MENU
Гаряча лінія з пошуку зниклих безвісти в Україні
Документування воєнних злочинів в Україні.
Глобальна ініціатива T4P (Трибунал для Путіна) була створена у відповідь на повномасштабну агресію Росії проти України у лютому 2022 року. Учасники ініціативи документують події, у яких є ознаки злочинів згідно з Римським статутом Міжнародного кримінального суду (геноцид, злочини проти людяності, воєнні злочини) в усіх регіонах України

Резолюция о международных стандартах приватности

01.12.2009   
30-я Международная конференция уполномоченных по защите данных и приватности в Страсбурге единогласно приняла Резолюцию о крайней необходимости защиты неприкосновенности частной жизни в мире без границ, а также разработки Совместных предложений по установлению международных стандартов приватности и защиты персональных данных.

Составлено:

 Agencia Española de Protección de Datos (Испания)

Préposé fédéral à la protection des données et à la transparence (Швейцария)

European Data Protection Supervisor

Commission Nationale de l’Informatique et des Libertés (Франция)

Irish Data Protection Commissioner

Privacy Commissioner of Canada

Office for Personal Data Protection (Республика Чехия)

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Германия)

Garante per la Protezione dei Dati Personali (Италия)

College Bescherming Persoonsgegevens (Нидерланды)

New Zealand Privacy Commissioner

Information Commissioner’s Office (Соединенное Королевство)

При содействии:   Agència Andorrana de Protecció de Dades (Андорра) Agència Catalana de Protecció de Dades (Испания) Agencia de Protección de Datos de la Comunidad de Madrid (Испания) Agencia Vasca de Protección de Datos (Испания) Office of the Data Protection Supervisor (Остров Мэн) Estonian Data Protection Inspectorate State Data Protection Inspectorate of the Republic of Lithuania Berliner Beauftragter für Datenschutz und Informationsfreiheit (Германия) Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Германия) National Direction for Personal Data Protection (Аргентина) Commissioner for Data Protection (Мальта) Commission on Computers and Liberties (Буркина-Фасо) Personal Data Protection Commissioner (Кипр) Data Protection Ombudsman (Финляндия) Information Commissioner (Словения) Hellenic Data Protection Authority (Греция)

Отмечая, что:

■       30-я Международная конференция уполномоченных по защите данных и приватности в Страсбурге единогласно приняла Резолюцию о крайней необходимости защиты неприкосновенности частной жизни в мире без границ, а также разработки Совместных предложений по установлению международных стандартов приватности и защиты персональных данных.

■       Резолюцией был учрежден мандат на создание Рабочей группы, координируемой Испанским Агентством по защите данных – принимающей стороной 31-й конференции, и включающей в себя заинтересованные органы по защите данных. Целью Рабочей группы которой является разработка и представление на 31-й конференции Совместных предложений по установлению международных стандартов приватности и защиты персональных данных.

■       В соответствии с этим мандатом, Испанское Агентство по защите данных создает Рабочую группу, стимулирует и координирует разработку Совместных предложений по проекту международных стандартов.

■       Рабочая группа подготовила Совместные предложения по проекту международных стандартов защиты приватности в связи с обработкой персональных данных, основанные на принципах, присутствующих в различных документах, инструкциях и рекомендациях международного уровня и широко признанных в географическом, экономическом и правовом смысле.

Совместные предложения были разработаны с учетом того, что эти принципы и общие подходы должны повысить значение защиты частной жизни и персональной информации, с целью их расширения путем добавления решений и конкретных положений, которые могут применяться независимо от каких-либо возможных различий между существующими моделями защиты данных и приватности.

Конференция постановляет:

1. Одобрить Совместные предложения по проекту международных стандартов защиты приватности в связи с обработкой персональных данных, приведенные в Приложении 1 к настоящей Резолюции. Совместные предложения свидетельствуют о целесообразности таких стандартов, как нового шага на пути к разработке обязательного международного документа в данной сфере.

2. Заявить, что Совместные предложения представляют собой свод принципов, прав, обязанностей и процедур, к соблюдению которых должна стремиться любая система защиты данных и приватности. С этой точки зрения, обработка данных личного характера в государственном и частном секторе будет осуществляться на основании унифицированного международного подхода:

a.   справедливо, законно и на пропорциональной основе для достижения конкретных, четко сформулированных и законных целей;

b.   на основании прозрачной политики, адекватного информирования субъектов данных, и без какой-либо произвольной дискриминации в отношении них;

c.   с соблюдением точности, приватности и безопасности данных, законности обработки, а также прав субъектов данных на доступ, исправление, уничтожение данных, а также на возражение против их обработки;

d.   с соблюдением принципов подотчетности и ответственности, даже если обработка производится поставщиками услуг от имени официального органа;

e.   с обеспечением соответствующих гарантий, если данные являются уязвимыми;

f.    с обеспечением того, чтобы персональные данные, передаваемые за границу, пользовались защитой, предусмотренной вышеупомянутыми стандартами;

g.   при условии контроля со стороны независимых и беспристрастных надзорных органов, наделенных соответствующими полномочиями и ресурсами, а также обязанных сотрудничать между собой;

h. с применением современных профилактических мер, направленных, в частности, на предупреждение и выявление нарушений, основанных на назначении должностных лиц, ответственных за приватность, а также на эффективных проверках и оценках влияния на приватность.

3. Пригласить на Международную конференцию представителей органов по защите данных и приватности, обеспечить как можно более широкое распространение Совместных предложений по проекту международных стандартов защиты приватности в связи с обработкой персональных данных.

4. Поручить организаторам 31-й и 32-й Международных конференций координировать работу Группы по внедрению, включающей в себя заинтересованные организации по защите данных, которая будет отвечать за:

a) распространение и внедрение Совместных предложений среди соответствующих физических лиц, экспертов, национальных и международных органов в качестве основы для дальнейшей работы по разработке обязательных международных конвенций, в частности, органов и организаций, упомянутых в Декларации Монтре; и b) изучение других способов использования Совместных предложений в качестве основы для развития международного взаимопонимания и сотрудничества в области защиты данных и приватности, особенно в контексте гарантирования прав и свобод личности при международной передаче персональных данных.

5. Предложить Группе по внедрению:

a. координировать свою работу с Руководящей группой Конференции по представительству в международных организациях, и

b. доложить о достижениях на 32-й Международной Конференции для поддержания внимания к предмету данной Резолюции.

Пояснительная записка

30-я Международная конференция уполномоченных по защите данных и приватности приняла Резолюцию о крайней необходимости защиты неприкосновенности частной жизни в мире без границ, а также разработки Совместных Предложений по установлению международных стандартов приватности и защиты персональных данных, совместно представленную органами по защите данных Швейцарии и Испании и поддержанную двадцатью другими органами.

В этой Резолюции Конференция напомнила о ряде деклараций и резолюций, принятых за последние десять лет, которые призваны закрепить универсальный характер права на защиту личных данных и приватность, и которые призывают разработать универсальную конвенцию по защите физических лиц в связи с обработкой персональных данных.

Кроме того, Резолюция гласит, что Конференция рассматривает права на защиту данных и неприкосновенность частной жизни как основные права человека, независимо от национальности или места жительства, отмечая при этом, что существующее в мире неравенство  в сфере защиты данных и приватности, в частности в связи с тем, что многие государства еще не приняли надлежащих законов, наносит ущерб обмену персональной информацией и эффективной глобальной защите данных.

Таким образом, в Резолюции выражается мнение Конференции, что признание этих прав требует принятия универсального юридически обязательного документа, устанавливающего, определяющего и дополняющего общие принципы защиты данных и приватности, изложенные в нескольких существующих документах, а также укрепления международного сотрудничества между органами по защите данных.

В данной Резолюции Конференция поддерживает действия Совета Европы, направленные на развитие основных прав на защиту данных и приватность, и предлагает государствам, являющимся или не являющимся членами организации, ратифицировать Конвенцию о защите физических лиц в связи с автоматизированной обработкой персональных данных и Дополнительного протокола к ней, одобряет действия АТЭС, ОЭСР и других региональных и международных форумов, направленные на разработку эффективных средств для улучшения международных стандартов приватности и защиты данных.

■       Резолюция поручает Испанскому Агентству по защите данных, принимающей стороне 31-й Международной конференции, создать и координировать Рабочую группу, включающую в себя заинтересованные органы по защите данных, с тем, чтобы разработать и представить на своем закрытом заседании Совместные предложения по установлению международных стандартов приватности и защиты персональных данных.

В Резолюции содержится перечень критериев, которыми следует руководствоваться при создании этих Совместных предложений, и, в частности, указывается, что эти предложения должны быть разработаны при широком участии государственных и частных организаций и учреждений, с целью получения широкого институционального и социального консенсуса.

В рамках этого мандата, Испанское Агентство по защите данных создает Рабочую группу, стимулирует и координирует разработку Совместных предложений по проекту международных стандартов.

Испанское Агентство по защите данных направило приглашения принять участие в Рабочей группе всем органам по защите данных и приватности, аккредитованным на Международной конференции. Органы, перечисленные в Приложении 2, выразили желание принять участие в этой Рабочей группе и, следовательно, присоединились к ней.

Рабочая группа провела заседания в январе и июне 2009 года. На первом заседании были утверждены методы подготовки Совместных предложений и сфера их применения, а на втором заседании обсуждался предварительный вариант проекта предложений для его последующего представления на 31-й Конференции.

В соответствии с критериями и методами, изложенными в Страсбургской Резолюции и утвержденными Рабочей группой, Испанское Агентство по защите данных провело интенсивную работу и разработало различные документы, в составлении которых участвовали органы по защите данных и приватности, другие общественные организации, связанные с защитой данных, а также эксперты, работающие в промышленности, юридической сфере, научных организациях, международных организациях и НПО.

В частности, Рабочая группа подготовила Совместные предложения по проекту международных стандартов защиты приватности в связи с обработкой персональных данных, основанные на принципах, присутствующих в различных документах, инструкциях и рекомендациях международного уровня и широко признанных в географическом, экономическом и правовом смысле.

Совместные предложения были разработаны с учетом того, что эти принципы и общие подходы должны повысить значение защиты частной жизни и персональной информации, с целью их расширения путем добавления решений и конкретных положений, которые могут применяться независимо от каких-либо возможных различий между существующими моделями защиты данных и приватности.

 

 

 

Приложение I:

Совместные предложения

по проекту международных стандартов защиты приватности в связи с обработкой персональных

Часть I: Общие положения

1. Цели

1. Цели данного документа:

a)     определить набор принципов и прав, гарантирующих эффективную и равноправную международную защиту приватности в связи с обработкой персональных данных, а также

b)     содействовать международной передаче персональных данных, необходимой в условиях глобализации.

2. Определения

В контексте данного документа:

a)     «Персональные данные» - любая информация, касающаяся определенного физического лица или лица, которое может быть идентифицировано разумными способами.

b)     «Обработка» - любая операция или набор операций, автоматизированных или нет, применяемых к персональным данным, например, сбор, хранение, использование, разглашение или уничтожение информации.

c)      «Субъект данных» - физическое лицо, чьи персональные данные подвергаются обработке.

d)     «Ответственное лицо» - любое физическое лицо или организация, государственная или частная, единолично или совместно с другими принимающая решение об обработке.

e)     «Поставщик услуг обработки» - любое физическое лицо или организация, отличная от ответственного лица, осуществляющая обработку персональных данных от имени такого ответственного лица.

3. Сфера применения

1. Данный документ предназначен для использования при любой обработке персональных данных, полной или частичной, с помощью автоматических средств или иным образом в структурированной форме, осуществляемой в государственном или частном секторе.

2. Соответствующее национальное законодательство может предусматривать, что положения данного документа не распространяются на обработку персональных данных физическим лицом в рамках действий, связанных исключительно с его частной и семейной жизнью.

4. Дополнительные меры

1.   Государства могут расширить защиту, предусмотренную данным документом, дополнительными мерами, обеспечивающими более высокий уровень защиты частной жизни в связи с обработкой персональных данных.

2.   В любом случае, положения данного документа должны быть основой для международной передачи персональных данных, если такая передача осуществляется в соответствии с разделом 15 данного документа.

Для получения дополнительной информации о процессе подготовки данного документа, пожалуйста, посетите сайт Испанского Агентства по защите данных: www.agpd.es, где размещены пояснительная записка и другая полезная документация.

 

5. Ограничения

Государство может ограничить сферу применения положений, изложенных в разделах 7-10 и 16-18 данного документа, если это необходимо в демократическом обществе в интересах национальной безопасности, общественного порядка, в целях охраны здоровья населения или для защиты прав и свобод других лиц. Такие ограничения должны быть прямо оговорены в национальном законодательстве, при наличии надлежащих гарантий и границ для защиты прав субъектов данных.

Часть II: Основные принципы

6. Принцип законности и справедливости

1. Персональные данные должны обрабатываться на основе принципа справедливости, с соблюдением соответствующего национального законодательства, а также прав и свобод человека, изложенных в данном документе, и в соответствии с целями и принципами Всеобщей декларации прав человека и Международного пакта о гражданских и политических правах человека.

2. В частности, любая обработка персональных данных, которая приводит к незаконным или произвольным дискриминационным мерам в отношении субъекта данных, считается несправедливой.

7. Принцип определения цели

1.   Обработка персональных данных должна ограничиваться выполнением конкретной, явной и законной цели ответственного лица.

2.   Ответственное лицо не должно производить какую-либо обработку, несовместимую с целями, для которых были собраны персональные данные, если оно не имеет однозначного согласия на это субъекта данных.

8. Принцип пропорциональности

1. Обработка персональных данных должна быть адекватной, пропорциональной и не чрезмерной по отношению к целям, изложенным в предыдущем разделе.

2. В частности, ответственное лицо должно предпринять разумные усилия для того, чтобы ограничить обработку персональных данных до минимально необходимого уровня.

9. Принцип качества данных

1.  Ответственное лицо всегда должно обеспечивать, чтобы персональные данные были точными, достаточными и обновляемыми, с тем, чтобы достигнуть целей, в которых они обрабатываются.

2.  Ответственное лицо должно ограничивать период хранения обрабатываемых персональных данных минимально необходимым сроком. Таким образом, когда персональные данные более не являются необходимыми для достижения целей, которые делали законной их обработку, они должны быть уничтожены или сделаны анонимными.

10. Принцип открытости

1.  Любое ответственное лицо должно проводить прозрачную политику в отношении обработки персональных данных.

2.  Ответственное лицо должно предоставлять субъектам данных, как минимум, информацию об ответственном лице, цели обработки, получателях их персональных данных, о том, каким образом субъекты данных могут воспользоваться правами, предусмотренными в настоящем документе, а также любую дополнительную информацию, необходимую для того, чтобы гарантировать справедливую обработку персональных данных.

3.  Если персональные данные получены непосредственно от субъекта данных, информация должна быть предоставлена во время сбора данных, если она еще не была предоставлена.

4.  Если персональные данные не получены непосредственно от субъекта данных, ответственное лицо должно также сообщить ему об источнике персональных данных. Эта информация должна быть предоставлена в течение разумного периода времени, но данное требование может быть заменено альтернативными мерами, если его выполнение невозможно или связано с чрезмерными усилиями со стороны ответственного лица.

5.  Любая информация, направляемая субъекту данных, должна быть изложена в понятной форме, с использованием четкого и простого языка, в частности, в случае какой-либо обработки, связанной с несовершеннолетними.

6.  Если персональные данные собираются с помощью электронных коммуникационных сетей, обязательства, изложенные в первом и втором пунктах этого раздела, могут быть выполнены путем сообщения о политике приватности, простом, доступном и включающем всю перечисленную выше информацию.

11. Принцип отчетности

Ответственное лицо должно:

a)     Принимать все необходимые меры для соблюдения принципов и обязательств, изложенных в данном документе и в соответствующем национальном законодательстве, и

b)     Иметь необходимые внутренние механизмы для демонстрации соблюдения этих принципов и обязательств, как субъектам данных, так и надзорным органам при исполнении ими своих обязанностей, как это предусмотрено в разделе 23.

Часть III: Легитимность обработки

12. Общий принцип легитимности

1. Как правило, персональные данные могут подвергаться обработке в одной из следующих ситуаций:

a)     Если получено свободное, недвусмысленное и осознанное согласие субъекта данных;

b)     Если законные интересы ответственного лица оправдывают обработку, причем законные интересы, права и свободы субъектов данных не преобладают;

c)      Если обработка необходима для поддержания или реализации правовых отношений между ответственным лицом и субъектом данных, или

d)     Если обработка необходима для выполнения обязательств ответственного лица, определенных действующим национальным законодательством, или осуществляется государственным органом, когда это необходимо для законного осуществления его полномочий.

e)     В исключительных ситуациях, угрожающих жизни, здоровью или безопасности субъекта данных или другого лица.

2. Ответственное лицо должно гарантировать наличие простой, быстрой и эффективной процедуры, позволяющей субъекту данных отозвать свое согласие в любое время, не вызывающей неоправданных задержек или расходов и не приносящей никакой прибыли ответственному лицу.

13. Уязвимые данные

1. Уязвимыми считаются следующие персональные данные:

a)   Данные, которые затрагивают наиболее интимные сферы жизни субъекта данных, или

b)   Данные, которые, в случае злоупотреблений, могут:

i. Привести к незаконной или произвольной дискриминации, или  

ii. Повлечь серьезный риск для субъекта данных.

2.  В частности, личные данные, которые могут выявить такие аспекты, как расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, а также данные, касающиеся здоровья или сексуальной жизни, считаются конфиденциальной информацией. Действующее национальное законодательство может определять другие категории уязвимых данных, если соблюдаются условия, упомянутые в предыдущем пункте.

3.  В действующем национальном законодательстве должны существовать гарантии для защиты прав субъектов данных, предусматривающие дополнительные условия для обработки уязвимых персональных данных.

14. Предоставление услуг обработки

Ответственное лицо может осуществлять обработку персональных данных с помощью одного или более поставщиков услуг обработки, и это не считается разглашением данных третьим лицам, при условии, что:

a)     ответственное лицо гарантирует, что поставщик услуг обработки обеспечивает, по крайней мере, уровень защиты, определенный данным документом и соответствующим национальным законодательством, и

b)     правоотношения устанавливаются на основании договора или правового документа, который описывает существование этих правоотношений, объем и содержание услуг, и в котором устанавливаются обязательства поставщика услуг обработки относительно соблюдения этих гарантий, а также обеспечения обработки личных данных в соответствии с указаниями ответственного лица.

 

5.   Международная передача

1. Как правило, международная передача персональных данных осуществляется, когда государство, которому передаются такие данные, обеспечивает, как минимум, уровень защиты, предусмотренный в настоящем документе.

2. Возможна международная передача персональных данных государствам, которые не обеспечивают уровень защиты, предусмотренный в данном документе, если передающая сторона гарантирует, что получатель обеспечит такой уровень защиты; такие гарантии могут, например, быть результатом соответствующих договорных положений. В частности, если передача осуществляется в рамках международных корпораций или групп, такие гарантии могут быть включены во внутренние правила приватности, соблюдение которых является обязательным.

3. Кроме того, национальное законодательство, относящееся к стороне, передающей данные, может разрешить международную передачу персональных данных в государства, которые не обеспечивают уровень защиты, предусмотренный в данном документе, если такая передача необходима и производится в интересах субъекта данных в рамках договорных отношений, для защиты жизненно важных интересов субъекта данных или другого лица, либо когда это требуется по закону в общественных интересах.

4. Действующее национальное законодательство может наделить надзорные органы, указанные в разделе 23, правом давать предварительное разрешение на все или некоторые международные передачи, подпадающие под их юрисдикцию. В любом случае, сторона, осуществляющая международную передачу персональных данных, должна быть способна продемонстрировать, что такая передача удовлетворяет гарантиям, предусмотренным в настоящем документе, в частности, в отношении надзорных органов в рамках полномочий, изложенных в пункте 23.2.

 

Часть IV: Права субъекта данных

16. Право доступа

1.  Субъект данных имеет право получать от ответственного лица, по запросу, информацию о конкретных персональных данных, подвергающихся обработке, а также об источнике таких данных, цели обработки и получателях или категорий получателей, которым эти данные раскрыты или будут раскрыты.

2.  Любая информация, направляемая субъекту данных, должна быть изложена в понятной форме, с использованием простого и ясного языка.

3.  Действующее национальное законодательство может ограничивать неоднократное осуществление этого права, которое требует от ответственного лица отвечать на многочисленные запросы в течение короткого периода времени, за исключением случаев, когда субъект данных предъявляет законные основания для осуществления этого права.

17. Права на исправление и удаление

1. Субъект данных имеет право требовать от ответственного лица исправления или удаления персональных данных, которые могут быть неполными, неточными, ненужными или избыточными.

2. Если это оправдано, ответственное лицо должно выполнить просьбу об исправлении или удалении. Ответственное лицо также должно уведомить об этом факте третьих лиц, которым были раскрыты персональные данные, если они известны.

3. Удаление персональных данных не оправдано, если персональные данные должны быть сохранены для выполнения обязательств ответственного лица в соответствии с действующим национальным законодательством или договорными отношениями между ответственным лицом и субъектом данных.

18. Право на возражение

1.  Субъект данных может возражать против обработки персональных данных, если имеются законные основания, связанные с его/ее личной ситуацией.

2.  Реализация этого права на возражение не оправдано, когда обработка данных необходима для выполнения обязательств ответственного лица в соответствии с действующим национальным законодательством.

3.  Любой субъект данных может возражать против решений, которые порождают правовые последствия, основанные исключительно на автоматизированной обработке персональных данных, кроме случаев, когда решение принято по просьбе субъекта данных, или когда это необходимо для создания, поддержания или осуществления правовых отношений между ответственным лицом и субъектом данных. В последнем случае, субъект данных должен иметь возможность изложить свою точку зрения для защиты своих прав или интересов.

19. Реализация этих прав

1. Права, предусмотренные статьями 16 до 18 данного документа, могут быть реализованы:

a)     непосредственно субъектом данных, который может убедительно удостоверить свою личность перед ответственным лицом.

b)     через представителя, который может убедительно удостоверить свой статус перед ответственным лицом.

3.  Ответственное лицо должно следовать процедурам, которые позволяют субъектам данных просто, быстро и эффективно осуществлять свои права, предусмотренные статьями 16 по 18 данного документа, и не влекут за собой неоправданных задержек или расходов, а также не приносят никаких доходов ответственному лицу.

4.  Если ответственное лицо приходит к выводу, что, в соответствии с действующим национальным законодательством, реализация прав, описанных в настоящей Части, не оправдана, субъект данных должен быть проинформирован о причинах, на основании которых был сделан такой вывод.

Часть V: Безопасность

20.  Меры безопасности

1.  Ответственное лицо и поставщик услуг обработки должны защищать обрабатываемые персональные данные, принимая соответствующие технические и организационные меры для обеспечения, в каждый момент времени, их целостности, приватности и доступности. Эти меры зависят от существующих рисков, возможных последствий для субъекта данных, уязвимости персональных данных, актуальности, контекста обработки данных и, в соответствующих случаях, обязательств, предусмотренных действующим национальным законодательством.

2.  Субъект данных, на любой стадии обработки, должен информироваться о любых нарушениях безопасности, которые могут существенно повлиять на его материальные или нематериальные права, а также о мерах, принимаемых для урегулирования ситуации. Эта информация должна предоставляться своевременно, с тем, чтобы позволить субъекту данных добиваться защиты своих прав.

21. Обязанность соблюдать приватность

Ответственное лицо и все заинтересованные стороны на любой стадии обработки должны сохранять приватность личных данных. Это обязательство остается в силе даже после прекращения отношений с субъектом данных, или, в соответствующих случаях, с ответственным лицом.

Часть VI: Соблюдение и мониторинг

22.  Профилактические меры

Государство должно обеспечивать, посредством внутреннего законодательства, принятие всеми сторонами, на любом этапе обработки, мер для более строгого соблюдения действующих законов о защите частной жизни в связи с обработкой персональных данных. Такие меры могут включать, среди прочего:

a)     Использование процедур предупреждения и выявления нарушений, которые могут быть основаны на стандартных моделях защиты безопасности информации.

b)     Назначение одного или более должностных лиц по защите данных и приватности, обладающих надлежащей квалификацией, ресурсами и полномочиями для осуществления своих надзорных функций надлежащим образом.

c)      Периодическое проведение профессиональной подготовки, обучения и программ по повышению информированности среди членов организации, направленных на лучшее понимание положений действующего законодательства о защите частной жизни в связи с обработкой персональных данных, а также процедур, утвержденных организацией с этой целью.

d)     Периодическое проведение гласных проверок квалифицированными и, желательно, независимыми сторонами, для проверки соблюдения существующих законов о защите частной жизни в связи с обработкой персональных данных, а также процедур, утвержденных организацией с этой целью.

e)     Адаптация информационных систем и/или технологий для обработки персональных данных в соответствии с законами о защите частной жизни в связи с обработкой персональных данных, особенно во время принятия решения об их технических характеристиках, разработке и внедрении.

f)        Оценка влияния на приватность перед внедрением новых информационных систем и/или технологий обработки персональных данных, а также перед введением любого нового метода обработки персональных данных или внесения существенных изменений в существующие методы обработки.

g)     Принятие практических правил, соблюдение которых является обязательным, и которые содержат элементы, позволяющие оценивать эффективность, соблюдение и уровень защиты персональных данных, а также предусматривающие эффективные меры в случае несоблюдения.

h) Внедрение плана реагирования, определяющего действия при проверке нарушений действующего законодательства о защите приватности в связи с обработкой персональных данных, включая, как минимум, обязательства определить причину и степень нарушения, описать его вредные последствия и принять соответствующие меры во избежание будущих нарушений.

23. Мониторинг

1. В каждом государстве должен существовать один или несколько надзорных органов, контролирующих соблюдение принципов, изложенных в данном документе, в соответствии с его внутренним законодательством.

2.   Эти надзорные органы должны быть беспристрастными и независимыми, обладать технической компетентностью, достаточными полномочиями и адекватными ресурсами для рассмотрения претензий субъектов данных, а также, при необходимости, для проведения расследований и вмешательств для обеспечения соблюдения действующего национального законодательства о защите частной жизни в связи с обработкой персональных данных.

3.   В любом случае, без ущерба для каких-либо упомянутых в предыдущих пунктах административных средств правовой защиты, включая судебный контроль над решениями надзорных органов, субъекты данных могут обращаться непосредственно в суды для защиты своих прав в соответствии с положениями действующего национального законодательства.

24. Сотрудничество и координация

1. Органы, упомянутые в предыдущем разделе, должны стремиться к сотрудничеству друг с другом, чтобы добиться единообразия защиты частной жизни в связи с обработкой персональных данных на национальном и международном уровне. В целях содействия этому сотрудничеству, каждое государство должно иметь возможность при необходимости определять компетентные надзорные органы на своей территории.

2. Эти органы, в частности, должны прилагать усилия для:

a)     обмена докладами, методами расследования, коммуникационными и нормативными стратегиями, а также другой полезной информацией для более эффективного выполнения своих функций, в частности, в сфере сотрудничества с другими надзорными органами при расследовании или вмешательстве;

b)     проведения совместных расследований или мероприятий на национальном и международном уровнях, когда затронуты интересы двух или более органов;

c)      участия в ассоциациях, рабочих группах и совместных форумах, а также семинарах, конференциях или курсах, способствующих принятию совместных позиций и повышению технической квалификации сотрудников надзорных органов;

d)   сохранения надлежащего уровня приватности информации, которой они обмениваются в ходе сотрудничества.

3. Государство должно поощрять заключение соглашений о сотрудничестве между надзорными органами на региональном, национальном и международном уровнях, которые будут способствовать более эффективному выполнению требований этого раздела.

25. Ответственность

1. Ответственное лицо несет ответственность за материальный и/или нематериальный ущерб, причиненный субъекту данных в результате обработки персональных данных, при которой были нарушены положения действующего законодательства о защите частной жизни в связи с обработкой персональных данных, за исключением случаев, когда ответственное лицо может доказать, что оно не виновно в нанесенном ущербе. Эта ответственность не наносит ущерба каким-либо действиям ответственного лица в отношении поставщика услуги обработки на любой стадии обработки.

2. Государство должно принимать надлежащие меры для облегчения доступа субъектов данных к соответствующим судебным или административным процессам, позволяющим им получить компенсацию ущерба, упомянутого в предыдущем пункте.

3. Вышеупомянутая ответственность должна существовать без ущерба для уголовных, гражданских или административных наказаний, предусмотренных в соответствующих случаях, в случае нарушения положений национального законодательства о защите частной жизни в связи с обработкой персональных данных.

4. Принятие профилактических мер, как описано в разделе 22 данного документа, должно учитываться при определении ответственности и наказания, предусмотренных в этом разделе.


Приложение II:

Совместные предложения

по проекту международных стандартов защиты приватности в связи с обработкой персональных

Органы, входящие в Рабочую группу

Data Protection Commission (Австрия)

Privacy Protection Commission (Бельгия)

Commission on Computers and Liberties (Буркина-Фасо)

Office of the Privacy Commissioner of Canada

Information Access Commission of Quebec (Канада)

Office for Personal Data Protection (Республика Чехия)

European Data Protection Supervisor

National Commission on Computers and Liberties (Франция)

Federal Data Protection Commissioner (Германия)

Data Protection and Freedom of Information Commissioner of Berlin (Германия)

Data Protection Commissioner of Schleswig-Holstein (Германия)

Privacy Commissioner for Personal Data (Гонконг)

Irish Data Protection Commissioner

Italian Data Protection Authority

Data Protection Commission (Нидерланды)

New Zealand Privacy Commissioner

National Data Protection Commission (Португалия)

Information Commissioner of the Republic of Slovenia

Spanish Data Protection Agency (Испания)

Catalan Data Protection Authority (Испания)

Data Protection Agency of Madrid (Испания)

Basque Data Protection Agency (Испания)

Federal Data Protection Commissioner (Швейцария)

Information Commissioner’s Office (Соединенное Королевство)

 Поділитися