MENU
Гаряча лінія з пошуку зниклих безвісти в Україні
Документування воєнних злочинів в Україні.
Глобальна ініціатива T4P (Трибунал для Путіна) була створена у відповідь на повномасштабну агресію Росії проти України у лютому 2022 року. Учасники ініціативи документують події, у яких є ознаки злочинів згідно з Римським статутом Міжнародного кримінального суду (геноцид, злочини проти людяності, воєнні злочини) в усіх регіонах України

Подібні статті

Презентація книги «Довічне ув’язнення: європейські стандарти та українська практика» і результатів анонімного опитування засуджених довічно (прес реліз)Презентація книги «Довічне ув’язнення: європейські стандарти та українська практика» (Анонс)Довічне ув’язнення: європейські стандарти та українська практикаЗаконопроєкт про СБУ порушує стандарти прав людини та потребує коригування – заява правозахисних організаційМіжнародні інструкції та рекомендації щодо запобігання і контролю над COVID-19 у в’язницяхЯк дотримувалися виборчі стандарти у місцях несвободиВизнання Голодомору Геноцидом: Міжнародні Конвенції, Договори та Судові Рішення (Висновки Лемкіна Підтверджуються)Україна активно використовує міжнародні механізми захисту прав людиниРосійські та міжнародні некомерційні організації виступили на підтримку Валентини ЧереватенкоУкраїнським регіональним ЗМІ слід підвищувати стандарти у висвітленні тематики ВПОРоздержавлення ЗМІ: чи вдасться перебороти нестандартні стандарти місцевої журналістики?Чи є необхідними міжнародні миротворці на Донбасі?Стандарти дотримання прав шукачів притулку в діяльності прикордонної та міграційної служб (прес-реліз)Суд зобов’язав Держагентство екологічних інвестицій опублікувати міжнародні угоди про продаж квот на викиди парникових газівМіжнародна конференція «Свобода мирних зібрань: європейські стандарти для України»Міжнародні спостерігачі: вибори в Одесі пройшли з фальсифікаціямиМіжнародні експерти не задоволені рівнем боротьби з корупцією в УкраїніМіжнародні журналістські організації стурбовані зникненням Василя Климентьєва«Контроль за владою після виборів: редакційні стандарти і правові аспекти»«Боротьба з жорстоким поводженням і безкарністю: Європейські стандарти захисту прав затриманих та ефективне розслідування скарг на жорстоке поводження»

Резолюція «Про міжнародні стандарти конфіденційності»

03.01.2011   

Складено: Agencia Española de Protección de Datos (Іспанія)

Préposé fédéral à la protection des données et à la transparence (Швейцарія)
European Data Protection Supervisor
Commission Nationale de l'Informatique et des Libertés (Франція)
Irish Data Protection Commissioner
Privacy Commissioner of Canada
Office for Personal Data Protection (Республіка Чехія)
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Німеччина)
Garante per la Protezione dei Dati Personali (Італія)
College Bescherming Persoonsgegevens (Нідерланди)
New Zealand Privacy Commissioner
Information Commissioner's Office (Сполучене Королівство)
 

За сприяння: Agència Andorrana de Protecció de Dades (Андорра) Agència Catalana de Protecció de Dades (Іспанія) Agencia de Protección de Datos de la Comunidad de Madrid (Іспанія) Agencia Vasca de Protección de Datos (Іспанія) Office of the Data Protection Supervisor ( Острів Мен) Estonian Data Protection Inspectorate State Data Protection Inspectorate of the Republic of Lithuania Berliner Beauftragter für Datenschutz und Informationsfreiheit (Німеччина) Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Німеччина) National Direction for Personal Data Protection (Аргентина) Commissioner for Data Protection (Мальта ) Commission on Computers and Liberties (Буркіна-Фасо) Personal Data Protection Commissioner (Кіпр) Data Protection Ombudsman (Фінляндія) Information Commissioner (Словенія) Hellenic Data Protection Authority (Греція)

 

Відзначаючи, що:
 

■ 30-а Міжнародна конференція уповноважених із захисту даних та конфіденційності в Страсбурзі одноголосно прийняла Резолюцію про крайню необхідність захисту недоторканності приватного життя у світі без кордонів, а також розробки Спільних пропозицій по встановленню міжнародних стандартів конфіденційності та захисту персональних даних.
 

■ Резолюцією був заснований мандат на створення Робочої групи,   що координується Іспанським Агентством із захисту даних – приймаючою стороною 31-ї конференції, і містить в собі зацікавлені органи із захисту даних. Метою Робочої групи є розробка та подання на 31-у конференцію Спільних пропозицій зі  встановлення міжнародних стандартів конфіденційності та захисту персональних даних.
 

■ Відповідно до цього мандату, Іспанське Агентство із захисту даних створює Робочу групу, стимулює і координує розробку Спільних пропозицій за проектом міжнародних стандартів.
 

■ Робоча група підготувала Спільні пропозиції щодо проекту міжнародних стандартів захисту конфіденційності у зв'язку з обробкою персональних даних,   які засновані на принципах, що присутні в різних документах, інструкціях і настановах міжнародного рівня і широко визнаних в географічному, економічному та правовому сенсі.
 

Спільні пропозиції були розроблені з урахуванням того, що ці принципи та спільні підходи повинні підвищити значення захисту приватного життя та персональної інформації, з метою їх розширення шляхом додавання рішень і конкретних положень, які можуть застосовуватися незалежно від будь-яких можливих відмінностей між існуючими моделями захисту даних та конфіденційності.
 

Конференція постановляє:
 

1. Схвалити Спільні пропозиції щодо проекту міжнародних стандартів захисту конфіденційності у зв'язку з обробкою персональних даних,   що наведені у Додатку 1 до цієї Резолюції. Спільні пропозиції свідчать про доцільність таких стандартів, як нового кроку на шляху до розробки обов'язкового міжнародного документа в цій  сфері.
 

2. Заявити, що Спільні пропозиції являють собою  звід принципів, прав, обов'язків і процедур,   дотримання яких повинна прагнути будь-яка система захисту даних і конфіденційності. З цієї точки зору, обробка даних особистого характеру у державному та приватному секторі  здійснюватиметься на підставі уніфікованого міжнародного підходу:
 

a. справедливо, законно і на пропорційній основі для досягнення конкретних, чітко сформульованих і законних цілей;
 

b. на підставі прозорої політики, адекватного інформування суб'єктів даних, і за відсутності  будь-якої довільної дискримінації щодо них;
 

c. з дотриманням точності, конфіденційності та безпеки даних, законності обробки, а також прав суб'єктів даних на доступ, виправлення, знищення даних, а також на заперечення проти їх обробки;
 

d. з дотриманням принципів підзвітності та відповідальності, навіть якщо обробка проводиться постачальниками послуг від імені офіційного органу;
 

e. із забезпеченням відповідних гарантій, якщо дані є вразливими;
 

f. із забезпеченням того, щоб персональні дані, передані за кордон, користувалися захистом, що передбачений  вищезазначеними стандартами;
 

g. за умови контролю з боку незалежних і неупереджених наглядових органів, наділених відповідними повноваженнями та ресурсами, а також зобов'язаних співпрацювати між собою;
 

h. із застосуванням сучасних профілактичних заходів, спрямованих, зокрема, на попередження і виявлення порушень, заснованих на призначенні посадових осіб, відповідальних за конфіденційність, а також на ефективних перевірках і оцінках впливу на конфіденційність.
 

3. Запросити на Міжнародну конференцію представників органів із захисту даних і конфіденційності, забезпечити якомога більш широке поширення Спільних пропозицій за проектом міжнародних стандартів захисту конфіденційності у зв'язку з обробкою персональних даних.
 

4. Доручити організаторам 31-ої та 32-ої Міжнародних конференцій координувати роботу Групи з впровадження, що містить в собі зацікавлені організації із захисту даних, яка  відповідатиме за:
a) розповсюдження і впровадження Спільних пропозицій серед відповідних фізичних осіб, експертів, національних та міжнародних органів в якості підгрунтя  для подальшої роботи з розробки обов'язкових міжнародних конвенцій, зокрема, органів і організацій, згаданих у Декларації Монтре; і b) вивчення інших способів використання Спільних пропозицій в якості підгрунтя для розвитку міжнародного взаєморозуміння і співробітництва в галузі захисту даних і конфіденційності, особливо в контексті гарантування прав і свобод особистості при міжнародній передачі персональних даних.
 

5. Запропонувати Групі з впровадження:
a. координувати свою роботу з Керівною групою Конференції з представництва в міжнародних організаціях, та
b. доповісти про досягнення на 32-ій Міжнародній Конференції для підтримки уваги до предмету даної Резолюції.
 

Пояснювальна записка
 

30-а Міжнародна конференція уповноважених із  захисту даних і конфіденційності прийняла Резолюцію про крайню необхідність захисту недоторканності приватного життя у світі без кордонів, а також розробки спільних пропозицій із встановлення міжнародних стандартів конфіденційності та захисту персональних даних, спільно представлену органами із захисту даних Швейцарії та Іспанії  і підтриману двадцятьма іншими органами.
 

У цій Резолюції Конференція нагадала про низку декларацій і резолюцій, прийнятих за останні десять років, які покликані закріпити універсальний характер права на захист особистих даних і конфіденційність, і які закликають розробити універсальну конвенцію із захисту фізичних осіб у зв'язку з обробкою персональних даних.
 

Крім того, Резолюція свідчить, що Конференція розглядає права на захист даних і недоторканність приватного життя як основні права людини, незалежно від національності чи місця проживання, зазначаючи при цьому, що існує в світі нерівність у сфері захисту даних і конфіденційності, зокрема, у зв'язку з тим, що багато держав ще не вжили належних заходів, і це завдає шкоди обміну персональною інформацією та ефективному глобальному захисту даних.
 

Таким чином, у Резолюції висловлюється думка Конференції, що визнання цих прав вимагає прийняття універсального юридично обов'язкового документа, що встановлює,   визначає і доповнює загальні принципи захисту даних і конфіденційності, які викладені в декількох існуючих документах, а також зміцнення міжнародного співробітництва між органами із захисту даних.
 

У цій Резолюції Конференція підтримує дії Ради Європи, які спрямовані на розвиток основних прав на захист даних і конфіденційність, і пропонує державам, що є або не є членами організації, ратифікувати Конвенцію про захист фізичних осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї, схвалює дії АТЕС, ОЕСР та інших регіональних і міжнародних форумів, що  спрямовані на розробку ефективних засобів для покращення міжнародних стандартів конфіденційності та захисту даних.
 

■ Резолюція доручає Іспанському Агентству із захисту даних, приймаючій стороні 31-ої Міжнародної конференції, створити і координувати Робочу групу, що містить в собі зацікавлені органи із захисту даних, з тим, щоб розробити та подати на своєму закритому засіданні Спільні пропозиції щодо встановлення міжнародних стандартів конфіденційності та захисту персональних даних.
 

У Резолюції міститься перелік критеріїв, якими слід керуватися при створенні цих Спільних пропозицій, і, зокрема, вказується, що ці пропозиції мають бути розроблені за широкої участі державних і приватних організацій та установ, з метою отримання широкого інституційного та соціального консенсусу.
 

В рамках цього мандату, Іспанське Агентство з захисту даних створює Робочу групу, стимулює і координує розробку Спільних пропозицій за проектом міжнародних стандартів.
 

Іспанське Агентство з захисту даних спрямувало запрошення взяти участь у Робочій групі всім органам із захисту даних і конфіденційності, акредитованим на Міжнародній конференції. Органи, перелічені в Додатку 2, висловили бажання брати участь у цій Робочій групі і, отже, приєдналися до неї.
 

Робоча група провела засідання в січні і червні 2009 року. На першому засіданні були затверджені методи підготовки Спільних пропозицій і сфера їх застосування, а на другому засіданні був обговорений попередній варіант проекту пропозицій для його подальшого подання на 31-у Конференцію.
 

Відповідно до критеріїв та методів, викладених в Страсбурзькій Резолюції та затвердженими Робочою групою, Іспанське Агентство з захисту даних провело інтенсивну роботу й розробило різні документи, у складанні яких брали участь органи із захисту даних і конфіденційності, інші громадські організації, пов'язані із захистом даних, а також експерти, що працюють в промисловості, юридичній сфері, наукових організаціях, міжнародних організаціях та НУО.
 

Зокрема, Робоча група підготувала Спільні пропозиції щодо проекту міжнародних стандартів захисту конфіденційності у зв'язку з обробкою персональних даних, засновані на принципах,   що присутні в різних документах, інструкціях і настановах міжнародного рівня і є широко визнаними в географічному, економічному та правовому сенсі.
 

Спільні пропозиції були розроблені з урахуванням того, що ці принципи і спільні підходи повинні підвищити значення захисту приватного життя та персональної інформації, з метою їх розширення шляхом додавання рішень і конкретних положень, які можуть застосовуватися незалежно від будь-яких можливих відмінностей між існуючими моделями захисту даних та конфіденційності.
 

Додаток I:
                                                 Спільні пропозиції

за проектом міжнародних стандартів захисту конфіденційності у зв'язку з обробкою персональних даних


                                            Частина I: Загальні положення
 

1. Цілі
1. Цілі даного документа:
a) визначити набір принципів і прав, які гарантують ефективний і рівноправний міжнародний захист конфіденційності у зв'язку з обробкою персональних даних, а також
b) сприяти міжнародній передачі персональних даних, що є необхідною  в умовах глобалізації.
 

2. Визначення
 

У контексті даного документа:
a) «Персональні дані» – будь-яка інформація, що стосується певної фізичної особи або особи, яка може бути ідентифікована розумними способами.
 

b) «Обробка» – будь-яка операція або набір операцій, автоматизованих чи ні, застосовуваних до персональних даних, наприклад, збір, зберігання, використання, розголошення або знищення інформації.
 

c) «Суб'єкт даних» – фізична особа, чиї персональні дані піддаються обробці.
 

d) «Відповідальна особа» – будь-яка фізична особа або організація, державна чи приватна,   що одноосібно або спільно з іншими приймає рішення про обробку.
 

e) «Постачальник послуг обробки» – будь-яка фізична особа або організація, відмінна від відповідальної особи, що здійснює обробку персональних даних від імені такої відповідальної особи.
 

3. Сфера застосування
1. Даний документ призначений для використання при будь-якій обробці персональних даних, повної або часткової, за допомогою автоматичних засобів або іншим чином у структурованій формі, що здійснюється в державному чи приватному секторі.
2. Відповідне національне законодавство може передбачати, що положення даного документа не поширюються на обробку персональних даних фізичною особою в рамках дій, пов'язаних виключно з його приватним та сімейним життям.
 

4. Додаткові заходи
1. Держави можуть розширити захист, передбачений цим документом, додатковими заходами, що забезпечують більш високий рівень захисту приватного життя в зв'язку з обробкою персональних даних.
2. У будь-якому  разі, положення даного документа повинні бути підставою для міжнародної передачі персональних даних, якщо така передача здійснюється відповідно до розділу 15 цього документа.
Для отримання додаткової інформації про процес підготовки даного документа, будь ласка, відвідайте сайт Іспанського Агентства із захисту даних: www.agpd.es, де розміщені пояснювальна записка та інша корисна документація.
 
5. Обмеження
Держава може обмежити сферу застосування положень, викладених в розділах 7-10 і 16-18 даного документа, якщо це необхідно в демократичному суспільстві в інтересах національної безпеки, громадського порядку або охорони здоров'я населення або для захисту прав і свобод інших осіб. Такі обмеження мають бути прямо обумовлені в національному законодавстві, за наявності належних гарантій і кордонів для захисту прав суб'єктів даних.

 

                                           Частина II: Основні принципи
 

6. Принцип законності і справедливості
 

1. Персональні дані повинні оброблятися на підставі  принципу справедливості, з дотриманням відповідного національного законодавства, а також прав і свобод людини, викладених у цьому документі, і відповідно до цілей і принципів Загальної декларації прав людини та Міжнародного пакту про громадянські і політичні права.
2. Зокрема, будь-яка обробка персональних даних, яка призводить до незаконних або довільних дискримінаційних заходів щодо суб'єкта даних, вважається несправедливою.
 

7. Принцип визначення мети
1. Обробка персональних даних повинна обмежуватися виконанням конкретної, явної та законної мети відповідальної особи.
2. Відповідальна особа не повинна здійснювати  якусь обробку, несумісну з цілями, задля яких були зібрані персональні дані, якщо вона не має однозначної згоди на це суб'єкта даних.
 

8. Принцип пропорційності
1. Обробка персональних даних повинна бути адекватною, пропорційною і не надмірною по відношенню до цілей, викладених у попередньому розділі.
2. Зокрема, відповідальна особа повинна вжити розумних зусиль для того, щоб обмежити обробку персональних даних до мінімально необхідного рівня.
 

9. Принцип якості даних
1. Відповідальна особа завжди має забезпечувати, щоб персональні дані були точними, достатніми і оновлюваними, з тим, щоб досягти цілей, задля яких вони обробляються.
2. Відповідальна особа повинна обмежувати період зберігання оброблюваних персональних даних мінімально необхідним терміном. Таким чином, коли персональні дані більше не є необхідними для досягнення цілей, які робили законною їх обробку, вони повинні бути знищені або зроблені анонімними.
 

10. Принцип відкритості
1. Будь-яка відповідальна особа повинна проводити прозору політику щодо обробки персональних даних.
 

2. Відповідальна особа повинна надавати суб'єктам даних, як мінімум, інформацію про відповідальну особу, цілі обробки, одержувачів їх персональних даних, про те, яким чином суб'єкти даних можуть скористатися правами, передбаченими в цьому документі, а також будь-яку додаткову інформацію, необхідну для того, щоб гарантувати справедливу обробку персональних даних.
 

3. Якщо персональні дані отримані безпосередньо від суб'єкта даних, інформація повинна бути надана під час збору даних, якщо вона ще не була надана.
 

4. Якщо персональні дані не отримані безпосередньо від суб'єкта даних, відповідальна особа повинна також повідомити йому про джерело персональних даних. Ця інформація повинна бути надана протягом розумного періоду часу, але ця вимога може бути замінена альтернативними заходами, якщо її виконання неможливе або пов'язане з надмірними зусиллями з боку відповідальної особи.
 

5. Будь-яка інформація, що направляється суб'єкту даних, повинна бути викладена  зрозумілою формою, з використанням чіткої і простої мови, зокрема, у випадку будь-якої обробки, що пов'язана  з неповнолітніми.
 

6. Якщо персональні дані збираються за допомогою електронних комунікаційних мереж, зобов'язання, викладені у першому та другому пунктах цього розділу, можуть бути виконані шляхом повідомлення про політику конфіденційності, простим, доступним й таким, що містить всю перелічену вище інформацію.
 

11. Принцип звітності
Відповідальна особа має:
 

a) Вживати всіх необхідних заходів для дотримання принципів і зобов'язань, викладених у даному документі та у відповідному національному законодавстві, та
 

b) Мати необхідні внутрішні механізми для демонстрації дотримання цих принципів і зобов'язань, як суб'єктам даних, так і наглядовим органам при виконанні ними своїх обов'язків, як це передбачено в розділі 23.
 

                                      Частина III: Легітимність обробки
 

12. Загальний принцип легітимності
1. Як правило, персональні дані можуть піддаватися обробці в одній з наступних ситуацій:
 

a) Якщо отримано вільну, недвозначну і усвідомлену згоду суб'єкта даних;
 

b) Якщо законні інтереси відповідальної особи виправдовують обробку, причому законні інтереси, права і свободи суб'єктів даних не переважають;
 

c) Якщо обробка необхідна для підтримки або реалізації правових відносин між відповідальною особою і суб'єктом даних, або
 

d) Якщо обробка необхідна для виконання зобов'язань відповідальної особи, визначених чинним національним законодавством, або здійснюється державним органом, коли це необхідно для законного здійснення його повноважень.
 

e) У виняткових ситуаціях, що загрожують життю, здоров'ю або безпеці суб'єкта даних або іншої особи.
 

2. Відповідальна особа повинна гарантувати наявність простої, швидкої та ефективної процедури, що дозволяє суб'єкту даних відкликати свою згоду в будь-який час, яка не викликає невиправданих затримок або витрат і не приносить жодного  прибутку відповідальній особі.
 

13. Вразливі дані
1. Вразливими вважаються наступні персональні дані:
a) Дані, які зачіпають найбільш інтимні сфери життя суб'єкта даних, або
b) Дані, які, у випадку зловживань, можуть:
i. Привести до незаконної або довільної дискримінації, або
ii. Спричинити серйозний ризик для суб'єкта даних.
 

2. Зокрема, особисті дані, які можуть виявити такі аспекти, як расове або етнічне походження, політичні погляди, релігійні або філософські переконання, а також дані, що стосуються здоров'я або статевого життя, вважаються конфіденційною інформацією. Чинне національне законодавство може визначати інші категорії вразливих даних, якщо дотримуються умови, згаданої в попередньому пункті.
3. У чинному національному законодавстві повинні існувати гарантії для захисту прав суб'єктів даних, що передбачають додаткові умови для обробки вразливих персональних даних.
 

14. Надання послуг обробки
Відповідальна особа може здійснювати обробку персональних даних за допомогою одного або більше постачальників послуг обробки, і це не вважається розголошенням даних третім особам, за умови, якщо:
 

a) відповідальна особа гарантує, що постачальник послуг обробки забезпечує, принаймні, рівень захисту, визначений цим документом і відповідним національним законодавством, та
b) правовідносини встановлюються на підставі договору або правового документу, який описує існування цих правовідносин, обсяг та зміст послуг, і в якому встановлюються зобов'язання постачальника послуг обробки щодо дотримання цих гарантій, а також забезпечення обробки особистих даних відповідно до вказівок відповідальної особи.

5. Міжнародна передача
1. Як правило, міжнародна передача персональних даних здійснюється, коли держава, якій передаються такі дані, забезпечує, як мінімум, рівень захисту, передбачений в цьому документі.
2. Можлива міжнародна передача персональних даних державам, які не забезпечують рівень захисту, передбачений в даному документі, якщо сторона, яка передає, гарантує, що одержувач забезпечить такий рівень захисту; такі гарантії можуть, наприклад, бути результатом відповідних договірних положень. Зокрема, якщо передача здійснюється в рамках міжнародних корпорацій або груп, такі гарантії можуть бути включені у внутрішні правила конфіденційності, дотримання яких є обов'язковим.
3. Крім того, національне законодавство сторони, що передає дані, може дозволити міжнародну передачу персональних даних до держав, які не забезпечують рівень захисту, передбачений в даному документі, якщо така передача є необхідною і проводиться в інтересах суб'єкта даних в рамках договірних відносин, для захисту життєво важливих інтересів суб'єкта даних або іншої особи, або коли це потрібно за законом у суспільних інтересах.
4. Чинне національне законодавство може наділити наглядові органи, зазначені в розділі 23, правом давати попередній дозвіл на всі або деякі міжнародні передачі, які підпадають під їх юрисдикцію. У будь-якому випадку, сторона, що здійснює міжнародну передачу персональних даних, повинна бути здатна продемонструвати, що така передача задовольняє гарантії, передбачені цим  документом, зокрема, щодо наглядових органів в рамках повноважень, викладених у пункті 23.2.

                                            Частина IV: Права суб'єкта даних
 

16. Право доступу
1. Суб'єкт даних має право отримувати від відповідальної особи, за запитом, інформацію щодо конкретних персональних даних, що піддаються обробці, а також про джерело таких даних, цілі обробки та одержувачів або категорій одержувачів, яким ці дані розкриті або будуть розкриті.
2. Будь-яка інформація, що спрямовується суб'єкту даних, повинна бути викладена  зрозумілою формою, з використанням простої  і зрозумілої мови.
3. Чинне національне законодавство може обмежувати неодноразове здійснення цього права, яке вимагає від відповідальної особи відповідати на численні запити протягом короткого періоду часу, за винятком випадків, коли суб'єкт даних пред'являє законні підстави для здійснення цього права.
 

17. Права на виправлення та видалення
1. Суб'єкт даних має право вимагати від відповідальної особи виправлення або видалення персональних даних, які можуть бути неповними, неточними, непотрібними або надмірними.
2. Якщо це виправдано, відповідальна особа повинна виконати прохання про виправлення або видалення. Відповідальна особа також повинна повідомити про цей факт третіх осіб, яким були розкриті персональні дані, якщо вони відомі.
3. Видалення персональних даних не виправдано, якщо персональні дані мають бути збережені для виконання зобов'язань відповідальної особи відповідно до чинного національного законодавства або договірними відносинами між відповідальною особою і суб'єктом даних.
 

18. Право на заперечення
1. Суб'єкт даних може заперечувати проти обробки персональних даних, якщо існують законні підстави, пов'язані з його / її особистою ситуацією.
2. Реалізація цього права на заперечення не виправдана, коли обробка даних необхідна для виконання зобов'язань відповідальної особи відповідно до чинного національного законодавства.
3. Будь-який суб'єкт даних може заперечувати проти рішень, які породжують правові наслідки, засновані виключно на автоматизованій обробці персональних даних, крім випадків, коли рішення прийнято на прохання суб'єкта даних, або коли це необхідно для створення, підтримки або здійснення правових відносин між відповідальною особою і суб'єктом даних . В останньому випадку суб'єкт даних повинен мати можливість викласти свою точку зору для захисту своїх прав чи інтересів.
 

19. Реалізація цих прав
1. Права, передбачені статтями 16 – 18 цього документа, можуть бути реалізовані:
a) безпосередньо суб'єктом даних, який може переконливо засвідчити свою особу перед відповідальною особою.
b) через представника, який може переконливо засвідчити свій статус перед відповідальною особою.
3. Відповідальна особа має слідувати процедурам, які дозволяють суб'єктам даних просто, швидко й ефективно здійснювати свої права, передбачені статтями 16 – 18 цього документа, і не тягнуть за собою невиправданих затримок або витрат, а також не приносять жодних доходів відповідальній особі.
4. Якщо відповідальна особа дійшла висновку, що, відповідно до чинного національного законодавства, реалізація прав, описаних у цій Частині, не виправдана, суб'єкт даних повинен бути проінформований про причини, на підставі яких було зроблено такий висновок.
 

                                                       Частина V: Безпека
 

20. Заходи безпеки
1. Відповідальна особа і постачальник послуг обробки повинні захищати оброблювані персональні дані, вживаючи відповідних технічних та організаційних заходів для забезпечення, в кожен момент часу, їх цілісності, конфіденційності та доступності. Ці заходи залежать від існуючих ризиків, можливих наслідків для суб'єкта даних, уразливості персональних даних, актуальності, контексту обробки даних і, у відповідних випадках, зобов'язань, передбачених чинним національним законодавством.
2. Суб'єкт даних, на будь-якій стадії обробки, має бути поінформований про будь-які порушення безпеки, які можуть істотно вплинути на його матеріальні або нематеріальні права, а також про заходи, вжиті для врегулювання ситуації. Ця інформація повинна надаватися вчасно, з тим, щоб дозволити суб'єкту даних домагатися захисту своїх прав.
21. Обов'язок дотримуватися конфіденційності
Відповідальна особа і всі зацікавлені сторони на будь-якій стадії обробки повинні зберігати конфіденційність особистих даних. Це зобов'язання залишається чинним навіть після припинення відносин з суб'єктом даних, або, у відповідних випадках, з відповідальною особою.
 

                                  Частина VI: Дотримання і моніторинг
 

22. Профілактичні заходи
Держава повинна забезпечити шляхом внутрішнього законодавства вжиття всіма сторонами, на будь-якому етапі обробки, заходів для більш суворого дотримання діючих законів про захист приватного життя у зв'язку з обробкою персональних даних. Такі заходи можуть включати, серед іншого:
a) Використання процедур попередження і виявлення порушень, які можуть бути засновані на стандартних моделях захисту безпеки інформації.
b) Призначення одного або більше посадових осіб із захисту даних і конфіденційності, що володіють належною кваліфікацією, ресурсами і повноваженнями для здійснення своїх наглядових функцій належним чином.
c) Періодичне проведення професійної підготовки, навчання і програм з підвищення інформованості серед членів організації, спрямованих на краще розуміння положень чинного законодавства про захист приватного життя у зв'язку з обробкою персональних даних, а також процедур, які затверджені організацією з цією метою.
d) Періодичне проведення гласних перевірок кваліфікованими і, бажано, незалежними сторонами, для перевірки дотримання існуючих законів про захист приватного життя у зв'язку з обробкою персональних даних, а також процедур, затверджених організацією з цією метою.
e) Адаптація інформаційних систем та / або технологій для обробки персональних даних відповідно до законів про захист приватного життя у зв'язку з обробкою персональних даних, особливо під час прийняття рішення про їхні технічні характеристики, розробки та впровадження.
f) Оцінка впливу на конфіденційність перед впровадженням нових інформаційних систем та / або технологій обробки персональних даних, а також перед введенням будь-якого нового методу обробки персональних даних або внесення суттєвих змін до існуючих методів обробки.
g) Прийняття практичних правил, дотримання яких є обов'язковим, і які містять елементи, що дозволяють оцінювати ефективність, дотримання і рівень захисту персональних даних, а також передбачають ефективні заходи у випадку недотримання.
h) Впровадження плану реагування, що визначає дії при перевірці порушень чинного законодавства про захист конфіденційності у зв'язку з обробкою персональних даних, включаючи, як мінімум, зобов'язання визначити причину і ступінь порушення, описати його шкідливі наслідки і вжити відповідних заходів для уникнення майбутніх порушень.
                                             

    23. Моніторинг
1. У кожній державі повинен існувати один або декілька наглядових органів, які контролюють дотримання принципів, викладених в даному документі, відповідно до її внутрішнього права.
2. Ці наглядові органи повинні бути неупередженими і незалежними, мати технічну компетентність, достатні повноваження та адекватні ресурси для розгляду претензій суб'єктів даних, а також, у разі необхідності, для проведення розслідувань і втручань для забезпечення дотримання чинного національного законодавства про захист приватного життя у зв'язку з обробкою персональних даних.
3. У будь-якому випадку, без шкоди для будь-яких згаданих у попередніх пунктах адміністративних засобах правового захисту, включаючи судовий контроль над рішеннями наглядових органів, суб'єкти даних можуть звертатися безпосередньо до судів для захисту своїх прав відповідно до положень чинного національного законодавства.
 

24. Співпраця та координація
1. Органи, згадані в попередньому розділі, повинні прагнути до співпраці один з одним, аби домогтися однаковості захисту приватного життя в зв'язку з обробкою персональних даних на національному та міжнародному рівнях. З метою сприяння цьому співробітництву кожна держава повинна мати можливість у разі необхідності визначати компетентні наглядові органи на своїй території.
2. Ці органи, зокрема, повинні докладати зусиль для:
a) обміну доповідями, методами розслідування, комунікаційними та нормативними стратегіями, а також іншою корисною інформацією для більш ефективного виконання своїх функцій, зокрема, у сфері співробітництва з іншими наглядовими органами при розслідуванні або втручанні;
b) проведення спільних розслідувань або заходів на національному та міжнародному рівнях, коли порушені інтереси двох або більше органів;
c) участі в асоціаціях, робочих групах та спільних форумах, а також семінарах, конференціях чи курсах, що сприяють прийняттю спільних позицій та підвищенню технічної кваліфікації співробітників наглядових органів;
d) збереження належного рівня конфіденційності інформації, якою вони обмінюються в ході співробітництва.
3. Держава повинна заохочувати укладання угод про співпрацю між наглядовими органами на регіональному, національному та міжнародному рівнях, які  сприятимуть більш ефективному виконанню вимог цього розділу.
 

25. Відповідальність
1. Відповідальна особа несе відповідальність за матеріальну і / або нематеріальну шкоду, заподіяну суб'єкту даних в результаті обробки персональних даних, при якій були порушені положення чинного законодавства про захист приватного життя у зв'язку з обробкою персональних даних, за винятком випадків, коли відповідальна особа може довести, що вона не винна за завданий збиток. Ця відповідальність не завдає шкоди будь-яким діям відповідальної особи щодо постачальника послуги обробки на будь-якій стадії обробки.
2. Держава повинна вживати належних заходів для полегшення доступу суб'єктів даних до відповідних судових або адміністративних процесів, що дозволяє їм отримати компенсацію шкоди, згаданої в попередньому пункті.
3. Вищезазначена відповідальність повинна існувати без шкоди для кримінальних, цивільних або адміністративних покарань, передбачених у відповідних випадках, в разі порушення положень національного законодавства про захист приватного життя у зв'язку з обробкою персональних даних.
4. Прийняття профілактичних заходів, як описано в розділі 22 даного документа, повинно враховуватися при визначенні відповідальності і покарання, передбачених у цьому розділі.
 
 

Додаток II:
                                    Спільні пропозиції
за проектом міжнародних стандартів захисту конфіденційності у зв'язку з обробкою персональних даних

 

Органи, що входять до Робочої групи
 

Data Protection Commission (Австрія)
Privacy Protection Commission (Бельгія)
Commission on Computers and Liberties (Буркіна-Фасо)
Office of the Privacy Commissioner of Canada
Information Access Commission of Quebec (Канада)
Office for Personal Data Protection (Республіка Чехія)
European Data Protection Supervisor
National Commission on Computers and Liberties (Франція)
Federal Data Protection Commissioner (Німеччина)
Data Protection and Freedom of Information Commissioner of Berlin (Німеччина)
Data Protection Commissioner of Schleswig-Holstein (Німеччина)
Privacy Commissioner for Personal Data (Гонконг)
Irish Data Protection Commissioner
Italian Data Protection Authority
Data Protection Commission (Нідерланди)
New Zealand Privacy Commissioner
National Data Protection Commission (Португалія)
Information Commissioner of the Republic of Slovenia
Spanish Data Protection Agency (Іспанія)
Catalan Data Protection Authority (Іспанія)
Data Protection Agency of Madrid (Іспанія)
Basque Data Protection Agency (Іспанія)
Federal Data Protection Commissioner (Швейцарія)
Information Commissioner's Office (Сполучене Королівство)

 Поділитися