Директива (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений. правонарушений или исполнения уголовных наказаний, а также о свободном перемещении таких данных и об отмене Рамочного решения Совета 2008/977/JHA.

4 мая 2016 г.

В

Официальный журнал Европейского Союза

Л 119/89

ДИРЕКТИВА (ЕС) 2016/680 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА

от 27 апреля 2016 г.

о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, а также о свободном перемещении таких данных и отмене Рамочное решение Совета 2008/977/JHA

ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,

Принимая во внимание Договор о функционировании Европейского Союза и, в частности, его статью 16(2),

Принимая во внимание предложение Европейской комиссии,

После передачи проекта законодательного акта национальным парламентам,

Принимая во внимание мнение Комитета регионов (1),

Действуя в соответствии с обычной законодательной процедурой (2),

Тогда как:

(1)

Защита физических лиц при обработке персональных данных является фундаментальным правом. Статья 8(1) Хартии основных прав Европейского Союза («Хартия») и статья 16(1) Договора о функционировании Европейского Союза (TFEU) предусматривают, что каждый имеет право на защиту личные данные, касающиеся его.

(2)

Принципы и правила защиты физических лиц в отношении обработки их персональных данных должны, независимо от их гражданства или места жительства, уважать их основные права и свободы, в частности их право на защиту персональных данных. Целью настоящей Директивы является содействие созданию зоны свободы, безопасности и справедливости.

(3)

Стремительное развитие технологий и глобализация поставили новые задачи в области защиты персональных данных. Масштабы сбора и обмена персональными данными значительно возросли. Технология позволяет обрабатывать персональные данные в беспрецедентных масштабах для проведения таких мероприятий, как предотвращение, расследование, обнаружение или судебное преследование уголовных преступлений или исполнение уголовных наказаний.

(4)

Свободный поток персональных данных между компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защиту и предотвращение угроз общественной безопасности в пределах Союза и передачу такие персональные данные третьим странам и международным организациям следует облегчить, обеспечивая при этом высокий уровень защиты персональных данных. Эти события требуют создания прочной и более последовательной системы защиты персональных данных в Союзе, подкрепленной строгими правоприменительными мерами.

(5)

Директива 95/46/EC Европейского парламента и Совета (3) применяется ко всей обработке персональных данных в государствах-членах как в государственном, так и в частном секторах. Однако это не распространяется на обработку персональных данных в ходе деятельности, выходящей за рамки законодательства Сообщества, например, деятельности в области судебного сотрудничества по уголовным делам и сотрудничества полиции.

(6)

Рамочное решение Совета 2008/977/JHA (4) применяется в сферах судебного сотрудничества по уголовным делам и сотрудничества полиции. Сфера применения этого Рамочного решения ограничивается обработкой персональных данных, передаваемых или предоставляемых между государствами-членами ЕС.

(7)

Обеспечение последовательного и высокого уровня защиты персональных данных физических лиц и содействие обмену персональными данными между компетентными органами государств-членов имеет решающее значение для обеспечения эффективного судебного сотрудничества по уголовным делам и сотрудничества полиции. В связи с этим уровень защиты прав и свобод физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, выявления или преследования уголовных правонарушений или исполнения уголовных наказаний, в том числе защита и предотвращение угроз общественной безопасности должны быть одинаковыми во всех государствах-членах ЕС. Эффективная защита персональных данных на всей территории Союза требует усиления прав субъектов данных и обязанностей тех, кто обрабатывает персональные данные, а также эквивалентных полномочий по контролю и обеспечению соблюдения правил защиты персональных данных в Члене. Состояния.

(8)

Статья 16(2) ДФЕС поручает Европейскому парламенту и Совету установить правила, касающиеся защиты физических лиц в отношении обработки персональных данных, а также правила, касающиеся свободного перемещения персональных данных.

(9)

На этой основе Регламент (ЕС) 2016/679 Европейского парламента и Совета (5) устанавливает общие правила для защиты физических лиц в отношении обработки персональных данных и обеспечения свободного перемещения персональных данных внутри Союза. .

(10)

В Декларации № 21 о защите персональных данных в области сотрудничества судебных органов по уголовным делам и сотрудничества полиции, приложенной к заключительному акту межправительственной конференции, принявшей Лиссабонский договор, конференция признала, что конкретные правила защиты личных данных Данные и свободное перемещение персональных данных в сферах судебного сотрудничества по уголовным делам и сотрудничества полиции на основании статьи 16 ДФЕС могут оказаться необходимыми из-за специфического характера этих областей.

(11)

Поэтому целесообразно, чтобы эти области были урегулированы директивой, устанавливающей конкретные правила, касающиеся защиты физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, выявления или судебного преследования уголовные преступления или исполнение уголовных наказаний, включая защиту и предотвращение угроз общественной безопасности, с учетом специфики этой деятельности. Такие компетентные органы могут включать не только государственные органы, такие как судебные органы, полиция или другие правоохранительные органы, но также любой другой орган или организацию, которой законодательством государства-члена ЕС уполномочено осуществлять государственную власть и государственные полномочия для целей настоящей Директивы. Если такой орган или организация обрабатывает персональные данные для целей, отличных от целей настоящей Директивы, применяется Регламент (ЕС) 2016/679. Таким образом, Регламент (ЕС) 2016/679 применяется в тех случаях, когда орган или организация собирает персональные данные для других целей и в дальнейшем обрабатывает эти персональные данные в целях соблюдения юридического обязательства, которому они подчиняются. Например, в целях расследования уголовных преступлений или преследования за них финансовые учреждения сохраняют определенные персональные данные, которые они обрабатывают, и предоставляют эти персональные данные только компетентным национальным органам в особых случаях и в соответствии с законодательством государства-члена. Орган или организация, которая обрабатывает персональные данные от имени таких органов в рамках настоящей Директивы, должна быть связана договором или другим правовым актом, а также положениями, применимыми к обработчикам данных в соответствии с настоящей Директивой, в то время как применение Регламента (ЕС) 2016 г. /679 остается незатронутым при обработке персональных данных обработчиком, выходящим за рамки настоящей Директивы.

(12)

Деятельность полиции или других правоохранительных органов сосредоточена главным образом на предотвращении, расследовании, выявлении или судебном преследовании уголовных преступлений, включая деятельность полиции без предварительного знания того, является ли инцидент уголовным преступлением или нет. Такая деятельность может также включать осуществление власти путем принятия принудительных мер, таких как действия полиции на демонстрациях, крупных спортивных мероприятиях и беспорядках. Они также включают поддержание правопорядка как задачу, возложенную на полицию или другие правоохранительные органы, когда это необходимо для защиты и предотвращения угроз общественной безопасности и фундаментальным интересам общества, охраняемым законом, которые могут привести к уголовному преступлению. Государства-члены могут поручить компетентным органам другие задачи, которые не обязательно выполняются в целях предотвращения, расследования, обнаружения или судебного преследования уголовных преступлений, включая защиту и предотвращение угроз общественной безопасности, чтобы обработка личных данных данные для этих других целей, поскольку они подпадают под действие законодательства Союза, подпадают под действие Регламента (ЕС) 2016/679.

(13)

Уголовное преступление по смыслу настоящей Директивы должно быть автономной концепцией права Союза в интерпретации Суда Европейского Союза («Суд»).

(14)

Поскольку настоящая Директива не должна применяться к обработке персональных данных в ходе деятельности, выходящей за рамки законодательства Союза, деятельности, касающейся национальной безопасности, деятельности агентств или подразделений, занимающихся вопросами национальной безопасности, а также обработки персональных данных Государства-члены ЕС при осуществлении деятельности, подпадающей под действие Главы 2 Раздела V Договора о Европейском Союзе (TEU), не должны рассматриваться как деятельность, подпадающая под действие настоящей Директивы.

(15)

Чтобы обеспечить одинаковый уровень защиты физических лиц посредством юридически закрепленных прав на всей территории Союза и предотвратить расхождения, препятствующие обмену персональными данными между компетентными органами, настоящая Директива должна предусматривать гармонизированные правила защиты и свободного перемещения персональных данных. обрабатываются в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защиту и предотвращение угроз общественной безопасности. Сближение законов государств-членов не должно приводить к какому-либо уменьшению защиты персональных данных, которые они обеспечивают, а, напротив, должно быть направлено на обеспечение высокого уровня защиты внутри Союза. Государствам-членам не должно быть запрещено предоставлять более высокие гарантии, чем те, которые установлены в настоящей Директиве, для защиты прав и свобод субъекта данных в отношении обработки персональных данных компетентными органами.

(16)

Настоящая Директива не наносит ущерба принципу публичного доступа к официальным документам. В соответствии с Регламентом (ЕС) 2016/679 персональные данные в официальных документах, хранящихся государственным органом или государственным или частным органом для выполнения задачи, выполняемой в общественных интересах, могут быть раскрыты этим органом или органом в соответствии с Союзом или членом. Закон штата, которому подчиняется государственный орган или орган, чтобы согласовать публичный доступ к официальным документам с правом на защиту персональных данных.

(17)

Защита, предоставляемая настоящей Директивой, должна распространяться на физических лиц, независимо от их гражданства или места жительства, в отношении обработки их персональных данных.

(18)

Чтобы предотвратить создание серьезного риска обхода, защита физических лиц должна быть технологически нейтральной и не зависеть от используемых методов. Защита физических лиц должна распространяться на обработку персональных данных автоматизированными средствами, а также на обработку вручную, если персональные данные содержатся или предназначены для хранения в файловой системе. Файлы или наборы файлов, а также их титульные страницы, которые не структурированы по конкретным критериям, не должны подпадать под действие настоящей Директивы.

(19)

Регламент (ЕС) № 45/2001 Европейского парламента и Совета (6) применяется к обработке персональных данных институтами, органами, офисами и агентствами Союза. Регламент (ЕС) № 45/2001 и другие правовые акты Союза, применимые к такой обработке персональных данных, должны быть адаптированы к принципам и правилам, установленным в Регламенте (ЕС) 2016/679.

(20)

Настоящая Директива не запрещает государствам-членам определять операции и процедуры обработки в национальных правилах уголовного судопроизводства в отношении обработки персональных данных судами и другими судебными органами, в частности, в отношении персональных данных, содержащихся в судебных решениях или в записях в отношение к уголовному судопроизводству.

(21)

Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Чтобы определить, можно ли идентифицировать физическое лицо, следует принять во внимание все средства, которые могут быть разумно использованы, например, выделение контролером или другим лицом для прямой или косвенной идентификации физического лица. Чтобы установить, будет ли разумно вероятно использование средств для идентификации физического лица, следует принять во внимание все объективные факторы, такие как затраты и количество времени, необходимое для идентификации, принимая во внимание доступную технологию на момент установления личности. обработка и технологические разработки. Поэтому принципы защиты данных не должны применяться к анонимной информации, а именно к информации, которая не относится к идентифицированному или идентифицируемому физическому лицу, или к персональным данным, анонимизированным таким образом, что субъект данных больше не может быть идентифицирован.

(22)

Государственные органы, которым персональные данные раскрываются в соответствии с юридическим обязательством для выполнения их официальной миссии, например, налоговые и таможенные органы, подразделения финансовых расследований, независимые административные органы или органы финансового рынка, ответственные за регулирование и надзор за рынками ценных бумаг. не должны рассматриваться как получатели, если они получают персональные данные, которые необходимы для выполнения конкретного запроса в общих интересах в соответствии с законодательством Союза или государства-члена. Запросы на раскрытие информации, направляемые государственными органами, всегда должны быть в письменной форме, обоснованы и периодические и не должны касаться всей файловой системы или приводить к взаимосвязи файловых систем. Обработка персональных данных этими государственными органами должна соответствовать применимым правилам защиты данных в соответствии с целями обработки.

(23)

Генетические данные следует определять как персональные данные, относящиеся к унаследованным или приобретенным генетическим характеристикам физического лица, которые дают уникальную информацию о физиологии или здоровье этого физического лица и которые являются результатом анализа биологического образца соответствующего физического лица. в частности, хромосомный анализ, анализ дезоксирибонуклеиновой кислоты (ДНК) или рибонуклеиновой кислоты (РНК) или анализ другого элемента, позволяющий получить эквивалентную информацию. Учитывая сложность и конфиденциальность генетической информации, существует большой риск ее неправильного использования и повторного использования контролером в различных целях. Любая дискриминация, основанная на генетических особенностях, в принципе должна быть запрещена.

(24)

Персональные данные, касающиеся здоровья, должны включать все данные, относящиеся к состоянию здоровья субъекта данных, которые раскрывают информацию, касающуюся прошлого, настоящего или будущего состояния физического или психического здоровья субъекта данных. Сюда входит информация о физическом лице, собранная в ходе регистрации или предоставления медицинских услуг, указанных в Директиве 2011/24/ЕС Европейского парламента и Совета (7) этому физическому лицу; номер, символ или особая информация, присвоенная физическому лицу для однозначной идентификации физического лица в медицинских целях; информация, полученная в результате тестирования или исследования части тела или телесного вещества, в том числе из генетических данных и биологических образцов; и любая информация, например, о заболевании, инвалидности, риске заболевания, истории болезни, клиническом лечении или физиологическом или биомедицинском состоянии субъекта данных, независимо от ее источника, например, от врача или другого медицинского работника, больницы, медицинское устройство или диагностический тест in vitro.

(25)

Все государства-члены являются членами Международной организации уголовной полиции (Интерпол). Для выполнения своей миссии Интерпол получает, хранит и распространяет персональные данные, чтобы помочь компетентным органам в предотвращении международной преступности и борьбе с ней. Поэтому целесообразно укреплять сотрудничество между Союзом и Интерполом, способствуя эффективному обмену персональными данными, обеспечивая при этом уважение основных прав и свобод в отношении автоматической обработки персональных данных. Если персональные данные передаются из Союза в Интерпол и в страны, делегировавшие членов в Интерпол, должна применяться настоящая Директива, в частности положения о международной передаче. Настоящая Директива не должна наносить ущерба конкретным правилам, изложенным в Общей позиции Совета 2005/69/JHA (8) и Решении Совета 2007/533/JHA (9).

(26)

Любая обработка персональных данных должна быть законной, справедливой и прозрачной по отношению к заинтересованным физическим лицам и обрабатываться только для конкретных целей, установленных законом. Это само по себе не мешает правоохранительным органам осуществлять такие действия, как тайные расследования или видеонаблюдение. Такая деятельность может осуществляться в целях предотвращения, расследования, выявления или преследования уголовных преступлений или исполнения уголовных наказаний, включая защиту и предотвращение угроз общественной безопасности, если они предусмотрены законом и представляют собой необходимую и соразмерную меру в демократическом обществе с должным учетом законных интересов соответствующего физического лица. Принцип защиты данных и справедливой обработки данных отличается от права на справедливое судебное разбирательство, как оно определено в статье 47 Хартии и статье 6 Европейской конвенции о защите прав человека и основных свобод (ЕКПЧ). Физические лица должны быть осведомлены о рисках, правилах, гарантиях и правах в отношении обработки их персональных данных, а также о том, как осуществлять свои права в отношении обработки. В частности, конкретные цели, для которых обрабатываются персональные данные, должны быть явными и законными и определяться во время сбора персональных данных. Персональные данные должны быть адекватными и актуальными для целей, для которых они обрабатываются. В частности, следует обеспечить, чтобы собранные персональные данные не были чрезмерными и не хранились дольше, чем это необходимо для цели, для которой они обрабатываются. Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть достигнута другими способами. Чтобы гарантировать, что данные не будут храниться дольше, чем необходимо, контролер должен установить временные ограничения для удаления или периодического пересмотра. Государства-члены должны установить соответствующие меры защиты персональных данных, хранящихся в течение более длительных периодов времени для архивирования в общественных интересах, научных, статистических или исторических целях.

(27)

Для предотвращения, расследования и преследования уголовных преступлений компетентным органам необходимо обрабатывать персональные данные, собранные в контексте предотвращения, расследования, обнаружения или преследования конкретных уголовных преступлений за пределами этого контекста, чтобы лучше понять преступную деятельность. и установить связь между различными обнаруженными уголовными преступлениями.

(28)

Чтобы обеспечить безопасность обработки и предотвратить обработку в нарушение настоящей Директивы, персональные данные должны обрабатываться таким образом, чтобы обеспечить соответствующий уровень безопасности и конфиденциальности, в том числе путем предотвращения несанкционированного доступа к персональным данным или их использования, а также оборудование, используемое для обработки, и которое учитывает доступное состояние техники и технологий, затраты на внедрение в отношении рисков и характера персональных данных, подлежащих защите.

(29)

Персональные данные должны собираться для конкретных, явных и законных целей в рамках настоящей Директивы и не должны обрабатываться для целей, несовместимых с целями предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защита и предотвращение угроз общественной безопасности. Если персональные данные обрабатываются тем же или другим контролером для цели в рамках настоящей Директивы, отличной от той, для которой они были собраны, такая обработка должна быть разрешена при условии, что такая обработка разрешена в соответствии с применимыми законодательными положениями и необходимо и соразмерно этой другой цели.

(30)

Принцип точности данных должен применяться с учетом характера и цели соответствующей обработки. В частности, в судебных разбирательствах заявления, содержащие персональные данные, основаны на субъективном восприятии физических лиц и не всегда поддаются проверке. Следовательно, требование точности не должно относиться к точности заявления, а просто к факту того, что конкретное заявление было сделано.

(31)

Обработка персональных данных в сферах судебного сотрудничества по уголовным делам и сотрудничества полиции предполагает обработку персональных данных, относящихся к различным категориям субъектов данных. Поэтому, где это применимо и насколько это возможно, следует проводить четкое различие между персональными данными различных категорий субъектов данных, таких как: подозреваемые; лица, осужденные за уголовное преступление; потерпевшие и другие стороны, например свидетели; лица, обладающие соответствующей информацией или контактами; и сообщники подозреваемых и осужденных преступников. Это не должно препятствовать применению права презумпции невиновности, гарантированного Хартией и ЕКПЧ, как оно интерпретируется в прецедентной практике Суда и Европейского суда по правам человека соответственно.

(32)

Компетентные органы должны гарантировать, что персональные данные, которые являются неточными, неполными или уже не актуальными, не передаются и не становятся доступными. Чтобы обеспечить защиту физических лиц, точность, полноту или степень актуальности персональных данных, а также надежность передаваемых или предоставляемых персональных данных, компетентные органы должны, насколько это возможно, добавлять необходимые информацию во всех передачах персональных данных.

(33)

Если настоящая Директива ссылается на закон государства-члена, правовую основу или законодательную меру, это не обязательно требует законодательного акта, принятого парламентом, без ущерба для требований, соответствующих конституционному порядку соответствующего государства-члена. Однако такой закон, правовая основа или законодательная мера государства-члена ЕС должны быть ясными и точными, а их применение должно быть предсказуемым для тех, на кого распространяется действие этих законов, как того требует прецедентная практика Суда ЕС и Европейского суда по правам человека. Законодательство государства-члена, регулирующее обработку персональных данных в рамках настоящей Директивы, должно определять, как минимум, цели, персональные данные, подлежащие обработке, цели обработки и процедуры сохранения целостности и конфиденциальности персональных данных, а также процедуры их уничтожения. , обеспечивая тем самым достаточные гарантии против риска злоупотреблений и произвола.

(34)

Обработка персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защиту и предотвращение угроз общественной безопасности, должна охватывать любую операцию или набор операции, которые выполняются с персональными данными или наборами персональных данных для этих целей, будь то с помощью автоматизированных средств или иным образом, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультирование, использование, согласование или объединение, ограничение обработки, стирания или уничтожения. В частности, правила настоящей Директивы должны применяться к передаче персональных данных для целей настоящей Директивы получателю, на которого не распространяется действие настоящей Директивы. Таким получателем должно быть физическое или юридическое лицо, государственный орган, агентство или любой другой орган, которому компетентный орган законно раскрывает персональные данные. Если персональные данные были первоначально собраны компетентным органом для одной из целей настоящей Директивы, Регламент (ЕС) 2016/679 должен применяться к обработке этих данных для целей, отличных от целей настоящей Директивы, если такая обработка разрешена Союзом. или закон государства-члена. В частности, правила Регламента (ЕС) 2016/679 должны применяться к передаче персональных данных для целей, выходящих за рамки настоящей Директивы. Для обработки персональных данных получателем, который не является компетентным органом или который не действует как таковой в значении настоящей Директивы и которому персональные данные законно раскрываются компетентным органом, должен применяться Регламент (ЕС) 2016/679. . При реализации настоящей Директивы государства-члены также должны иметь возможность дополнительно уточнить применение правил Регламента (ЕС) 2016/679 с учетом изложенных в нем условий.

(35)

Чтобы быть законной, обработка персональных данных в соответствии с настоящей Директивой должна быть необходима для выполнения задачи, выполняемой в общественных интересах компетентным органом на основании законодательства Союза или государства-члена в целях предотвращения, расследования и обнаружения. или судебное преследование за уголовные преступления или исполнение уголовных наказаний, включая защиту и предотвращение угроз общественной безопасности. Эта деятельность должна охватывать защиту жизненно важных интересов субъекта данных. Выполнение задач по предотвращению, расследованию, выявлению или преследованию уголовных преступлений, институционально возложенных законом на компетентные органы, позволяет им требовать или приказывать физическим лицам выполнять сделанные запросы. В таком случае согласие субъекта данных, как это определено в Регламенте (ЕС) 2016/679, не должно служить правовым основанием для обработки персональных данных компетентными органами. Если субъект данных обязан соблюдать юридическое обязательство, у субъекта данных нет подлинного и свободного выбора, поэтому реакция субъекта данных не может рассматриваться как свободно данное выражение своих желаний. Это не должно препятствовать государствам-членам ЕС предусмотреть по закону, что субъект данных может дать согласие на обработку своих персональных данных для целей настоящей Директивы, например, тесты ДНК в ходе уголовных расследований или мониторинг его или ее местонахождения с помощью электронные метки для исполнения уголовных наказаний.

(36)

Государства-члены ЕС должны предусмотреть, что если законодательство Союза или государства-члена ЕС, применимое к передающему компетентному органу, предусматривает особые условия, применимые в конкретных обстоятельствах к обработке персональных данных, например, использование кодов обработки, передающий компетентный орган должен информировать получателя о таких персональные данные этих условий и требование их соблюдения. Такие условия могут, например, включать запрет на передачу персональных данных другим лицам или использование их в целях, отличных от тех, для которых они были переданы получателю, или информирование субъекта данных в случае ограничения права. информации без предварительного одобрения передающего компетентного органа. Эти обязательства должны также применяться к переводам, осуществляемым передающим компетентным органом получателям в третьих странах или международных организациях. Государства-члены ЕС должны обеспечить, чтобы передающий компетентный орган не применял такие условия к получателям в других государствах-членах ЕС или к агентствам, офисам и органам, созданным в соответствии с главами 4 и 5 Раздела V ДФЕС, за исключением тех, которые применимы к аналогичным передачам данных в пределах ЕС. Государство-член этого компетентного органа.

(37)

Персональные данные, которые по своей природе являются особенно чувствительными в отношении основных прав и свобод, заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для основных прав и свобод. Эти персональные данные должны включать персональные данные, раскрывающие расовое или этническое происхождение, при этом использование термина «расовое происхождение» в настоящей Директиве не подразумевает принятия Союзом теорий, которые пытаются определить существование отдельных человеческих рас. Такие персональные данные не должны обрабатываться, за исключением случаев, когда обработка подлежит соответствующим гарантиям прав и свобод субъекта данных, установленных законом, и допускается в случаях, разрешенных законом; если это еще не разрешено таким законом, обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица; или обработка относится к данным, которые явно обнародованы субъектом данных. Соответствующие гарантии прав и свобод субъекта данных могут включать возможность сбора этих данных только в сочетании с другими данными о соответствующем физическом лице, возможность обеспечить адекватную защиту собранных данных, более строгие правила доступа сотрудников компетентных органов. полномочия на данные и запрет на передачу этих данных. Обработка таких данных также должна быть разрешена законом, если субъект данных прямо согласился на обработку, которая является для него особенно навязчивой. Однако согласие субъекта данных само по себе не должно служить правовым основанием для обработки таких конфиденциальных персональных данных компетентными органами.

(38)

Субъект данных должен иметь право не подвергаться решению, оценивающему относящиеся к нему личные аспекты, которое основано исключительно на автоматизированной обработке и которое влечет за собой неблагоприятные юридические последствия в отношении него или нее или существенно влияет на него. В любом случае такая обработка должна подлежать соответствующим гарантиям, включая предоставление конкретной информации субъекту данных и право на вмешательство человека, в частности, на выражение своей точки зрения, на получение объяснения принятого решения. после такой оценки или оспорить решение. Профилирование, которое приводит к дискриминации физических лиц на основе персональных данных, которые по своей природе являются особенно чувствительными в отношении основных прав и свобод, должно быть запрещено в соответствии с условиями, изложенными в статьях 21 и 52 Хартии.

(39)

Чтобы он или она могли реализовать свои права, любая информация для субъекта данных должна быть легко доступна, в том числе на веб-сайте контролера, и проста для понимания, используя ясный и простой язык. Такую информацию следует адаптировать к потребностям уязвимых лиц, таких как дети.

(40)

Должны быть предусмотрены условия для облегчения осуществления прав субъекта данных в соответствии с положениями, принятыми в соответствии с настоящей Директивой, включая механизмы запроса и, если применимо, бесплатного получения, в частности, доступа, исправления или удаления персональных данных и ограничение обработки. Контролер должен быть обязан отвечать на запросы субъекта данных без неоправданной задержки, если только контролер не применяет ограничения к правам субъекта данных в соответствии с настоящей Директивой. Более того, если запросы явно необоснованны или чрезмерны, например, когда субъект данных необоснованно и неоднократно запрашивает информацию или когда субъект данных злоупотребляет своим правом на получение информации, например, предоставляя ложную или вводящую в заблуждение информацию при подаче запроса, Контролер должен иметь возможность взимать разумную плату или отказать в выполнении запроса.

(41)

Если контролер запрашивает дополнительную информацию, необходимую для подтверждения личности субъекта данных, эта информация должна обрабатываться только для этой конкретной цели и не должна храниться дольше, чем необходимо для этой цели.

(42)

Субъекту данных должна быть предоставлена ​​как минимум следующая информация: личность контролера, наличие операции обработки, цели обработки, право подать жалобу и наличие права запросить у контролера. доступ к персональным данным, их исправление или удаление или ограничение их обработки. Это может происходить на веб-сайте компетентного органа. Кроме того, в особых случаях и для того, чтобы обеспечить реализацию своих прав, субъект данных должен быть проинформирован о правовой основе обработки и о том, как долго данные будут храниться, если такая дополнительная информация будет предоставлена. необходимо, принимая во внимание конкретные обстоятельства, в которых обрабатываются данные, гарантировать справедливую обработку в отношении субъекта данных.

(43)

Физическое лицо должно иметь право доступа к данным, которые были собраны о нем или ней, и осуществлять это право легко и через разумные промежутки времени, чтобы знать и проверять законность обработки. Поэтому каждый субъект данных должен иметь право знать и получать информацию о целях обработки данных, периоде, в течение которого данные обрабатываются, и получателях данных, в том числе в третьих странах. Если такие сообщения включают информацию о происхождении персональных данных, эта информация не должна раскрывать личность физических лиц, в частности, из конфиденциальных источников. Для соблюдения этого права достаточно, чтобы субъект данных имел полное резюме этих данных в понятной форме, то есть форму, которая позволяет субъекту данных узнать об этих данных и проверить их. что они точны и обрабатываются в соответствии с настоящей Директивой, чтобы он или она могли осуществлять права, предоставленные ему или ей настоящей Директивой. Такое резюме может быть предоставлено в виде копии обрабатываемых персональных данных.

(44)

Государства-члены должны иметь возможность принимать законодательные меры, задерживающие, ограничивающие или пропускающие информацию для субъектов данных или ограничивающие, полностью или частично, доступ к их персональным данным в той мере, в которой и до тех пор, пока такая мера представляет собой необходимую и пропорциональную меру в демократическое общество с должным учетом основных прав и законных интересов соответствующего физического лица, чтобы не препятствовать официальным или юридическим расследованиям, расследованиям или процедурам, чтобы не наносить ущерба предотвращению, расследованию, обнаружению или судебному преследованию уголовных преступлений или исполнению уголовные наказания, для защиты общественной или национальной безопасности или для защиты прав и свобод других лиц. Контролер должен оценить путем конкретного и индивидуального рассмотрения каждого случая, следует ли частично или полностью ограничить право доступа.

(45)

Любой отказ или ограничение доступа в принципе должен быть изложен субъекту данных в письменной форме и включать фактические или юридические причины, на которых основано решение.

(46)

Любое ограничение прав субъекта данных должно соответствовать Хартии и ЕКПЧ, как они интерпретируются в прецедентном праве Суда и Европейского суда по правам человека соответственно, и, в частности, уважать суть этих прав. и свободы.

(47)

Физическое лицо должно иметь право на исправление неверных личных данных, касающихся его или ее, в частности, если они относятся к фактам, а также право на удаление, если обработка таких данных нарушает настоящую Директиву. Однако право на исправление не должно влиять, например, на содержание свидетельских показаний. Физическое лицо также должно иметь право на ограничение обработки, если оно оспаривает точность персональных данных и их точность или неточность не могут быть установлены, или когда персональные данные должны храниться в целях доказательства. В частности, вместо удаления персональных данных обработка должна быть ограничена, если в конкретном случае имеются разумные основания полагать, что удаление может затронуть законные интересы субъекта данных. В таком случае данные ограниченного доступа должны обрабатываться только для целей, предотвращающих их удаление. Методы ограничения обработки персональных данных могут включать, среди прочего, перемещение выбранных данных в другую систему обработки, например, в целях архивирования, или сделать выбранные данные недоступными. В автоматизированных системах регистрации ограничение обработки в принципе должно обеспечиваться техническими средствами. Тот факт, что обработка персональных данных ограничена, должен быть указан в системе таким образом, чтобы было понятно, что обработка персональных данных ограничена. О таком исправлении или удалении персональных данных или ограничении обработки следует сообщать получателям, которым данные были раскрыты, а также компетентным органам, из которых поступили неточные данные. Контролёры также должны воздерживаться от дальнейшего распространения таких данных.

(48)

Если контролер отказывает субъекту данных в его праве на информацию, доступ, исправление или удаление персональных данных или ограничение обработки, субъект данных должен иметь право потребовать, чтобы национальный надзорный орган проверил законность обработки. Субъект данных должен быть проинформирован об этом праве. Если надзорный орган действует от имени субъекта данных, субъект данных должен быть проинформирован надзорным органом как минимум о том, что были проведены все необходимые проверки или проверки со стороны надзорного органа. Надзорный орган также должен проинформировать субъекта данных о праве на обращение в суд.

(49)

Если персональные данные обрабатываются в ходе уголовного расследования и судебного разбирательства по уголовным делам, государства-члены должны иметь возможность обеспечить, чтобы осуществление права на информацию, доступ, исправление или удаление персональных данных и ограничение обработки осуществлялись. в соответствии с национальными правилами судебного разбирательства.

(50)

Должны быть установлены ответственность и ответственность контролера за любую обработку персональных данных, осуществляемую контролером или от его имени. В частности, контролер должен быть обязан принимать соответствующие и эффективные меры и иметь возможность продемонстрировать, что деятельность по обработке соответствует настоящей Директиве. Такие меры должны учитывать характер, объем, контекст и цели обработки, а также риск для прав и свобод физических лиц. Меры, принимаемые контролером, должны включать разработку и реализацию конкретных мер безопасности в отношении обработки персональных данных уязвимых физических лиц, таких как дети.

(51)

Риск для прав и свобод физических лиц различной степени вероятности и тяжести может возникнуть в результате обработки данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности: когда обработка может привести к дискриминации, краже личных данных или мошенничество, финансовые потери, ущерб репутации, потеря конфиденциальности данных, защищенных профессиональной тайной, несанкционированное изменение псевдонимизации или любой другой существенный экономический или социальный ущерб; когда субъекты данных могут быть лишены своих прав и свобод или осуществления контроля над своими личными данными; когда обрабатываются персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзе; когда генетические данные или биометрические данные обрабатываются с целью однозначной идентификации человека или когда обрабатываются данные о здоровье или данные о сексуальной жизни и сексуальной ориентации или об уголовных судимостях и правонарушениях или связанных с ними мерах безопасности; когда оцениваются личные аспекты, в частности, анализируются и прогнозируются аспекты, касающиеся производительности труда, экономического положения, здоровья, личных предпочтений или интересов, надежности или поведения, местоположения или передвижения, с целью создания или использования личных профилей; где обрабатываются персональные данные уязвимых физических лиц, в частности детей; или когда обработка включает в себя большой объем персональных данных и затрагивает большое количество субъектов данных.

(52)

Вероятность и серьезность риска следует определять с учетом характера, объема, контекста и целей обработки. Риск следует оценивать на основе объективной оценки, посредством которой устанавливается, сопряжены ли операции по обработке данных с высоким риском. Высокий риск – это особый риск нарушения прав и свобод субъектов данных.

(53)

Защита прав и свобод физических лиц при обработке персональных данных требует принятия соответствующих технических и организационных мер для обеспечения выполнения требований настоящей Директивы. Осуществление таких мер не должно зависеть исключительно от экономических соображений. Чтобы иметь возможность продемонстрировать соблюдение настоящей Директивы, контролер должен принять внутреннюю политику и реализовать меры, которые соответствуют, в частности, принципам защиты данных по умолчанию и защиты данных по умолчанию. Если контролер провел оценку воздействия на защиту данных в соответствии с настоящей Директивой, результаты должны быть приняты во внимание при разработке этих мер и процедур. Эти меры могли бы заключаться, среди прочего, в использовании псевдонимизации как можно раньше. Использование псевдонимизации для целей настоящей Директивы может служить инструментом, который может облегчить, в частности, свободное перемещение персональных данных в сфере свободы, безопасности и правосудия.

(54)

Защита прав и свобод субъектов данных, а также ответственности и ответственности контролеров и обработчиков, в том числе в отношении мониторинга и мер надзорных органов, требует четкого распределения обязанностей, изложенных в настоящей Директиве, в том числе в тех случаях, когда контролер определяет цели и средства обработки совместно с другими контролерами или если операция обработки выполняется от имени контролера.

(55)

Осуществление обработки процессором должно регулироваться правовым актом, включающим договор, связывающий процессор с контролером и предусматривающий, в частности, что процессор должен действовать только по инструкциям контролера. Обработчик должен учитывать принцип защиты данных по умолчанию и по замыслу.

(56)

Чтобы продемонстрировать соблюдение настоящей Директивы, контролер или обработчик должен вести учет всех категорий деятельности по обработке, находящейся под его ответственностью. Каждый контролер и процессор должен быть обязан сотрудничать с надзорным органом и предоставлять ему эти записи по запросу, чтобы они могли служить для мониторинга этих операций по обработке. Контролер или обработчик персональных данных, обрабатывающий персональные данные в неавтоматизированных системах обработки, должен иметь эффективные методы демонстрации законности обработки, обеспечения возможности самоконтроля и обеспечения целостности и безопасности данных, такие как журналы или другие формы записей. .

(57)

Журналы следует вести, по крайней мере, для операций в автоматизированных системах обработки, таких как сбор, изменение, консультирование, раскрытие, включая передачу, объединение или удаление. Идентификация лица, которое проконсультировалось или раскрыло персональные данные, должна быть зарегистрирована, и на основе этой идентификации должно быть возможно установить обоснование операций по обработке. Журналы должны использоваться исключительно для проверки законности обработки, самоконтроля, обеспечения целостности и безопасности данных и уголовного преследования. Самоконтроль также включает внутренние дисциплинарные производства компетентных органов.

(58)

Оценка воздействия на защиту данных должна проводиться контролером, если операции по обработке могут привести к высокому риску для прав и свобод субъектов данных в силу их характера, объема или целей, что должно включать, в частности, меры, гарантии и механизмы, предусмотренные для обеспечения защиты персональных данных и демонстрации соблюдения настоящей Директивы. Оценки воздействия должны охватывать соответствующие системы и процессы обработки, а не отдельные случаи.

(59)

Чтобы обеспечить эффективную защиту прав и свобод субъектов данных, контролер или обработчик должен в некоторых случаях проконсультироваться с надзорным органом перед обработкой.

(60)

Чтобы обеспечить безопасность и предотвратить обработку, нарушающую настоящую Директиву, контролер или процессор должен оценить риски, присущие обработке, и принять меры по снижению этих рисков, такие как шифрование. Такие меры должны обеспечивать соответствующий уровень безопасности, включая конфиденциальность, и учитывать современное состояние, затраты на реализацию в связи с риском и характером персональных данных, подлежащих защите. При оценке рисков безопасности данных следует учитывать риски, связанные с обработкой данных, такие как случайное или незаконное уничтожение, потеря, изменение или несанкционированное раскрытие или доступ к передаваемым, хранимым или иным образом обработанным персональным данным, которые могут: в частности, привести к физическому, материальному или нематериальному ущербу. Контролер и обработчик должны обеспечить, чтобы обработка персональных данных не осуществлялась неуполномоченными лицами.

(61)

Утечка персональных данных, если ее не устранить надлежащим и своевременным образом, может привести к физическому, материальному или нематериальному ущербу физическим лицам, например, к потере контроля над их личными данными или ограничению их прав, дискриминации, краже личных данных или мошенничеству. , финансовые потери, несанкционированное изменение псевдонимизации, ущерб репутации, потеря конфиденциальности персональных данных, защищенных профессиональной тайной, или любой другой существенный экономический или социальный ущерб для заинтересованного физического лица. Таким образом, как только контролеру станет известно о том, что произошла утечка персональных данных, контролер должен уведомить об утечке персональных данных надзорный орган без неоправданной задержки и, если это возможно, не позднее, чем через 72 часа после того, как ему стало известно об этом, за исключением случаев, когда контролер может продемонстрировать в соответствии с принципом подотчетности, что утечка персональных данных вряд ли приведет к риску для прав и свобод физических лиц. Если такое уведомление не может быть получено в течение 72 часов, причины задержки должны сопровождать уведомление, и информация может предоставляться поэтапно без неоправданной дальнейшей задержки.

(62)

Физические лица должны быть проинформированы без неоправданной задержки, если утечка персональных данных может привести к высокому риску для прав и свобод физических лиц, чтобы дать им возможность принять необходимые меры предосторожности. Сообщение должно описывать характер утечки персональных данных и включать рекомендации для соответствующего физического лица по смягчению потенциальных негативных последствий. Сообщение субъектам данных должно осуществляться как можно скорее, в тесном сотрудничестве с надзорным органом и с соблюдением указаний, предоставленных им или другими соответствующими органами. Например, необходимость снизить непосредственный риск ущерба потребует незамедлительного информирования субъектов данных, тогда как необходимость принятия соответствующих мер против продолжающихся или аналогичных утечек данных может оправдать увеличение времени для связи. В тех случаях, когда предотвращение препятствий официальным или юридическим расследованиям, расследованиям или процедурам, предотвращение ущерба предотвращению, обнаружению, расследованию или судебному преследованию уголовных преступлений или исполнению уголовных наказаний, защита общественной безопасности, защита национальной безопасности или защита прав и свобод других лиц не могут быть достигнуто путем задержки или ограничения сообщения о нарушении персональных данных соответствующему физическому лицу, такое сообщение в исключительных обстоятельствах может быть опущено.

(63)

Контролер должен назначить лицо, которое будет помогать ему во внутреннем контроле за соблюдением положений, принятых в соответствии с настоящей Директивой, за исключением случаев, когда государство-член решает освободить суды и другие независимые судебные органы при выполнении своих судебных функций. Это лицо может быть членом существующего персонала контролера, который прошел специальную подготовку в области законодательства и практики защиты данных с целью приобретения экспертных знаний в этой области. Необходимый уровень экспертных знаний должен определяться, в частности, в зависимости от осуществляемой обработки данных и защиты, необходимой для персональных данных, обрабатываемых контролером. Его или ее задача может выполняться на условиях частичной или полной занятости. Уполномоченный по защите данных может быть назначен совместно несколькими контролерами с учетом их организационной структуры и размера, например, в случае общих ресурсов в центральных подразделениях. Это лицо также может быть назначено на различные должности в структуре соответствующих контролеров. Это лицо должно помогать контролеру и сотрудникам, обрабатывающим персональные данные, информируя и консультируя их о соблюдении соответствующих обязательств по защите данных. Такие сотрудники по защите данных должны иметь возможность выполнять свои обязанности и задачи независимым образом в соответствии с законодательством государств-членов.

(64)

Государства-члены должны обеспечить, чтобы передача в третью страну или международную организацию происходила только в случае необходимости для предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защиту от угроз и общественной безопасности и что контролер в третьей стране или международной организации является компетентным органом по смыслу настоящей Директивы. Передача должна осуществляться только компетентными органами, выступающими в качестве контролеров, за исключением случаев, когда обработчикам явно дано указание осуществлять передачу от имени контролеров. Такая передача может иметь место в тех случаях, когда Комиссия решила, что рассматриваемая третья страна или международная организация обеспечивает адекватный уровень защиты, когда были предоставлены соответствующие гарантии или когда применяются отступления для конкретных ситуаций. Если персональные данные передаются из Союза контролерам, обработчикам или другим получателям в третьих странах или международных организациях, уровень защиты физических лиц, предусмотренный в Союзе настоящей Директивой, не должен подрываться, в том числе в случаях дальнейшей передачи. передачи персональных данных из третьей страны или международной организации контролерам или обработчикам в той же или другой третьей стране или международной организации.

(65)

Если персональные данные передаются из государства-члена в третьи страны или международные организации, такая передача, в принципе, должна осуществляться только после того, как государство-член, из которого были получены данные, дало свое разрешение на передачу. Интересы эффективного сотрудничества правоохранительных органов требуют, чтобы, если характер угрозы общественной безопасности государства-члена или третьей страны или существенным интересам государства-члена настолько непосредственен, что делает невозможным получение предварительного разрешения в Доброго времени, компетентный орган должен иметь возможность передать соответствующие персональные данные соответствующей третьей стране или международной организации без такого предварительного разрешения. Государства-члены ЕС должны обеспечить, чтобы любые конкретные условия, касающиеся передачи, были доведены до сведения третьих стран или международных организаций. Последующая передача персональных данных должна осуществляться при условии предварительного разрешения компетентного органа, осуществившего первоначальную передачу. Принимая решение по запросу о разрешении дальнейшей передачи, компетентный орган, осуществлявший первоначальную передачу, должен должным образом учитывать все соответствующие факторы, включая тяжесть уголовного преступления, конкретные условия, на которые распространяется действие этого преступления, и цель где данные были первоначально переданы, характер и условия исполнения уголовного наказания, а также уровень защиты персональных данных в третьей стране или международной организации, которой персональные данные передаются в дальнейшем. Компетентный орган, осуществивший первоначальную передачу, также должен иметь возможность обусловить последующую передачу конкретными условиями. Такие конкретные условия можно описать, например, в кодах обработки.

(66)

Комиссия должна иметь возможность принять решение, имеющее силу для всего Союза, что определенные третьи страны, территория или один или несколько определенных секторов в третьей стране или международной организации предлагают адекватный уровень защиты данных, обеспечивая тем самым правовую определенность и единообразие. на всей территории Союза в отношении третьих стран или международных организаций, которые, как считается, обеспечивают такой уровень защиты. В таких случаях передача персональных данных в эти страны должна осуществляться без необходимости получения какого-либо специального разрешения, за исключением случаев, когда другое государство-член ЕС, из которого были получены данные, должно дать свое разрешение на передачу.

(67)

В соответствии с фундаментальными ценностями, на которых основан Союз, в частности защитой прав человека, Комиссия должна в своей оценке третьей страны или территории или определенного сектора в третьей стране принимать во внимание то, как конкретная третья страна уважает верховенство закона, доступ к правосудию, а также международные нормы и стандарты в области прав человека, а также свое общее и отраслевое право, включая законодательство, касающееся общественной безопасности, обороны и национальной безопасности, а также общественного порядка и уголовного права. Принятие решения о достаточности в отношении территории или определенного сектора в третьей стране должно принимать во внимание четкие и объективные критерии, такие как конкретная деятельность по обработке и объем применимых правовых стандартов и законодательства, действующего в третьей стране. Третья страна должна предложить гарантии, обеспечивающие адекватный уровень защиты, по существу эквивалентный тому, который обеспечивается внутри Союза, в частности, когда данные обрабатываются в одном или нескольких конкретных секторах. В частности, третья страна должна обеспечить эффективный независимый надзор за защитой данных и предусмотреть механизмы сотрудничества с органами защиты данных государств-членов, а субъектам данных должны быть предоставлены эффективные и осуществимые права и эффективные административные и судебные средства правовой защиты.

(68)

Помимо международных обязательств, которые взяла на себя третья страна или международная организация, Комиссия должна также учитывать обязательства, вытекающие из участия третьей страны или международной организации в многосторонних или региональных системах, в частности, в отношении защиты персональных данных, как а также выполнение таких обязательств. В частности, следует принять во внимание присоединение третьей страны к Конвенции Совета Европы от 28 января 1981 года о защите физических лиц в отношении автоматической обработки персональных данных и Дополнительному протоколу к ней. Комиссии следует консультироваться с Европейским советом по защите данных, учрежденным Регламентом (ЕС) 2016/679 («Совет») при оценке уровня защиты в третьих странах или международных организациях. Комиссия также должна принять во внимание любое соответствующее решение Комиссии об адекватности, принятое в соответствии со статьей 45 Регламента (ЕС) 2016/679.

(69)

Комиссия должна следить за функционированием решений об уровне защиты в третьей стране, на территории или в определенном секторе в третьей стране или международной организации. В своих решениях об адекватности Комиссия должна предусмотреть механизм периодического обзора их функционирования. Такой периодический обзор должен проводиться по согласованию с соответствующей третьей страной или международной организацией и должен учитывать все соответствующие события в третьей стране или международной организации.

(70)

Комиссия также должна быть в состоянии признать, что третья страна, территория или определенный сектор в третьей стране или международной организации больше не обеспечивают адекватный уровень защиты данных. Следовательно, передача персональных данных в эту третью страну или международную организацию должна быть запрещена, если не выполняются требования настоящей Директивы, касающиеся передачи, при условии соблюдения соответствующих гарантий и исключений для конкретных ситуаций. Должны быть предусмотрены процедуры консультаций между Комиссией и такими третьими странами или международными организациями. Комиссия должна своевременно проинформировать третью страну или международную организацию о причинах и провести с ней консультации, чтобы исправить ситуацию.

(71)

Передача данных, не основанная на таком решении об адекватности, должна быть разрешена только в том случае, если соответствующие гарантии предусмотрены в юридически обязательном документе, обеспечивающем защиту персональных данных, или если контролер оценил все обстоятельства, связанные с передачей данных, и на основании этого оценки, считает, что существуют соответствующие гарантии в отношении защиты персональных данных. Такими юридически обязательными инструментами могут быть, например, юридически обязательные двусторонние соглашения, которые были заключены государствами-членами и реализованы в их правовом порядке и которые могут обеспечиваться их субъектами данных, обеспечивая соблюдение требований защиты данных и прав данных. субъектов, включая право на получение эффективного административного или судебного возмещения. Контролер должен иметь возможность учитывать соглашения о сотрудничестве, заключенные между Европолом или Евроюстом и третьими странами, которые допускают обмен личными данными, при проведении оценки всех обстоятельств, связанных с передачей данных. Контролер также должен иметь возможность принять во внимание тот факт, что передача персональных данных будет регулироваться обязательствами конфиденциальности и принципом специфичности, гарантируя, что данные не будут обрабатываться для других целей, кроме целей передачи. Кроме того, контролер должен учитывать, что персональные данные не будут использоваться для запроса, вынесения или исполнения смертного приговора или любой формы жестокого и бесчеловечного обращения. Хотя эти условия можно считать соответствующими гарантиями, позволяющими передавать данные, контролер должен иметь возможность требовать дополнительных гарантий.

(72)

При отсутствии решения об адекватности или соответствующих гарантий передача или категория передач может иметь место только в определенных ситуациях, если это необходимо для защиты жизненно важных интересов субъекта данных или другого лица или для защиты законных интересов субъекта данных, когда это предусмотрено законодательством государства-члена ЕС, передающего персональные данные; для предотвращения непосредственной и серьезной угрозы общественной безопасности государства-члена или третьей страны; в отдельном случае в целях предотвращения, расследования, выявления или преследования уголовных правонарушений или исполнения уголовных наказаний, в том числе для защиты и предотвращения угроз общественной безопасности; или в индивидуальном случае для установления, осуществления или защиты юридических требований. Эти отступления следует интерпретировать ограничительно и не должны допускать частую, массовую и структурированную передачу персональных данных или крупномасштабную передачу данных, а должны ограничиваться строго необходимыми данными. Такие передачи должны быть документированы и должны быть предоставлены надзорному органу по запросу для контроля законности передачи.

(73)

Компетентные органы государств-членов применяют действующие двусторонние или многосторонние международные соглашения, заключенные с третьими странами в области судебного сотрудничества по уголовным делам и сотрудничества полиции, для обмена соответствующей информацией, позволяющей им выполнять возложенные на них законом задачи. В принципе, это происходит посредством или, по крайней мере, при сотрудничестве органов власти в заинтересованных третьих странах для целей настоящей Директивы, иногда даже при отсутствии двустороннего или многостороннего международного соглашения. Однако в конкретных индивидуальных случаях обычные процедуры, требующие обращения в такой орган в третьей стране, могут быть неэффективными или неуместными, в частности, потому, что передача не может быть осуществлена ​​своевременно или потому, что этот орган в третьей стране не уважать верховенство закона или международные нормы и стандарты в области прав человека, чтобы компетентные органы государств-членов могли принять решение о передаче персональных данных непосредственно получателям, зарегистрированным в этих третьих странах. Это может быть тот случай, когда существует острая необходимость в передаче персональных данных для спасения жизни человека, которому грозит опасность стать жертвой уголовного преступления, или в интересах предотвращения неминуемого совершения преступления, в том числе терроризма. Даже если такая передача между компетентными органами и получателями, установленными в третьих странах, должна иметь место только в конкретных индивидуальных случаях, настоящая Директива должна предусматривать условия для регулирования таких случаев. Эти положения не следует рассматривать как отступление от любых существующих двусторонних или многосторонних международных соглашений в области судебного сотрудничества по уголовным делам и сотрудничества полиции. Эти правила должны применяться в дополнение к другим правилам настоящей Директивы, в частности, к законности обработки и Главе V.

(74)

Перемещение персональных данных через границы может подвергнуть повышенному риску способность физических лиц осуществлять права на защиту данных, чтобы защитить себя от незаконного использования или раскрытия этих данных. В то же время надзорные органы могут обнаружить, что они неспособны рассматривать жалобы или проводить расследования, касающиеся деятельности за пределами их границ. Их усилиям по совместной работе в трансграничном контексте также могут препятствовать недостаточные превентивные или корректирующие полномочия и непоследовательные правовые режимы. Поэтому существует необходимость содействовать более тесному сотрудничеству между органами надзора за защитой данных, чтобы помочь им обмениваться информацией со своими зарубежными коллегами.

(75)

Создание в государствах-членах надзорных органов, способных выполнять свои функции с полной независимостью, является важным компонентом защиты физических лиц в отношении обработки их персональных данных. Органы надзора должны контролировать применение положений, принятых в соответствии с настоящей Директивой, и должны способствовать их последовательному применению на всей территории Союза в целях защиты физических лиц в отношении обработки их персональных данных. С этой целью надзорные органы должны сотрудничать друг с другом и с Комиссией.

(76)

Государства-члены могут возложить на надзорный орган, уже созданный в соответствии с Регламентом (ЕС) 2016/679, ответственность за выполнение задач, которые должны выполняться национальными надзорными органами, которые будут созданы в соответствии с настоящей Директивой.

(77)

Государствам-членам ЕС должно быть разрешено создавать более одного надзорного органа, чтобы отразить их конституционную, организационную и административную структуру. Каждый надзорный орган должен быть обеспечен финансовыми и человеческими ресурсами, помещениями и инфраструктурой, которые необходимы для эффективного выполнения возложенных на него задач, в том числе для задач, связанных с взаимопомощью и сотрудничеством с другими надзорными органами на всей территории Союза. Каждый надзорный орган должен иметь отдельный публичный годовой бюджет, который может быть частью общего государственного или национального бюджета.

(78)

Надзорные органы должны подлежать независимым механизмам контроля или мониторинга в отношении своих финансовых расходов при условии, что такой финансовый контроль не влияет на их независимость.

(79)

Общие условия для члена или членов надзорного органа должны быть установлены законодательством государства-члена и, в частности, должны предусматривать, что эти члены должны назначаться либо парламентом, либо правительством, либо главой государства-члена на основании предложение правительства или члена правительства, или парламента, или его палаты, или независимого органа, уполномоченного законом государства-члена назначать посредством прозрачной процедуры. Чтобы обеспечить независимость надзорного органа, член или члены должны действовать добросовестно, воздерживаться от любых действий, несовместимых с их обязанностями, и не должны в течение срока своих полномочий заниматься какой-либо несовместимой деятельностью, независимо от того, приносят ли они доход или нет. Чтобы обеспечить независимость надзорного органа, персонал должен выбираться надзорным органом, что может включать вмешательство независимого органа, уполномоченного законодательством государства-члена ЕС.

(80)

Хотя настоящая Директива применяется также к деятельности национальных судов и других судебных органов, компетенция надзорных органов не должна охватывать обработку персональных данных, когда суды действуют в своем судебном качестве, чтобы гарантировать независимость судей при исполнении служебных обязанностей. своих судебных задач. Это освобождение должно ограничиваться судебной деятельностью по судебным делам и не распространяться на другую деятельность, в которой могут участвовать судьи в соответствии с законодательством государств-членов. Государства-члены также должны иметь возможность предусмотреть, чтобы компетенция надзорного органа не охватывала обработку персональных данных других независимых судебных органов, действующих в их судебных полномочиях, например, прокуратуры. В любом случае соблюдение правил настоящей Директивы судами и другими независимыми судебными органами всегда подлежит независимому надзору в соответствии со статьей 8(3) Хартии.

(81)

Каждый надзорный орган должен рассматривать жалобы, поданные любым субъектом данных, и должен расследовать этот вопрос или передавать его в компетентный надзорный орган. Расследование по жалобе должно проводиться с учетом судебного контроля в той степени, в которой это целесообразно в конкретном случае. Надзорный орган должен информировать субъекта данных о ходе и результатах рассмотрения жалобы в течение разумного периода. Если дело требует дальнейшего расследования или координации с другим надзорным органом, субъекту данных должна быть предоставлена ​​промежуточная информация.

(82)

Чтобы обеспечить эффективный, надежный и последовательный мониторинг соблюдения и исполнения настоящей Директивы на всей территории Союза в соответствии с ДФЕС в интерпретации Суда, надзорные органы должны иметь в каждом государстве-члене одинаковые задачи и эффективные полномочия, включая следственные, корректирующие и консультативные полномочия, которые представляют собой необходимые средства для выполнения своих задач. Однако их полномочия не должны мешать конкретным правилам уголовного судопроизводства, включая расследование и судебное преследование уголовных преступлений, или независимости судебной власти. Без ущерба для полномочий органов прокуратуры в соответствии с законодательством государств-членов ЕС, надзорные органы также должны иметь право доводить нарушения настоящей Директивы до сведения судебных органов или начинать судебное разбирательство. Полномочия надзорных органов должны осуществляться в соответствии с соответствующими процессуальными гарантиями, установленными законодательством Союза и государств-членов, беспристрастно, справедливо и в разумные сроки. В частности, каждая мера должна быть уместной, необходимой и соразмерной с точки зрения обеспечения соблюдения настоящей Директивы, принимая во внимание обстоятельства каждого отдельного случая, уважать право каждого человека быть заслушанным перед принятием любой индивидуальной меры, которая могла бы отрицательно повлиять на заинтересованное лицо. принимается и избегает излишних затрат и чрезмерных неудобств для заинтересованного лица. Полномочия по расследованию в отношении доступа в помещения должны осуществляться в соответствии с конкретными требованиями законодательства государств-членов, такими как требование получения предварительного разрешения суда. Принятие юридически обязательного решения должно подлежать судебному контролю в государстве-члене надзорного органа, принявшего такое решение.

(83)

Органы надзора должны помогать друг другу в выполнении своих задач и оказывать взаимную помощь, чтобы обеспечить последовательное применение и обеспечение соблюдения положений, принятых в соответствии с настоящей Директивой.

(84)

Совет должен способствовать последовательному применению настоящей Директивы на всей территории Союза, включая консультирование Комиссии и содействие сотрудничеству надзорных органов на всей территории Союза.

(85)

Каждый субъект данных должен иметь право подать жалобу в единый надзорный орган и на эффективное судебное средство правовой защиты в соответствии со статьей 47 Хартии, если субъект данных считает, что его или ее права в соответствии с положениями, принятыми в соответствии с настоящей Директивой, нарушены или если надзорный орган не принимает меры по жалобе, частично или полностью отклоняет или отклоняет жалобу или не действует, когда такое действие необходимо для защиты прав субъекта данных. Расследование по жалобе должно проводиться с учетом судебного контроля в той степени, в которой это целесообразно в конкретном случае. Компетентный надзорный орган должен информировать субъекта данных о ходе и результатах рассмотрения жалобы в течение разумного периода. Если дело требует дальнейшего расследования или координации с другим надзорным органом, субъекту данных должна быть предоставлена ​​промежуточная информация. Чтобы облегчить подачу жалоб, каждый надзорный орган должен принять такие меры, как предоставление формы подачи жалобы, которую также можно заполнить в электронном виде, не исключая другие средства связи.

(86)

Каждое физическое или юридическое лицо должно иметь право на эффективное судебное средство правовой защиты в компетентном национальном суде в отношении решения надзорного органа, которое влечет за собой юридические последствия в отношении этого лица. Такое решение касается, в частности, осуществления надзорным органом своих полномочий по расследованию, исправлению и разрешению, а также отклонения или отклонения жалоб. Однако это право не распространяется на другие меры надзорных органов, которые не являются юридически обязательными, например, заключения или рекомендации надзорного органа. Производство против надзорного органа должно быть возбуждено в судах государства-члена ЕС, где учрежден надзорный орган, и должно проводиться в соответствии с законодательством государства-члена ЕС. Эти суды должны осуществлять полную юрисдикцию, которая должна включать юрисдикцию для рассмотрения всех вопросов факта и права, имеющих отношение к рассматриваемому спору.

(87)

Если субъект данных считает, что его или ее права в соответствии с настоящей Директивой нарушены, он или она должны иметь право поручить органу, который призван защищать права и интересы субъектов данных в отношении защиты их личных данных и создан в соответствии с законодательством государства-члена ЕС подать жалобу от своего имени в надзорный орган и воспользоваться правом на судебную защиту. Право представительства субъектов данных не должно наносить ущерба процессуальному законодательству государств-членов, которое может требовать обязательного представительства субъектов данных юристом, как это определено в Директиве Совета 77/249/EEC (10), в национальных судах.

(88)

Любой ущерб, который лицо может понести в результате обработки, нарушающей положения, принятые в соответствии с настоящей Директивой, должен быть возмещен контролером или любым другим органом, компетентным в соответствии с законодательством государства-члена ЕС. Понятие ущерба должно толковаться широко в свете прецедентной практики Суда таким образом, чтобы полностью отражать цели настоящей Директивы. Это не наносит ущерба любым претензиям о возмещении ущерба, возникшего в результате нарушения других правил законодательства Союза или государства-члена. Когда делается ссылка на обработку, которая является незаконной или нарушает положения, принятые в соответствии с настоящей Директивой, она также включает обработку, нарушающую исполнительные акты, принятые в соответствии с настоящей Директивой. Субъекты данных должны получить полную и эффективную компенсацию за причиненный им ущерб.

(89)

Наказания должны быть наложены на любое физическое или юридическое лицо, независимо от того, регулируется ли оно частным или публичным правом, которое нарушает настоящую Директиву. Государства-члены должны обеспечить эффективность, соразмерность и сдерживающее воздействие санкций, а также принять все меры для их реализации.

(90)

Чтобы обеспечить единые условия для реализации настоящей Директивы, полномочия по реализации должны быть предоставлены Комиссии в отношении адекватного уровня защиты, предоставляемой третьей страной, территорией или определенным сектором в третьей стране или международной организацией. а также формат и процедуры взаимной помощи и механизмы обмена информацией с помощью электронных средств между надзорными органами, а также между надзорными органами и Советом директоров. Эти полномочия должны осуществляться в соответствии с Регламентом (ЕС) № 182/2011 Европейского парламента и Совета (11).

(91)

Процедура экспертизы должна использоваться для принятия имплементационных актов о адекватном уровне защиты, предоставляемой третьей страной, территорией или определенным сектором в третьей стране или международной организацией, а также о формате и процедурах взаимной помощи и механизмы обмена информацией с помощью электронных средств между надзорными органами, а также между надзорными органами и Советом директоров, при условии, что эти действия имеют общий характер.

(92)

Комиссия должна немедленно принять применимые имплементационные акты, если в должным образом обоснованных случаях, касающихся третьей страны, территории или определенного сектора в третьей стране или международной организации, которые больше не обеспечивают адекватный уровень защиты, императивные основания для срочности требовать.

(93)

Поскольку цели настоящей Директивы, а именно защита основных прав и свобод физических лиц и, в частности, их права на защиту персональных данных и обеспечение свободного обмена персональными данными компетентными органами внутри Союза, не могут быть в достаточной степени достигнуты путем ЕС может принять меры в соответствии с принципом субсидиарности, изложенным в статье 5 ДЕС. В соответствии с принципом пропорциональности, изложенным в этой статье, настоящая Директива не выходит за рамки того, что необходимо для достижения этих целей.

(94)

Конкретные положения актов Союза, принятых в сфере судебного сотрудничества по уголовным делам и сотрудничества полиции, которые были приняты до даты принятия настоящей Директивы, регулирующие обработку персональных данных между государствами-членами или доступ уполномоченных органов Государства-члены ЕС не должны затрагивать информационные системы, созданные в соответствии с Договорами, как, например, конкретные положения, касающиеся защиты персональных данных, применяемые в соответствии с Решением Совета 2008/615/JHA (12) или Статьей 23 Конвенции. о взаимной помощи по уголовным делам между государствами-членами Европейского Союза (13). Поскольку статья 8 Хартии и статья 16 ДФЕС требуют, чтобы фундаментальное право на защиту персональных данных обеспечивалось единообразно на всей территории Союза, Комиссия должна оценить ситуацию в отношении взаимосвязи между настоящей Директивой и актами, принятыми до этого. до даты принятия настоящей Директивы, регулирующей обработку персональных данных между государствами-членами или доступ уполномоченных органов государств-членов к информационным системам, созданным в соответствии с Договорами, в целях оценки необходимости приведения этих конкретных положений в соответствие с настоящей Директивой. . При необходимости Комиссия должна вносить предложения с целью обеспечения согласованных правовых правил, касающихся обработки персональных данных.

(95)

Чтобы обеспечить комплексную и последовательную защиту персональных данных в Союзе, международные соглашения, которые были заключены государствами-членами до даты вступления в силу настоящей Директивы и которые соответствуют соответствующему законодательству Союза, действовавшему до этой даты, должны оставаться в силе. действует до тех пор, пока не будут изменены, заменены или отменены.

(96)

Государствам-членам ЕС должен быть предоставлен период не более двух лет с даты вступления в силу настоящей Директивы для ее транспонирования. Обработка, уже идущая на эту дату, должна быть приведена в соответствие с настоящей Директивой в течение двух лет, после которых настоящая Директива вступит в силу. Однако если такая обработка соответствует законодательству Союза, действовавшему до даты вступления в силу настоящей Директивы, требования настоящей Директивы, касающиеся предварительной консультации с надзорным органом, не должны применяться к операциям по обработке, которые уже проводились на эту дату, учитывая что эти требования по самой своей природе должны быть выполнены до обработки. Если государства-члены используют более длительный период реализации, истекающий через семь лет после даты вступления в силу настоящей Директивы, для выполнения обязательств по регистрации для автоматизированных систем обработки, созданных до этой даты, контролер или обработчик должны иметь эффективные методы для демонстрации законность обработки данных, возможность самоконтроля и обеспечение целостности и безопасности данных, таких как журналы или другие формы записей.

(97)

Настоящая Директива не наносит ущерба правилам борьбы с сексуальным насилием и сексуальной эксплуатацией детей и детской порнографией, изложенным в Директиве 2011/93/EU Европейского Парламента и Совета (14).

(98)

Поэтому Рамочное решение 2008/977/JHA должно быть отменено.

(99)

В соответствии со статьей 6а Протокола № 21 о позиции Соединенного Королевства и Ирландии в отношении сферы свободы, безопасности и правосудия, прилагаемого к ДЕС и ДФЕС, Соединенное Королевство и Ирландия не связаны обязательствами правила, изложенные в настоящей Директиве, которые касаются обработки персональных данных государствами-членами при осуществлении деятельности, подпадающей под действие Главы 4 или Главы 5 Раздела V Части третьей ДФЕС, в отношении которой Соединенное Королевство и Ирландия не связаны правилами, регулирующими формы судебного сотрудничества по уголовным делам или сотрудничества полиции, которые требуют соблюдения положений, установленных на основании статьи 16 ДФЕС.

(100)

В соответствии со статьями 2 и 2а Протокола № 22 о позиции Дании, приложенного к TEU и TFEU, Дания не связана правилами, изложенными в настоящей Директиве или подлежащими их применению, которые касаются обработки персональные данные государств-членов при осуществлении деятельности, подпадающей под действие главы 4 или главы 5 раздела V части третьей ДФЕС. Учитывая, что данная Директива основывается на Шенгенских достижениях согласно Разделу V Части третьей ДФЕС, Дания, в соответствии со статьей 4 этого Протокола, должна решить в течение шести месяцев после принятия настоящей Директивы, будет ли она применять ее в своей национальной стране. закон.

(101)

Что касается Исландии и Норвегии, настоящая Директива представляет собой развитие положений Шенгенского соглашения, предусмотренных Соглашением, заключенным Советом Европейского Союза и Республикой Исландия и Королевством Норвегия об ассоциации этих двух государств с внедрение, применение и развитие Шенгенского соглашения (15).

(102)

Что касается Швейцарии, настоящая Директива представляет собой развитие положений Шенгенского соглашения, предусмотренных Соглашением между Европейским Союзом, Европейским Сообществом и Швейцарской Конфедерацией об ассоциации Швейцарской Конфедерации с внедрением, применением и развитием Швейцарской Конфедерации. Шенгенские достижения (16).

(103)

Что касается Лихтенштейна, настоящая Директива представляет собой развитие положений Шенгенского соглашения, предусмотренных Протоколом между Европейским Союзом, Европейским Сообществом, Швейцарской Конфедерацией и Княжеством Лихтенштейн о присоединении Княжества Лихтенштейн к Соглашению. между Европейским Союзом, Европейским Сообществом и Швейцарской Конфедерацией об участии Швейцарской Конфедерации в реализации, применении и развитии Шенгенского соглашения (17).

(104)

Настоящая Директива уважает основные права и соблюдает принципы, признанные в Хартии и закрепленные в ДФЕС, в частности, право на уважение частной и семейной жизни, право на защиту персональных данных, право на эффективное средство правовой защиты и на справедливое судебное разбирательство. Ограничения, налагаемые на эти права, соответствуют статье 52(1) Хартии, поскольку они необходимы для достижения целей общего интереса, признанных Союзом, или необходимости защиты прав и свобод других лиц.

(105)

В соответствии с Совместной политической декларацией государств-членов ЕС и Комиссии о пояснительных документах от 28 сентября 2011 г., государства-члены обязались в обоснованных случаях сопровождать уведомление о своих мерах по транспонированию одним или несколькими документами, разъясняющими взаимосвязь между компонентами директива и соответствующие части национальных мер по транспонированию. Применительно к настоящей Директиве законодатель считает передачу таких документов оправданной.

(106)

С Европейским инспектором по защите данных были проведены консультации в соответствии со статьей 28(2) Регламента (ЕС) № 45/2001, и он вынес заключение 7 марта 2012 г. (18).

(107)

Настоящая Директива не должна препятствовать государствам-членам осуществлять реализацию прав субъектов данных на информацию, доступ к персональным данным, их исправление или удаление, а также ограничение обработки в ходе уголовного судопроизводства, а также их возможные ограничения в национальных правилах по уголовный процесс,

ПРИНЯЛИ НАСТОЯЩУЮ ДИРЕКТИВУ:

ГЛАВА I

Основные положения

Статья 1

Тематика и цели

1.   Настоящая Директива устанавливает правила, касающиеся защиты физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защита и предотвращение угроз общественной безопасности.

2.   В соответствии с настоящей Директивой государства-члены должны:

(а)

защищать основные права и свободы физических лиц и, в частности, их право на защиту персональных данных; и

(б)

гарантировать, что обмен персональными данными компетентными органами внутри Союза, если такой обмен требуется законодательством Союза или государства-члена, не ограничивается и не запрещается по причинам, связанным с защитой физических лиц в отношении обработки персональных данных.

3.   Настоящая Директива не препятствует государствам-членам обеспечивать более высокие гарантии, чем те, которые установлены в настоящей Директиве, для защиты прав и свобод субъекта данных в отношении обработки персональных данных компетентными органами.

Статья 2

Объем

1.   Настоящая Директива применяется к обработке персональных данных компетентными органами для целей, изложенных в статье 1(1).

2.   Настоящая Директива применяется к обработке персональных данных полностью или частично автоматизированными средствами, а также к иной, чем автоматизированные средства, обработке персональных данных, которые являются частью файловой системы или предназначены для формирования части файловой системы.

3.   Настоящая Директива не распространяется на обработку персональных данных:

(а)

в ходе деятельности, выходящей за рамки законодательства Союза;

(б)

учреждениями, органами, управлениями и агентствами Союза.

Статья 3

Определения

Для целей настоящей Директивы:

(1)

«персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо — это лицо, которое можно идентифицировать прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор, или на один или несколько факторов, специфичных для физического, физиологического, генетическая, психическая, экономическая, культурная или социальная идентичность этого физического лица;

(2)

«обработка» означает любую операцию или набор операций, которые выполняются с персональными данными или наборами персональных данных, независимо от того, с помощью автоматизированных средств или нет, например, сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультирование, использование, раскрытие путем передачи, распространение или иное предоставление доступа, объединение или сочетание, ограничение, стирание или уничтожение;

(3)

«ограничение обработки» означает маркировку сохраненных персональных данных с целью ограничения их обработки в будущем;

(4)

«Профилирование» означает любую форму автоматизированной обработки персональных данных, состоящую из использования персональных данных для оценки определенных личных аспектов, касающихся физического лица, в частности, для анализа или прогнозирования аспектов, касающихся производительности этого физического лица на работе, экономического положения, здоровья, личные предпочтения, интересы, надежность, поведение, местоположение или перемещения;

(5)

«псевдонимизация» означает обработку персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и подвергается техническим и организационным мерам. обеспечить, чтобы персональные данные не были отнесены к идентифицированному или идентифицируемому физическому лицу;

(6)

«файловая система» означает любой структурированный набор персональных данных, доступ к которым осуществляется в соответствии с конкретными критериями, независимо от того, централизованно, децентрализовано или рассредоточено по функциональному или географическому принципу;

(7)

«компетентный орган» означает:

(а)

любой государственный орган, компетентный предотвращать, расследовать, выявлять или преследовать уголовные преступления или исполнять уголовные наказания, включая защиту и предотвращение угроз общественной безопасности; или

(б)

любой другой орган или организация, наделенная законодательством государства-члена ЕС осуществлять государственную власть и государственные полномочия в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защиту и предотвращение угроз для общества. безопасность;

(8)

«контролер» означает компетентный орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; если цели и средства такой обработки определены законодательством Союза или государства-члена, контролер или конкретные критерии его назначения могут быть предусмотрены законодательством Союза или государства-члена;

(9)

«обработчик» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера;

(10)

«получатель» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, которому раскрываются персональные данные, независимо от того, является ли оно третьей стороной или нет. Однако государственные органы, которые могут получать персональные данные в рамках конкретного запроса в соответствии с законодательством государства-члена, не считаются получателями; обработка этих данных этими государственными органами должна осуществляться в соответствии с применимыми правилами защиты данных в соответствии с целями обработки;

(11)

«нарушение персональных данных» означает нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к передаваемым, хранимым или иным образом обрабатываемым персональным данным;

(12)

«генетические данные» означают персональные данные, относящиеся к унаследованным или приобретенным генетическим характеристикам физического лица, которые дают уникальную информацию о физиологии или здоровье этого физического лица и которые являются результатом, в частности, анализа биологического образца из рассматриваемое физическое лицо;

(13)

«биометрические данные» означают персональные данные, полученные в результате специальной технической обработки, касающейся физических, физиологических или поведенческих характеристик физического лица, которые позволяют или подтверждают уникальную идентификацию этого физического лица, например изображения лица или дактилоскопические данные;

(14)

«данные о здоровье» — персональные данные, относящиеся к физическому или психическому здоровью физического лица, в том числе об оказании медицинских услуг, которые раскрывают информацию о состоянии его здоровья;

(15)

«надзорный орган» означает независимый государственный орган, учрежденный государством-членом ЕС в соответствии со статьей 41;

(16)

«международная организация» означает организацию и ее подчиненные органы, регулируемые международным публичным правом, или любую другую организацию, созданную на основании соглашения между двумя или более странами.

ГЛАВА II

Принципы

Статья 4

Принципы обработки персональных данных

1.   Государства-члены должны обеспечить, чтобы персональные данные были:

(а)

обрабатываются законно и справедливо;

(б)

собираются для определенных, явных и законных целей и не обрабатываются способом, несовместимым с этими целями;

(с)

адекватны, актуальны и не чрезмерны по отношению к целям, для которых они обрабатываются;

(г)

точными и, при необходимости, обновляемыми; должны быть предприняты все разумные меры для обеспечения того, чтобы персональные данные, которые являются неточными с учетом целей, для которых они обрабатываются, были удалены или исправлены без промедления;

(е)

храниться в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей, для которых они обрабатываются;

(е)

обрабатываются способом, обеспечивающим соответствующую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер.

2.   Обработка тем же или другим контролером для любой из целей, изложенных в статье 1(1), кроме той, для которой собираются персональные данные, разрешается в той мере, в какой:

(а)

контролер уполномочен обрабатывать такие персональные данные для такой цели в соответствии с законодательством Союза или государства-члена; и

(б)

обработка необходима и соразмерна этой другой цели в соответствии с законодательством Союза или государства-члена.

3.   Обработка тем же или другим контролером может включать архивирование в общественных интересах, научное, статистическое или историческое использование для целей, изложенных в статье 1(1), при условии соблюдения соответствующих гарантий прав и свобод субъектов данных.

4.   Контролер несет ответственность и должен быть в состоянии продемонстрировать соблюдение пунктов 1, 2 и 3.

Статья 5

Сроки хранения и просмотра

Государства-члены должны предусмотреть соответствующие сроки, которые должны быть установлены для удаления персональных данных или для периодического пересмотра необходимости хранения персональных данных. Процессуальные меры должны обеспечивать соблюдение этих сроков.

Статья 6

Различие между различными категориями субъектов данных

Государства-члены должны предусмотреть, чтобы контролер, где это применимо и насколько это возможно, проводил четкое различие между персональными данными различных категорий субъектов данных, таких как:

(а)

лица, в отношении которых имеются серьезные основания полагать, что они совершили или собираются совершить уголовное преступление;

(б)

лица, осужденные за уголовное преступление;

(с)

жертвы уголовного правонарушения или лица, в отношении которых определенные факты дают основания полагать, что они могли стать жертвами уголовного правонарушения; и

(г)

другие стороны уголовного преступления, такие как лица, которые могут быть вызваны для дачи показаний в ходе расследований в связи с уголовными преступлениями или последующими уголовными разбирательствами, лица, которые могут предоставить информацию об уголовных преступлениях, или контакты или сообщники одного из лиц, упомянутых в пункты (а) и (б).

Статья 7

Различие между персональными данными и проверкой качества персональных данных

1.   Государства-члены должны обеспечить, чтобы персональные данные, основанные на фактах, отличались, насколько это возможно, от персональных данных, основанных на личных оценках.

2.   Государства-члены должны обеспечить, чтобы компетентные органы принимали все разумные меры для обеспечения того, чтобы персональные данные, которые являются неточными, неполными или уже не актуальными, не передавались и не предоставлялись. С этой целью каждый компетентный орган должен, насколько это практически возможно, проверять качество персональных данных перед их передачей или предоставлением доступа. По мере возможности, при каждой передаче персональных данных добавляется необходимая информация, позволяющая принимающему компетентному органу оценить степень точности, полноты и достоверности персональных данных, а также степень их актуальности.

3.   Если выяснится, что были переданы неверные персональные данные или персональные данные были переданы незаконно, получатель должен быть немедленно уведомлен об этом. В таком случае персональные данные должны быть исправлены или удалены, либо обработка должна быть ограничена в соответствии со статьей 16.

Статья 8

Законность обработки

1.   Государства-члены должны обеспечивать законность обработки только в том случае и в той степени, в которой обработка необходима для выполнения задачи, выполняемой компетентным органом для целей, изложенных в Статье 1(1), и что она основана на Законодательство Союза или государства-члена.

2.   Законодательство государства-члена, регулирующее обработку в рамках настоящей Директивы, должно определять, как минимум, цели обработки, персональные данные, подлежащие обработке, и цели обработки.

Статья 9

Особые условия обработки

1.   Персональные данные, собранные компетентными органами для целей, изложенных в статье 1(1), не должны обрабатываться для целей, отличных от целей, указанных в статье 1(1), если такая обработка не разрешена законодательством Союза или государства-члена. Если персональные данные обрабатываются для таких других целей, применяется Регламент (ЕС) 2016/679, за исключением случаев, когда обработка осуществляется в рамках деятельности, выходящей за рамки законодательства Союза.

2.   Если компетентным органам в соответствии с законодательством государства-члена ЕС поручено выполнение задач, отличных от тех, которые выполняются для целей, изложенных в Статье 1(1), Регламент (ЕС) 2016/679 должен применяться к обработке для таких целей, в том числе для архивирования. целях в общественных интересах, целях научных или исторических исследований или статистических целях, за исключением случаев, когда обработка осуществляется в рамках деятельности, выходящей за рамки законодательства Союза.

3.   Государства-члены должны, если законодательство Союза или государства-члена, применимое к передающему компетентному органу, предусматривает особые условия для обработки, предусмотреть, чтобы передающий компетентный орган информировал получателя таких персональных данных об этих условиях и требовании их соблюдать.

4.   Государства-члены должны предусмотреть, чтобы передающий компетентный орган не применял условия в соответствии с параграфом 3 к получателям в других государствах-членах или к агентствам, офисам и органам, созданным в соответствии с Главами 4 и 5 Раздела V ДФЕС, кроме тех, которые применимы к аналогичная передача данных в пределах государства-члена передающего компетентного органа.

Статья 10

Обработка специальных категорий персональных данных

Обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзе, а также обработка генетических данных, биометрических данных с целью однозначной идентификации физического лица, данных о здоровье или данных о физическом лице. сексуальная жизнь или сексуальная ориентация лица допускается только в случае крайней необходимости, при условии соблюдения соответствующих гарантий прав и свобод субъекта данных, и только:

(а)

если это разрешено законодательством Союза или государства-члена;

(б)

для защиты жизненно важных интересов субъекта данных или другого физического лица; или

(с)

если такая обработка относится к данным, которые явно обнародованы субъектом данных.

Статья 11

Автоматизированное индивидуальное принятие решений

1.   Государства-члены должны предусмотреть запрет решения, основанного исключительно на автоматизированной обработке, включая профилирование, которое приводит к неблагоприятным юридическим последствиям в отношении субъекта данных или существенно влияет на него или ее, если это не разрешено законодательством Союза или государства-члена, которому подчиняется контролер. является субъектом и обеспечивает соответствующие гарантии прав и свобод субъекта данных, по крайней мере, права на вмешательство человека со стороны контролера.

2.   Решения, упомянутые в пункте 1 настоящей статьи, не должны основываться на особых категориях персональных данных, указанных в статье 10, за исключением случаев, когда принимаются соответствующие меры для защиты прав и свобод и законных интересов субъекта данных.

3.   Профилирование, которое приводит к дискриминации физических лиц на основе особых категорий персональных данных, указанных в статье 10, должно быть запрещено в соответствии с законодательством Союза.

ГЛАВА III

Права субъекта данных

Статья 12

Коммуникация и способы реализации прав субъекта данных

1.   Государства-члены должны предусмотреть, чтобы контролер принимал разумные меры для предоставления любой информации, указанной в Статье 13, и делал любые сообщения в отношении Статей 11, 14–18 и 31, касающихся обработки, субъекту данных в краткой, понятной и понятной форме. в легко доступной форме, используя ясный и простой язык. Информация предоставляется любыми подходящими способами, в том числе электронными. Как правило, контролер должен предоставить информацию в той же форме, что и запрос.

2.   Государства-члены должны предусмотреть, чтобы контролер содействовал осуществлению прав субъекта данных в соответствии со статьями 11 и 14–18.

3.   Государства-члены должны предусмотреть, чтобы контролер информировал субъекта данных в письменной форме о последующих мерах по его или ее запросу без неоправданной задержки.

4.   Государства-члены должны обеспечить бесплатное предоставление информации, предоставляемой в соответствии со статьей 13, а также любых сообщений или действий, предпринятых в соответствии со статьями 11, 14–18 и 31. Если запросы субъекта данных явно необоснованны или чрезмерны, в частности, из-за их повторяющегося характера, контролер может:

(а)

взимать разумную плату с учетом административных расходов, связанных с предоставлением информации или связи или выполнением запрошенных действий; или

(б)

отказаться выполнять запрос.

Контролер несет бремя доказывания явно необоснованного или чрезмерного характера запроса.

5.   Если у контролера есть обоснованные сомнения относительно личности физического лица, делающего запрос, упомянутый в статьях 14 или 16, контролер может запросить предоставление дополнительной информации, необходимой для подтверждения личности субъекта данных.

Статья 13

Информация, которая должна быть доступна или предоставлена ​​субъекту данных

1.   Государства-члены должны обеспечить, чтобы контролер предоставил субъекту данных как минимум следующую информацию:

(а)

личность и контактные данные контролера;

(б)

контактные данные ответственного за защиту данных, если применимо;

(с)

цели обработки, для которых предназначены персональные данные;

(г)

право подать жалобу в надзорный орган и контактные данные надзорного органа;

(е)

наличие права запросить у контролера доступ, исправление или удаление персональных данных и ограничение обработки персональных данных, касающихся субъекта данных.

2.   В дополнение к информации, указанной в параграфе 1, государства-члены ЕС должны по закону предусмотреть, чтобы контролер предоставлял субъекту данных, в особых случаях, следующую дополнительную информацию, позволяющую реализовать его или ее права:

(а)

правовая основа обработки;

(б)

период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода;

(с)

где применимо, категории получателей персональных данных, в том числе в третьих странах или международных организациях;

(г)

при необходимости дополнительная информация, в частности, если персональные данные собираются без ведома субъекта данных.

3.   Государства-члены могут принимать законодательные меры, задерживающие, ограничивающие или исключающие предоставление информации субъекту данных в соответствии с параграфом 2, в той мере, в которой и до тех пор, пока такая мера представляет собой необходимую и пропорциональную меру в демократическом обществе. с должным учетом основных прав и законных интересов соответствующего физического лица, чтобы:

(а)

избегать создания препятствий официальным или юридическим расследованиям, расследованиям или процедурам;

(б)

избегать нанесения ущерба предотвращению, выявлению, расследованию или судебному преследованию уголовных преступлений или исполнению уголовных наказаний;

(с)

защищать общественную безопасность;

(г)

защищать национальную безопасность;

(е)

защищать права и свободы других.

4.   Государства-члены могут принимать законодательные меры для определения категорий обработки, которые могут полностью или частично подпадать под любой из пунктов, перечисленных в пункте 3.

Статья 14

Право доступа субъекта данных

В соответствии со статьей 15 государства-члены должны обеспечить право субъекта данных получить от контролера подтверждение того, обрабатываются ли касающиеся его персональные данные, и, в случае необходимости, доступ к персональным данным. и следующую информацию:

(а)

цели и правовая основа обработки;

(б)

категории соответствующих персональных данных;

(с)

получатели или категории получателей, которым были раскрыты персональные данные, в частности получатели в третьих странах или международных организациях;

(г)

по возможности, предполагаемый период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода;

(е)

наличие права требовать от контролера исправления или удаления персональных данных или ограничения обработки персональных данных, касающихся субъекта данных;

(е)

право подать жалобу в надзорный орган и контактные данные надзорного органа;

(г)

сообщение персональных данных, подлежащих обработке, и любой доступной информации об их происхождении.

Статья 15

Ограничения права доступа

1.   Государства-члены могут принимать законодательные меры, ограничивающие, полностью или частично, право субъекта данных на доступ в той степени и до тех пор, пока такое частичное или полное ограничение представляет собой необходимую и пропорциональную меру в демократическом обществе с должным учетом основные права и законные интересы заинтересованного физического лица, чтобы:

(а)

избегать создания препятствий официальным или юридическим расследованиям, расследованиям или процедурам;

(б)

избегать нанесения ущерба предотвращению, выявлению, расследованию или судебному преследованию уголовных преступлений или исполнению уголовных наказаний;

(с)

защищать общественную безопасность;

(г)

защищать национальную безопасность;

(е)

защищать права и свободы других.

2.   Государства-члены могут принимать законодательные меры для определения категорий обработки, которые могут полностью или частично подпадать под пункты (a)–(e) параграфа 1.

3.   В случаях, упомянутых в параграфах 1 и 2, государства-члены должны предусмотреть, чтобы контролер информировал субъекта данных без неоправданной задержки в письменной форме о любом отказе или ограничении доступа и о причинах отказа или ограничения. Такая информация может быть опущена, если ее предоставление подорвет цель, предусмотренную пунктом 1. Государства-члены ЕС должны предусмотреть, чтобы контролер информировал субъекта данных о возможности подачи жалобы в надзорный орган или обращения за судебной защитой.

4.   Государства-члены должны предоставить контролеру документальное подтверждение фактических или юридических причин, на которых основано решение. Эта информация должна быть доступна надзорным органам.

Статья 16

Право на исправление или удаление персональных данных и ограничение обработки

1.   Государства-члены должны обеспечить право субъекта данных получить от контролера без неоправданной задержки исправление неточных персональных данных, касающихся его или нее. Принимая во внимание цели обработки, государства-члены должны предусмотреть право субъекта данных на дополнение неполных персональных данных, в том числе путем предоставления дополнительного заявления.

2.   Государства-члены должны требовать от контролера удаления персональных данных без неоправданной задержки и обеспечивать право субъекта данных получить от контролера удаление касающихся его или нее персональных данных без неоправданной задержки, если обработка нарушает положения, принятые в соответствии со статьей 4, 8 или 10, или когда персональные данные должны быть удалены для выполнения юридического обязательства, которому подчиняется контролер.

3.   Вместо удаления контролер должен ограничить обработку, если:

(а)

точность персональных данных оспаривается субъектом данных, и их точность или неточность не могут быть установлены; или

(б)

персональные данные должны храниться в целях доказательства.

Если обработка ограничена в соответствии с пунктом (a) первого подпараграфа, контролер должен проинформировать субъекта данных, прежде чем снимать ограничение на обработку.

4.   Государства-члены должны предусмотреть, чтобы контролер информировал субъекта данных в письменной форме о любом отказе в исправлении или удалении персональных данных или ограничении обработки, а также о причинах отказа. Государства-члены могут принимать законодательные меры, ограничивающие полностью или частично обязанность предоставлять такую ​​информацию в той степени, в которой такое ограничение представляет собой необходимую и соразмерную меру в демократическом обществе с должным учетом основных прав и законных интересов соответствующего физического лица. для того, чтобы:

(а)

избегать создания препятствий официальным или юридическим расследованиям, расследованиям или процедурам;

(б)

избегать нанесения ущерба предотвращению, выявлению, расследованию или судебному преследованию уголовных преступлений или исполнению уголовных наказаний;

(с)

защищать общественную безопасность;

(г)

защищать национальную безопасность;

(е)

защищать права и свободы других.

Государства-члены должны предусмотреть, чтобы контролер информировал субъекта данных о возможности подачи жалобы в надзорный орган или обращения за судебной защитой.

5.   Государства-члены должны предусмотреть, чтобы контролер сообщал об исправлении неточных персональных данных компетентному органу, из которого поступили неточные персональные данные.

6.   Государства-члены должны, если персональные данные были исправлены или удалены или обработка была ограничена в соответствии с пунктами 1, 2 и 3, предусмотреть, чтобы контролер уведомлял получателей, и что получатели должны исправить или удалить персональные данные или ограничить обработку. персональных данных, находящихся под их ответственностью.

Статья 17

Осуществление прав субъекта данных и проверка со стороны надзорного органа

1.   В случаях, указанных в статье 13(3), статье 15(3) и статье 16(4), государства-члены должны принять меры, предусматривающие, что права субъекта данных могут также осуществляться через компетентный надзорный орган.

2.   Государства-члены должны предусмотреть, чтобы контролер информировал субъекта данных о возможности осуществления его или ее прав через надзорный орган в соответствии с параграфом 1.

3.   При реализации права, упомянутого в параграфе 1, надзорный орган должен проинформировать субъекта данных, по крайней мере, о том, что все необходимые проверки или проверки со стороны надзорного органа были проведены. Орган надзора также информирует субъекта данных о его праве обратиться за судебной защитой.

Статья 18

Права субъекта данных в уголовных расследованиях и судопроизводствах

Государства-члены ЕС могут предусмотреть реализацию прав, упомянутых в статьях 13, 14 и 16, в соответствии с законодательством государств-членов ЕС, если персональные данные содержатся в судебном решении, протоколе или материалах дела, обработанных в ходе уголовного расследования. расследования и разбирательства.

ГЛАВА IV

Контроллер и процессор

Секция 1

Общие обязательства

Статья 19

Обязанности контролера

1.   Государства-члены должны обеспечить контролеру, принимая во внимание характер, объем, контекст и цели обработки, а также риски различной вероятности и серьезности для прав и свобод физических лиц, реализовать соответствующие технические и организационные меры для гарантировать и иметь возможность продемонстрировать, что обработка осуществляется в соответствии с настоящей Директивой. Эти меры должны пересматриваться и обновляться при необходимости.

2.   Если это соразмерно деятельности по обработке, меры, упомянутые в пункте 1, должны включать реализацию контролером соответствующих политик защиты данных.

Статья 20

Защита данных задумана и по умолчанию

1.   Государства-члены должны предоставить контролера, принимая во внимание уровень техники, стоимость реализации, а также характер, объем, контекст и цели обработки, а также риски различной вероятности и серьезности для прав и свобод физические лица, связанные с обработкой, как во время определения средств обработки, так и во время самой обработки, для реализации соответствующих технических и организационных мер, таких как псевдонимизация, которые предназначены для реализации принципов защиты данных, таких как как минимизация данных эффективным способом и интеграция необходимых мер безопасности в обработку, чтобы соответствовать требованиям настоящей Директивы и защищать права субъектов данных.

2.   Государства-члены должны предусмотреть, чтобы контролер реализовал соответствующие технические и организационные меры, гарантирующие, что по умолчанию обрабатываются только персональные данные, которые необходимы для каждой конкретной цели обработки. Это обязательство распространяется на объем собранных персональных данных, степень их обработки, период их хранения и их доступность. В частности, такие меры должны гарантировать, что персональные данные по умолчанию не будут доступны без вмешательства человека неопределенному кругу физических лиц.

Статья 21

Совместные контролеры

1.   Государства-члены ЕС, если два или более контролеров совместно определяют цели и средства обработки, предусматривают, что они будут совместными контролерами. Они должны прозрачным образом определить свои соответствующие обязанности по соблюдению настоящей Директивы, в частности, в отношении реализации прав субъекта данных и своих соответствующих обязанностей по предоставлению информации, указанной в статье 13, посредством соглашения. между ними, кроме случаев и в той мере, в которой соответствующие обязанности контролеров определены законодательством Союза или государства-члена, которому подчиняются контролеры. В соглашении должно быть указано контактное лицо для субъектов данных. Государства-члены могут определять, какие из совместных контролеров могут выступать в качестве единого контактного лица для субъектов данных для осуществления своих прав.

2.   Независимо от условий соглашения, упомянутого в параграфе 1, государства-члены могут предусмотреть возможность субъекту данных осуществлять свои права в соответствии с положениями, принятыми в соответствии с настоящей Директивой в отношении и против каждого из контролеров.

Статья 22

Процессор

1.   Государства-члены должны, если обработка должна осуществляться от имени контролера, предусмотреть, чтобы контролер мог использовать только тех процессоров, которые предоставляют достаточные гарантии для реализации соответствующих технических и организационных мер таким образом, чтобы обработка соответствовала требованиям настоящего документа. Директива и обеспечение защиты прав субъекта данных.

2.   Государства-члены должны предусмотреть, чтобы обработчик не привлекал другого обработчика без предварительного специального или общего письменного разрешения контролера. В случае общего письменного разрешения обработчик должен информировать контролера о любых предполагаемых изменениях, касающихся добавления или замены других обработчиков, тем самым давая контролеру возможность возражать против таких изменений.

3.   Государства-члены должны предусмотреть, чтобы обработка обработчиком регулировалась контрактом или другим правовым актом в соответствии с законодательством Союза или государства-члена, который является обязательным для обработчика в отношении контролера и в котором определяются предмет и продолжительность обработки, характера и цели обработки, типа персональных данных и категорий субъектов данных, а также обязанностей и прав контролера. В этом договоре или ином правовом акте должно быть предусмотрено, в частности, что обработчик:

(а)

действует только по указанию контролера;

(б)

гарантирует, что лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство соблюдать конфиденциальность или находятся под соответствующим установленным законом обязательством по соблюдению конфиденциальности;

(с)

помогает контролеру любыми соответствующими способами обеспечить соблюдение положений о правах субъекта данных;

(г)

по выбору контролера удаляет или возвращает все персональные данные контролеру после окончания предоставления услуг по обработке данных, а также удаляет существующие копии, если только законодательство Союза или государства-члена не требует хранения персональных данных;

(е)

предоставляет контролеру всю информацию, необходимую для демонстрации соблюдения настоящей статьи;

(е)

соответствует условиям, указанным в пунктах 2 и 3 для привлечения другого обработчика.

4.   Договор или иной правовой акт, указанный в пункте 3, должен быть совершен в письменной форме, в том числе в электронной форме.

5.   Если обработчик определяет в нарушение настоящей Директивы цели и средства обработки, этот обработчик считается контролером в отношении такой обработки.

Статья 23

Обработка под руководством контролера или процессора

Государства-члены должны предусмотреть, чтобы обработчик и любое лицо, действующее под руководством контролера или обработчика, имеющего доступ к персональным данным, не обрабатывали эти данные, кроме как по инструкциям контролера, за исключением случаев, когда этого требует Союз или Член. Закон штата.

Статья 24

Записи о деятельности по обработке

1.   Государства-члены должны обеспечить контролерам ведение учета всех категорий деятельности по обработке, находящейся под их ответственностью. Эта запись должна содержать всю следующую информацию:

(а)

имя и контактные данные контролера и, если применимо, совместного контролера и ответственного за защиту данных;

(б)

цели обработки;

(с)

категории получателей, которым персональные данные были или будут раскрыты, включая получателей в третьих странах или международных организациях;

(г)

описание категорий субъекта данных и категорий персональных данных;

(е)

где это применимо, использование профилирования;

(е)

где это применимо, категории передачи персональных данных в третью страну или международную организацию;

(г)

указание на правовую основу операции обработки, включая передачу, для которой предназначены персональные данные;

(час)

где это возможно, предусмотренные сроки удаления различных категорий персональных данных;

(я)

где возможно, общее описание технических и организационных мер безопасности, упомянутых в статье 29(1).

2.   Государства-члены должны предусмотреть, чтобы каждый обработчик вел учет всех категорий действий по обработке, выполняемых от имени контролера, включая:

(а)

имя и контактные данные обработчика или обработчиков, каждого контролера, от имени которого действует обработчик, и, если применимо, ответственного за защиту данных;

(б)

категории обработки, выполняемой от имени каждого контролера;

(с)

где это применимо, передача персональных данных в третью страну или международную организацию по прямому указанию контролера, включая идентификацию этой третьей страны или международной организации;

(г)

где возможно, общее описание технических и организационных мер безопасности, упомянутых в статье 29(1).

3.   Записи, упомянутые в пунктах 1 и 2, должны быть в письменной форме, в том числе в электронной форме.

Контролер и обработчик должны предоставить эти записи надзорному органу по запросу.

Статья 25

Ведение журнала

1.   Государства-члены должны обеспечить ведение журналов, по крайней мере, для следующих операций обработки в автоматизированных системах обработки: сбор, изменение, консультирование, раскрытие, включая передачу, объединение и удаление. Журналы консультаций и раскрытия должны позволять устанавливать обоснование, дату и время таких операций и, насколько это возможно, идентификацию лица, которое консультировалось или раскрывало персональные данные, а также личность получателей таких персональных данных. .

2.   Журналы используются исключительно для проверки законности обработки, самоконтроля, обеспечения целостности и безопасности персональных данных, а также для уголовного производства.

3.   Контролер и обработчик должны предоставить журналы надзорному органу по запросу.

Статья 26

Сотрудничество с надзорным органом

Государства-члены ЕС должны обеспечить, чтобы контролер и обработчик данных сотрудничали по запросу с надзорным органом при выполнении его задач по запросу.

Статья 27

Оценка воздействия на защиту данных

1.   Если тип обработки, в частности, с использованием новых технологий и с учетом характера, объема, контекста и целей обработки, может привести к высокому риску для прав и свобод физических лиц, государства-члены должны предусмотреть, чтобы контролер перед обработкой провел оценку влияния предусмотренных операций по обработке на защиту персональных данных.

2.   Оценка, упомянутая в пункте 1, должна содержать, по крайней мере, общее описание предполагаемых операций по обработке, оценку рисков для прав и свобод субъектов данных, мер, предусмотренных для устранения этих рисков, гарантий, мер и механизмов безопасности. обеспечить защиту персональных данных и продемонстрировать соблюдение настоящей Директивы, принимая во внимание права и законные интересы субъектов данных и других заинтересованных лиц.

Статья 28

Предварительная консультация надзорного органа

1.   Государства-члены должны предусмотреть, чтобы контролер или обработчик консультировались с надзорным органом перед обработкой, которая станет частью новой создаваемой системы подачи документов, если:

(а)

оценка воздействия на защиту данных, предусмотренная статьей 27, указывает на то, что обработка приведет к высокому риску в случае отсутствия мер, принятых контролером для снижения риска; или

(б)

тип обработки, в частности, при использовании новых технологий, механизмов или процедур, сопряжен с высоким риском для прав и свобод субъектов данных.

2.   Государства-члены должны обеспечить проведение консультаций с надзорным органом при подготовке предложения о законодательной мере, которая будет принята национальным парламентом, или о нормативной мере, основанной на такой законодательной мере, которая относится к обработке.

3.   Государства-члены должны предусмотреть, что надзорный орган может установить список операций по обработке, которые подлежат предварительным консультациям в соответствии с параграфом 1.

4.   Государства-члены должны обеспечить, чтобы контролер предоставлял надзорному органу оценку воздействия на защиту данных в соответствии со статьей 27 и, по запросу, любую другую информацию, позволяющую надзорному органу провести оценку соответствия обработки и в в частности, о рисках для защиты персональных данных субъекта данных и связанных с этим мерах защиты.

5.   Государства-члены ЕС, если надзорный орган считает, что предполагаемая обработка, упомянутая в пункте 1 настоящей статьи, нарушит положения, принятые в соответствии с настоящей Директивой, в частности, если контролер недостаточно выявил или снизил риск, предоставить надзорному органу предоставить в течение периода до шести недель с момента получения запроса на консультацию письменную рекомендацию контролеру и, если применимо, обработчику, а также может использовать любое из своих полномочий, упомянутых в Статье 47. Этот период может быть продлен на месяц с учетом сложности предполагаемой обработки. Надзорный орган должен проинформировать контролера и, если применимо, обработчика данных о любом таком продлении в течение одного месяца с момента получения запроса на консультацию, а также о причинах задержки.

Раздел 2

Безопасность персональных данных

Статья 29

Безопасность обработки

1.   Государства-члены должны обеспечить контролера и обработчика, принимая во внимание современное состояние, затраты на внедрение, а также характер, объем, контекст и цели обработки, а также риск различной вероятности и серьезности для права и свободы физических лиц, осуществлять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, в частности, в отношении обработки специальных категорий персональных данных, указанных в статье 10.

2.   Что касается автоматизированной обработки, каждое государство-член должно предусмотреть, чтобы контролер или обработчик после оценки рисков реализовали меры, направленные на:

(а)

запретить доступ посторонних лиц к технологическому оборудованию, используемому для переработки («контроль доступа к оборудованию»);

(б)

предотвращать несанкционированное чтение, копирование, изменение или удаление носителей данных («контроль носителей данных»);

(с)

предотвращать несанкционированный ввод персональных данных и несанкционированную проверку, изменение или удаление сохраненных персональных данных («контроль хранения»);

(г)

не допускать использования автоматизированных систем обработки посторонними лицами с использованием средств передачи данных («контроль пользователей»);

(е)

обеспечить, чтобы лица, уполномоченные использовать автоматизированную систему обработки, имели доступ только к тем персональным данным, на которые распространяется их разрешение на доступ («контроль доступа к данным»);

(е)

обеспечить возможность проверки и установления органов, которым персональные данные были или могут быть переданы или предоставлены с использованием средств передачи данных («контроль связи»);

(г)

обеспечить возможность впоследствии проверить и установить, какие персональные данные были введены в автоматизированные системы обработки, а также когда и кем были введены персональные данные («входной контроль»);

(час)

предотвращать несанкционированное чтение, копирование, изменение или удаление персональных данных при передаче персональных данных или при транспортировке носителей данных («транспортный контроль»);

(я)

обеспечить возможность восстановления установленных систем в случае сбоя («восстановление»);

(к)

гарантировать, что функции системы выполняются, что о появлении неисправностей в функциях сообщается («надежность») и что сохраненные персональные данные не могут быть повреждены вследствие неисправности системы («целостность»).

Статья 30

Уведомление об утечке персональных данных в надзорный орган

1.   В случае утечки персональных данных государства-члены должны предусмотреть, чтобы контролер уведомлял без неоправданной задержки и, если это возможно, не позднее, чем через 72 часа после того, как об этом стало известно, об утечке персональных данных надзорный орган, за исключением случаев, когда утечка персональных данных вряд ли приведет к риску для прав и свобод физических лиц. Если уведомление надзорному органу не было сделано в течение 72 часов, оно должно сопровождаться причинами задержки.

2.   Обработчик должен уведомить контролера без неоправданной задержки после того, как ему станет известно об утечке персональных данных.

3.   Уведомление, упомянутое в пункте 1, должно как минимум:

(а)

описать характер утечки персональных данных, включая, если возможно, категории и приблизительное количество соответствующих субъектов данных, а также категории и приблизительное количество соответствующих записей персональных данных;

(б)

сообщить имя и контактные данные ответственного за защиту данных или другого контактного лица, где можно получить дополнительную информацию;

(с)

описать вероятные последствия утечки персональных данных;

(г)

описать меры, принятые или предлагаемые принять контролером для устранения утечки персональных данных, включая, при необходимости, меры по смягчению возможных негативных последствий.

4.   В тех случаях, когда невозможно предоставить информацию одновременно, информация может предоставляться поэтапно без неоправданной дальнейшей задержки.

5.   Государства-члены должны предусмотреть, чтобы контролер документировал любые утечки персональных данных, упомянутые в параграфе 1, включая факты, относящиеся к утечке персональных данных, ее последствиям и принятым мерам по исправлению положения. Эта документация должна позволить надзорному органу проверить соблюдение настоящей статьи.

6.   Государства-члены должны, если нарушение персональных данных связано с персональными данными, которые были переданы контролеру другого государства-члена или контролеру другого государства-члена, обеспечить передачу информации, указанной в параграфе 3, контролеру этого государства-члена без неоправданной задержки. .

Статья 31

Сообщение субъекту данных об утечке персональных данных

1.   Государства-члены должны, если утечка персональных данных может привести к высокому риску для прав и свобод физических лиц, предусмотреть, чтобы контролер мог без неоправданной задержки сообщить об утечке персональных данных субъекту данных.

2.   Сообщение субъекту данных, указанное в пункте 1 настоящей статьи, должно описывать ясным и простым языком характер нарушения персональных данных и должно содержать, по крайней мере, информацию и меры, указанные в пунктах (b), (c). и (d) статьи 30(3).

3.   Сообщение субъекту данных, указанному в пункте 1, не требуется, если соблюдено любое из следующих условий:

(а)

контролер принял соответствующие технологические и организационные меры защиты, и эти меры были применены к персональным данным, затронутым утечкой персональных данных, в частности те, которые делают персональные данные непонятными для любого лица, не имеющего права доступа к ним, например шифрование ;

(б)

контролер принял последующие меры, которые гарантируют, что высокий риск для прав и свобод субъектов данных, упомянутый в пункте 1, больше не может материализоваться;

(с)

это потребует непропорциональных усилий. В таком случае вместо этого должна быть проведена публичная коммуникация или аналогичная мера, посредством которой субъекты данных информируются одинаково эффективным образом.

4.   Если контролер еще не сообщил об утечке персональных данных субъекту данных, надзорный орган, рассмотрев вероятность того, что утечка персональных данных приведет к высокому риску, может потребовать от него сделать это или может решить, что любое из условия, указанные в пункте 3, соблюдены.

5.   Сообщение субъекту данных, указанному в пункте 1 настоящей статьи, может быть отложено, ограничено или пропущено в соответствии с условиями и на основаниях, указанных в статье 13(3).

Раздел 3

Сотрудник по защите данных

Статья 32

Назначение ответственного за защиту данных

1.   Государства-члены должны предусмотреть, чтобы контролер назначил сотрудника по защите данных. Государства-члены ЕС могут освобождать суды и другие независимые судебные органы, действующие в своем судебном качестве, от этого обязательства.

2.   Уполномоченный по защите данных назначается на основе его или ее профессиональных качеств и, в частности, его или ее экспертных знаний законодательства и практики защиты данных, а также способности выполнять задачи, указанные в статье 34.

3.   Один сотрудник по защите данных может быть назначен для нескольких компетентных органов с учетом их организационной структуры и размера.

4.   Государства-члены должны обеспечить, чтобы контролер публиковал контактные данные сотрудника по защите данных и сообщал их надзорному органу.

Статья 33

Должность ответственного за защиту данных

1.   Государства-члены должны предусмотреть, чтобы контролер обеспечивал надлежащее и своевременное участие должностного лица по защите данных во всех вопросах, связанных с защитой персональных данных.

2.   Контролер должен поддерживать сотрудника по защите данных в выполнении задач, указанных в статье 34, предоставляя ресурсы, необходимые для выполнения этих задач и доступа к персональным данным и операциям по обработке, а также для поддержания его или ее экспертных знаний.

Статья 34

Задачи уполномоченного по защите данных

Государства-члены ЕС должны предусмотреть, чтобы контролер поручил уполномоченному по защите данных как минимум следующие задачи:

(а)

информировать и консультировать контролера и сотрудников, которые выполняют обработку, об их обязательствах в соответствии с настоящей Директивой и другими положениями Союза или государства-члена о защите данных;

(б)

контролировать соблюдение настоящей Директивы, других положений о защите данных Союза или государств-членов, а также политики контролера в отношении защиты персональных данных, включая распределение обязанностей, повышение осведомленности и обучение персонала, участвующего в операциях по обработке, и соответствующие проверки;

(с)

предоставлять консультации по запросу относительно оценки воздействия на защиту данных и контролировать ее эффективность в соответствии со статьей 27;

(г)

сотрудничать с надзорным органом;

(е)

выступать в качестве контактного лица надзорного органа по вопросам, связанным с обработкой, включая предварительные консультации, указанные в статье 28, и консультировать, при необходимости, по любым другим вопросам.

ГЛАВА V

Передача персональных данных в третьи страны или международные организации

Статья 35

Общие принципы передачи персональных данных

1.   Государства-члены должны обеспечить любую передачу компетентными органами персональных данных, которые проходят обработку или предназначены для обработки после передачи в третью страну или международную организацию, в том числе для последующей передачи в другую третью страну или международную организацию, при условии соблюдения национальных положений, принятых в соответствии с другими положениями настоящей Директивы, только в том случае, если соблюдаются условия, изложенные в настоящей Главе, а именно:

(а)

передача необходима для целей, изложенных в статье 1(1);

(б)

персональные данные передаются контролеру в третьей стране или международной организации, которая является органом, компетентным для целей, указанных в статье 1(1);

(с)

если персональные данные передаются или предоставляются из другого государства-члена ЕС, это государство-член ЕС дало предварительное разрешение на передачу в соответствии со своим национальным законодательством;

(г)

Комиссия приняла решение об адекватности в соответствии со статьей 36, или, в отсутствие такого решения, соответствующие гарантии были предоставлены или существуют в соответствии со статьей 37, или, в отсутствие решения об адекватности в соответствии со статьей 36 и соответствующего гарантии в соответствии со статьей 37, отступления для конкретных ситуаций применяются в соответствии со статьей 38; и

(е)

в случае дальнейшей передачи в другую третью страну или международную организацию компетентный орган, осуществивший первоначальную передачу, или другой компетентный орган того же государства-члена ЕС разрешает дальнейшую передачу после должного учета всех соответствующих факторов, включая серьезность уголовного преступления, цель, для которой персональные данные были первоначально переданы, и уровень защиты персональных данных в третьей стране или международной организации, которой персональные данные передаются в дальнейшем.

2.   Государства-члены должны предусмотреть передачу без предварительного разрешения другого государства-члена в соответствии с пунктом (c) параграфа 1, которая будет разрешена только в том случае, если передача персональных данных необходима для предотвращения непосредственной и серьезной угрозы для общества. безопасности государства-члена или третьей страны или существенным интересам государства-члена, и предварительное разрешение не может быть получено своевременно. Орган, ответственный за выдачу предварительного разрешения, должен быть проинформирован незамедлительно.

3.   Все положения настоящей Главы должны применяться для обеспечения того, чтобы уровень защиты физических лиц, обеспечиваемый настоящей Директивой, не подрывался.

Статья 36

Переводы на основании решения о достаточности

1.   Государства-члены должны предусмотреть, что передача персональных данных в третью страну или международную организацию может иметь место, если Комиссия решила, что третья страна, территория или один или несколько указанных секторов в пределах этой третьей страны или международной организации рассматриваемый вопрос обеспечивает адекватный уровень защиты. Такая передача не требует какого-либо специального разрешения.

2.   При оценке адекватности уровня защиты Комиссия, в частности, принимает во внимание следующие элементы:

(а)

верховенство закона, уважение прав человека и основных свобод, соответствующее законодательство, как общее, так и отраслевое, в том числе касающееся общественной безопасности, обороны, национальной безопасности и уголовного права, а также доступ государственных органов к персональным данным, а также реализация таких законодательство, правила защиты данных, профессиональные правила и меры безопасности, включая правила последующей передачи персональных данных в другую третью страну или международную организацию, которые соблюдаются в этой стране или международной организации, прецедентное право, а также эффективные и подлежащие исполнению права субъектов данных и эффективные административные и судебные средства правовой защиты для субъектов данных, чьи персональные данные передаются;

(б)

существование и эффективное функционирование одного или нескольких независимых надзорных органов в третьей стране или подотчетности международной организации, отвечающих за обеспечение и обеспечение соблюдения правил защиты данных, включая адекватные правоприменительные полномочия, для оказания помощи и консультирования субъектов данных при осуществлении их права и сотрудничество с надзорными органами государств-членов; и

(с)

международные обязательства, которые взяла на себя третья страна или соответствующая международная организация, или другие обязательства, вытекающие из юридически обязательных конвенций или инструментов, а также из ее участия в многосторонних или региональных системах, в частности, в отношении защиты персональных данных.

3.   Комиссия, после оценки адекватности уровня защиты, может решить посредством имплементационного акта, что третья страна, территория или один или несколько указанных секторов в третьей стране или международная организация обеспечивают адекватный уровень защиты. охраны по смыслу пункта 2 настоящей статьи. Имплементационный акт должен предусматривать механизм периодического пересмотра, по крайней мере, каждые четыре года, который должен учитывать все соответствующие события в третьей стране или международной организации. В исполнительном акте должно быть указано его территориальное и отраслевое применение и, если применимо, указан надзорный орган или органы, указанные в пункте (b) пункта 2 настоящей статьи. Имплементационный акт должен быть принят в соответствии с процедурой экспертизы, указанной в Статье 58(2).

4.   Комиссия должна на постоянной основе отслеживать события в третьих странах и международных организациях, которые могут повлиять на действие решений, принятых в соответствии с параграфом 3.

5.   Комиссия должна, если имеющаяся информация выявляет, в частности, после проверки, упомянутой в пункте 3 настоящей статьи, что третья страна, территория или один или несколько определенных секторов в третьей стране или международная организация больше не обеспечивает адекватный уровень защиты по смыслу пункта 2 настоящей статьи, в необходимой степени отменить, изменить или приостановить решение, указанное в пункте 3 настоящей статьи, посредством исполнительных актов без обратной силы. Эти исполнительные акты должны быть приняты в соответствии с процедурой рассмотрения, указанной в Статье 58(2).

При наличии должным образом обоснованных императивных оснований срочности Комиссия должна немедленно принять применимые исполнительные акты в соответствии с процедурой, указанной в Статье 58(3).

6.   Комиссия вступит в консультации с третьей страной или международной организацией с целью исправить ситуацию, послужившую основанием для принятия решения в соответствии с параграфом 5.

7.   Государства-члены должны предусмотреть, чтобы решение в соответствии с параграфом 5 не наносило ущерба передаче персональных данных в третью страну, на территорию или в один или несколько указанных секторов в этой третьей стране или в соответствующую международную организацию в соответствии со Статьями 37. и 38.

8.   Комиссия публикует в Официальном журнале Европейского Союза и на своем веб-сайте список третьих стран, территорий и определенных секторов в третьей стране и международных организациях, для которых она решила, что адекватный уровень защиты является или является больше не обеспечивается.

Статья 37

Передача при условии соблюдения соответствующих гарантий

1.   В отсутствие решения в соответствии со статьей 36(3) государства-члены должны предусмотреть, что передача персональных данных в третью страну или международную организацию может иметь место, если:

(а)

соответствующие гарантии защиты персональных данных предусмотрены в юридически обязательном документе; или

(б)

контролер оценил все обстоятельства, связанные с передачей персональных данных, и пришел к выводу, что существуют соответствующие меры защиты в отношении защиты персональных данных.

2.   Контролер должен информировать надзорный орган о категориях переводов в соответствии с пунктом (b) пункта 1.

3.   Если передача осуществляется на основании пункта (b) пункта 1, такая передача должна быть документально подтверждена, и документация должна быть доступна надзорному органу по запросу, включая дату и время передачи, информацию о получающем компетентном органе. полномочия, обоснование передачи и передаваемые персональные данные.

Статья 38

Отступления для конкретных ситуаций

1.   В отсутствие решения об адекватности в соответствии со статьей 36 или соответствующих гарантий в соответствии со статьей 37 государства-члены должны предусмотреть, что передача или категория передач персональных данных в третью страну или международную организацию может иметь место только при условии, что трансфер необходим:

(а)

в целях защиты жизненно важных интересов субъекта данных или другого лица;

(б)

для защиты законных интересов субъекта данных, если это предусмотрено законодательством государства-члена, передающего персональные данные;

(с)

для предотвращения непосредственной и серьезной угрозы общественной безопасности государства-члена или третьей страны;

(г)

в отдельных случаях для целей, указанных в статье 1(1); или

(е)

в отдельном случае для установления, осуществления или защиты юридических требований, относящихся к целям, указанным в статье 1(1).

2.   Персональные данные не передаются, если передающий компетентный орган определяет, что основные права и свободы соответствующего субъекта данных имеют преимущественную силу над общественным интересом в передаче, изложенным в пунктах (d) и (e) параграфа 1.

3.   Если передача основана на пункте 1, такая передача должна быть задокументирована, и документация должна быть доступна надзорному органу по запросу, включая дату и время передачи, информацию о принимающем компетентном органе, обоснование передача и передаваемые персональные данные.

Статья 39

Передача персональных данных получателям, находящимся в третьих странах

1.   В порядке отступления от пункта (b) статьи 35(1) и без ущерба для любого международного соглашения, упомянутого в пункте 2 настоящей статьи, законодательство Союза или государства-члена может предусматривать наличие компетентных органов, указанных в пункте (7). )(a) статьи 3 в индивидуальных и особых случаях передавать персональные данные непосредственно получателям, зарегистрированным в третьих странах, только при условии соблюдения других положений настоящей Директивы и выполнения всех следующих условий:

(а)

передача строго необходима для выполнения задач передающего компетентного органа, как это предусмотрено законодательством Союза или государства-члена, для целей, изложенных в статье 1(1);

(б)

передающий компетентный орган определяет, что никакие фундаментальные права и свободы соответствующего субъекта данных не преобладают над общественным интересом, требующим передачи в данном случае;

(с)

передающий компетентный орган считает, что передача органу, компетентному для целей, указанных в статье 1(1) в третьей стране, является неэффективной или неуместной, в частности, потому, что передача не может быть осуществлена ​​своевременно;

(г)

орган, компетентный для целей, указанных в статье 1(1) в третьей стране, информируется без неоправданной задержки, за исключением случаев, когда это является неэффективным или неуместным;

(е)

передающий компетентный орган информирует получателя об указанной цели или целях, для которых персональные данные подлежат обработке только последним, при условии, что такая обработка необходима.

2.   Международным соглашением, упомянутым в параграфе 1, является любое двустороннее или многостороннее международное соглашение, действующее между государствами-членами ЕС и третьими странами в области судебного сотрудничества по уголовным делам и сотрудничества полиции.

3.   Передающий компетентный орган должен информировать надзорный орган о передачах в соответствии с настоящей статьей.

4.   Если передача осуществляется на основании пункта 1, такая передача должна быть документально подтверждена.

Статья 40

Международное сотрудничество по защите персональных данных

В отношении третьих стран и международных организаций Комиссия и государства-члены должны предпринять соответствующие шаги для:

(а)

разработать механизмы международного сотрудничества для содействия эффективному обеспечению соблюдения законодательства о защите персональных данных;

(б)

оказывать международную взаимную помощь в обеспечении соблюдения законодательства о защите персональных данных, в том числе посредством уведомления, направления жалоб, помощи в расследованиях и обмена информацией, при условии соблюдения соответствующих гарантий защиты персональных данных и других основных прав и свобод;

(с)

привлекать соответствующие заинтересованные стороны к обсуждению и деятельности, направленной на развитие международного сотрудничества в обеспечении соблюдения законодательства о защите персональных данных;

(г)

содействовать обмену и документированию законодательства и практики защиты персональных данных, в том числе в отношении юрисдикционных конфликтов с третьими странами.

ГЛАВА VI

Независимые надзорные органы

Секция 1

Независимый статус

Статья 41

Надзорный орган

1.   Каждое государство-член должно предусмотреть один или несколько независимых государственных органов, которые будут нести ответственность за мониторинг применения настоящей Директивы, чтобы защитить основные права и свободы физических лиц в отношении обработки и облегчить свободный поток персональных данных. внутри Союза («надзорный орган»).

2.   Каждый надзорный орган должен способствовать последовательному применению настоящей Директивы на всей территории Союза. С этой целью надзорные органы должны сотрудничать друг с другом и с Комиссией в соответствии с Главой VII.

3.   Государства-члены ЕС могут предусмотреть, чтобы надзорный орган, созданный в соответствии с Регламентом (ЕС) 2016/679, был надзорным органом, указанным в настоящей Директиве, и принимал на себя ответственность за задачи надзорного органа, который будет создан в соответствии с пунктом 1 настоящей статьи.

4.   Если в государстве-члене учреждено более одного надзорного органа, это государство-член должно назначить надзорный орган, который должен представлять эти органы в Совете директоров, указанный в статье 51.

Статья 42

Независимость

1.   Каждое государство-член должно обеспечить каждому надзорному органу полную независимость при выполнении своих задач и осуществлении своих полномочий в соответствии с настоящей Директивой.

2.   Государства-члены должны обеспечивать члену или членам своих надзорных органов при выполнении своих задач и осуществлении своих полномочий в соответствии с настоящей Директивой, чтобы они оставались свободными от внешнего влияния, прямого или косвенного, и чтобы они не стремились и не принимать чьих-либо указаний.

3.   Члены надзорных органов государств-членов ЕС должны воздерживаться от любых действий, несовместимых с их обязанностями, и не должны в течение срока своих полномочий заниматься какой-либо несовместимой деятельностью, независимо от того, приносят ли они доход или нет.

4.   Каждое государство-член должно гарантировать, что каждый надзорный орган обеспечен человеческими, техническими и финансовыми ресурсами, помещениями и инфраструктурой, необходимыми для эффективного выполнения его задач и осуществления своих полномочий, в том числе тех, которые должны осуществляться в контексте взаимного сотрудничества. помощь, сотрудничество и участие в Совете.

5.   Каждое государство-член должно гарантировать, что каждый надзорный орган выбирает и имеет свой собственный персонал, который находится под исключительным руководством члена или членов соответствующего надзорного органа.

6.   Каждое государство-член должно обеспечить, чтобы каждый надзорный орган подвергался финансовому контролю, который не влияет на его независимость, и чтобы он имел отдельные публичные годовые бюджеты, которые могут быть частью общего государственного или национального бюджета.

Статья 43

Общие условия для членов надзорного органа

1.   Государства-члены должны обеспечить назначение каждого члена своих надзорных органов посредством прозрачной процедуры путем:

—

их парламент;

—

их правительство;

—

их глава государства; или

—

независимый орган, которому поручено назначение в соответствии с законодательством государства-члена.

2.   Каждый член должен обладать квалификацией, опытом и навыками, в частности, в области защиты персональных данных, необходимыми для выполнения своих обязанностей и осуществления своих полномочий.

3.   Обязанности члена прекращаются в случае истечения срока полномочий, отставки или принудительного выхода на пенсию в соответствии с законодательством соответствующего государства-члена.

4.   Член может быть уволен только в случае серьезного проступка или если он больше не соответствует условиям, необходимым для выполнения своих обязанностей.

Статья 44

Правила создания надзорного органа

1.   Каждое государство-член должно предусмотреть законом все следующее:

(а)

создание каждого надзорного органа;

(б)

квалификация и условия отбора, необходимые для назначения членом каждого надзорного органа;

(с)

правила и процедуры назначения члена или членов каждого надзорного органа;

(г)

продолжительность срока полномочий члена или членов каждого надзорного органа не менее четырех лет, за исключением первого назначения после 6 мая 2016 года, часть которого может иметь место на более короткий период, если это необходимо для защиты независимости надзорный орган посредством поэтапной процедуры назначения;

(е)

имеет ли член или члены каждого надзорного органа право на повторное назначение и если да, то на какой срок;

(е)

условия, регулирующие обязанности члена или членов и сотрудников каждого надзорного органа, запреты на действия, занятия и льготы, несовместимые с ними во время и после срока полномочий, а также правила, регулирующие прекращение работы.

2.   Член или члены и сотрудники каждого надзорного органа в соответствии с законодательством Союза или государства-члена несут обязанность сохранять профессиональную тайну как во время, так и после окончания срока их полномочий в отношении любой конфиденциальной информации, которая поступила до их сведения в ходе выполнения своих задач или осуществления своих полномочий. В течение срока их полномочий обязанность сохранения профессиональной тайны, в частности, применяется к сообщениям физических лиц о нарушениях настоящей Директивы.

Раздел 2

Компетенция, задачи и полномочия

Статья 45

Компетентность

1.   Каждое государство-член должно обеспечить, чтобы каждый надзорный орган был компетентен для выполнения возложенных на него задач и осуществления предоставленных ему полномочий в соответствии с настоящей Директивой на территории своего собственного государства-члена.

2.   Каждое государство-член должно предусмотреть, чтобы каждый надзорный орган не был компетентен в надзоре за процессуальными операциями судов, действуя в своих судебных полномочиях. Государства-члены ЕС могут предусмотреть, чтобы их надзорный орган не был компетентен контролировать операции по обработке других независимых судебных органов, действуя в своих судебных полномочиях.

Статья 46

Задания

1.   Каждое государство-член должно обеспечить на своей территории каждому надзорному органу:

(а)

контролировать и обеспечивать соблюдение положений, принятых в соответствии с настоящей Директивой, и мер по ее реализации;

(б)

способствовать информированию общественности и пониманию рисков, правил, гарантий и прав в отношении обработки;

(с)

консультировать, в соответствии с законодательством государств-членов, национальный парламент, правительство и другие учреждения и органы по законодательным и административным мерам, касающимся защиты прав и свобод физических лиц в отношении обработки;

(г)

способствовать повышению осведомленности контролеров и обработчиков об их обязательствах в соответствии с настоящей Директивой;

(е)

по запросу предоставлять информацию любому субъекту данных относительно осуществления его прав в соответствии с настоящей Директивой и, при необходимости, сотрудничать с этой целью с надзорными органами в других государствах-членах ЕС;

(е)

рассматривать жалобы, поданные субъектом данных или органом, организацией или ассоциацией в соответствии со статьей 55, а также расследовать, насколько это возможно, предмет жалобы и информировать заявителя о ходе и результатах рассмотрения. расследование в течение разумного периода, в частности, если необходимо дальнейшее расследование или координация с другим надзорным органом;

(г)

проверить законность обработки в соответствии со статьей 17 и проинформировать субъекта данных в течение разумного периода о результатах проверки в соответствии с пунктом 3 этой статьи или о причинах, по которым проверка не была проведена;

(час)

сотрудничать, в том числе путем обмена информацией, и оказывать взаимную помощь другим надзорным органам с целью обеспечения последовательности применения и исполнения настоящей Директивы;

(я)

проводить расследования по вопросам применения настоящей Директивы, в том числе на основании информации, полученной от другого надзорного органа или иного государственного органа;

(к)

отслеживать соответствующие события, поскольку они влияют на защиту персональных данных, в частности развитие информационных и коммуникационных технологий;

(к)

предоставлять консультации по операциям обработки, указанным в статье 28; и

(л)

участвовать в деятельности Совета.

2.   Каждый надзорный орган должен способствовать подаче жалоб, указанных в пункте (f) параграфа 1, посредством таких мер, как предоставление формы подачи жалобы, которую также можно заполнить в электронном виде, не исключая другие средства связи.

3.   Выполнение задач каждого надзорного органа должно быть бесплатным для субъекта данных и уполномоченного по защите данных.

4.   Если запрос явно необоснован или чрезмерен, в частности, потому, что он повторяется, надзорный орган может взимать разумную плату, основанную на его административных расходах, или может отказаться действовать по запросу. Надзорный орган несет бремя доказывания того, что требование является явно необоснованным или чрезмерным.

Статья 47

Полномочия

1.   Каждое государство-член должно предусмотреть по закону, чтобы каждый надзорный орган имел эффективные следственные полномочия. Эти полномочия должны включать как минимум право получать от контролера и обработчика доступ ко всем обрабатываемым персональным данным и ко всей информации, необходимой для выполнения его задач.

2.   Каждое государство-член должно предусмотреть по закону, чтобы каждый надзорный орган имел эффективные корректирующие полномочия, такие как, например:

(а)

выдавать предупреждения контролеру или обработчику о том, что предполагаемые операции по обработке могут нарушить положения, принятые в соответствии с настоящей Директивой;

(б)

приказать контролеру или обработчику привести операции по обработке в соответствие с положениями, принятыми в соответствии с настоящей Директивой, где это применимо, в установленном порядке и в течение определенного периода, в частности, отдав приказ об исправлении или удалении персональных данных или ограничении обработки в соответствии с статье 16;

(с)

наложить временное или окончательное ограничение, включая запрет, на обработку.

3.   Каждое государство-член должно предусмотреть по закону, чтобы каждый надзорный орган имел эффективные консультативные полномочия для консультирования контролера в соответствии с процедурой предварительных консультаций, указанной в Статье 28, и для выдачи заключений по собственной инициативе или по запросу своему национальному органу. парламенту и его правительству или, в соответствии с его национальным законодательством, другим учреждениям и органам, а также общественности по любому вопросу, связанному с защитой персональных данных.

4.   Осуществление полномочий, предоставленных надзорному органу в соответствии с настоящей статьей, подлежит соответствующим гарантиям, включая эффективные судебные средства правовой защиты и надлежащую правовую процедуру, как это изложено в законодательстве Союза и государств-членов в соответствии с Уставом.

5.   Каждое государство-член должно предусмотреть законом, чтобы каждый надзорный орган имел право доводить нарушения положений, принятых в соответствии с настоящей Директивой, до сведения судебных органов и, при необходимости, начинать или иным образом участвовать в судебных разбирательствах, чтобы обеспечить соблюдение положений, принятых в соответствии с настоящей Директивой.

Статья 48

Сообщение о нарушениях

Государства-члены должны предусмотреть, чтобы компетентные органы внедрили эффективные механизмы, поощряющие конфиденциальное сообщение о нарушениях настоящей Директивы.

Статья 49

Отчеты о деятельности

Каждый надзорный орган составляет ежегодный отчет о своей деятельности, который может включать перечень видов заявленных нарушений и видов наложенных штрафов. Эти отчеты передаются национальному парламенту, правительству и другим органам власти, предусмотренным законодательством государств-членов. Они должны быть доступны общественности, Комиссии и Совету.

ГЛАВА VII

Сотрудничество

Статья 50

Взаимопомощь

1.   Каждое государство-член ЕС должно обеспечить своим надзорным органам предоставление друг другу соответствующей информации и взаимной помощи в целях последовательного внедрения и применения настоящей Директивы, а также принятия мер для эффективного сотрудничества друг с другом. Взаимная помощь охватывает, в частности, информационные запросы и меры надзора, такие как запросы о проведении консультаций, инспекций и расследований.

2.   Каждое государство-член ЕС должно предусмотреть, чтобы каждый надзорный орган принял все соответствующие меры, необходимые для ответа на запрос другого надзорного органа без неоправданной задержки и не позднее, чем через один месяц после получения запроса. Такие меры могут включать, в частности, передачу соответствующей информации о проведении расследования.

3.   Запросы на помощь должны содержать всю необходимую информацию, включая цель и причины запроса. Обмениваемая информация должна использоваться только для той цели, для которой она была запрошена.

4.   Запрашиваемый надзорный орган не может отказать в удовлетворении запроса, за исключением случаев, когда:

(а)

он не компетентен в отношении предмета запроса или мер, которые его просят выполнить; или

(б)

выполнение запроса нарушит настоящую Директиву или закон Союза или государства-члена, которому подчиняется надзорный орган, получивший запрос.

5.   Запрашиваемый надзорный орган должен информировать запрашивающий надзорный орган о результатах или, в зависимости от обстоятельств, о ходе мер, принятых для ответа на запрос. Запрашиваемый надзорный орган должен указать причины любого отказа удовлетворить запрос в соответствии с параграфом 4.

6.   Запрашиваемые надзорные органы, как правило, предоставляют информацию, запрошенную другими надзорными органами, электронными средствами, используя стандартизированный формат.

7.   Запрашиваемые надзорные органы не взимают плату за любые действия, предпринятые ими во исполнение запроса о взаимной помощи. Надзорные органы могут согласовать правила возмещения друг другу конкретных расходов, возникающих в связи с оказанием взаимопомощи в исключительных обстоятельствах.

8.   Комиссия может посредством исполнительных актов определять формат и процедуры взаимной помощи, упомянутой в настоящей статье, а также механизмы обмена информацией с помощью электронных средств между надзорными органами, а также между надзорными органами и Советом. Эти исполнительные акты должны быть приняты в соответствии с процедурой рассмотрения, указанной в Статье 58(2).

Статья 51

Задачи Совета

1.   Совет, учрежденный Регламентом (ЕС) 2016/679, должен выполнять все следующие задачи в отношении обработки в рамках настоящей Директивы:

(а)

консультировать Комиссию по любому вопросу, связанному с защитой персональных данных в Союзе, включая любые предлагаемые поправки к настоящей Директиве;

(б)

рассматривать по собственной инициативе, по запросу одного из своих членов или по запросу Комиссии, любой вопрос, касающийся применения настоящей Директивы, и издавать руководящие принципы, рекомендации и передовой опыт с целью поощрения последовательного применения настоящей Директивы;

(с)

разработать инструкции для надзорных органов относительно применения мер, указанных в статье 47(1) и (3);

(г)

издавать руководящие принципы, рекомендации и передовой опыт в соответствии с пунктом (b) настоящего подпункта для установления нарушений персональных данных и определения неоправданной задержки, упомянутой в статье 30(1) и (2), а также для конкретных обстоятельств, при которых контролер или процессор обязан уведомить об утечке персональных данных;

(е)

издавать руководящие принципы, рекомендации и передовой опыт в соответствии с пунктом (b) настоящего подпункта в отношении обстоятельств, при которых нарушение персональных данных может привести к высокому риску для прав и свобод физических лиц, как указано в статье 31( 1);

(е)

рассмотреть практическое применение руководств, рекомендаций и передового опыта, указанных в пунктах (b) и (c);

(г)

предоставить Комиссии заключение для оценки адекватности уровня защиты в третьей стране, на территории или в одном или нескольких указанных секторах в третьей стране или международной организации, в том числе для оценки того, является ли такая третья страна, территория, конкретный сектор или международная организация больше не обеспечивают адекватный уровень защиты;

(час)

способствовать сотрудничеству и эффективному двустороннему и многостороннему обмену информацией и передовым опытом между надзорными органами;

(я)

продвигать общие программы обучения и облегчать обмен персоналом между надзорными органами и, при необходимости, с надзорными органами третьих стран или международными организациями;

(к)

способствовать обмену знаниями и документацией по законодательству и практике защиты данных с органами надзора за защитой данных по всему миру.

Что касается пункта (g) первого подпараграфа, Комиссия должна предоставить Совету всю необходимую документацию, включая переписку с правительством третьей страны, с территорией или указанным сектором в этой третьей стране или с международной организацией.

2.   Если Комиссия запрашивает совет у Совета, она может указать срок, принимая во внимание срочность вопроса.

3.   Совет направляет свои мнения, руководящие принципы, рекомендации и передовой опыт Комиссии и комитету, указанному в Статье 58(1), и обнародует их.

4.   Комиссия информирует Совет о действиях, которые она предприняла в соответствии с мнениями, руководящими принципами, рекомендациями и передовой практикой, выпущенными Советом.

ГЛАВА VIII

Средства правовой защиты, ответственность и штрафы

Статья 52

Право на подачу жалобы в надзорный орган

1.   Без ущерба любым другим административным или судебным средствам правовой защиты государства-члены ЕС должны предоставить каждому субъекту данных право подать жалобу в один надзорный орган, если субъект данных считает, что обработка относящихся к нему персональных данных нарушает положения, принятые в соответствии с настоящей Директивой.

2.   Государства-члены должны предусмотреть, чтобы надзорный орган, в который была подана жалоба, передал ее компетентному надзорному органу без неоправданной задержки, если жалоба не подана в надзорный орган, который является компетентным в соответствии со статьей 45(1). Субъект данных должен быть проинформирован о передаче.

3.   Государства-члены должны предусмотреть, чтобы надзорный орган, в который была подана жалоба, мог оказывать дополнительную помощь по запросу субъекта данных.

4.   Субъект данных должен быть проинформирован компетентным надзорным органом о ходе и результатах рассмотрения жалобы, включая возможность судебного средства правовой защиты в соответствии со статьей 53.

Статья 53

Право на эффективное судебное средство правовой защиты против надзорного органа

1.   Без ущерба для любого другого административного или внесудебного средства правовой защиты, государства-члены ЕС должны обеспечить право физического или юридического лица на эффективное судебное средство правовой защиты против юридически обязательного решения надзорного органа, касающегося их.

2.   Без ущерба для любого другого административного или внесудебного средства правовой защиты каждый субъект данных имеет право на эффективное судебное средство правовой защиты, если надзорный орган, компетентный в соответствии со статьей 45(1), не рассматривает жалобу или не информирует субъект данных в течение трех месяцев с момента рассмотрения или результата жалобы, поданной в соответствии со статьей 52.

3.   Государства-члены должны предусмотреть рассмотрение дел против надзорного органа в судах государства-члена, в котором учрежден надзорный орган.

Статья 54

Право на эффективное судебное средство правовой защиты против контролера или процессора

Без ущерба для любых доступных административных или внесудебных средств правовой защиты, включая право подать жалобу в надзорный орган в соответствии со статьей 52, государства-члены должны предусмотреть право субъекта данных на эффективное судебное средство правовой защиты, если он или она считает, что его или ее права, изложенные в положениях, принятых в соответствии с настоящей Директивой, были нарушены в результате обработки его или ее персональных данных с несоблюдением этих положений.

Статья 55

Представление субъектов данных

Государства-члены в соответствии с процессуальным законодательством государств-членов должны предоставить субъекту данных право поручить некоммерческому органу, организации или ассоциации, которые были надлежащим образом созданы в соответствии с законодательством государства-члена, имеют уставные цели, которые действуют в общественных интересах и активно участвуют в защите прав и свобод субъекта данных в отношении защиты его персональных данных, подачи жалобы от его или ее имени и реализации прав, указанных в статьях 52, 53 и 54 от его имени.

Статья 56

Право на компенсацию

Государства-члены ЕС должны предоставить любому лицу, понесшему материальный или нематериальный ущерб в результате незаконной операции по обработке данных или любого действия, нарушающего национальные положения, принятые в соответствии с настоящей Директивой, право на получение компенсации за ущерб, понесенный от контролера. или любой другой орган, компетентный в соответствии с законодательством государства-члена.

Статья 57

Штрафы

Государства-члены ЕС должны установить правила о штрафах, применимых к нарушениям положений, принятых в соответствии с настоящей Директивой, и принять все меры, необходимые для обеспечения их выполнения. Предусмотренные наказания должны быть эффективными, соразмерными и оказывающими сдерживающее воздействие.

ГЛАВА IX

Реализация актов

Статья 58

Процедура комитета

1.   Комиссии будет оказывать помощь комитет, учрежденный Статьей 93 Регламента (ЕС) 2016/679. Этот комитет должен быть комитетом в значении Регламента (ЕС) № 182/2011.

2.   При ссылке на этот параграф применяется Статья 5 Регламента (ЕС) № 182/2011.

3.   При ссылке на настоящий параграф применяется Статья 8 Регламента (ЕС) № 182/2011 в сочетании со Статьей 5.

ГЛАВА X

Заключительные положения

Статья 59

Отмена рамочного решения 2008/977/JHA

1.   Рамочное решение 2008/977/JHA отменяется с 6 мая 2018 года.

2.   Ссылки на отмененное Решение, упомянутое в параграфе 1, должны толковаться как ссылки на настоящую Директиву.

Статья 60

Правовые акты Союза уже вступили в силу

Конкретные положения о защите персональных данных в правовых актах Союза, вступивших в силу 6 мая 2016 года или до этой даты, в области судебного сотрудничества по уголовным делам и сотрудничества полиции, которые регулируют обработку данных между государствами-членами и доступ уполномоченных органов члена. Государства к информационным системам, созданным в соответствии с Договорами в рамках настоящей Директивы, остаются в силе.

Статья 61

Связь с ранее заключенными международными соглашениями в сфере судебного сотрудничества по уголовным делам и сотрудничества полиции

Международные соглашения, предусматривающие передачу персональных данных в третьи страны или международные организации, которые были заключены государствами-членами до 6 мая 2016 года и которые соответствуют законодательству Союза, применимому до этой даты, остаются в силе до тех пор, пока не будут изменены, заменены или аннулированы.

Статья 62

Отчеты комиссии

1.   К 6 мая 2022 года и каждые четыре года после этого Комиссия должна представить отчет об оценке и пересмотре настоящей Директивы Европейскому Парламенту и Совету. Отчеты должны быть обнародованы.

2.   В контексте оценок и проверок, упомянутых в параграфе 1, Комиссия должна изучить, в частности, применение и функционирование Главы V о передаче персональных данных третьим странам или международным организациям, уделяя особое внимание решениям, принятым в соответствии с к Статье 36(3) и Статье 39.

3.   Для целей параграфов 1 и 2 Комиссия может запрашивать информацию у государств-членов ЕС и надзорных органов.

4.   При проведении оценок и обзоров, упомянутых в параграфах 1 и 2, Комиссия должна учитывать позиции и выводы Европейского парламента, Совета и других соответствующих органов или источников.

5.   Комиссия, при необходимости, представит соответствующие предложения с целью внесения поправок в настоящую Директиву, в частности, с учетом развития информационных технологий и в свете состояния прогресса в информационном обществе.

6.   К 6 мая 2019 года Комиссия должна рассмотреть другие правовые акты, принятые Союзом, которые регулируют обработку компетентными органами для целей, изложенных в Статье 1(1), включая те, которые указаны в Статье 60, чтобы оценить необходимость привести их в соответствие с настоящей Директивой и внести, при необходимости, необходимые предложения по внесению поправок в эти акты для обеспечения последовательного подхода к защите персональных данных в рамках настоящей Директивы.

Статья 63

Транспонирование

1.   Государства-члены должны принять и опубликовать до 6 мая 2018 года законы, нормативные акты и административные положения, необходимые для соблюдения настоящей Директивы. Они должны немедленно уведомить Комиссию о тексте этих положений. Они начнут применять эти положения с 6 мая 2018 года.

Когда государства-члены ЕС принимают эти положения, они должны содержать ссылку на настоящую Директиву или сопровождаться такой ссылкой в ​​случае их официальной публикации. Государства-члены ЕС должны определить, как следует делать такую ​​ссылку.

2.   В порядке отступления от параграфа 1 государство-член может предусмотреть, в исключительных случаях, когда это требует непропорциональных усилий, чтобы автоматизированные системы обработки, созданные до 6 мая 2016 года, были приведены в соответствие со Статьей 25(1) к 6 мая 2023 года.

3.   В порядке отступления от пунктов 1 и 2 настоящей статьи, государство-член может, в исключительных обстоятельствах, привести автоматизированную систему обработки, указанную в пункте 2 настоящей статьи, в соответствие со статьей 25(1) в течение определенного периода. по истечении срока, указанного в пункте 2 настоящей статьи, если это иным образом может вызвать серьезные трудности для работы данной конкретной автоматизированной системы обработки. Соответствующее государство-член должно уведомить Комиссию о причинах этих серьезных трудностей и основаниях для указанного периода, в течение которого оно должно привести эту конкретную автоматизированную систему обработки в соответствие со Статьей 25(1). Указанный срок в любом случае не позднее 6 мая 2026 года.

4.   Государства-члены должны сообщить Комиссии текст основных положений национального законодательства, которые они принимают в области, охватываемой настоящей Директивой.

Статья 64

Вступление в силу

Настоящая Директива вступает в силу на следующий день после ее публикации в Официальном журнале Европейского Союза.

Статья 65

Адресаты

Данная Директива адресована государствам-членам.

Совершено в Брюсселе 27 апреля 2016 г.

За Европейский Парламент

Президент

М. ШУЛЬЦ

Для Совета

Президент

ДА. ХЕННИС-ПЛАССХЕРТ

(1) OJ C 391, 18.12.2012, с. 127.

(2)  Позиция Европейского парламента от 12 марта 2014 г. (еще не опубликована в Официальном журнале) и позиция Совета в первом чтении от 8 апреля 2016 г. (еще не опубликована в Официальном журнале). Позиция Европейского парламента от 14 апреля 2016 г.

(3)  Директива 95/46/EC Европейского парламента и Совета от 24 октября 1995 г. о защите частных лиц в отношении обработки персональных данных и о свободном перемещении таких данных (OJ L 281, 23.11.1995 г.) , стр. 31).

(4) Рамочное решение Совета 2008/977/JHA от 27 ноября 2008 г. о защите персональных данных, обрабатываемых в рамках сотрудничества полиции и судебных органов по уголовным делам (OJ L 350, 30.12.2008, стр. 60).

(5)  Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и об отмене Директивы 95/46. /EC (Общий регламент по защите данных) (см. стр. 1 настоящего официального журнала).

(6)  Регламент (ЕС) № 45/2001 Европейского парламента и Совета от 18 декабря 2000 г. о защите физических лиц в отношении обработки персональных данных учреждениями и органами Сообщества, а также о свободном перемещении таких данных. (ОЖ Л 8, 12.1.2001, стр. 1).

(7)  Директива 2011/24/EU Европейского парламента и Совета от 9 марта 2011 г. о применении прав пациентов в трансграничном здравоохранении (ОЖ L 88, 4.4.2011, стр. 45).

(8) Общая позиция Совета 2005/69/JHA от 24 января 2005 г. об обмене определенными данными с Интерполом (OJ L 27, 29 января 2005 г., стр. 61).

(9)  Решение Совета 2007/533/JHA от 12 июня 2007 г. о создании, эксплуатации и использовании Шенгенской информационной системы второго поколения (SIS II) (OJ L 205, 07.08.2007, стр. 63).

(10) Директива Совета 77/249/EEC от 22 марта 1977 г., призванная облегчить эффективное осуществление адвокатами свободы предоставления услуг (OJ L 78, 26.3.1977, стр. 17).

(11)  Регламент (ЕС) № 182/2011 Европейского парламента и Совета от 16 февраля 2011 г., устанавливающий правила и общие принципы, касающиеся механизмов контроля со стороны государств-членов за осуществлением Комиссией имплементационных полномочий (OJ L 55, 28.2.2011, стр. 13).

(12)  Решение Совета 2008/615/JHA от 23 июня 2008 г. об активизации трансграничного сотрудничества, особенно в борьбе с терроризмом и трансграничной преступностью (OJ L 210, 6 августа 2008 г., стр. 1).

(13)  Акт Совета от 29 мая 2000 г., устанавливающий в соответствии со статьей 34 Договора о Европейском Союзе Конвенцию о взаимной помощи по уголовным делам между государствами-членами Европейского Союза (ОЖ C 197, 12.7.2000, стр. 1) .

(14)  Директива 2011/93/EU Европейского парламента и Совета от 13 декабря 2011 г. о борьбе с сексуальным насилием и сексуальной эксплуатацией детей и детской порнографией, заменяющая Рамочное решение Совета 2004/68/JHA (OJ L 335, 17.12.2011, п. 1).

(15) ОЖ L 176, 10 июля 1999 г., с. 36.

(16) ОЖ L 53, 27 февраля 2008 г., с. 52.

(17) ОЖ L 160, 18 июня 2011 г., с. 21.

(18) OJ C 192, 30 июня 2012 г., стр. 1. 7.

Вершина