Рекомендація № R (95) 4 Щодо захисту даних особистого характеру в сфері телекомунікаційних послуг

June 15, 2005

РЕКОМЕНДАЦІЯR (95) 4

 

КОМІТЕТУ МІНІСТРІВ ДЕРЖАВАМ – ЧЛЕНАМ РАДИ  ЄВРОПИ

 

ЩОДО ЗАХИСТУ ДАНИХ ОСОБИСТОГО ХАРАКТЕРУ В  СФЕРІ ТЕЛЕКОМУНІКАЦІЙНИХ ПОСЛУГ,

 

З ОСОБЛИВИМИ РЕКОМЕНДАЦІЯМИ ДЛЯ ТЕЛЕФОННИХ ПОСЛУГ

 

 

 

(ухвалена  Комітетом  Міністрів  7 лютого 1995 року під час 528-го засідання представників міністрів)

 

 


 

Комітет Міністрів, на підставі статті 15.bСтатуту Ради Європи,

 

вважаючи,  що метою Ради Європи є досягнення більш тісного єднання між її членами;

 

усвідомлюючи  зростаюче використання інформатики в сфері телекомунікаційних послуг та переваги, які користувачі отримують від розвитку технологій, зокрема в сфері телефонних послуг;

 

усвідомлюючи , в цьому контексті, спрямованість розвитку на перехід в мережах до цифрових технологій, як і ті переваги, що він приносить користувачам телекомунікаційних послуг;

 

зважаючи  все-таки  на те, що технологічний розвиток в сфері телекомунікаційних засобів,  зокрема телефонних послуг, може містити ймовірні ризики для приватного життя користувача, як і ймовірні утиски його свободи комунікаційних обмінів даними;

 

посилаючись  в цьому відношенні на певні нові характеристики, зокрема в сфері телефонних послуг, наприклад,  на ідентифікацію лінії виклику, службу переадресування виклику і мобільні телефони, як і пошукові пристрої недоброзичливих викликів і пристрої автоматичних викликів;

 

відмічаючи  також ризики для приватного життя та свободи комунікаційних обмінів даними, пов’язані з отриманням телефонних рахунків з деталізацією викликаних номерів;

 

визнаючи,  що положення Конвенції про захист  осіб  стосовно автоматизованої обробки даних особистого характеру   (Страсбург, 1981 р., STEn° 108) поширюються  на діяльність в царині автоматизованої обробки даних операторами мережі або будь-якою іншою  особою, що постачає телекомунікаційні послуги;

 

зважаючи, тим не менше,   на те,  що доцільно було б уточнити загальні положення конвенції для того, щоб адаптувати  їх  до збору та обробки даних особистого характеру операторами   мережі  або будь-якою іншою особою, що постачає телекомунікаційні послуги;

 

рекомендує урядам держав-членів :

 
  • враховувати в своєму законодавстві та внутрішній практичній діяльності принципи, визначені в додатку до цієї рекомендації;
  • довести цю рекомендацію до відома кожного державного органу, що бере участь в запровадженні національної політики захисту інформації та телекомунікаційних засобів;
  • переконатися  в тому, що положення рекомендації   доведені до відома операторів мережі, постачальників телекомунікаційних послуг, виробників матеріального та програмного устаткування, організацій, що використовують телекомунікації в цілях прямого маркетингу, так саме як і органів, що їх представляють, а також організацій споживачів;
  • робити промоцію   положенням рекомендації в різних міжнародних органах,  де мають справу з сферою телекомунікації.
 

Додаток до Рекомендації № R (95) 4

 

1. Сфера застосування та дефініції

 

1.1. Принципи, викладені в цій рекомендації,  відносяться до операторів мережі та постачальників послуг, які при виконанні своїх функцій збирають та обробляють  дані особистого характеру.

 

1.2. Ці принципи відносяться до даних особистого характеру,  які є предметом автоматичної обробки.

 

Держави – члени можуть поширювати принципи, викладені в цій рекомендації,  на дані особистого характеру, які є об’єктом ручної обробки.

 

1.3. Держави – члени можуть поширювати принципи, викладені в цій рекомендації, на збір і обробку даних особистого характеру встановлюючи зв’язки між юридичними особами.

 

1.4. Для цілей цієї рекомендації :

 
  • вислів  «дані особистого характеру» означає будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною (особа, якої це стосується). Фізична особа не вважається  такою,  що може бути «визначеною», якщо це визначення вимагає нерозумних термінів часу або дій;
  • вислів  «телекомунікаційні послуги» охоплює різні представлення послуг запропоновані за посередництва телекомунікаційних мереж,  що дозволяє користувачам зв’язуватися між собою або  надсилати голосові послання , тексти, зображення, або надсилати дані;
  • вислів  «оператори  мережі» означає будь-яку  державну або приватну юридичну особу, яка надає можливість використання телекомунікаційної мережі;
  • вислів «постачальники послуг» означає будь-яку  державну або приватну юридичну особу, яка надає  телекомунікаційні послуги і керує ними  використовуючи  або мережу, яка надається оператором мережі, або свою власну мережу.
 

2. Повага до приватного життя

 

2.1. Телекомунікаційні послуги і, зокрема, телефонні послуги, що розвиваються, повинні  бути запропоновані  з повагою до приватного життя користувачів, дотриманням таємниці листування  та свободи комунікаційних обмінів даними.

 

2.2.  Оператори мережі і постачальники послуг або матеріального і програмного обладнання мали б отримувати користь від інформаційних технологій  для продукування і експлуатації мереж, устаткування і програмного забезпечення дотримуючись права на приватне життя користувачів.

 

Можливості анонімного доступу до мережі і до телекомунікаційних послуг повинні бути надані в доступне розпорядження.

 

2.3. Будь-яке втручання в зміст комунікації або операторами мережі, або постачальниками послуг повинно бути заборонене, за винятком якщо це не є дозволеним з технічних причин запису або передавання послання, з інших законних причин,  або з виконання контракту послуг, укладеного з абонентом.

 

За умови застосування  основного положення  4.2, дані щодо змісту зібраних послань під час такого втручання,  не повинні бути переданими третій стороні.

 

2.4. Тут не може бути втручання  органів державної влади  в зміст комунікації, включаючи використання пристроїв прослуховування або інших засобів нагляду чи перехоплення комунікацій, якщо тільки таке втручання не є передбаченим законом та не є необхідним заходом  у демократичному суспільстві спрямованим на:

 

a. захист державної та громадської безпеки, валютно-кредитних інтересів держави або на боротьбу із кримінальними правопорушеннями;

 

b. захист відповідної особи  або  право  свободи  інших людей.

 

2.5. У випадках втручання органів державної влади в зміст комунікації, внутрішнє законодавство повинно регламентувати :

 

a.  здійснення прав доступу та внесення змін відповідною особою;

 

b.  умови за яких компетентні державні органи  матимуть право відмовити в наданні інформації відповідній особі або відкласти її надання;

 

c. зберігання або знищення цих даних.

 

Коли оператор мережі або постачальник послуг є уповноваженим державним органом  здійснити втручання, то таким чином зібрані дані мають бути направленими тільки до організації визначеної в дозволі  на таке втручання.

 

2.6. Внутрішнє законодавство повинно визначати умови та гарантії на підставі яких операторам мережі дозволяється використовувати технічні засоби для визначення місцеположення джерела недоброзичливих  або обтяжливих великою кількістю викликів.

 

3. Збір  та  обробка даних

 

3.1. Збір та обробка даних особистого характеру в телекомунікаційній сфері   має здійснюватися і розвиватися  в рамках політики захисту даних, зважаючи на положення, визначені в Конвенції про захист  осіб стосовно автоматизованої обробки даних особистого характеру і, зокрема, на принцип доцільності.

 

Без надання шкоди іншим цілям передбаченим  у цій рекомендації, дані особистого характеру мають  збиратися  і оброблятися операторами мережі і постачальниками послуг тільки з метою підключення до мережі та надання в  розпорядження певної телекомунікаційної послуги, або з метою визначення суми для сплати, як і для забезпечення запровадження оптимальних технологій і розвитку мережі і послуг.

 

3.2.  Оператори  мережі та постачальники послуг повинні інформувати у належний спосіб абонентів телекомунікаційних послуг про категорії зібраних і оброблених даних особистого характеру, які їх стосуються,  про юридичне обґрунтування такого збору, про цілі з якими  вони зібрані і оброблені, про той характер їх використання, що здійснений, та про строки тривалості їх зберігання.

 

4.  Комунікаційна передача  даних

 

4.1. Дані особистого характеру зібрані і оброблені операторами мережі або постачальниками послуг не повинні передаватися, за виключенням лише випадків, коли абонент, якого це стосується, надав письмову чітко викладену згоду висловивши свою поінформованість та коли характер переданої інформації  не дозволить ідентифікувати викликаних абонентів.

 

Абонент може забрати свій дозвіл у будь-який момент але без надання цій дії ретроактивної сили.

 

4.2. Дані особистого характеру зібрані і оброблені операторами мережі або постачальниками послуг можуть бути передані державним органам тільки тоді, коли ця передача даних передбачена законом  та є у демократичному суспільстві необхідним заходом, спрямованим на:

 

a. захист державної та громадської безпеки, валютно-кредитних інтересів держави або на боротьбу із кримінальними правопорушеннями;

 

b. захист відповідної особи  або  право  свободи  інших людей.

 

4.3. У випадку комунікаційної передачі даних особистого характеру державним органам, внутрішнє законодавство повинно регламентувати:

 

a. здійснення прав на доступ до мереж та визначення суб’єкта відповідної інформації;

 

b. умови, за яких компетентні державні органи будуть вправі відмовити в наданні відомостей особі, про яку йдеться, або відкласти їх надання;

 

c. збереження або знищення цих даних.

 

4.4. Списки абонентів,  що містять дані особистого характеру, можуть бути передані операторами мережі або постачальниками послуг третім особам лише при дотриманні хоча б однієї з наступних умов:

 

a. абонент надав письмову чітко викладену згоду висловивши свою поінформованість; або

 

b. абонент, поінформований про передбачену передачу даних, не сформулював свого заперечення; або

 

c. державний орган, уповноважений захищати дані, дав дозвіл на їх передачу; або

 

d. передача даних передбачена внутрішнім законодавством.

 

Абонент може забрати свій дозвіл  у будь-який момент але без надання цій дії ретроактивної сили.

 

4.5. Передача даних особистого характеру між операторами мережі та постачальниками послуг є дозволеною тоді, коли ця передача даних є необхідною для операційних цілей та для укладання рахунку.

 

5. Права доступу до мереж та виправлення даних

 

5.1. Кожен абонент повинен мати право, після своєї вимоги та в розумні проміжки часу, і без відкладання  та надмірних витрат,  отримати всі дані, що його стосуються і які є зібраними  і обробленими операторами мережі або постачальниками послуг, та їх виправити або видалити, коли вони  є невірними , недоцільними чи надмірними, або якщо вони зберігалися занадто довгий час.

 

5.2. У задоволенні сформульованих вимог на підставі пункту 5.1 може бути відмовлено, вони можуть бути обмеженими або воно  може бути відкладеним на пізніше, якщо це дозволяє законодавство та є  у демократичному суспільстві необхідним заходом, спрямованим на:

 

a. захист державної та громадської безпеки, валютно-кредитних інтересів держави або на боротьбу із кримінальними правопорушеннями;

 

b. захист відповідної особи  або  право  свободи  інших людей.

 

6. Безпека

 

6.1. Оператори мережі та постачальники послуг повинні вжити всіх належних технічних і організаційних заходів для того, щоб забезпечити  фізичну  і програмну безпеку мережі, послуг і даних, які вони збирають і обробляють, та унеможливити будь-яке несанкціоноване  втручання або перехоплення комунікаційних повідомлень.

 

6.2. Абоненти телекомунікаційних послуг повинні бути проінформованими про ризики зламу безпеки мереж та про спосіб, у який вони можуть обмежити  ризики безпеки для своїх повідомлень.

 

7. Застосування принципів

 

a. Довідники

 

7.1. Абоненти повинні мати право, безкоштовно і не вдаючись до  мотивації,  відмовити у розміщенні  своїх даних особистого характеру в довідниках.

 

Проте, коли внутрішнє законодавство вимагає, щоб певні дані були включені в довідник, абонент повинен мати можливість виключити ці дані на підставі пояснювальних документів.

 

Коли внутрішнє законодавство  вимагає від абонента здійснення оплати  для того, щоб ці дані не були включені в довідник, тоді сума оплати має бути поміркованою і у жодному разі не повинна носити залякувальний характер для  реалізації цього права.

 

7.2. Коли абонент вимагає  включення в довідник співкористувачів свого терміналу, тоді він повинен заздалегідь зібрати їх погодження.

 

7.3. За умови тих випадків, коли абонент бажає включити додаткові дані, що його стосуються, то дані особистого характеру,  що містяться в довіднику, повинні бути обмеженими достатнім обсягом даних, необхідних для ідентифікації окремого абонента та для того, щоб завадити плутанині між або серед різних абонентів, що фігурують у довіднику.

 

7.4.  Під час  консультування електронного довідника повинні бути запроваджені технічні засоби для того, щоб упередити зловживання і, зокрема, неавторизовані вивантажування даних.

 

Встановлення зв’язку даних, що містяться в електронному довіднику, з:

 

іншими даними  або іншими картотеками даних повинно бути забороненим,  за винятком якщо внутрішнє право це дозволяє або якщо це є необхідним для операторів мережі чи постачальників послуг в операційних цілях.

 

7.5. Дані, що містяться в довіднику можуть бути використаними операторами мережі або постачальниками послуг для потреб налагодження довідкової послуги, яка відповідає на вибірково-часткові запити. Будь-яка довідка має бути обмеженою наданням даних, що фігурують в довіднику. Мають бути вжитими належні заходи для того, щоб боротися зі зловживаннями. Служба інформаційної довідки не повинна надавати інформацію стосовно абонентів, котрі не фігурують в довіднику, окрім тих випадків, коли абонент, якого це стосується, надав письмову чітко викладену згоду висловивши свою поінформованість.

 

7.6. Використання даних,  що фігурують в довіднику, окрім того має  бути керованим  належними принципами Рекомендації   n° R (91) 10 щодо передачі третім особам  даних особистого характеру, якими володіють державні органи.

 

b. Використання даних в цілях прямого маркетингу

 

7.7. Принципи Рекомендації  n°  R (85) 20 щодо захисту даних особистого характеру,  що використовуються для цілей прямого маркетингу,  відносяться до використання третіми особами даних абонентів в цілях прямого маркетингу.

 

7.8. Внутрішнє право повинно було б встановити  відповідні гарантії  та визначити  умови, згідно яких дані абонентів  можуть бути використаними  операторами мережі, постачальниками послуг та третіми особами  в цілях прямого маркетингу по телефону або за допомогою інших  телекомунікаційних засобів.

 

7.9. Розробка кодексів поведінки мала б заохочуватися для того, щоб можна було переконатися, що запроваджена практика  не створює   незручностей для абонентів. Зокрема внутрішнє законодавство або кодекси поведінки повинні були б стосуватися  тих годин, коли продаж товарів на дому по телефону може бути здійснений,  самої природи викликів та способу в який вони були передані.

 

7.10. Прямий маркетинг по телефону або  використання інших телекомунікаційних засобів не може практикуватися по відношенню до абонента, який висловив бажання  не отримувати рекламні повідомлення. З цією метою доцільно було б розвивати  належні засоби для того, щоб ідентифікувати абонентів, які не бажають  бути адресатами рекламних повідомлень по телефону.

 

7.11. Пристрої автоматичних викликів, що надсилають заздалегідь записані повідомлення рекламного характеру, можуть бути з’єднаними лише з абонентами,  які надали своє  навмисне і розлоге погодження  постачальникам цієї послуги.  Абонент  може в будь-який момент забрати своє погодження.

 

c. Деталізоване нарахування оплати

 

7.12. Власники мережі і постачальники послуг повинні надавати детальні рахунки з номерами викликаних абонентів  у розпорядження певного абонента лише за його вимогою. З розумінням необхідно ставитися до приватного життя співкористувачів і кореспондентів.

 

7.13. Необхідні дані для укладання рахунку не повинні зберігатися власниками мережі або постачальниками послуг протягом часу, що перебільшує термін часу, що є чітко необхідним для оплати,  повністю дотримуючись  ймовірної необхідності  зберігати дані протягом доцільного періоду, обумовленого ймовірними  рекламаціями  пов’язаними з укладанням рахунку або якщо положення законодавства вимагають більш тривалого зберігання цих даних.

 

d. Внутрішня телефонія

 

7.14. В принципі люди мали б бути поінформовані відповідними засобами про той факт, що дані, отримані  в результаті використання телефону, збираються і обробляються оператором  приватної лінії. Дані повинні бути негайно знищені після оплати рахунку.

 

7.15. Принципи викладені в Рекомендації  n° R (89) 2 щодо захисту даних особистого характеру, що використовуються в цілях працевлаштування,  відносяться до використання наймачами на роботу телефонних авто-комутаторів на робочих місцях.

 

e. Ідентифікація лінії виклику

 

7.16. Введення технічної характеристики, що дозволяє висвітлити номер телефону виклику, який поступив на термінал викликаного абонента,  повинно супроводжуватися інформацією спрямованою для всіх абонентів, яка указує, що ця характеристика є в розпорядженні деяких абонентів і, що виходячи з цього факту, є можливим  те, що їх номер телефону буде повідомлений абоненту, якого вони викликають.

 

Введення цієї характеристики повинно супроводжуватися можливістю для абонента, що робить виклик, вилучити у простий спосіб визначення його номера на терміналі абонента, якому спрямований виклик.

 

7.17. Внутрішнє законодавство повинно визначати умови і гарантії згідно яких операторам мережі дозволено  або вони зобов’язані  вийти за межі рішення того, хто робить виклик намагаючись вилучити висвітлення свого номера  на екрані термінала того, кого викликають.

 

f. Переадресування виклику

 

7.18. Було б доцільно розглядати можливість запровадження механізмів, що дозволяють абоненту – третій особі отримати ануляцію переадресування виклику у разі незгоди.

 

7.19. Коли у відповідності з положеннями пункту  2.4 щодо перехоплення передачі даних, спостереження або перехоплення вхідних і вихідних викликів є дозволеним, заходи спостереження або перехоплення не повинні розповсюджуватися на всі виклики, що поступають на термінал абоненту-третій особі, а лише на ті, які є предметом переадресування.

 

g. Мобільна телефонія

 

7.20. Що стосується надання і експлуатації послуги мобільної телефонії, то оператори мережі та постачальники послуг повинні інформувати абонентів про ризики проникнення у таємницю комунікаційного обміну даними, які можуть супроводжувати використання мереж мобільних телефонів, зокрема за відсутності шифрування радіокомунікацій. Мають бути розроблені засоби, що дозволять абонентам мереж мобільних телефонів зашифрувати свої комунікаційні обміни даними або нададуть рівнозначні їм гарантії.

 

7.21. Треба приділяти увагу необхідності забезпечення того, щоб для укладання рахунку за користування мобільним телефоном не потрібна була б реєстрація даних, що оприлюднюють занадто точне місцезнаходження абонента або викликаної сторони на  час  використання.