS TO DATA
    Member States shall guarantee every data subject the right to obtain from the controller:
    (a) without constraint at reasonable intervals and without excessive delay or expense:
    - confirmation as to whether or not data relating to him are being processed and information at least as to the purposes of the processing, the categories of data concerned, and the recipients or categories of recipients to whom the data are disclosed,
    - communication to him in an intelligible form of the data undergoing processing and of any available information as to their source,
    - knowledge of the logic involved in any automatic processing of data concerning him at least in the case of the automated decisions referred to in Article 15(1);
    (b) as appropriate the rectification, erasure or blocking of data the processing of which does not comply with the provisions of this Directive, in particular because of the incomplete or inaccurate nature of the data;
    (c) notification to third parties to whom the data have been disclosed of any rectification, erasure or blocking carried out in compliance with (b), unless this proves impossible or involves a disproportionate effort.
    Section VI. EXEMPTIONS AND RESTRICTIONS
    1.Member States may adopt legislative measures to restrict the scope of the obligations and rights provided for in Articles 6(1), 10, 11(1), 12 and 21 when such a restriction constitutes a necessary measures to safeguard:
    (a) national security;
    (b) defence;
    (c) public security;
    (d) the prevention, investigation, detection and prosecution of criminal offences, or of breaches of ethics for regulated professions;
    (e) an important economic or financial interest of a Member State or of the European Union, including monetary, budgetary and taxation matters;
    (f) a monitoring, inspection or regulatory function connected, even occasionally, with the exercise of official authority in cases referred to in (c), (d) and (e);
    (g) the protection of the data subject or of the rights and freedoms of others.
    2.Subject to adequate legal safeguards, in particular that the data are not used for taking measures or decisions regarding any particular individual, Member States may, where there is clearly no risk of breaching the privacy of the data subject, restrict by a legislative measure the rights provided for in Article 12 when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of creating statistics.
    Section VII. THE DATA SUBJECT'S RIGHT TO OBJECT
    Member States shall grant the data subject the right:
    (a) at least in the cases referred to in Article 7(e) and (f), to object at any time on compelling legitimate grounds relating to his particular situation to the processing of data relating to him, save where otherwise provided by national legislation. Where there is a justified objection, the processing instigated by the controller may no longer involve those data;
    (b) to object, on request and free of charge, to the processing of personal data relating to him which the controller anticipates being processed for the purposes of direct marketing, or to be informed before personal data are disclosed for the first time to third parties or used on their behalf for the purposes of direct marketing, and to be expressly offered the right to object free of charge to such disclosures or uses.
    Member States shall take the necessary measures to ensure that data subjects are aware of the existence of the right referred to in the first subparagraph of (b).
    1.Member States shall grant the right to every person not to be subject to a decision which produces legal effects concerning him or significantly affects him and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him, such as his performance at work, creditworthiness, reliability, conduct, etc.
    2.Subject to the other Articles of this Directive, Member States shall provide that a person may be subjected to a decision of the kind referred to in paragraph 1 if that decision:
    (a) is taken in the course of the entering into or performance of a contract, provided the request for the entering into or the performance of the contract, lodged by the data subject, has been satisfied or that there are suitable measures to safeguard his legitimate interests, such as arrangements allowing him to put his point of view; or
    (b) is authorized by a law which also lays down measures to safeguard the data subject's legitimate interests.
    Section VIII. CONFIDENTIALITY AND SECURITY OF PROCESSING
    Any person acting under the authority of the controller or of the processor, including the processor himself, who has access to personal data must not process them except on instructions from the controller, unless he is required to do so by law.
    1.Member States shall provide that the controller must implement appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.
    Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.
    2.The Member States shall provide that the controller must, where processing is carried out on his behalf, choose a processor providing sufficient guarantees in respect of the technical security measures and organizational measures governing the processing to be carried out, and must ensure compliance with those measures.
    3.The carrying out of processing by way of a processor must be governed by a contract or legal act binding the processor to the controller and stipulating in particular that:
    - the processor shall act only on instructions from the controller,
    - the obligations set out in paragraph 1, as defined by the law of the Member State in which the processor is established, shall also be incumbent on the processor.
    4.For the purposes of keeping proof, the parts of the contract or the legal act relating to data protection and the requirements relating to the measures referred to in paragraph 1 shall be in writing or in another equivalent form.
    Section IX. NOTIFICATION
    1.Member States shall provide that the controller or his representative, if any, must notify the supervisory authority referred to in Article 28 before carrying out any wholly or partly automatic processing operation or set of such operations intended to serve a single purpose or several related purposes.
    2.Member States may provide for the simplification of or exemption from notification only in the following cases and under the following conditions:
    - where, for categories of processing operations which are unlikely, taking account of the data to be processed, to affect adversely the rights and freedoms of data subjects, they specify the purposes of the processing, the data or categories of data undergoing processing, the category or categories of data subject, the recipients or categories of recipient to whom the data are to be disclosed and the length of time the data are to be stored, and/or
    - where the controller, in compliance with the national law which governs him, appoints a personal data protection official, responsible in particular:
    - for ensuring in an independent manner the internal application of the national provisions taken pursuant to this Directive
    - for keeping the register of processing operations carried out by the controller, containing the items of information referred to in Article 21(2),
    thereby ensuring that the rights and freedoms of the data subjects are unlikely to be adversely affected by the processing operations.
    3.Member States may provide that paragraph 1 does not apply to processing whose sole purpose is the keeping of a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person demonstrating a legitimate interest.
    4.Member States may provide for an exemption from the obligation to notify or a simplification of the notification in the case of processing operations referred to in Article 8(2)(d).
    5.Member States may stipulate that certain or all non-automatic processing operations involving personal data shall be notified, or provide for these processing operations to be subject to simplified notification.
    1.Member States shall specify the information to be given in the notification. It shall include at least:
    (a) the name and address of the controller and of his representative, if any;
    (b) the purpose or purposes of the processing;
    (c) a description of the category or categories of data subject and of the data or categories of data relating to them;
    (d) the recipients or categories of recipient to whom the data might be disclosed;
    (e) proposed transfers of data to third countries;
    (f) a general description allowing a preliminary assessment to be made of the appropriateness of the measures taken pursuant to Article 17 to ensure security of processing.
    2.Member States shall specify the procedures under which any change affecting the information referred to in paragraph 1 must be notified to the supervisory authority.
    1.Member States shall determine the processing operations likely to present specific risks to the rights and freedoms of data subjects and shall check that these processing operations are examined prior to the start thereof.
    2.Such prior checks shall be carried out by the supervisory authority following receipt of a notification from the controller or by the data protection official, who, in cases of doubt, must consult the supervisory authority.
    3.Member States may also carry out such checks in the context of preparation either of a measure of the national parliament or of a measure based on such a legislative measure, which define the nature of the processing and lay down appropriate safeguards.
    1.Member States shall take measures to ensure that processing operations are publicized.
    2.Member States shall provide that a register of processing operations notified in accordance with Article 18 shall be kept by the supervisory authority.
    The register shall contain at least the information listed in Article 19(1)(a) to (e).
    The register may be inspected by any person.
    3.Member States shall provide, in relation to processing operations not subject to notification, that controllers or another body appointed by the Member States make available at least the information referred to in Article 19(1)(a) to (e) in an appropriate form to any person on request.
    Member States may provide that this provision does not apply to processing whose sole purpose is the keeping of a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can provide proof of a legitimate interest.
    Without prejudice to any administrative remedy for which provision may be made, inter alia before the supervisory authority referred to in Article 28, prior to referral to the judicial authority, Member States shall provide for the right of every person to a judicial remedy for any breach of the rights guaranteed him by the national law applicable to the processing in question.
    1.Member States shall provide that any person who has suffered damage as a result of an unlawful processing operation or of any act incompatible with the national provisions adopted pursuant to this Directive is entitled to receive compensation from the controller for the damage suffered.
    2.The controller may be exempted from this liability, in whole or in part, if he proves that he is not responsible for the event giving rise to the damage.
    The Member States shall adopt suitable measures to ensure the full implementation of the provisions of this Directive and shall in particular lay down the sanctions to be imposed in case of infringement of the provisions adopted pursuant to this Directive.
    1.The Member States shall provide that the transfer to a third country of personal data which are undergoing processing or are intended for processing after transfer may take place only if, without prejudice to compliance with the national provisions adopted pursuant to the other provisions of this Directive, the third country in question ensures an adequate level of protection.
    2.The adequacy of the level of protection afforded by a third country shall be assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the country of origin and country of final destination, the rules of law, both general and sect oral, in force in the third country in question and the professional rules and security measures which are complied with in that country.
    3.The Member States and the Commission shall inform each other of cases where they consider that a third country does not ensure an adequate level of protection within the meaning of paragraph 2.
    4.Where the Commission finds, under the procedure provided for in Article 31(2), that a third country does not ensure an adequate level of protection within the meaning of paragraph 2 of this Article, Member States shall take the measures necessary to prevent any transfer of data of the same type to the third country in question.
    5.At the appropriate time, the Commission shall enter into negotiations with a view to remedying the situation resulting from the finding made pursuant to paragraph 4.
    6.The Commission may find, in accordance with the procedure referred to in Article 31(2), that a third country ensures an adequate level of protection within the meaning of paragraph 2 of this Article, by reason of its domestic law or of the international commitments it has entered into, particularly upon conclusion of the negotiations referred to in paragraph 5, for the protection of the private lives and basic freedoms and rights of individuals.
    Member States shall take the measures necessary to comply with the Commission's decision.
    1.By way of derogation from Article 25 and save where otherwise provided by domestic law governing particular cases, Member States shall provide that a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25(2) may take place on condition that:
    (a) the data subject has given his consent unambiguously to the proposed transfer; or
    (b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of precontractual measures taken in response to the data subject's request; or
    (c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and a third party; or
    (d) the transfer is necessary or legally required on important public interest grounds, or for the establishment, exercise or defence of legal claims; or
    (e) the transfer is necessary in order to protect the vital interests of the data subject; or
    (f) the transfer is made from a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate legitimate interest, to the extent that the conditions laid down in law for consultation are fulfilled in the particular case.
    2.Without prejudice to paragraph 1, a Member State may authorize a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25(2), where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.
    3.The Member State shall inform the Commission and the other Member States of the authorizations it grants pursuant to paragraph 2.
    If a Member State or the Commission objects on justified grounds involving the protection of the privacy and fundamental rights and freedoms of individuals, the Commission shall take appropriate measures in accordance with the procedure laid down in Article 31(2).
    Member States shall take the necessary measures to comply with the Commission's decision.
    4.Where the Commission decides, in accordance with the procedure referred to in Article 31(2), that certain standard contractual clauses offer sufficient safeguards as required by paragraph 2, Member States shall take the necessary measures to comply with the Commission's decision.
    1.The Member States and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper implementation of the national provisions adopted by the Member States pursuant to this Directive, taking account of the specific features of the various sectors.
    2.Member States shall make provision for trade associations and other bodies representing other categories of controllers which have drawn up draft national codes or which have the intention of amending or extending existing national codes to be able to submit them to the opinion of the national authority.
    Member States shall make provision for this authority to ascertain, among other things, whether the drafts submitted to it are in accordance with the national provisions adopted pursuant to this Directive. If it sees fit, the authority shall seek the views of data subjects or their representatives.
    3.Draft Community codes, and amendments or extensions to existing Community codes, may be submitted to the Working Party referred to in Article 29. This Working Party shall determine, among other things, whether the drafts submitted to it are in accordance with the national provisions adopted pursuant to this Directive. If it sees fit, the authority shall seek the views of data subjects or their representatives. The Commission may ensure appropriate publicity for the codes which have been approved by the Working Party.
    1.Each Member State shall provide that one or more public authorities are responsible for monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Directive.
    These authorities shall act with complete independence in exercising the functions entrusted to them.
    2.Each Member State shall provide that the supervisory authorities are consulted when drawing up administrative measures or regulations relating to the protection of individuals' rights and freedoms with regard to the processing of personal data.
    3.Each authority shall in particular be endowed with:
    - investigative powers, such as powers of access to data forming the subject-matter of processing operations and powers to collect all the information necessary for the performance of its supervisory duties,
    - effective powers of intervention, such as, for example, that of delivering opinions before processing operations are carried out, in accordance with Article 20, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processing, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions,
    - the power to engage in legal proceedings where the national provisions adopted pursuant to this Directive have been violated or to bring these violations to the attention of the judicial authorities.
    Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.
    4.Each supervisory authority shall hear claims lodged by any person, or by an association representing that person, concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.
    Each supervisory authority shall, in particular, hear claims for checks on the lawfulness of data processing lodged by any person when the national provisions adopted pursuant to Article 13 of this Directive apply. The person shall at any rate be informed that a check has taken place.
    5.Each supervisory authority shall draw up a report on its activities at regular intervals. The report shall be made public.
    6.Each supervisory authority is competent, whatever the national law applicable to the processing in question, to exercise, on the territory of it sown Member State, the powers conferred on it in accordance with paragraph 3. Each authority may be requested to exercise its powers by an authority of another Member State.
    The supervisory authorities shall cooperate with one another to the extent necessary for the performance of their duties, in particular by exchanging all useful information.
    7.Member States shall provide that the members and staff of the supervisory authority, even after their employment has ended, are to be subject to a duty of professional secrecy with regard to confidential information to which they have access.
    1.A Working Party on the Protection of Individuals with regard to the Processing of Personal Data, hereinafter referred to as "the Working Party", is hereby set up.
    It shall have advisory status and act independently.
    2.The Working Party shall be composed of a representative of the supervisory authority or authorities designated by each Member State and of a representative of the authority or authorities established for the Community institutions and bodies, and of a representative of the Commission.
    Each member of the Working Party shall be designated by the institution, authority or authorities which he represents. Where a Member State has designated more than one supervisory authority, they shall nominate a joint representative. The same shall apply to the authorities established for Community institutions and bodies.
    3.The Working Party shall take decisions by a simple majority of the representatives of the supervisory authorities.
    4.The Working Party shall elect its chairman. The chairman's term of office shall be two years. His appointment shall be renewable.
    5.The Working Party's secretariat shall be provided by the Commission.
    6.The Working Party shall adopt its own rules of procedure.
    7.The Working Party shall consider items placed on its agenda by its chairman, either on his own initiative or at the request of a representative of the supervisory authorities or at the Commission's request.
    1.The Working Party shall:
    (a) examine any question covering the application of the national measures adopted under this Directive in order to contribute to the uniform application of such measures;
    (b) give the Commission an opinion on the level of protection in the Community and in third countries;
    (c) advise the Commission on any proposed amendment of this Directive, on any additional or specific measures to safeguard the rights and freedoms of natural persons with regard to the processing of personal data and on any other proposed Community measures affecting such rights and freedoms;
    (d) give an opinion on codes of conduct drawn up at Community level.
    2.If the Working Party finds that divergences likely to affect the equivalence of protection for persons with regard to the processing of personal data in the Community are arising between the laws or practices of Member States, it shall inform the Commission accordingly.
    3.The Working Party may, on its own initiative, make recommendations on all matters relating to the protection of persons with regard to the processing of personal data in the Community.
    4.The Working Party's opinions and recommendations shall be forwarded to the Commission and to the committee referred to in Article 31.
    5.The Commission shall inform the Working Party of the action it has taken in response to its opinions and recommendations. It shall do so in a report which shall also be forwarded to the European Parliament and the Council. The report shall be made public.
    6.The Working Party shall draw up an annual report on the situation regarding the protection of natural persons with regard to the processing of personal data in the Community and in third countries, which it shall transmit to the Commission, the European Parliament and the Council. The report shall be made public.
    1.The Commission shall be assisted by a committee.
    2.Where reference is made to this Article, Articles 4 and 7 of Decision 1999/468/EC <*> shall apply, having regard to the provisions of Article 8 thereof.

    -------------------------------
    <*> Council Decision 1999/468/EC of 28 June 1999 laying down the procedures for the exercise of implementing powers conferred on the Commission (OJ L 184, 17.7.1999, p. 23).


    The period laid down in Article 4(3) of Decision 1999/468/EC shall be set at three months.
    3.The Committee shall adopt its rules of procedure.
    FINAL PROVISIONS
    1.Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with this Directive at the latest at the end of a period of three years from the date of its adoption.
    When Member States adopt these measures, they shall contain a reference to this Directive or be accompanied by such reference on the occasion of their official publication. The methods of making such reference shall be laid down by the Member States.
    2.Member States shall ensure that processing already under way on the date the national provisions adopted pursuant to this Directive enter into force, is brought into conformity with these provisions within three years of this date.
    By way of derogation from the preceding subparagraph, Member States may provide that the processing of data already held in manual filing systems on the date of entry into force of the national provisions adopted in implementation of this Directive shall be brought into conformity with Articles 6, 7 and 8 of this Directive within 12 years of the date on which it is adopted. Member States shall, however, grant the data subject the right to obtain, at his request and in particular at the time of exercising his right of access, the rectification, erasure or blocking of data which are incomplete, inaccurate or stored in a way incompatible with the legitimate purposes pursued by the controller.
    3.By way of derogation from paragraph 2, Member States may provide, subject to suitable safeguards, that data kept for the sole purpose of historical research need not be brought into conformity with Articles 6, 7 and 8 of this Directive.
    4.Member States shall communicate to the Commission the text of the provisions of domestic law which they adopt in the field covered by this Directive.
    The Commission shall report to the Council and the European Parliament at regular intervals, starting not later than three years after the date referred to in Article 32(1), on the implementation of this Directive, attaching to its report, if necessary, suitable proposals for amendments. The report shall be made public.
    The Commission shall examine, in particular, the application of this Directive to the data processing of sound and image data relating to natural persons and shall submit any appropriate proposals which prove to be necessary, taking account of developments in information technology and in the light of the state of progress in the information society.
    This Directive is addressed to the Member States.