Директива 95/46/ЄС Європейського Парламенту і Ради "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних"

Тип: Міжнародний документ

№ 95/46/ЄС

Дата: 24 жовтня 1995 р.

Статус: Втратив чинність

{ Директиву скасовано на підставі Регламенту N 2016/679 ( 984_008-16 ) від 27.04.2016 }

Директива 95/46/ЄС Європейського Парламенту і Ради "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних" від 24 жовтня 1995 року

ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ і РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про заснування Європейського Співтовариства ( 994_017 ) і, зокрема, його статтю 100a,

Беручи до уваги пропозицію Комісії (1),

Беручи до уваги висновок Економічного і Соціального Комітету (2),

Діючи відповідно до процедури, викладеної в статті 189b Договору ( 994_017 ) (3),

___________________ (1) OJ N C 277, 5. 1990, p. 3 і OJ N 311, 27. 11.1992, p. 30.

(2) OJ N 159, 17.6.1991, p. 38.

(3) Висновок Європейського Парламенту від 11 березня 1992 р. (OJ N C 94, 13.4.1992, p. 198), ратифікований 2 грудня 1993 р. (OJ N C 342, 20.12.1993, p. 30); Загальна позиція Ради від 20 лютого 1995 р. (OJ N C 93, 13. 4. 1995 р., p. I) і Рішення Європейського Парламенту від 15 червня 1995 р. (OJ N C 166, 3.7.1995).

1. Враховуючи, що цілі Співтовариства, викладені в Договорі ( 994_017 ), з поправками, внесеними Договором про Європейський Союз ( 994_029 ), полягають в створенні дедалі тіснішого союзу серед народів Європи, заохоченні більш тісних відносин між державами, що входять до Співтовариства, забезпеченні економічного і соціального прогресу шляхом спільних дій, спрямованих на усунення бар'єрів, що розділяють Європу, підтримку постійного поліпшення умов життя його народів, збереження і зміцнення миру та свободи, а також на розвиток демократії, яка базується на основних правах, визнаних конституціями і законами держав-членів та Європейською конвенцією про захист прав людини і основних свобод ( 995_004 );

2. Враховуючи, що системи обробки даних створені для служіння людині; враховуючи, що вони, незалежно від національності чи місця проживання фізичних осіб, повинні поважати їхні основні права і свободи, особливо право на невтручання в особисте життя, і сприяти економічному і соціальному прогресу, розширенню торгівлі і добробуту людей;

3. Враховуючи, що створення і функціонування внутрішнього ринку, у якому згідно зі статтею 7a Договору ( 994_017 ) гарантується вільне пересування товарів, осіб, послуг і капіталів, вимагає не тільки можливості вільного переміщення персональних даних з однієї держави-члена в іншу, але й захисту основних прав людей;

4. Враховуючи дедалі частіше застосування обробки персональних даних у Співтоваристві в різних сферах соціальної та економічної діяльності; враховуючи, що прогрес, досягнутий у сфері інформаційних технологій, значно полегшує обробку та обмін такими даними;

5. Враховуючи, що економічна і соціальна інтеграція, досягнута в результаті створення і функціонування внутрішнього ринку в розумінні статті 7a Договору ( 994_017 ), неминуче призведе до істотного збільшення транскордонних потоків персональних даних між усіма тими, хто бере участь в економічному і соціальному житті держав-членів, як в приватному, так і в державному статусі; враховуючи, що обмін персональними даними між підприємствами різних держав-членів має розвиватися; враховуючи, що відповідно до права Співтовариства державні органи різних держав-членів повинні співпрацювати й обмінюватися персональними даними для того, щоб могти виконувати свої обов'язки і завдання від імені органів влади в іншій державі-члені в контексті простору без внутрішніх кордонів, який створюється внутрішнім ринком;

6. Враховуючи, крім того, що збільшення науково-технічного співробітництва і узгоджене введення нових телекомунікаційних мереж у Співтоваристві роблять необхідним і полегшують здійснення транскордонних потоків персональних даних;

7. Враховуючи, що розходження в рівні захисту прав і свобод фізичних осіб, що надають держави-члени, в особливості права на невтручання в особисте життя, при обробці персональних даних, може перешкоджати передачі таких даних з території однієї держави-члена на територію іншої держави-члена; враховуючи, що такі розходження до того ж можуть стати перешкодою в здійсненні певних видів економічної діяльності на рівні Співтовариства, негативно відбитися на конкуренції, перешкоджати владі у виконанні її зобов'язань згідно з правом Співтовариства; враховуючи, що такі розходження в рівні захисту викликані існуванням великої різноманітності національних законів, постанов і адміністративних положень;

8. Враховуючи, що для усунення перешкод на шляху передачі персональних даних рівень захисту прав і свобод фізичних осіб при обробці цих даних повинен бути однаковим у всіх державах-членах; враховуючи, що ця мета, будучи життєво необхідною для внутрішнього ринку, не може бути досягнута державами-членами поодинці, особливо з урахуванням ступеня існуючих у даний час розходжень між відповідним законодавством держав-членів і необхідністю узгодження законів держав-членів для забезпечення єдиного підходу до регулювання транскордонних потоків персональних даних, тобто, дотримуючись цілей внутрішнього ринку, передбачених статтею 7a Договору ( 994_017 ); враховуючи, що в зв'язку з цим необхідні дії Співтовариства, спрямовані на зближення такого законодавства;

9. Враховуючи, що при рівному рівні захисту внаслідок зближення національних законодавств держави-члени більше не зможуть перешкоджати вільному пересуванню персональних даних між собою, посилаючись на обмеження, пов'язані із захистом прав і свобод фізичних осіб, а особливо права на невтручання в особисте життя; враховуючи, що державам-членам буде наданий певний ступінь свободи маневрування, який в контексті виконання Директиви може також використовуватись діловими і соціальними партнерами; враховуючи, що держави-члени в такий спосіб зможуть уточнити у своєму національному законодавстві загальні умови, що регулюють законність обробки даних; враховуючи, що при цьому держави-члени будуть прагнути поліпшити систему захисту, передбачену в їхньому законодавстві в даний час; враховуючи, що в межах певного ступеня свободи маневрування та відповідно до права Співтовариства можуть виникнути розбіжності в процесі здійснення Директиви, і це може вплинути на пересування даних як у державі-члені, так і в Співтоваристві;

10. Враховуючи, що метою національного законодавства про обробку персональних даних є захист основних прав і свобод, а особливо права на невтручання в особисте життя, що визнається як статтею 8 Європейської конвенції про захист прав людини й основних свобод ( 995_004 ), так і загальними принципами права Співтовариства; враховуючи, що з цієї причини зближення згаданих законодавств не повинне призвести до зниження рівня наданого ними захисту, а навпаки, повинне прагнути забезпечити високий рівень захисту в Співтоваристві;

11. Враховуючи, що принципи захисту прав і свобод фізичних осіб, а особливо права на невтручання в приватне життя, викладені в даній Директиві, уточнюють і посилюють принципи, викладені в Конвенції Ради Європи від 28 січня 1981 року про захист фізичних осіб при автоматизованій обробці персональних даних ( 994_326 );

12. Враховуючи, що принципи захисту повинні застосовуватися до усіх випадків обробки персональних даних, здійснюваних будь-якою особою, чия діяльність регулюється правом Співтовариства; враховуючи, що ці принципи не поширюються на обробку даних, створених фізичною особою в процесі діяльності винятково особистого чи домашнього характеру, такої як переписування і ведення адресних книг;

13. Враховуючи, що діяльність, згадана в Розділах V і VI Договору про Європейський Союз ( 994_029 ), щодо суспільного порядку, оборони, державної безпеки чи діяльності держави в сфері кримінального законодавства, не входить до сфери дії права Співтовариства, без шкоди для зобов'язань, покладених на держави-члени згідно з параграфом 2 статті 56, статті 57 чи статті 100 Договору, що засновує Європейське Співтовариство ( 994_017 ); враховуючи, що обробка персональних даних, необхідна для захисту економічного добробуту держави, не входить до сфери дії даної Директиви, у випадках, коли така обробка пов'язана з питаннями державної безпеки;

14. Враховуючи, що з урахуванням важливості розвитку технологій, використовуваних для прийому, передачі, маніпуляцій, реєстрації, збереженні чи повідомленні звукових і візуальних даних, які стосуються фізичних осіб, який відбувається в інформаційному суспільстві, дана Директива повинна застосовуватися до обробки, що використовує такі дані;

15. Враховуючи, що обробка таких даних підпадає під дію даної Директиви лише в тих випадках, коли обробка є автоматизованою або коли оброблені дані розміщуються чи призначені для розміщення в картотеках, структурованих за визначеними критеріями, що стосуються фізичних осіб, таким чином, щоб забезпечити легкий доступ до відповідних персональних даних;

16. Враховуючи, що обробка звукових і візуальних даних, таких як, наприклад, відеоспостереження, не відноситися до сфери дії даної Директиви, якщо вона проводиться з метою суспільного порядку, оборони, державної безпеки чи в ході державної діяльності, що відноситься до сфери кримінального права, чи іншої діяльності, що не відноситися до сфери дії права Співтовариства;

17. Враховуючи, що до випадків, коли обробка звукових і візуальних даних провадиться з метою журналістики чи з метою літературної або художньої творчості, зокрема, в аудіовізуальній області, принципи Директиви повинні застосовуватися з обмеженнями відповідно до положень, викладених в статті 9;

18. Враховуючи, що для того, щоб уникнути втрати фізичною особою захисту, на який вона має право згідно з даною Директивою, будь-яка обробка персональних даних у Співтоваристві повинна відбуватися відповідно до законодавства однієї з держав-членів; враховуючи, що в зв'язку з цим обробка, здійснена в межах юрисдикції контролера, створеного в державі-члені, повинна регулюватися законодавством цієї держави;

19. Враховуючи, що створення такого органу на території держави-члена передбачає ефективне і реальне ведення діяльності на основі постійних домовленостей; враховуючи, що правова форма такої установи, незалежно від того є воно простою філією чи представництвом - суб'єктом права, не є вирішальним чинником у цьому відношенні; враховуючи, що при створенні єдиного контролера на території декількох держав-членів, зокрема, шляхом створення представництв, для запобігання порушення національних правил, він повинен забезпечити виконання своїми установами зобов'язань, накладених на них національним законодавством, що застосовується до його діяльності;

20. Враховуючи, що той факт, що обробка даних проводиться особою, яка перебуває в третій країні, не повинен перешкоджати захисту фізичних осіб, передбаченому даною Директивою; враховуючи, що в таких випадках обробка даних повинна регулюватися законами держави-члена, у якому розташовані використовувані засоби, і повинні існувати гарантії для забезпечення дотримання на практиці прав і обов'язків, передбачених даною Директивою;

21. Враховуючи, що дана Директива не завдає шкоди правилам територіальності, застосовуваним у кримінальних справах;

22. Враховуючи, що держави-члени більш точно визначають у законах, що приймаються, а також при здійсненні заходів на виконання даної Директиви, загальні умови, при яких обробка даних є законною; враховуючи, що, зокрема, стаття 5 у сполученні зі статтями 7 і 8 дозволяє державам-членам незалежно від загальних правил передбачати особливі умови обробки даних для певних секторів і для різних категорій даних, зазначених у статті 8;

23. Враховуючи, що держави-члени уповноважені забезпечити здійснення захисту фізичних осіб шляхом прийняття як загального закону про захист фізичних осіб при обробці персональних даних, так і галузевих законів, таких як ті, що стосуються, наприклад, статистичних установ;

24. Враховуючи, що законодавство про захист юридичних осіб при обробці даних, які їх стосуються, не зачіпається даною Директивою;

25. Враховуючи, що принципи захисту повинні бути відображені, з одного боку, у зобов'язаннях, що накладаються на осіб, на державні органи влади, підприємства, агентства чи інші органи, які відповідають за обробку, зокрема в тому, що стосується якості даних, технічної безпеки, повідомлення наглядових органів, і обставин, при яких може проводитися обробка, та, з іншого боку, у праві, яким наділені фізичні особи, чиї дані підлягають обробці, знати, що обробка дійсно проводиться, звертатися до даних, вимагати внесення змін і навіть заперечувати проти обробки за певних обставин;

26. Враховуючи, що принципи захисту повинні застосовуватися до будь-якої інформації, яка стосується встановленої особи чи особи, яку можна встановити; враховуючи, що для визначення того, чи можна особу встановити, повинні враховуватися всі засоби, використання яких контролером чи якою-небудь іншою особою імовірно очікувати для встановлення вище згаданої особи; враховуючи, що принципи захисту не застосовуються до даних, що надані анонімно таким чином, що суб'єкт даних не може бути встановлений; враховуючи, що кодекси поведінки в значенні статті 27 можуть бути корисним знаряддям для забезпечення керівництва щодо способів анонімного надання даних і їхнього збереження у формі, що забезпечує неможливість встановлення особи суб'єкта даних;

27. Враховуючи, що захист фізичних осіб повинен застосовуватися як до автоматизованої обробки даних, так і до ручної обробки; враховуючи, що масштаби такого захисту не повинні залежати від використовуваних методів, бо інакше це створить серйозну загрозу обходу закону; враховуючи, що, незважаючи на це, у тому що стосується ручної обробки, дана Директива охоплює тільки картотеки даних, але не неструктуровані справи; враховуючи, що, зокрема, вміст картотеки даних повинен бути структурований відповідно до визначених критеріїв щодо фізичних осіб, що забезпечувало б легкий доступ до персональних даних; враховуючи, що, відповідно до визначення в статті 2 (c), різні критерії визначення складових частин структурованої сукупності персональних даних і різні критерії управління доступом до такої сукупності можуть бути встановлені кожною державою-членом; враховуючи, що справи чи зібрання справ, як і їхні титульні аркуші, що не розроблені відповідно до визначених критеріїв, за жодних обставин не входять до сфери дії даної Директиви;

28. Враховуючи, що будь-яка обробка персональних даних повинна бути законною і справедливою по відношенню до фізичних осіб, яких вона безпосередньо стосується; враховуючи, що, зокрема, дані повинні бути достовірними, відповідними і не надмірними з точки зору цілей, заради яких проводитися їхня обробка; враховуючи, що ці цілі повинні бути чіткими і законними і повинні бути визначені на час збору даних; враховуючи, що цілі обробки даних, яка проводиться після збору даних, не повинні бути несумісними із цілями, визначеними спочатку;

29. Враховуючи, що подальша обробка персональних даних в історичних, статистичних чи наукових цілях не повинна розглядатися як несумісна з цілями, заради яких дані були зібрані раніше, за умови, що держави-члени забезпечать відповідні гарантії; враховуючи, що ці гарантії повинні, зокрема, виключати використання даних на підтримку заходів чи рішень відносно будь-якої конкретної особи;

30. Враховуючи, що для забезпечення законності обробки персональних даних, вона повинна, крім іншого, проводитися з дозволу суб'єкта даних чи бути необхідною для укладання чи виконання договору, обов'язкового для суб'єкта даних, або в якості правової вимоги, або для виконання завдання, яке здійснюється в інтересах суспільства чи при виконанні офіційних повноважень, або в законних інтересах фізичної чи юридичної особи, за умови, що враховуються інтереси чи права і свободи суб'єкта даних; враховуючи, що, зокрема, для того, щоб зберегти рівновагу між інтересами, які зачіпаються, в той же час гарантуючи ефективну конкуренцію, держави-члени можуть визначити обставини, при яких персональні дані можуть використовуватися чи надаватися третій стороні в контексті законної звичайної ділової діяльності компаній і інших органів; враховуючи, що держави-члени можуть аналогічним чином визначити умови, за яких персональні дані можуть надаватися третій стороні з метою маркетингу, здійснюваного або в комерційних цілях, або благодійною організацією чи будь-якою іншою асоціацією чи фондом, наприклад, політичного характеру, за умови дотримання положень, що дозволяють суб'єкту даних безкоштовно і без зазначення причин заперечувати проти обробки даних, які його стосуються;

31. Враховуючи, що обробка персональних даних повинна розглядатися також як законна, якщо вона проводитися з метою захисту інтересу, який є надзвичайно важливим для життя суб'єкта даних;

32. Враховуючи, що питання про те, чи повинен контролер, який виконує завдання в інтересах суспільства чи при виконанні офіційних повноважень, бути державним органом або іншою фізичною чи юридичною особою, що регулюється публічним правом чи приватним правом, такою як професійне об'єднання, повинне визначатися національними законодавствами;

33. Враховуючи, що дані, які за своєю природою можуть порушити основні свободи і таємницю приватного життя, не повинні оброблятися доти, доки суб'єкт даних не дасть своєї згоди; враховуючи, що, незважаючи на це, відступ від даної заборони повинен бути чітко викладений з огляду на особливі потреби, зокрема, якщо обробка цих даних проводиться у певних цілях, пов'язаних із здоров'ям, особами, які зв'язані правовим зобов'язанням зберігати професійну таємницю, або під час законної діяльності певних асоціацій чи фондів, метою яких є дозволити здійснення основних свобод;

34. Враховуючи, що держави-члени повинні бути також уповноважені, якщо це виправдовується важливим суспільним інтересом, відступати від заборони обробляти конфіденційні категорії даних, якщо це пов'язано із суспільними інтересами в таких сферах, як охорона суспільного здоров'я і соціальний захист, особливо з метою гарантування якості і рентабельності процедур, що використовуються під час врегулювання позовів про виплату допомоги і надання послуг у системі страхування здоров'я, а також у сфері наукових досліджень і урядової статистики; враховуючи, що, незважаючи на це, вони зобов'язані забезпечувати особливі і відповідні гарантії, спрямовані на захист основних прав і приватного життя людей;

35. Враховуючи, що, крім того, обробка персональних даних, яка здійснюється офіційними органами для досягнення цілей, встановлених у конституційному праві чи в міжнародному публічному праві, офіційно визнаних релігійних об'єднань здійснюється на важливих підставах суспільного інтересу;

36. Враховуючи, що якщо в ході виборчої діяльності функціонування демократичної системи в деяких державах-членах вимагає від політичних партій збору даних про політичні погляди людей, обробка таких даних може бути дозволена на важливих підставах суспільного інтересу, за умови створення відповідних гарантій;

37. Враховуючи, що обробка персональних даних для цілей журналістики чи художньої або літературної творчості, зокрема, в аудіовізуальному секторі, повинна підлягати звільненню від вимог, викладених у деяких положеннях даної Директиви, у тій мірі, у якій це необхідно для узгодження основних прав людини зі свободою інформації і особливо з правом одержувати і передавати інформацію, яке гарантується, передусім, статтею 10 Європейської конвенції про захист прав людини й основних свобод ( 995_004 ); враховуючи, що, виходячи з цього, держави-члени повинні визначити винятки і відступи, необхідні для досягнення балансу між основними правами в тому, що стосується загальних заходів щодо законності обробки даних, заходів для передачі даних третім країнам і повноважень наглядового органу; враховуючи, однак, що це не повинно призвести до того, що держави-члени встановлять винятки відносно заходів із забезпечення безпеки обробки; враховуючи, що, принаймні, наглядовий орган, відповідальний за цю галузь, повинен також бути наділений певними апостеріорними повноваженнями, наприклад, видавати регулярний звіт чи передавати справи судовим органам;

38. Враховуючи, що для того, щоб обробка даних була справедливою, суб'єкт даних повинен могти взнати про існування факту обробки і, якщо дані отримані від нього, повинен одержати точну і повну інформацію з урахуванням обставин збору даних;

39. Враховуючи, що деякі випадки обробки стосуються даних, які контролер одержав не від суб'єкта даних безпосередньо; враховуючи, крім того, що дані можуть бути відкриті законним шляхом третій стороні, навіть якщо це не було передбачено під час збору даних у суб'єкта даних; враховуючи, що у всіх цих випадках суб'єкт даних повинен бути проінформований про це тоді, коли дані записуються чи пізніше, коли вони вперше розкриваються третій стороні;

40. Враховуючи, однак, що дане зобов'язання не обов'язково накладати, якщо суб'єкт даних вже має необхідну інформацію; враховуючи, що; крім того, дане зобов'язання не накладається, якщо запис чи розкриття третій стороні будуть чітко передбачені законом або якщо надання інформації суб'єкту даних виявиться неможливим чи зажадає непропорційних зусиль, що може відбутися у випадку, коли обробка даних проводитися в історичних, статистичних чи наукових цілях; враховуючи, що при цьому може враховуватися число суб'єктів даних, вік даних і будь-які затверджені компенсаційні заходи;

41. Враховуючи, що будь-яка особа повинна мати можливість використати право доступу до даних, які стосуються її і перебувають в обробці, з метою їхньої перевірки, особливо перевірки точності і законності обробки; враховуючи, що з тих же причин кожен суб'єкт даних повинен також мати право знати логіку, застосовувану при автоматизованій обробці даних, які його стосуються, принаймні у випадку з автоматизованими рішеннями, про які йде мова в пункті 1 статті 15; враховуючи, що це право не повинне негативно впливати на торгові секрети чи інтелектуальну власність і, зокрема, на авторське право, що захищає програмне забезпечення; враховуючи, що, незважаючи на це, врахування цих факторів не повинне призвести до відмови суб'єкту даних у наданні всієї інформації;

42. Враховуючи, що держави-члени можуть в інтересах суб'єкта даних чи з метою захисту прав і свобод інших осіб обмежити права на доступ і на інформування; враховуючи, що вони, наприклад, можуть прийняти рішення, що доступ до медичних даних може бути отриманий тільки через медичного працівника;

43. Враховуючи, що обмеження прав на доступ і інформування та обмеження деяких інших зобов'язань контролера можуть подібним чином бути встановлені державами-членами в тій мірі, у якій вони необхідні для захисту, наприклад, національної безпеки, оборони, суспільної безпеки чи важливих економічних і фінансових інтересів держави-члена чи Союзу, а також у карних розслідуваннях, переслідуваннях і діях у зв'язку з порушенням етики встановлених професій; враховуючи, що перелік винятків і обмежень повинен включати задачі моніторингу, інспекції чи регулювання, що необхідні в трьох останніх із згаданих сфер відносно суспільної безпеки, економічних чи фінансових інтересів і попередження злочинності; враховуючи, що перерахування задач у цих трьох сферах не впливає на законність винятків чи обмежень, встановлених із причин державної безпеки чи оборони;

44. Враховуючи, що держави-члени можуть бути змушені, на підставі положень права Співтовариства, відступати від положень даної Директиви в тому, що стосується права доступу, зобов'язання інформувати фізичних осіб, якості даних; з метою виконання деяких із вищезгаданих цілей;

45. Враховуючи, що у випадках, коли дані можуть оброблятися законним шляхом на підставі суспільного інтересу, офіційних повноважень чи законних інтересів фізичної або юридичної особи, будь-який суб'єкт даних повинен, незважаючи на це, мати право на законних і незаперечних підставах, що стосуються його конкретної ситуації, опротестувати обробку будь-яких даних, які його стосуються; враховуючи, що, незважаючи на це, держави-члени можуть передбачити протилежні національні положення;

46. Враховуючи, що захист прав і свобод суб'єктів даних при обробці персональних даних вимагає прийняття відповідних технічних й організаційних заходів як при розробці системи обробки, так і під час самої обробки, зокрема для забезпечення безпеки і, таким чином, запобігання будь-якій незаконній обробці; враховуючи, що держави-члени повинні забезпечити дотримання контролерами таких заходів; враховуючи, що ці заходи повинні забезпечити відповідний рівень безпеки, з огляду на існуюче положення речей і вартість їхньої реалізації з врахуванням пов'язаного з обробкою ризику і характеру даних, що підлягають захисту;

47. Враховуючи, що, якщо повідомлення, що містить персональні дані, передається за допомогою телекомунікацій чи електронної пошти, єдиною метою яких є передача таких повідомлень, контролером у відношенні персональних даних, які містяться в повідомленні, буде вважатися особа, від якої виходить це повідомлення, а не особа, що надає послуги з передачі повідомлень; враховуючи, що, незважаючи на це, особи, що надають ці послуги, будуть, як правило, вважатися контролерами стосовно обробки додаткових персональних даних, необхідних для надання цієї послуги;

48. Враховуючи, що процедури повідомлення наглядового органу покликані забезпечити розкриття цілей і основних принципів будь-якого процесу обробки для перевірки того, що процес здійснюється відповідно до національних заходів, прийнятих відповідно до даної Директиви;

49. Враховуючи, що для того, щоб уникнути непотрібних адміністративних формальностей, звільнення від зобов'язання повідомляти і спрощення необхідного повідомлення можуть бути передбачені державами-членами у випадках, коли обробка навряд чи може завдати шкоди правам і свободам суб'єктів даних, і за умови, що вона проводиться відповідно до прийнятої державою-членом міри, що визначає її рамки; враховуючи, що звільнення чи спрощення можуть бути передбачені державами-членами за умови, що особа, призначена контролером, гарантує, що здійснена обробка даних навряд чи може завдати шкоди правам і свободам суб'єктів даних; враховуючи, що такий службовець із захисту даних незалежно від того, чи є він співробітником інституту контролера чи ні, повинен мати можливість виконувати свої функцій абсолютно незалежно;

50. Враховуючи, що звільнення чи спрощення може бути передбачене у випадках із процесами обробки, єдиною метою яких є ведення реєстру, що відповідно до національного законодавства, призначений для надання інформації населенню і є відкритим для звертань населення чи будь-якої особи, що демонструє законний інтерес;

51. Враховуючи, що, незважаючи на це, спрощення чи звільнення від зобов'язання повідомляти не звільняє контролера від жодних інших зобов'язань, що випливають з даної Директиви;

52. Враховуючи, що в цьому контексті апостеріорна перевірка компетентними органами в цілому повинна розглядатися як достатній захід;

53. Враховуючи, що, незважаючи на це, при деяких процесах обробки існує імовірність певних ризиків для прав і свобод суб'єктів даних в силу їхньої природи, їхнього обсягу чи їхніх цілей, як, наприклад, позбавлення фізичних осіб права, допомоги чи контракту, або через особливе використання нових технологій; враховуючи, що держави-члени за власним бажанням визначають ці ризики у своєму законодавстві;

54. Враховуючи, що з врахуванням всіх процесів обробки, які здійснюються в суспільстві, кількість процесів, які створюють такий особливий ризик, повинна бути обмеженою; враховуючи, що держави-члени повинні передбачити, що наглядовий орган чи службовець із захисту даних разом з органом перевіряють таку обробку до її виконання; враховуючи, що після проведення такої попередньої перевірки наглядовий орган у відповідності із своїм національним законодавством дає свій висновок чи дозвіл на здійснення обробки; враховуючи, що така перевірка може в однаковій мірі відбуватися в ході підготовки або законодавчого заходу національного парламенту, або заходу, що базується на такому законодавчому заході, що визначає природу обробки і встановлює відповідні гарантії;

55. Враховуючи, що у випадку порушення контролером прав суб'єктів даних, національне законодавство повинне передбачити судовий спосіб захисту; враховуючи, що будь-яка шкода, що може бути завдана людині в результаті незаконної обробки даних, повинна відшкодовуватися контролером, який може бути звільнений від відповідальності, якщо доведе, що він не є відповідальним за цю шкоду, зокрема у випадках, коли він встановлює наявність провини суб'єкта даних чи за форс-мажорних обставин; враховуючи, що санкції повинні застосовуватися до будь-якої особи, незалежно від того, керуються вони приватним чи публічним правом, якщо вона не виконує національних заходів, прийнятих відповідно до даної Директиви;

56. Враховуючи, що транскордонні потоки персональних даних необхідні для розширення міжнародної торгівлі; враховуючи, що захист фізичних осіб, гарантований у Співтоваристві даною Директивою, не перешкоджає передачі персональних даних третім країнам, що забезпечують адекватний рівень захисту; враховуючи, що адекватність рівня захисту, наданого третіми країнами, повинна оцінюватися у світлі всіх обставин, пов'язаних із процесом передачі чи сукупністю процесів передачі;

57. Враховуючи, що з одного боку, передача персональних даних третій країні, що не забезпечує адекватний рівень захисту, повинна бути заборонена;

58. Враховуючи, що повинні бути прийняті положення, які передбачають винятки з такої заборони при визначених обставинах: коли суб'єкт даних дав свою згоду, коли передача даних необхідна для контракту чи права вимоги, коли того вимагає захист важливого суспільного інтересу, наприклад, у випадках міжнародної передачі даних між податковими і митними органами чи між службами, що відповідають за питання соціального забезпечення, або коли передача даних здійснюється з реєстру, що створений відповідно до закону і призначений для консультацій населення чи осіб, що мають законний інтерес; враховуючи, що в цьому випадку така передача даних не повинна включати всі дані чи всі категорії даних, що містяться в реєстрі, і оскільки реєстр призначений для звертання осіб, що мають законний інтерес, передача даних повинна здійснюватися тільки на прохання цих осіб чи у випадку, якщо вони будуть одержувачами даних;

59. Враховуючи, що можуть бути застосовані особливі заходи, спрямовані на компенсацію відсутності захисту в третій країні, у випадках, коли контролер пропонує відповідні гарантії; враховуючи, що, крім того, повинні бути передбачені положення відносно порядку переговорів між Співтовариством і такими третіми країнами;

60. Враховуючи, що, в будь-якому випадку, передача даних третій країні може здійснюватися тільки в повній відповідності до положеннь, прийнятих державами-членами відповідно до даної Директиви, зокрема, її статті 8;

61. Враховуючи, що держави-члени і Комісія в межах своїх повноважень повинні заохочувати профспілкові об'єднання та інші зацікавлені представницькі організації до складання кодексів поведінки для того, щоб сприяти в застосуванні даної Директиви, беручи до уваги особливі характеристики обробки даних, що проводиться у визначених галузях, і дотримуючись національних положень, прийнятих з метою виконання даної Директиви;

62. Враховуючи, що створення в державах-членах наглядових органів, що наділені повною незалежністю у виконанні своїх функцій, є істотним елементом захисту фізичних осіб при обробці персональних даних;

63. Враховуючи, що такі органи повинні мати необхідні засоби для виконання своїх обов'язків, включаючи повноваження із розслідування і втручання, зокрема у випадках скарг фізичних осіб, і повноваження брати участь у судових розглядах; враховуючи, що такі органи повинні сприяти забезпеченню прозорості обробки в державах-членах, до юрисдикції яких вони належать;

64. Враховуючи, що органи влади різних держав-членів повинні допомагати одна одній у виконанні своїх обов'язків для того, щоб забезпечити дотримання правил захисту на належному рівні на всій території Європейського Союзу;

65. Враховуючи, що на рівні Співтовариства повинна бути створена Робоча група із захисту фізичних осіб при обробці даних, що буде абсолютно незалежною у виконанні своїх функцій; враховуючи, що беручи до уваги її особливий характер, вона повинна давати консультувати Комісію і, зокрема сприяти однаковому застосуванню національних правил, прийнятих відповідно до даної Директиви;

66. Враховуючи, що в питаннях передачі даних третім країнам застосування даної Директиви робить необхідним надання Комісії виконавчих повноважень і встановлення процедури, передбаченої Рішенням Ради 87/373/ЄЕС (4);

___________________ (4) OJ N L 197, 18.7.1987, p. 33.

67. Враховуючи, що 20 грудня 1994 року було досягнуто тимчасової згоди між Європейським Парламентом, Радою та Комісією про заходи із виконання актів, прийнятих відповідно до процедури, викладеної в статті 189b Договору ЄС ( 994_029 );

68. Враховуючи, що викладені в даній Директиві принципи щодо захисту прав і свобод фізичних осіб, особливо, їхнього права на невтручання в приватне життя, при обробці персональних даних, можуть бути доповнені чи уточнені, зокрема, це стосується певних галузей, визначених правилами, що базуються на цих принципах;

69. Враховуючи, що державам-членам повинен надаватися період часу, що не перевищує трьох років з моменту набуття чинності національними заходами, що впроваджують дану Директиву, для послідовного застосування таких нових національних правил до всіх процесів обробки, що уже ведуться; враховуючи, що для полегшення їхньої рентабельної реалізації державам-членам надаватиметься подальший період, що закінчується через 12 років з дати прийняття даної Директиви, для забезпечення відповідності існуючих неавтоматизованых картотек до деяких положень Директиви; враховуючи, що, якщо дані, що містяться в таких картотеках, обробляються вручну в період цього подовженого перехідного періоду, ці картотеки повинні приводитись у відповідність до цих положень під час такої обробки;

70. Враховуючи, що суб'єкту даних не потрібно повторно давати свою згоду для того, щоб дозволити контролеру після набуття чинності національними положеннями, прийнятими відповідно до даної Директиви, продовжити обробку будь-яких чутливих даних, необхідних для виконання контракту, укладеного на основі вільної та поінформованої згоди до набуття чинності такими положеннями;

71. Враховуючи, що дана Директива не перешкоджає державам-членам у регулюванні маркетингової діяльності, орієнтованої на споживачів, що проживають на їхній території, у тій мірі, в якій таке регулювання не стосується захисту фізичних осіб при обробці персональних даних;

72. Враховуючи, що дана Директива дозволяє враховувати принцип громадського доступу до офіційних документів при здійсненні принципів, викладених у цій Директиві,

ПРИЙНЯЛИ ЦЮ ДИРЕКТИВУ:

Глава 1

Загальні положення

Стаття 1

Ціль Директиви

Відповідно до цієї Директиви, держави-члени захищають основні права і свободи фізичних осіб і, особливо, їхнє право на невтручання в особисте життя при обробці персональних даних.

Держави-члени не обмежують і не забороняють вільну передачу персональних даних між державами-членами на підставах, пов'язаних із захистом, що надається згідно з пунктом 1.

Стаття 2

Визначення

В цілях даної Директиви:

(a) "персональні дані" означають будь-яку інформацію, що стосується встановленої фізичної особи чи фізичної особи, яку можна встановити ("суб'єкт даних"); особою, яку можна встановити, є така, яка може бути встановленою прямо чи непрямо, зокрема, за допомогою ідентифікаційного коду або одного чи більше факторів, притаманних фізичним, фізіологічним, розумовим, економічним, культурним чи соціальним аспектам її особистості;

(b) "обробка персональних даних" ("обробка") означає будь-яку операцію чи сукупність операцій, здійснюваних з персональними даними (за допомогою чи без допомоги автоматизованих засобів), таких як збір, реєстрація, організація, зберігання, адаптація чи зміна, пошук, консультація, використання, розкриття за допомогою передачі, поширення чи іншого надання, упорядкування чи комбінування, блокування, стирання чи знищення;

(c) "картотека персональних даних" ("картотека") означає будь-який структурований масив персональних даних, що є доступним за визначеними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах;

(d) "контролер" означає фізичну чи юридичну особу, державний орган, агентство або будь-який інший орган, що, окремо чи разом з іншими, визначає цілі і засоби обробки персональних даних; якщо цілі і засоби обробки визначені законодавчими чи нормативними положеннями держави чи Співтовариства, контролер або особливі критерії його призначення можуть визначатися правом держави чи Співтовариства;

(e) "оператор обробки даних" означає фізичну чи юридичну особу, державний орган, агентство чи будь-який інший орган, що обробляє персональні дані від імені контролера;

(f) "третя сторона" означає будь-яку фізичну чи юридичну особу, державний орган, агентство чи будь-який інший орган, інший ніж суб'єкт даних, контролер, оператор обробки даних і особи, що, будучи безпосередньо підпорядкованими контролеру чи оператору обробки даних, уповноважені обробляти дані;

(g) "одержувач" означає фізичну чи юридичну особу, державний орган, агентство чи будь-який інший орган, якому надаються дані, незалежно до того, третя особа це чи ні; однак, органи, що можуть одержувати дані в рамках окремого запиту, не розглядаються як одержувачі;

(h) "згода суб'єкта даних" означає будь-яке вільно виражене спеціальне і поінформоване зазначення його бажань, за допомогою якого суб'єкт даних дає свою згоду на обробку персональних даних, які його стосуються.

Стаття 3

Сфера застосування

1. Дана Директива застосовується до обробки персональних даних за допомогою повного чи часткового використання автоматизованих засобів, а також до обробки неавтоматичними засобами персональних даних, що є частиною картотеки чи призначені для внесення в картотеку.

2. Дана Директива не застосовується до обробки персональних даних:

- протягом діяльності, що не входить у сферу дії права Співтовариства, такої як діяльність, передбачена Розділами V і VI Договору про Європейський Союз ( 994_029 ) і, у будь-якому випадку, до операцій із обробки даних, що стосуються суспільної безпеки, оборони, державної безпеки (включаючи економічний добробут держави, якщо процес обробки стосується питань державної безпеки) і діяльності держави в сфері кримінального права,

- якщо вона проводиться фізичною особою під час діяльності виключно особистого чи побутового характеру.

Стаття 4

Застосовуване національне законодавство

1. Кожна держава-член застосовує національні положення, які вона приймає відповідно до даної Директиви, до обробки персональних даних, якщо:

(a) обробка здійснюється в контексті діяльності установи контролера на території держави-члена якщо ж один і той самий контролер заснований на території декількох держав-членів, він повинен вжити всіх необхідних заходів для забезпечення того, що кожна з цих установ дотримується зобов'язань, передбачених відповідним національним законодавством;

(b) контролер заснований не на території держави-члена, а у місці, де його національне законодавство застосовується відповідно до міжнародного публічного права;

(c) контролер не заснований на території Співтовариства, але з метою обробки персональних даних використовує автоматизоване чи будь-яке інше устаткування, розташоване на території згаданого держави-члена, за умови, що таке устаткування не використовується винятково з метою транзиту через територію Співтовариства.

2. За обставин, передбачених у підпункті (c) пункту 1, контролер повинен призначити представника на території цієї держави-члена, без шкоди для судових позовів, що можуть бути подані проти самого контролера.

Глава II

Загальні правила законності обробки персональних даних

Стаття 5

Держави-члени в рамках положень цієї Глави більш точно визначають умови, за яких обробка персональних даних є законною.

Розділ 1

Принципи, які стосуються якості даних

Стаття 6

1. Держави-члени передбачають, що персональні дані повинні:

(a) оброблятися чесно і законно;

(b) збиратися для встановлених, чітких і законних цілей і надалі не оброблятися у спосіб, несумісний з цими цілями. Подальша обробка даних в історичних, статистичних чи наукових цілях не розглядається як несумісна, якщо держави-члени забезпечують відповідні гарантії;

(c) бути достовірними, відповідними і не надлишковими відносно цілей, заради яких вони збираються і/або надалі обробляються;

(d) бути точними і, якщо необхідно, обновлятися; слід вжити всіх розумних заходів, щоб гарантувати, що дані, які є неточними чи неповними, з урахуванням цілей, заради яких вони були зібрані чи заради яких вони надалі обробляються, стиралися чи виправлялися;

(e) зберігатися у формі, що дозволяє встановлювати особу суб'єктів даних не довше, ніж це необхідно для цілей, заради яких дані були зібрані чи заради яких вони надалі обробляються. Держави-члени встановлюють відповідні гарантії для персональних даних, що зберігаються протягом більш тривалих періодів з метою історичного, статистичного чи наукового використання.

2. Забезпечення дотримання пункту 1 покладається на контролера.

Розділ II

Критерії законності обробки даних

Стаття 7

1. Держави-члени передбачають, що персональні дані можуть оброблятися тільки за умови, що:

(a) суб'єкт даних недвозначно дав свою згоду; чи

(b) обробка необхідна для виконання контракту, стороною якого є суб'єкт даних, чи для вживання заходів на прохання суб'єкта даних до підписання контракту; чи

(c) обробка необхідна для дотримання правового зобов'язання, яким зв'язаний контролер; чи

(d) обробка необхідна для захисту життєво важливих інтересів суб'єкта даних; чи

(e) обробка необхідна для виконання завдання, здійснюваного в суспільних інтересах, чи при виконанні офіційних повноважень, якими наділений контролер або третя сторона, якій надаються дані; чи

(f) обробка необхідна в цілях законних інтересів, переслідуваних контролером чи третьою стороною або сторонами, для яких надаються дані, крім випадків, коли над такими інтересами переважають інтереси основних прав і свобод суб'єкта даних, що вимагають захисту згідно з пунктом 1 статті 1.

Розділ III

Особливі категорії обробки

Стаття 8

Обробка особливих категорій даних

1. Держави-члени забороняють обробку персональних даних, що вказують на расове чи етнічне походження, політичні погляди, релігійні чи філософські переконання, профспілкове членство, і обробку даних, що стосуються здоров'я чи статевого життя людини.

2. Пункт 1 не застосовується, якщо:

(a) суб'єкт даних дав свою недвозначну згоду на обробку цих даних, крім випадків, коли законодавство держав-членів передбачає, що заборона, згадана в пункті 1, не може бути знята при наданні згоди з боку суб'єкта даних; чи

(b) обробка необхідна з метою виконання зобов'язань і особливих прав контролера в області законодавства про працевлаштування, у тій мірі, у якій це дозволено національним законодавством, що передбачає адекватні гарантії; чи

(c) обробка необхідна для захисту життєво важливих інтересів суб'єкта даних чи іншої особи, якщо суб'єкт даних не може дати свою згоду через свою недієздатність чи неправоздатність; чи

(d) обробка проводиться в ході законної діяльності з відповідними гарантіями установою, асоціацією чи будь-яким іншим некомерційним органом у політичних, філософських, релігійних чи профспілкових цілях і за умови, що обробка стосується винятково членів цього органу чи людей, що у зв'язку з цими цілями перебувають у постійному контакті з ним, і що дані не надаються третій особі без згоди суб'єктів даних; чи

(e) обробка стосується даних, що явно оприлюднені суб'єктами даних, чи необхідна для порушення, виконання чи захисту судових позовів.

3. Пункт 1 не застосовується, якщо обробка даних необхідна з метою профілактичної медицини, медичної діагностики, надання медичних послуг чи лікування або для керування служб охорони здоров'я, і якщо ці дані обробляються медичним працівником, що, відповідно до національного законодавства чи правил, встановлених національними компетентними органами, зв'язаний зобов'язанням збереження професійної таємниці, чи іншою особою, що зв'язана подібним зобов'язанням збереження таємниці.

4. За умови надання відповідних гарантій, держави-члени можуть на важливій підставі суспільного інтересу встановлювати винятки на додачу до тих, що передбачені в пункті 2, за допомогою або національного закону, або рішення наглядового органу.

5. Обробка даних, що стосуються правопорушень, обвинувачення у кримінальних справах чи засобів безпеки, може проводитися тільки під контролем офіційного органу або якщо національне законодавство передбачає відповідні спеціальні гарантії, з винятками, що можуть бути надані державою-членом відповідно до національних положень, що передбачають відповідні спеціальні гарантії. Однак, повний реєстр обвинувачень у кримінальних справах може вестися лише під контролем офіційного органу.

Держави-члени можуть передбачити, що дані про адміністративні санкції чи про судові рішення в цивільних справах також повинні оброблятися під контролем офіційного органу.

6. Відступи від пункту 1, передбачені у пунктах 4 і 5, доводяться до відома Комісії.

7. Держави-члени визначають умови, за яких може оброблятися національний ідентифікаційний код чи будь-який інший ідентифікатор загального застосування.

Стаття 9

Обробка персональних даних і свобода самовираження

Держави-члени передбачають винятки чи відступи від положень цієї Глави, Глави IV і Глави VI, у тому, що стосується обробки персональних даних, що проводиться виключно для цілей журналістики або художньої чи літературної творчості, за умови, що вони необхідні, для узгодження права на невтручання в особисте життя з нормами, що регулюють свободу самовираження.

Розділ IV

Інформація, що надається суб'єкту даних

Стаття 10

Інформація у разі збору даних від суб'єкта даних

Держави-члени передбачають, що контролер чи його представник повинні надати суб'єкту даних, у якого збираються дані щодо нього самого, принаймні наступну інформацію, крім тих випадків, коли в нього вже є ця інформація:

(a) особа контролера і його представника, якщо такий є;

(b) цілі обробки, для якої призначені дані;

(c) будь-яка додаткова інформація, як наприклад:

- одержувачі чи категорії одержувачів даних,

- обов'язковість чи добровільність відповіді на питання, а також можливі наслідки за ненадання відповіді,

- існування права доступу і права на виправлення даних, які його стосуються у тій мірі, у якій така додаткова інформація необхідна, з огляду на особливі обставини, за яких дані збираються, для гарантії справедливої обробки у відношенні суб'єкта даних обробки.

Стаття 11

Інформація у разі, якщо дані не були отримані від суб'єкта даних

1. У випадку, якщо дані не були отримані від суб'єкта даних, держави-члени передбачають, що контролер чи його представник повинні під час реєстрації персональних даних чи, якщо передбачене розголошення даних третій особі, не пізніше того часу, коли дані вперше розголошуються, надати суб'єкту даних наступну інформацію, крім тих випадків, коли в нього вже є ця інформація:

(a) особа контролера і його представника, якщо такий є;

(b) цілі обробки;

(c) будь-яка додаткова інформація, як наприклад:

- категорії використовуваних даних,

- одержувачі чи категорії одержувачів,

- існування права доступу і права на виправлення даних, які його стосуються у тій мері, у якій така додаткова інформація необхідна, з огляду на особливі обставини, за яких дані обробляються, для гарантії справедливої обробки у відношенні суб'єкта даних обробки.

2. Пункт 1 не застосовується в певних випадках, зокрема при обробці даних у статистичних цілях чи з метою історичних чи наукових досліджень, коли надання такої інформації виявляється неможливим чи може спричинити непропорційні зусилля або коли реєстрація чи надання даних чітко передбачене законодавством. У цих випадках держави-члени надають відповідні гарантії.

Розділ V

Право суб'єкта даних на доступ до даних

Стаття 12

Право доступу

Держави-члени гарантують кожному суб'єкту даних право отримати від контролера:

(a) без обмежень через розумні інтервали часу і без надмірної затримки або витрат:

- підтвердження того, обробляються чи ні дані, які його стосуються, і інформацію, принаймні, про цілі обробки, категорії розглянутих даних і про одержувачів чи категорії одержувачів, яким надаються дані,

- повідомлення йому в зрозумілій формі про те, що дані знаходяться в процесі обробки, і будь-яку іншу доступну інформацію щодо їхнього джерела,

- інформацію про логіку, використовувану під час автоматизованої обробки даних, що його стосуються, принаймні, у випадку автоматизованих рішень, згаданих у статті 15 (1);

(b) в залежності від випадку, виправлення, стирання чи блокування даних, обробка яких не відповідає положенням даної Директиви, зокрема через неповноту чи неточність даних;

(c) повідомлення третім сторонам, яким були надані дані, про будь-яке виправлення, стирання чи блокування, виконане відповідно до підпункту (b), якщо це можливо чи не вимагає непропорційних зусиль.

Розділ VI

Винятки та обмеження

Стаття 13

Винятки та обмеження

1. Держави-члени можуть вживати законодавчих заходів для обмеження обсягів обов'язків і прав, передбачених у статтях 6 (1), 10, 11 (1), 12 і 21, якщо таке обмеження є необхідним, щоб гарантувати:

(a) національну безпеку;

(b) оборону;

(c) суспільну безпеку;

(d) запобігання, розслідування, виявлення і судове переслідування кримінальних злочинів чи порушень етики визначених професій;

(e) важливий економічний чи фінансовий інтерес держави-члена чи Європейського Союзу, включаючи монетарні, бюджетні і податкові питання;

(f) моніторинг, перевірку чи регулятивну функцію, пов'язану, навіть зрідка, з виконанням офіційних повноважень у випадках, вказаних у підпунктах (c), (d) і (e);

(g) захист суб'єкта даних чи прав і свобод інших осіб.

2. За умови виконання відповідних правових гарантій, зокрема того, що дані не використовуються для вживання заходів чи прийняття рішень щодо будь-якої конкретної людини, держави-члени можуть, за явної відсутності якого-небудь ризику втручання в особисте життя, обмежити шляхом законодавчого заходу права, передбачені в статті 12, якщо дані обробляються виключно з метою наукових досліджень чи зберігаються в особовій формі протягом періоду, що не перевищує період часу, необхідного лише для цілі створення статистики.

Розділ VII

Право суб'єкта даних на заперечення

Стаття 14

Право суб'єкта даних на заперечення

Держави-члени надають суб'єкту даних право:

(a) принаймні у випадках, передбачених у підпунктах (e) і (f) статті 7, заперечувати в будь-який час на безсумнівних законних підставах, пов'язаних з його конкретною ситуацією, проти обробки даних, які його стосуються, за винятком випадків, коли інше передбачено національним законодавством. За наявності обгрунтованого заперечення в розпочатій контролером обробці більше не можуть використовуватися такі дані;

(b) заперечувати, за вимогою і безкоштовно, проти обробки персональних даних, що його стосуються і які контролер має намір обробити з метою прямого маркетингу, чи бути проінформованим до того, як персональні дані будуть вперше надаватися третім особам чи використовуватися від їхнього імені з метою прямого маркетингу, при цьому йому чітко пропонується право на безкоштовне заперечення проти такого надання чи використання даних.

Держави-члени вживають необхідних заходів для забезпечення того, щоб суб'єкти даних були інформовані про існування права, про яке йдеться в першій частині підпункту (b).

Стаття 15

Автоматизовані індивідуальні рішення

1. Держави-члени надають кожній особі право на те, щоб стосовно неї не приймалося рішення, що має для неї правові наслідки чи значною мірою зачіпає її і яке грунтується винятково на автоматизованій обробці даних, призначеній для оцінки деяких його особистісних характеристик, як наприклад виконання нею професійних обов'язків, кредитоспроможності, надійності, поведінки і т.д.

2. Відповідно до інших статей даної Директиви, держави-члени передбачають, що стосовно особи може бути прийняте рішення, про яке йдеться в пункті 1, якщо це рішення:

(a) прийняте в ході укладання чи виконання контракту, за умови, що прохання про укладання чи виконання контракту, подане суб'єктом даних, було задоволене або існують відповідні заходи для захисту його законних інтересів, як наприклад заходи, що дозволяють йому виразити свою точку зору; чи

(b) санкціоноване законом, що також передбачає заходи для захисту законних інтересів суб'єкта даних.

Розділ VIII

Конфіденційність і безпека обробки

Стаття 16

Конфіденційність обробки

Будь-яка особа, яка діє у підпорядкуванні контролеру чи оператору обробки, включаючи самого оператора обробки, який має доступ до персональних даних, не повинні обробляти їх інакше, як за вказівкою контролера, за винятком тих випадків, коли це вимагається законом.

Стаття 17

Безпека обробки

1. Держави-члени передбачають, що контролер повинен здійснювати відповідні технічні й організаційні заходи для захисту персональних даних від випадкового або незаконного знищення чи випадкової втрати, зміни, несанкціонованого розкриття чи доступу, зокрема, якщо обробка включає передачу даних через мережу, і від усіх інших незаконних форм обробки.

Такі заходи, із врахуванням нинішнього стану речей і вартості їхнього здійснення, повинні забезпечувати рівень безпеки, співвідносний з ризиком, що супроводжує обробку, і з природою даних, що захищаються.

2. Держави-члени передбачають, що контролер повинен, у випадку обробки від свого імені, вибрати оператора обробки, що надає достатні гарантії щодо технічних заходів безпеки і організаційних заходів, що регулюють обробку, яка має проводитись, і повинен забезпечити виконання цих заходів.

3. Здійснення обробки за допомогою оператора обробки даних повинне регулюватися договором чи правовим актом, яким оператор обробки даних підпорядковується контролеру і який передбачає, зокрема, наступне:

- оператор обробки даних повинен діяти тільки за вказівками контролера,

- зобов'язання, викладені в пункті 1 і визначені законодавством держави-члена, у якому призначений оператор обробки даних, повинні також застосовуватися до оператора обробки.

4. З метою збереження доказів, розділи договору чи юридичного акта про захист даних і вимоги про заходи, згадані у пункті 1, повинні бути викладені в письмовій формі чи в іншій рівносильній формі.

Розділ IX

Повідомлення

Стаття 18

Зобов'язання повідомляти наглядовий орган

1. Держави-члени передбачають, що контролер чи його представник, якщо такий існує, повинні повідомити наглядовий орган, згаданий у статті 28, про обробку до проведення будь-якої повної чи часткової автоматизованої операції з обробки даних чи сукупності таких операцій, призначених служити єдиній цілі чи декільком взаємозалежним цілям.

2. Держави-члени можуть передбачити спрощення чи звільнення від повідомлення тільки в наступних випадках і за наступних умов:

- якщо для категорій операцій з обробки, які, беручи до уваги дані, що будуть оброблятися, навряд чи можуть завдати шкоди правам і свободам суб'єктів даних, вони визначають цілі обробки даних, дані чи категорії даних, які проходять обробку, категорію чи категорії суб'єктів даних, одержувачів чи категорії одержувачів, яким будуть надані дані, і період часу, протягом якого дані будуть зберігатися, і/чи

- якщо контролер відповідно до національного права, яким він керується, призначає посадову особу із захисту персональних даних, що, серед іншого, відповідає за наступне:

- забезпечення у незалежний спосіб внутрішнього застосування національних положень, прийнятих на виконання цієї Директиви,

- ведення реєстру операцій із обробки, що проводиться контролером і містить інформацію, згадану в пункті 2 статті 21, у такий спосіб забезпечуючи те, що операції із обробки навряд чи завдадуть шкоди правам і свободам суб'єктів даних.

3. Держави-члени можуть передбачити, що пункт 1 не застосовується до обробки, єдиною метою якої є ведення реєстру, що, відповідно до законодавчих чи нормативних положень, призначений для надання інформації громадськості і відкритий для консультування або населення в цілому, або будь-якої особи, що проявляє законний інтерес.

4. Держави-члени можуть передбачити звільнення від зобов'язання щодо повідомлення чи спрощення системи повідомлення у випадку здійснення операцій із обробки, про які йдеться в підпункті (d) пункту 2 статті 8.

5. Держави-члени можуть передбачити повідомлення про деякі чи всі неавтоматизовані операції з персональними даними або передбачити спрощений порядок повідомлення про ці операції із обробки.

Стаття 19

Зміст повідомлення

1. Держави-члени визначають інформацію, що повинна міститися в повідомленні. Вона повинна включати, принаймні, наступне:

(a) ім'я та адресу контролера і його представника, якщо такий є;

(b) ціль чи цілі обробки;

(c) опис категорії чи категорій суб'єктів даних або категорій їхніх персональних даних;

(d) одержувачів чи категорії одержувачів, яким можуть надаватися дані;

(e) передачі даних, що передбачаються, третім країнам;

(f) загальний опис, що дозволяє зробити попередню оцінку відповідності заходів, прийнятих згідно із статтею 17, для забезпечення безпеки обробки.

2. Держави-члени встановлюють процедури, згідно з якими наглядовий орган повинен бути сповіщений про будь-яку зміну, що зачіпає інформацію, згадану в пункті 1.

Стаття 20

Попередня перевірка

1. Держави-члени визначають операції із обробки, що можуть мати певний ризик для прав і свобод суб'єктів даних, і перевіряють, щоб ці операції із обробки вивчалися до початку обробки.

2. Такі попередні перевірки здійснюються наглядовим органом після одержання повідомлення від контролера чи посадової особи з питань захисту даних, що при виникненні сумнівів повинні радитися з наглядовим органом.

3. Держави-члени можуть також проводити такі перевірки у зв'язку з підготовкою законодавчого заходу національного парламенту або заходу, що базується на такому законодавчому заході і визначає характер обробки та встановлює відповідні гарантії.

Стаття 21

Оголошення операцій із обробки

1. Держави-члени вживають заходів для забезпечення того, що операції із обробки оголошуються.

2. Держави-члени передбачають, що наглядовий орган повинен вести реєстр операцій із обробки, повідомлення про які відбувається згідно із статтею 18.

Реєстр повинен містити, принаймні, інформацію, перераховану в підпунктах (a)-(e) пункту 1 статті 19. Будь-яка особа може перевірити такий реєстр.

3. Держави-члени передбачають у відношенні операцій із обробки, повідомлення про які не передбачаються, що контролери чи інші органи, призначені державами-членами, надають після запиту будь-якої особи у відповідній формі, принаймні, інформацію, перераховану в підпунктах (a)-(e) пункту 1 статті 19.

Держави-члени можуть передбачити, що це положення не застосовується до обробки, єдиною метою якої є ведення реєстру, що згідно із законодавчим чи нормативним положенням передбачає надання інформації населенню і який відкритий для консультування або для населення в цілому, або для будь-якої особи, що може довести свій законний інтерес.

Глава III

Засоби судового захисту, відповідальність та санкції

Стаття 22

Засоби захисту

Без шкоди для будь-якого адміністративного засобу захисту, що може бути передбачений, у тому числі захисту наглядовим органом, згаданому в статті 28, до звертання в судовий орган, держави-члени передбачають право кожної людини на засоби судового захисту від будь-якого порушення прав, гарантованих їй національним законодавством, що застосовується до відповідної обробки.

Стаття 23

Відповідальність

1. Держави-члени передбачають, що будь-яка особа, якій завдано шкоди в результаті незаконної операції із обробки чи будь-якої дії, несумісної із національними положеннями, прийнятими відповідно до цієї Директиви, має право на одержання компенсації від контролера за завдану шкоду.

2. Контролер може бути звільнений від цієї відповідальності цілком чи частково, якщо він доведе, що не є відповідальним за випадок, що став причиною завданої шкоди.

Стаття 24

Санкції

Держави-члени вживають відповідних заходів для забезпечення повного виконання положень даної Директиви і, зокрема встановлюють санкції, що повинні накладатися у випадку порушення положень, прийнятих відповідно до даної Директиви.

Глава IV

Передача персональних даних третім країнам

Стаття 25

Принципи

1. Держави-члени передбачають, що передача третій країні персональних даних, що проходять обробку чи призначені для проходження обробки після передачі, може відбуватися за умови, що розглянута третя країна гарантує адекватний рівень захисту, без шкоди для виконання національних положень, прийнятих відповідно до інших положень даної Директиви.

2. Адекватність рівня захисту, наданого третьою країною, розглядається у світлі всіх обставин операції з передачі даних чи сукупності операцій з передачі даних; особливу увагу варто звернути на характер даних, ціль і тривалість запропонованої операції чи операцій із обробки, країну походження даних і країну кінцевого призначення даних, загальні і галузеві норми права, що діють у розглянутій третій країні, і професійні правила та заходи безпеки, що виконуються в цій країні.

3. Держави-члени і Комісія інформують одні одного про випадки, коли вони вважають, що третя країна не забезпечує адекватного рівня захисту, передбаченого пунктом 2.

4. Якщо Комісія дійде висновку, відповідно до процедури, передбаченої в статті 31 (2), що третя країна не забезпечує адекватного рівня захисту, передбаченого пунктом 2 даної статті, держави-члени вживають заходів, необхідних для запобігання будь-якій передачі даних цього ж виду відповідній третій країні.

5. У належний час Комісія проводить переговори з метою виправлення ситуації, що склалася в результаті виявлення фактів згідно з пунктом 4.

6. Комісія може дійти висновку, згідно з процедурою, згаданою в пункті 2 статті 31, що третя країна забезпечує адекватний рівень захисту, передбаченого пунктом 2 даної статті, керуючись своїм внутрішнім законодавством чи міжнародними зобов'язаннями, які вона взяла на себе, особливо після завершення переговорів, передбачених у пункті 5, щодо захисту особистого життя та основних свобод і прав фізичних осіб. Держави-члени вживають заходів, необхідних для виконання рішення Комісії.

Стаття 26

Відступи

1. Шляхом відступу від статті 25 і крім випадків, коли інше передбачено національним законодавством, що регулює особливі випадки, держави-члени передбачають, що передача чи сукупність передач персональних даних третій країні, яка не забезпечує адекватний рівень захисту, згаданий в пункті 2 статті 25, може відбуватися за умови, що:

(a) суб'єкт даних дав свою недвозначну згоду на пропоновану передачу даних; або

(b) передача даних необхідна для виконання контракту між суб'єктом даних і контролером чи для виконання заходів, що передують договору і прийняті у відповідь на прохання суб'єкта даних; або

(c) передача даних необхідна для укладення чи виконання контракту, укладеного в інтересах суб'єкта даних між контролером і третьою стороною; або

(d) передача даних необхідна чи юридично обов'язкова на важливих підставах суспільних інтересів або для встановлення, виконання чи захисту правових вимог; або

(e) передача даних необхідна для захисту життєво важливих інтересів суб'єкта даних; або

(f) передача даних зроблена з реєстру, метою якого, відповідно до законів або положень, є надання інформації населенню і який відкритий для консультацій або населення в цілому, або будь-якої людини, що може продемонструвати законний інтерес, у тому обсязі, за якого умови, передбачені в законодавстві про консультацію, виконуються в особливому випадку.

2. Без шкоди для пункту 1, держава-член може дозволити передачу чи сукупність передач персональних даних третій країні, що не забезпечує адекватного рівня захисту, передбаченого в пункті 2 статті 25, якщо контролер надає відповідні гарантії із захисту невтручання в особисте життя та основних прав і свобод фізичних осіб і в тому, що стосується здійснення відповідних прав; такі гарантії можуть, зокрема, стать результатом відповідних умов договору.

3. Держава-член повідомляє Комісію й інші держави-члени про дозволи, які вона дає відповідно до пункту 2.

Якщо член чи Комісія заперечують проти цього на обгрунтованих підставах, що стосуються захисту невтручання в особисте життя й основних прав і свобод фізичних осіб, Комісія вживає відповідних заходів згідно з процедурою, передбаченою в пункті 2 статті 31. Держави-члени вживають необхідних заходів для виконання рішення Комісії.

4. Якщо Комісія відповідно до процедури, передбаченої в пункті 2 статті 31, вирішує, що деякі стандартні умови договору пропонують достатні гарантії, як того вимагає пункт 2, держави-члени вживають необхідних заходів для виконання рішення Комісії.

Глава V

Кодекси поведінки

Стаття 27

1. Держави-члени і Комісія сприяють розробці кодексів поведінки, метою яких є сприяння належному виконанню національних положень, прийнятих державами-членами відповідно до даної Директиви, з урахуванням характерних особливостей різних галузей.

2. Держави-члени передбачають, щоб профспілки та інші органи, що представляють інші категорії контролерів і які розробили проекти національних кодексів або які мають намір змінити чи доповнити існуючі національні кодекси, могли представити їх на розгляд державного органу.

Держави-члени передбачають, що такий орган повинен упевнитися, серед іншого, у тому, чи відповідають представлені проекти національним положенням, прийнятим відповідно до даної Директиви. Якщо орган вважає це за необхідне, він може поцікавитися думкою суб'єктів даних чи їхніх представників.

3. Проекти кодексів Співтовариства і зміни та доповнення до існуючих кодексів Співтовариства можуть бути надані Робочій групі, згаданій в статті 29. Ця Робоча група визначає, серед іншого, чи відповідають надані проекти національним положенням, прийнятим відповідно до даної Директиви. Якщо орган вважає це за необхідне, він може поцікавитися думкою суб'єктів даних чи їхніх представників. Комісія може забезпечити відповідне оприлюднення кодексів, схвалених Робочою групою.

Глава VI

Наглядовий орган та Робоча група із захисту фізичних осіб при обробці персональних даних

Стаття 28

Наглядовий орган

1. Кожна держава-член передбачає, що один чи більше державних органів відповідають за моніторинг застосування в межах її території положень, прийнятих державами-членами відповідно до даної Директиви.

Ці органи діють у повній незалежності при здійсненні функцій, якими вони наділені.

2. Кожна держава-член передбачає, що при розробці адміністративних заходів чи положень, що стосуються захисту прав і свобод фізичних осіб при обробці персональних даних, проводяться консультації з наглядовими органами.

Кожен орган, зокрема, наділений:

- такими слідчими повноваженнями, як право доступу до даних, що є предметом операцій із обробки, і право збирати всю інформацію, необхідну для виконання його обов'язків із здійснення нагляду,

- ефективними повноваженнями на втручання, як-от надання висновків до здійснення операцій із обробки відповідно до статті 20, і забезпечення відповідного опублікування таких висновків, видання розпоряджень про блокування, стирання чи знищення даних, накладення тимчасової чи остаточної заборони на обробку даних, попередження чи винесення догани контролеру, або повноваження звертатися до національних парламентів чи інших політичних інститутів,

- право брати участь у судочинстві, якщо були порушені національні положення, прийняті відповідно до даної Директиви, чи довести ці порушення до відома судових органів.

Рішення наглядового органу, що викликали скарги, можуть бути оскаржені в суді.

4. Кожен наглядовий орган розглядає запити, зроблені будь-якою особою чи об'єднанням, що представляє інтереси цієї особи, про захист її прав і свобод при обробці персональних даних. Особа, якої це стосується, повинна бути поінформована про результати розгляду запиту.

Кожен наглядовий орган, зокрема, розглядає запити про перевірки законності обробки даних, зроблені будь-якою особою, у випадках, коли застосовуються національні положення, прийняті у відповідності до статті 13 даної Директиви. Така особа повинна в будь-якому випадку бути поінформована про те, що перевірка мала місце.

5. Кожен наглядовий орган регулярно складає звіт про свою діяльність. Звіт повинен оприлюднюватись.

6. Кожен наглядовий орган має право, незалежно від того, яке національне законодавство застосовується до відповідної обробки, виконувати на території власної держави-члена повноваження, якими він наділений відповідно до пункту 3. Кожен орган може отримати прохання про виконання його повноважень від органу іншої держави-члена.

Наглядові органи співпрацюють один з одним у тій мірі, наскільки це необхідно для виконання їхніх обов'язків, зокрема, шляхом обміну всією корисною інформацією.

7. Держави-члени передбачають, що навіть після звільнення на посадових осіб і персонал наглядового органу поширюється обов'язок зберігати професійну таємницю відносно конфіденційної інформації, до якої вони мають доступ.

Стаття 29

Робоча група із захисту фізичних осіб при обробці персональних даних

1. Цим створюється Робоча група із захисту фізичних осіб при обробці персональних даних, надалі - "Робоча група". Вона має консультативний статус і незалежна у своїй діяльності. Робоча група складається з представника наглядового органу чи органів, призначеного кожною державою-членом, і представника від органа чи органів, створених для установ і органів Співтовариства, а також представника Комісії.

2. Кожен член Робочої групи призначається установою, органом чи органами, які він представляє. Якщо держава-член створила більш ніж один наглядовий орган, вони призначають спільного представника. Ті ж самі положення повинні застосовуватися до органів, створених для установ і органів Співтовариства.

3. Робоча група приймає рішення простою більшістю представників наглядових органів.

4. Робоча група вибирає свого голову. Термін повноважень голови складає два роки. Він може вибиратися повторно.

5. Секретаріат Робочої групи забезпечується Комісією.

6. Робоча група приймає свій власний регламент.

7. Робоча група розглядає питання, винесені на порядок денний головою або за його власною ініціативою, або на прохання представника наглядового органу чи органів, або на прохання Комісії.

Стаття 30

Робоча група:

(a) розглядає будь-яке питання, що стосується застосування національних заходів, прийнятих відповідно до даної Директиви, з метою сприяння загальному застосуванню таких заходів;

(b) представляє Комісії висновки щодо рівня захисту в Співтоваристві та в третіх країнах;

(c) повідомляє Комісію про будь-яку запропоновану поправку до даної Директиви, про будь-які додаткові чи особливі заходи із захисту прав і свобод фізичних осіб при обробці персональних даних і про будь-які інші запропоновані заходи Співтовариства, що стосуються цих прав і свобод;

(d) виносить висновок про кодекси, складених на рівні Співтовариства.

2. Якщо Робоча група виявляє, що між законами чи практикою держав-членів виникають розбіжності, що можуть порушити рівень захисту осіб при обробці персональних даних у Співтоваристві, вона відповідним чином сповіщає про це Комісію.

3. Робоча група може за власною ініціативою давати рекомендації з усіх питань, які стосуються захисту осіб при обробці персональних даних у Співтоваристві.

4. Висновки і рекомендації Робочої групи передаються Комісії і комітету, передбаченому статтею 31.

5. Комісія повідомляє Робочу групу про дії, розпочаті у відповідь на її висновки і рекомендації. Повідомлення робиться у вигляді доповіді, що також подається Європейському Парламенту і Раді. Доповідь повинна бути оприлюднена.

6. Робоча група складає щорічний звіт про ситуацію відносно захисту фізичних осіб при обробці персональних даних у Співтоваристві та в третіх країнах, яку вона надає Комісії, Європейському Парламенту і Раді. Звіт повинен бути оприлюднений.

Глава VII

Імплементаційні заходи Співтовариства

Стаття 31

Комітет

Комісії допомагає Комітет, що складається з представників держав-членів і очолюється представником Комісії. Представник Комісії подає Комітету проект заходів, яких слід вжити.

Комітет надає свій висновок про проекти в межах строку, який може бути встановлений головою залежно від ступеня невідкладності питання.

Висновок приймається більшістю, встановленою у пункті 2 статті 148 Договору ( 994_029 ). Голоси представників держав-членів у комітеті підраховуються відповідно до процедури, встановленої даною статтею. Голова не голосує.

Комісія приймає заходи, що повинні застосовуватися негайно. Однак, якщо ці заходи не збігаються з висновком Комітету, Комісія негайно повідомляє про це Раду.

У такому випадку:

- Комісія відкладає застосування прийнятих нею засобів на три місяці з моменту повідомлення про них,

- Рада, діючи кваліфікованою більшістю, може прийняти інше рішення в межах строку, передбаченого в першому абзаці.

Заключні положення

Стаття 32

1. Держави-члени приймають законодавчі, нормативні й адміністративні положення, необхідні для виконання даної Директиви, не пізніше ніж наприкінці трирічного періоду з моменту її прийняття.

Коли держави-члени приймають такі положення, останні повинні містити посилання на цю Директиву чи супроводжуватися таким посиланням у разі їх офіційної публікації. Методи, за якими робиться таке посилання, встановлюються державами-членами.

2. Держави-члени гарантують, що обробка даних, яка на день набуття чинності національними положеннями, прийнятими відповідно до даної Директиви, вже відбувається, буде приведена у відповідність до цих положень за трирічний період з цієї дати.

Шляхом відступу від попереднього абзацу, держави-члени можуть передбачити, що обробка даних, які на день набуття чинності національними положеннями, прийнятими на виконання цієї Директиви, вже зберігаються в неавтоматизованих картотеках, повинна бути приведена у відповідність до статей 6, 7 і 8 даної Директиви протягом 12 років з дня її прийняття. Тим не менше, держави-члени надають суб'єкту даних право на його прохання і, зокрема, під час здійснення його права на доступ, виправляти, стирати чи блокувати дані, що є неповними, неточними чи зберігаються у формі, несумісній із законними цілями, переслідуваними контролером.

3. Шляхом відступу від пункту 2, держави-члени можуть передбачати, що за умови наявності відповідних гарантій дані, що зберігаються тільки з метою історичного дослідження, не потрібно приводити у відповідність до статей 6, 7 і 8 даної Директиви.

4. Держави-члени повинні представити Комісії текст положень внутрішнього законодавства, які вони приймають у сфері, що підпадає під дію даної Директиви.

Стаття 33

Комісія регулярно доповідає Раді і Європейському Парламенту, починаючи не пізніше ніж через три роки з дати, зазначеної в пункті 1 статті 32, про виконання даної Директиви, при необхідності додаючи до своєї доповіді відповідні пропозиції про поправки. Доповідь підлягає оприлюдненню.

Комісія вивчає, серед іншого, застосування даної Директиви до обробки звукових і візуальних даних, що стосуються фізичних осіб, і подає будь-які відповідні пропозиції, що є необхідними з погляду досягнень в інформаційних технологіях і у світлі рівня прогресу в інформаційному суспільстві.

Стаття 34

Дана Директива адресована державам-членам.

Вчинено в Люксембурзі 24 жовтня 1995 року.

За Європейський Парламент Президент

К. Хенш

За Раду Президент

Л. Атьєнца Сера

Офіційний журнал L 281, 23/11/1995, p. 0031 - 0050

Переклад здійснено Центром перекладів актів Європейського права при міністерстві юстиції України.

Пов'язані документи

  • Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних)
  • Про затвердження Порядку обробки та захисту персональних даних, володільцем яких є Міністерство енергетики України
  • Регламент Європейського Парламенту і Ради (ЄС) № 1260/2013 від 20 листопада 2013 року про європейську демографічну статистику
  • Регламент (ЄС) 2017/1128 Європейського Парламенту та Ради від 14 червня 2017 року щодо транскордонної переносимості послуг онлайн-контенту на внутрішньому ринку
  • Директива 2003/4/ЄС Європейського Парламенту і Ради від 28 січня 2003 року про доступ громадськості до інформації про навколишнє природне середовище та про скасування Директиви Ради 90/313/ЄЕС
  • Директива Європейського Парламенту і Ради 2005/36/ЄС від 7 вересня 2005 року про визнання професійних кваліфікацій
  • Регламент Європейського Парламенту і Ради (ЄС) 2015/760 від 29 квітня 2015 року про європейські довгострокові інвестиційні фонди
  • Конвенція про процедуру спільного транзиту
  • Директива Європейського Парламенту і Ради 2009/65/ЄС від 13 липня 2009 року про узгодження законів, підзаконних нормативно-правових актів і адміністративних положень щодо компаній колективного інвестування в переказні цінні папери (UCITS) (нова редакція)
  • Директива Європейського Парламенту і Ради 2004/109/ЄС від 15 грудня 2004 року про гармонізацію вимог щодо прозорості інформації про емітентів, цінні папери яких допущено до торгівлі на регульованому ринку, та про внесення змін до Директиви 2001/34/ЄС
  • Директива Ради 2011/16/ЄС від 15 лютого 2011 року про адміністративну співпрацю у сфері оподаткування та про скасування Директиви 77/799/ЄЕС
  • Регламент Ради (ЄС) № 389/2012 від 02 травня 2012 року про адміністративну співпрацю у сфері акцизних податків та про скасування Регламенту (ЄС) № 2073/2004
  • Директива Європейського Парламенту і Ради 2014/24/ЄС від 26 лютого 2014 року про публічні закупівлі та про скасування Директиви 2004/18/ЄС
  • Регламент Європейського Парламенту і Ради (ЄС) № 2018/848 від 30 травня 2018 року про органічне виробництво і маркування органічних продуктів та про скасування Регламенту Ради (ЄС) № 834/2007
  • Директива Європейського Парламенту і Ради 2014/25/ЄС від 26 лютого 2014 року про здійснення суб'єктами закупівель у водній, енергетичній, транспортній галузях та в галузі поштових послуг і про скасування Директиви 2004/17/ЄС
  • Регламент Європейського Парламенту і Ради (ЄС) № 909/2014 від 23 липня 2014 року про вдосконалення розрахунків за операціями із цінними паперами в Європейському Союзі та про центральних депозитаріїв цінних паперів, а також про внесення змін і доповнень до директив 98/26/ЄС і 2014/65/ЄС та Регламенту (ЄС) № 236/2012
  • Директива Європейського Парламенту і Ради 2013/11/ЄС від 21 травня 2013 року про альтернативне вирішення споживчих спорів і про внесення змін до Регламенту (ЄС) № 2006/2004 та Директиви 2009/22/ЄС
  • Директива Європейського Парламенту і Ради 2011/83/ЄС від 25 жовтня 2011 року про права споживачів, про внесення змін до Директиви Ради 93/13/ЄЕС та Директиви Європейського Парламенту і Ради 1999/44/ЄС, а також про скасування Директиви Ради 85/577/ЄЕС і Директиви Європейського Парламенту і Ради 97/7/ЄС
  • Директива Ради 1999/37/ЄС від 29 квітня 1999 року про реєстраційні документи на транспортні засоби
  • Регламент Європейського Парламенту і Ради (ЄС) № 2015/847 від 20 травня 2015 року про інформацію, що супроводжує грошові перекази, та про скасування Регламенту (ЄС) № 1781/2006
  • Регламент Європейського Парламенту і Ради (ЄС) 2019/881 від 17 квітня 2019 року про Агентство Європейського Союзу з питань мережевої та інформаційної безпеки (ENISA) та про сертифікацію кібербезпеки інформаційно-комунікаційних технологій, а також про скасування Регламенту (ЄС) № 526/2013 (Акт про кібербезпеку)
  • Директива Європейського Парламенту і Ради 2014/49/ЄС від 16 квітня 2014 року про схеми гарантування депозитів
  • Директива Європейського Парламенту і Ради (ЄС) 2015/849 від 20 травня 2015 року про запобігання використанню фінансової системи для цілей відмивання грошей або фінансування тероризму, про внесення змін до Регламенту Європейського Парламенту і Ради (ЄС) № 648/2012 та про скасування Директиви Європейського Парламенту і Ради 2005/60/ЄС та Директиви Комісії 2006/70/ЄС
  • Регламент Комісії (ЄС) № 1010/2009 від 22 жовтня 2009 року про детальні правила імплементації Регламенту Ради (ЄС) № 1005/2008 про створення системи Співтовариства для запобігання, стримування та ліквідації незаконного, непідзвітного та нерегульованого рибальства
  • Делегований Регламент Комісії (ЄС) 2018/573 від 15 грудня 2017 року про ключові елементи договорів про зберігання даних, які укладають у рамках системи відстеження тютюнових виробів
  • Регламент Ради (ЄВРАТОМ, ЄС) № 2185/96 від 11 листопада 1996 року про виїзні перевірки та інспектування, які проводить Комісія для захисту фінансових інтересів Європейських Співтовариств від шахрайства та інших порушень
  • Імплементаційний Регламент Комісії (ЄС) 2017/373 від 01 березня 2017 року про встановлення загальних вимог для провайдерів організації повітряного руху/аеронавігаційного обслуговування та інших функцій мережі організації повітряного руху та нагляду за ним, який скасовує Регламент (ЄС) № 482/2008, імплементаційні регламенти (ЄС) № 1034/2011, (ЄС) № 1035/2011 і (ЄС) № 2016/1377 та вносить зміни до Регламенту (ЄС) № 677/2011
  • Регламент Європейського Парламенту і Ради (ЄС) 2019/1239 від 20 червня 2019 року про запровадження системи Європейського морського «єдиного вікна» та скасування Директиви 2010/65/ЄС
  • Угода між Кабінетом Міністрів України та Урядом Італійської Республіки про взаємне визнання та обмін посвідчень водія
  • Імплементаційний Регламент Комісії (ЄС) 2015/2447 від 24 листопада 2015 року щодо детальних правил імплементування певних положень Регламенту Європейського Парламенту і Ради (ЄС) № 952/2013 про встановлення Митного кодексу Союзу
  • Директива Європейського Парламенту і Ради (ЄС) 2019/2162 від 27 листопада 2019 року про випуск облігацій з покриттям та публічний нагляд за облігаціями з покриттям та про внесення змін до директив 2009/65/ЄС та 2014/59/ЄС
  • Директива Європейського парламенту і Ради (ЄС) 2015/2436 від 16 грудня 2015 року про наближення законодавств держав-членів щодо торговельних марок
  • Директива Європейського Парламенту і Ради (ЄС) 2017/1564 від 13 вересня 2017 року про певні дозволені способи використання певних творів та інших об'єктів, захищених авторським правом і суміжними правами, для користування сліпими особами та особами з вадами зору або іншими обмеженими можливостями сприйняття друкованої інформації та про внесення змін до Директиви 2001/29/ЄС про гармонізацію окремих аспектів авторського права і суміжних прав в інформаційному суспільстві
  • Директива Європейського Парламенту і Ради 2013/36/ЄС від 26 червня 2013 року про доступ до діяльності кредитних установ і пруденційний нагляд за кредитними установами та інвестиційними фірмами, про внесення змін до Директиви 2002/87/ЄС та про скасування директив 2006/48/ЄС та 2006/49/ЄС
  • Угода між Україною, з однієї сторони, та Європейським Союзом і його державами-членами, з іншої сторони, про спільний авіаційний простір
  • Директива Європейського Парламенту і Ради (ЄС) 2016/97 від 20 січня 2016 року про розповсюдження страхових послуг (нова редакція)
  • Директива Європейського Парламенту і Ради (ЄС) 2015/2366 від 25 листопада 2015 року про платіжні послуги на внутрішньому ринку, про внесення змін до Директив 2002/65/ЄС, 2009/110/ЄС та 2013/36/ЄС і Регламенту (ЄС) № 1093/2010 та про скасування Директиви 2007/64/ ЄС
  • Директива Європейського Парламенту і Ради 2009/103/ЄС від 16 вересня 2009 року про страхування цивільної відповідальності у зв'язку з використанням моторних транспортних засобів та забезпечення виконання обов'язку щодо страхування такої відповідальності
  • Регламент Європейського Парламенту і Ради (ЄС) 2017/625 від 15 березня 2017 року про офіційний контроль та іншу офіційну діяльність, що провадиться для забезпечення застосування положень харчового та кормового права, правил щодо здоров'я і благополуччя тварин, здоров'я рослин та засобів захисту рослин, внесення змін до регламентів Європейського Парламенту і Ради (ЄС), регламентів Ради (ЄС), директив Ради, та про скасування регламентів Європейського Парламенту і Ради (ЄС), директив Ради та Рішення Ради (Регламент про офіційний контроль)
  • Регламент Європейського Парламенту і Ради (ЄС, Євратом) 2018/1046 від 18 липня 2018 року про фінансові правила, що застосовуються до загального бюджету Союзу (Фінансовий Регламент), про внесення змін до регламентів (ЄС) № 1296/2013, (ЄС) № 1301/2013, (ЄС) № 1303/2013, (ЄС) № 1304/2013, (ЄС) № 1309/2013, (ЄС) № 1316/2013, (ЄС) № 223/2014, (ЄС) № 283/2014 та Рішення № 541/2014/ЄС та про скасування Регламенту (ЄС, Євратом) № 966/2012
  • Регламент Європейського Парламенту і Ради (ЄС) 2019/515 від 19 березня 2019 року про взаємне визнання товарів, що їх законно реалізовують в іншій державі-члені, та про скасування Регламенту (ЄС) № 764/2008
  • Директива Європейського Парламенту і Ради (ЄС) 2016/681 від 27 квітня 2016 року про використання даних запису реєстрації пасажирів (ЗРП) для запобігання, виявлення, розслідування та переслідування терористичних та тяжких злочинів
  • Регламент Ради (ЄС) № 2017/1939 від 12 жовтня 2017 року про імплементацію посиленої співпраці стосовно створення Європейської прокуратури
  • Директива Ради 2004/82/ЄС від 29 квітня 2004 року про зобов'язання перевізників повідомляти дані пасажирів
  • Регламент Європейського Парламенту і Ради (ЄС) 2017/746 від 5 квітня 2017 року про медичні вироби для діагностики in vitro та про скасування Директиви 98/79/ЄС та Рішення Комісії 2010/227/ЄС
  • Регламент Європейського Парламенту і Ради (ЄС) № 2018/1091 від 18 липня 2018 року про інтегровану статистику фермерських господарств і скасування регламентів (ЄС) № 1166/2008 та (ЄС) № 1337/2011
  • Про схвалення Концепції розвитку електронної охорони здоров'я
  • Регламент Європейського Парламенту і Ради (ЄС) № 177/2008 від 20 лютого 2008 року про встановлення спільних рамок для реєстрів підприємств для статистичних цілей і скасування Регламенту Ради (ЄЕС) № 2186/93
  • Імплементаційний Регламент Комісії (ЄС) 2016/824 від 25 травня 2016 року про встановлення імплементаційних технічних стандартів стосовно змісту та формату опису функціонування багатосторонніх торговельних майданчиків та організованих торговельних майданчиків і повідомлення Європейському органу з цінних паперів і ринків відповідно до Директиви Європейського Парламенту і Ради 2014/65/ЄС про ринки фінансових інструментів
  • Регламент Європейського Парламенту і Ради (ЄС) № 1338/2008 від 16 грудня 2008 року про статистику Співтовариства щодо охорони громадського здоров'я, охорони праці та безпеки на робочому місці
  • Регламент Європейського Парламенту і Ради (ЄС) № 1227/2011 від 25 жовтня 2011 року про доброчесність та прозорість на оптовому енергетичному ринку
  • Регламент Європейського Парламенту і Ради (ЄС) № 1308/2013 від 17 грудня 2013 року про встановлення спільної організації ринків сільськогосподарських продуктів та про скасування регламентів Комісії (ЄЕС) № 922/72, (ЄЕС) № 234/79, (ЄС) № 1037/2001 і (ЄС) № 1234/2007
  • Регламент Європейського Парламенту і Ради (ЄС) 2017/745 від 5 квітня 2017 року про медичні вироби, внесення змін до Директиви 2001/83/ЄС, Регламенту (ЄС) № 178/2002 і Регламенту (ЄС) № 1223/2009 та скасування директив Ради 90/385/ЄЕС і 93/42/ЄЕС
  • Регламент Європейського Парламенту і Ради (ЄС) № 1307/2013 від 17 грудня 2013 року про запровадження правил для прямих виплат фермерам за схемами підтримки в рамках спільної сільськогосподарської політики та про скасування Регламенту Ради (ЄС) № 637/2008 та Регламенту Ради (ЄС) № 73/2009
  • Директива Європейського Парламенту і Ради 2009/136/ЄС від 25 листопада 2009 року про внесення змін до Директиви 2002/22/ЄС про універсальну послугу та права користувачів щодо електронних комунікаційних мереж та послуг, Директиви 2002/58/ЄС про опрацювання персональних даних і захист приватності у сфері електронних комунікацій, Регламенту (ЄС) № 2006/2004 про співпрацю між національними органами, відповідальними за забезпечення виконання законів про захист прав споживачів
  • Регламент Європейського Парламенту і Ради (ЄС) № 596/2014 від 16 квітня 2014 року про зловживання на ринку (Регламент про зловживання на ринку) і скасування Директиви Європейського Парламенту і Ради 2003/6/ЄС та директив Комісії 2003/124/ЄС, 2003/125/ЄС та 2004/72/ЄС
  • Імплементаційне Рішення Комісії (ЄС) 2017/253 від 13 лютого 2017 року про встановлення процедур надання оповіщення про загрозу в рамках системи раннього попередження і реагування, запровадженої у зв'язку з серйозними транскордонними загрозами здоров'ю та обміну інформацією, консультування і координування реагування на такі загрози відповідно до Рішення Європейського Парламенту і Ради № 1082/2013/ЄС
  • Регламент Європейського Парламенту і Ради (ЄС) № 608/2013 від 12 червня 2013 року щодо забезпечення митними органами дотримання прав інтелектуальної власності та про скасування Регламенту Ради (ЄС) № 1383/2003
  • Директива Європейського Парламенту і Ради 2014/40/ЄС від 3 квітня 2014 року про наближення законів, підзаконних нормативно-правових актів та адміністративних положень держав-членів щодо виробництва, представлення та продажу тютюнових виробів і супутніх продуктів та про скасування Директиви 2001/37/ЄС
  • Регламент Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС
  • Імплементаційна Директива Комісії 2012/25/ЄС від 9 жовтня 2012 року про інформаційні процедури у сфері обміну людськими органами, призначеними для трансплантації, між державами-членами
  • Директива Європейського Парламенту і Ради 2011/61/ЄС від 8 червня 2011 року про керуючих альтернативними інвестиційними фондами та про внесення змін і доповнень до директив 2003/41/ЄС і 2009/65/ЄС та регламентів (ЄС) № 1060/2009 і (ЄС) № 1095/2010
  • Рекомендація комісії (ЄС) 2017/1140 від 23 червня 2017 року про персональні дані, якими можна обмінюватися через систему раннього попередження і реагування (СРПР), запроваджену відповідно до Рішення Європейського Парламенту і Ради № 1082/2013/ЄС з метою координування заходів з відстеження контактів у зв'язку з серйозними транскордонними загрозами здоров'ю
  • Директива Європейського Парламенту і Ради 2002/98/ЄС від 27 січня 2003 року про встановлення стандартів якості та безпечності для заготівлі, тестування, переробки, зберігання і розподілу крові людини та її компонентів та внесення змін і доповнень до Директиви 2001/83/ЄС
  • Регламент Європейського Парламенту і Ради (ЄС) 2017/1369 від 4 липня 2017 року про встановлення рамок для енергетичного маркування та скасування Директиви 2010/30/ЄС
  • Директива Європейського Парламенту і Ради (ЄС) 2018/843 від 30 травня 2018 року про внесення змін до Директиви (ЄС) 2015/849 про запобігання використанню фінансової системи для цілей відмивання грошей або фінансування тероризму та про внесення змін до директив 2009/138/ЄС і 2013/36/ЄС
  • Директива Європейського Парламенту і Ради 2003/59/ЄС від 15 липня 2003 року про початкову кваліфікацію та періодичну підготовку водіїв деяких дорожніх транспортних засобів для перевезення вантажів або пасажирів, про внесення змін до Регламенту Ради (ЄЕС) № 3820/85 і Директиви Ради 91/439/ЄЕС та про скасування Директиви Ради 76/914/ЄЕС
  • Директива Європейського Парламенту і Ради 2009/18/ЄС від 23 квітня 2009 року про фундаментальні принципи, що регулюють розслідування аварій у секторі морського транспорту, та внесення змін до Директиви Ради 1999/35/ЄС та Директиви Європейського Парламенту і Ради 2002/59/ЄС
  • Директива Європейського Парламенту і Ради 2010/65/ЄС від 20 жовтня 2010 року про процедури звітування для суден, які прибувають до та/або відходять із портів держав-членів, та скасування Директиви 2002/6/ЄС
  • Директива Європейського Парламенту і Ради 2004/23/ЄС від 31 березня 2004 року про встановлення стандартів якості та безпечності для донації, заготівлі, тестування, перероблення, консервації, зберігання та реалізації людських тканин і клітин
  • Акт Ради від 19 червня 1997 року про укладення Другого протоколу до Конвенції про захист фінансових інтересів Європейських співтовариств
  • Директива Європейського Парламенту і Ради 2007/2/ЄС від 14 березня 2007 року про створення Інфраструктури просторової інформації у Європейському Співтоваристві (INSPIRE)
  • Директива Ради (ЄС) 2016/1164 від 12 липня 2016 року про встановлення правил протидії практикам ухилення від сплати податків, які мають безпосередній вплив на функціонування внутрішнього ринку
  • Регламент Ради (ЄС) № 1224/2009 від 20 листопада 2009 року про встановлення контрольної системи Союзу для забезпечення дотримання правил спільної рибогосподарської політики та про внесення змін і доповнень до регламентів (ЄС) № 847/96, (ЄС) № 2371/2002, (ЄС) № 811/2004, (ЄС) № 768/2005, (ЄС) № 2115/2005, (ЄС) № 2166/2005, (ЄС) № 388/2006, (ЄС) № 509/2007, (ЄС) № 676/2007, (ЄС) № 1098/2007, (ЄС) № 1300/2008, (ЄС) № 1342/2008 та скасування регламентів (ЄЕС) № 2847/93, (ЄС) № 1627/94 та (ЄС) № 1966/2006
  • Рішення Європейського Парламенту і Ради № 1082/2013/ЄС від 22 жовтня 2013 року про серйозні транскордонні загрози здоров'ю та скасування Рішення № 2119/98/ЄС
  • Регламент Ради (ЄС) № 515/97 від 13 березня 1997 року про взаємну допомогу між адміністративними органами держав-членів та співпрацю між ними і Комісією для забезпечення правильного застосування законодавства з митних та аграрних питань
  • Директива Ради 2014/107/ЄС від 9 грудня 2014 року про внесення змін до Директиви 2011/16/ЄС стосовно обов'язкового автоматичного обміну інформацією у сфері оподаткування
  • Рішення Комісії від 16 травня 2007 року про доступність у гармонізованому форматі інформації щодо використання радіочастотного спектра у Співтоваристві
  • Директива Європейського Парламенту і Ради 2014/17/ЄС від 4 лютого 2014 року про кредитні договори для споживачів, що стосуються житлової нерухомості, і внесення змін до Директив 2008/48/ЄС та 2013/36/ЄС та до Регламенту (ЄС) № 1093/2010
  • Регламент Європейського Парламенту і Ради (ЄС) № 165/2014 від 4 лютого 2014 року про тахографи на дорожньому транспорті, скасування Регламенту Ради (ЄЕС) № 3821/85 про реєструвальне обладнання на дорожньому транспорті та внесення змін до Регламенту Європейського Парламенту і Ради (ЄС) № 561/2006 про гармонізацію деякого соціального законодавства, пов'язаного з дорожнім транспортом
  • Регламент Європейського Парламенту і Ради (ЄС) № 258/2012 від 14 березня 2012 року про імплементацію статті 10 Протоколу ООН проти незаконного виготовлення та обігу вогнепальної зброї, її складових частин і компонентів, а також боєприпасів до неї, який доповнює Конвенцію Організації Об'єднаних Націй проти транснаціональної організованої злочинності (Протокол ООН про вогнепальну зброю), та про встановлення дозволів на експорт і заходів щодо імпорту та транзиту вогнепальної зброї, її складових частин і компонентів, а також боєприпасів до неї
  • Регламент Європейського Парламенту і Ради (ЄС) № 1024/2012 від 25 жовтня 2012 року про адміністративну співпрацю через інформаційну систему внутрішнього ринку та скасування Рішення Комісії 2008/49/ЄС («Регламент про ІМІ»)
  • Директива Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу
  • Регламент Європейського Парламенту і Ради (ЄС) 2015/2120 від 25 листопада 2015 року про заходи щодо доступу до відкритого Інтернету і внесення змін і доповнень до Директиви 2002/22/ЄС про універсальну послугу та права користувачів щодо мереж та послуг електронного зв'язку та до Регламенту (ЄС) № 531/2012 про роумінг у мережах мобільного зв'язку загального користування в межах Союзу
  • Директива 2014/60/ЄС Європейського Парламенту і Ради від 15 травня 2014 року про повернення предметів культури, незаконно вивезених з території держави-члена, та про внесення змін до Регламенту (ЄС) № 1024/2012 (нова редакція)
  • Директива Європейського Парламенту і Ради 2014/26/ЄС від 26 лютого 2014 року про колективне управління авторським правом і суміжними правами та мультитериторіальне ліцензування прав на музичні твори для онлайн використання на внутрішньому ринку
  • Директива Європейського Парламенту і Ради 2001/29/ЄС від 22 травня 2001 року про гармонізацію окремих аспектів авторського права і суміжних прав в інформаційному суспільстві
  • Директива Європейського Парламенту і Ради 2003/98/ЄС від 17 листопада 2003 року про вторинне використання інформації публічного сектора
  • Регламент Європейського Парламенту і Ради (ЄС) № 345/2013 від 17 квітня 2013 року про європейські фонди венчурного капіталу
  • Директива Європейського Парламенту і Ради 2005/44/ЄС від 7 вересня 2005 року про гармонізовані річкові інформаційні служби (РІС) на внутрішніх водних шляхах Співтовариства
  • Директива Європейського Парламенту і Ради 2005/29/ЄС від 11 травня 2005 року стосовно недобросовісних комерційних практик бізнесу щодо споживачів на внутрішньому ринку та внесення змін до Директиви Ради 84/450/ЄЕС, директив Європейського Парламенту і Ради 97/7/ЄС, 98/27/ЄС та 2002/65/ЄС та Регламенту Європейського Парламенту і Ради (ЄС) № 2006/2004
  • Регламент Комісії (ЄС) N 1063/2010 про внесення змін та доповнень в Регламент (ЄЕС) N 2454/93, що визначає правила застосування Регламенту Ради (ЄЕС) N 2913/92 про створення Митного кодексу Співтовариства
  • Регламент (ЄС) N 1394/2007 Європейського Парламенту і Ради "Про лікувальні препарати прогресивної терапії, що вносить зміни до Директиви 2001/83/ЄС і до Регламенту (ЄС) N 726/2004"
  • Рекомендація Комісії 2003/878/ЄС "Про обстеження на виявлення ракових захворювань" від 2 грудня 2003 року
  • Регламент Європейського Парламенту і Ради (ЄС) № 765/2008 від 9 липня 2008 року про встановлення вимог до акредитації та ринкового нагляду, пов'язаних з реалізацією продуктів, та про скасування Регламенту (ЄЕС) № 339/93
  • Угода між Україною та Європейським Співтовариством про реадмісію осіб
  • Директива 2006/43/ЄС Європейського Парламенту та Ради про обов'язковий аудит річної звітності та консолідованої звітності, що вносить зміни до Директив Ради 78/660/ЄЕС та 83/349/ЄЕС і припиняє дію Директиви Ради 84/253/ЄЕС
  • Угода між Кабінетом Міністрів України і Урядом Королівства Данія про реадмісію осіб
  • Директива 2005/60/ЄС Європейського Парламенту та Ради про запобігання використанню фінансової системи з метою відмивання коштів та фінансування тероризму
  • Директива 2004/39/ЄС Європейського Парламенту та Ради "Про ринки фінансових інструментів, що вносить зміни в Директиви Ради 85/611/ЄЕС і 93/6/ЄЕС та Директиву 2000/12/ЄС Європейського Парламенту та Ради і припиняє дію Директиви Ради 93/22/ЄЕС" від 21 квітня 2004 року