РЕКОМЕНДАЦІЯ № R (91) 10

КОМІТЕТУ МІНІСТРІВ

 (Схвалено Комітетом міністрів 9 вересня 1991 року на 461-му засіданні заступників міністрів)

 

Комітет міністрів згідно зі статтею 15.b Статуту Ради Європи,

 

беручи до уваги, що завдання Ради Європи полягає в досягненні більшоїєдності держав-членів;

зауважуючи, що автоматизована обробка даних дала державним органамможливість зберігати такі дані в електронному вигляді, включаючидані особистого характеру, які вони збирають для цілей виконання своїх функцій;

усвідомлюючи те, що нові автоматизовані методи зберігання таких данихполегшують доступ третіх сторін до них, що сприяє кращому розповсюдженнюінформації серед громадськості, яке заохочується Комітетом міністрів у його Рекомендації № R(81) 19 щодо доступу до інформації, що знаходиться у розпорядженні державних органів, а також у його Декларації від 29 квітня 1982 року про свободу самовираження та інформації;

вважаючи, однак, що автоматизація даних, які збираються та зберігаютьсядержавними органами, вимагає розглянути її вплив на дані особистогохарактеру або файли з даними особистого характеру, що збираютьсята зберігаються державними органами для цілей виконання ними своїх функцій;

Зауважуючи зокрема, що автоматизація даних особистого характеру або файлів з даними особистого характеру підвищила ризик посягання на приватне життя, оскільки вона дає можливість ширшого доступу за допомогоюінтегрованих засобів передачі даних до даних особистого характеру тафайлів з даними особистого характеру, що знаходяться у розпорядженнідержавних органів, а також передачі таких даних або файлів з даними особистого характеру третім сторонам;

пам’ятаючи у зв’язку з цим про підвищення тенденцій з боку приватногосектора до експлуатації комерційних переваг даних особистого характеручи файлів з даними особистого характеру, що знаходяться у розпорядженні державних органів, а також про нову політику державних органів,

що передбачає передачу даних особистого характеру та файлів з данимиособистого характеру за допомогою електронних засобів зв’язку третімсторонам на комерційний основі;

будучи рішуче налаштованими сприяти поширенню принципів захистуданих, що спираються на Конвенцію про захист фізичних осіб стосовнообробки даних особистого характеру від 28 січня 1981 року, для того щобпередача державними органами даних особистого характеру чи файлів зданими особистого характеру третім сторонам, зокрема за допомогою електричнихзасобів зв’язку, здійснювалася на основі закону тасупроводжуваласязабезпеченням відповідних гарантій суб’єктові даних;

Зауважуючи зокрема, що ці принципи захисту даних мають знайти своєвідображення у новому контексті автоматизації, що нині характеризуєпередачу даних особистого характеру та файлів з даними особистого характерутретім сторонам відповідно до правових положень, що регулюютьдоступ третіх сторін до даних особистого характеру та файлів з данимиособистого характеру;

рекомендує урядам держав-членів:

i) брати до уваги принципи, що містяться у Додатку до цієї Рекомендації, у випадках, коли дані особистого характеру або файли з даними особистогохарактеру, що збираються або зберігаються державними органами,надаються третім сторонам;

ii) приділяти належну увагу принципам, що містяться в Додатку до цієїРекомендації, у їхньому праві та практиці, з огляду на автоматизацію тапередачу третім сторонам за допомогою електронних засобів зв’язку данихособистого характеру та файлів з даними особистого характеру;

iii) забезпечувати широке розповсюдження принципів, що містяться уДодатку до цієї Рекомендації серед державних органів;

iv) донести принципи, що містяться у Додатку до цієї Рекомендації, довідома державних органів, створених відповідно до законодавства про захистданих або законодавства про доступ до інформації публічного сектора.

ДОДАТОК

ДО РЕКОМЕНДАЦІЇ № R (91) 10

1.      Сфера застосування та тлумачення термінів

1.1.   Принципи, що містяться у цій Рекомендації, застосовуються до автоматизованої обробки даних особистого характеру, які збираються державними органами та можуть передаватися третім сторонам.

1.2.   Держави-члени можуть розширити сферу застосування цієї Рекомендації для включення до неї даних, що стосуються груп, підприємств, асоціацій та інших організацій, незалежно від того, чи вони володіють правосуб’єктністю, а також даних, що знаходяться у неавтоматизованій формі.

У цій Рекомендації поняття вживаються у такому значенні:

1.3.   Поняття «дані особистого характеру» означають будь-яку інформацію, яка стосується визначеної особи або особи, яку неможливо визначити (суб’єкт даних). Фізична особа не може вважатися такою, яку можна визначити, якщо визначення вимагає нерозумної кількості часу, коштів і праці.

Поняття «державні органи» означає будь-яку адміністрацію, інституцію, заклад чи інший орган, який виконує публічні функції, завдяки тому, що його було наділено публічними повноваженнями.

Національне право може давати ширше визначення поняття «державні органи».

Поняття «файли, доступні третім сторонам» означає файли, що знаходяться у розпорядженні державних органів і містять дані особистого характеру, які можуть повідомлятися громадськості чи третім сторонам, які мають особливий інтерес і які повідомляються відповідно до загальних законів про доступ до інформації публічного сектора або свободу інформації, конституційних положень, а також спеціальних законів, нормативних актів і прецедентів, що дозволяють третім сторонам мати доступ до інформації, що знаходиться у розпорядженні державних органів, включаючи за допомогою офіційного оприлюднення.

Поняття «повідомлення інформації» означає надання доступу до файлів чи даних особистого характеру, наприклад дозволяючи ознайомлення з ними, передаючи ці дані каналами зв’язку, поширюючи їх або забезпечуючи доступ до них, незалежно якими засобами. Поняття «третя сторона» означає фізичних і юридичних осіб, яким передаються дані особистого характеру державними органами, за винятком інших державних органів.

Національне право може давати ширше визначення поняття «третя сторона».

2.      Повага до приватного життя та принципи захисту даних

2.1.   Повідомлення, зокрема засобами електронного зв’язку, даних особистого характеру чи файлів з даними особистого характеру третім сторонам має супроводжуватися гарантіями, що приватне життя суб’єкта даних не буде порушуватися в незаконному порядку.

a) це передбачено спеціальним законом; або

b) громадськість має доступ до них відповідно до правових положень, що регулюють доступ до інформації публічного сектора; або

c) повідомлення здійснюється відповідно до національного законодавства про захист інформації; або

d) суб’єкт даних вільно та поінформовано надав свою згоду.

2.2.   Якщо нормами національного права не передбачено забезпечення належних гарантій суб’єкта даних, дані особистого характеру або файли з даними особистого характеру не можуть повідомлятися третім сторонам для цілей, що не відповідають тим, для яких ці дані були зібрані.

2.3.   Національне законодавство про захист даних має застосовуватися до обробки третіми сторонами даних особистого характеру, що повідомляються їм державними органами.

3.       Дані чутливого характеру

3.1.   Дані особистого характеру, що підпадають під будь-яку з категорій, визначених статтею 6 Конвенції про захист фізичних осіб стосовно автоматизованої обробки даних особистого характеру, не повинні зберігатись у файлі чи частині файлу, загальнодоступних третім сторонам.

Будь-які винятки з цього принципу мають бути чітко передбачені законом із забезпеченням відповідних гарантій суб’єктові даних.

3.2.   Положення принципу 3.1 не обмежують можливість зберігання у файлах, доступних третім сторонам, категорій даних, які за інших обставин вважалися б чутливими, однак є доступними третім сторонам, оскільки ці дані стосуються таких суб’єктові даних у публічному житті, які виконують функції, що належать до публічної сфери. 

4.      Загальнодоступні дані

4.1.   Цілі, для яких дані будуть збиратися та зберігатися у файлах, доступних третім сторонам, а також публічний інтерес, що виправдовує надання доступу до них, мають зазначатися відповідно до норм національного права та практики.

4.2.   Перед або в будь-який час протягом збору даних суб’єкти даних мають бути поінформовані відповідно до норм національного права та практики про обов’язковість чи необов’язковість збору таких даних, про правову основу та цілі збору й обробки даних особистого характеру, а також публічний інтерес, що виправдовує надання доступу до них.

4.3.   Державні органи мають уникати повідомлення третім сторонам даних особистого характеру, які зберігаються у файлах, доступних громадськості, та які стосуються суб’єктів даних, чиї безпека та приватне життя можуть особливо постраждати.

5.      Доступ і повідомлення даних особистого характеру за допомогою електронних засобів

5.1.   Автоматизована обробка даних особистого характеру, які зберігаються у файлах, доступних третім сторонам, повинна здійснюватися відповідно до норм національного права. Норми національного права мають встановити умови, що регулюють повідомлення або доступ до цих даних, і, зокрема, передбачати умови, що регулюють автоматизоване повідомлення або ознайомлення з цими даними у режимі реального часу.

5.2.   При автоматизованому повідомленні інформації слід використовувати технічні засоби, розроблені для обмеження електронних запитів і пошуку інформації з метою запобігти неуповноваженому ознайомленню та отриманню даних особистого характеру або файлів, які містять такі дані.

6.      Обробка третіми сторонами даних особистого характеру, що походять з файлів, доступних третім сторонам

6.1.   У випадках, коли суб’єкт даних зобов’язаний надати свої дані для збереження у файлах, доступних третім сторонам, обробка даних особистого характеру третіми сторонами має здійснюватися або за умови отримання прямої та поінформованої згоди суб’єкта даних, або відповідно до встановлених законом вимог.

У випадках, на які поширюється вимога отримати згоду, суб’єкт даних повинен мати можливість у будь-який час скасувати свою згоду.

6.2.   У випадках, коли збереження даних особистого характеру у файлах, доступних третім сторонам, не є обов’язковим, суб’єкт даних має бути поінформований до або під час збору інформації про свої права:

a) не зберігати свої дані у файлах, доступних третім сторонам; або

b) зберігати свої дані в такому файлі та дозволити їх повідомлення, однак, без здійснення їх обробки третіми сторонами; або

c) заперечувати проти того, щоб треті сторони і надалі мали можливість обробляти його дані; або

d) знищувати свої дані у будь-який час.

6.3.   Якщо третя сторона створює файл, у якому містяться дані особистого характеру, отримані з файлів, доступних третім сторонам, такий файл повинен підпадати під вимоги норм національного законодавства про захист даних, включаючи права суб’єкта даних.

Зокрема, суб’єкт даних повинен мати можливість дізнаватися про існування нового файлу, ціль його створення та права суб’єкта на те, щоб стирати його дані з такого файлу.

7.      Взаємопід’єднання та підключення файлів

7.1.   Окрім випадків, коли це дозволено нормами національного права із забезпеченням належних гарантій суб’єктові даних, взаємопід’єднання, зокрема за допомогою під’єднання, об’єднання або завантаження, файлів з даними особистого характеру, що складаються з даних особистого характеру, які походять з файлів, доступних третім сторонам, а також підключення та взаємопід’єднання файлів або даних особистого характеру, що знаходяться у розпорядженні третіх сторін, де один або більше файлів знаходяться у розпорядженні державних органів, для збагачення наявних файлів або даних, мають бути забороненими.

8.      Транскордонні потоки даних

8.1.   Принципи цієї Рекомендації поширюються на транскордонну передачу даних особистого характеру, які збираються державними органами та можуть бути повідомленими третім сторонам.

8.2.    Транскордонна передача даних особистого характеру третім сторонам, які проживають у державі, що ратифікувала Конвенцію № 108 і має, таким чином, закон про захист даних, не повинна підпадати під спеціальні умови захисту приватного життя.

8.3.   У випадках, коли дотримується принцип рівнозначного захисту, не повинні встановлюватися обмеження на транскордонну передачу даних особистого характеру третім сторонам, які проживають у державі, що не ратифікувала Конвенцію № 180, але має законодавчі положення, які відповідають принципам зазначеної Конвенції та цієї Рекомендації.

8.4.   Якщо інше не передбачено нормами національного права, транскордонна передача даних особистого характеру третім сторонам, які проживають у державі, законодавчі положення якої не відповідають Конвенції № 108 або цій Рекомендації, не повинна, як правило, здійснюватися, окрім випадків, коли:

a) вжито необхідні заходи, включаючи договірного характеру, для дотримання принципів зазначеної Конвенції та цієї Рекомендації, а суб’єкт даних має можливість заперечувати проти такої передачі даних; або

b) суб’єкт даних вільно та поінформовано надав свою письмову згоду та має можливість у будь-який час скасувати її.

8.5.   Слід вживати заходів для уникнення автоматизованої транскордонної передачі даних особистого характеру або файлів, що містять такі дані, третім сторонам без відома суб’єктів даних. 

9.      Координація або співпраця

9.1.   У випадках, коли загальне законодавство, що регулює доступ до інформації публічного сектора, передбачає заснування органу нагляду для впровадження такого законодавства, і одночасно існує загальне законодавство про захист даних з окремим органом, відповідальним за впровадження цього законодавства, відповідні державні органи мають узгодити механізм, спрямований на полегшення обміну інформацією щодо умов, якими регулюється передача даних особистого характеру, що походять з файлів, доступних третім сторонам.