• Посилання скопійовано

Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних

Конвенція від 28.01.81 р. №ETS N 108

Страсбург, 28 січня 1981 року
Дата підписання: 28.01.81 р.*
Дата ратифікації Україною: 06.07.2010 р.**
Дата набрання чинності для України: 01.01.2011 р.

* Розпорядженням Президента України від 5 серпня 2005 року №1142/2005-рп уповноважено Постійного представника України при Раді Європи Шевчука Анатолія Анатолійовича підписати Конвенцію.

** Ратифіковано Законом України від 6 липня 2010 року №2438-VI із заявами («Офіційний вісник України», 2010 р., №58, ст. 1994).

Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних

Суттєво. Персональні дані, що свідчать про расову належність, політичні, релігійні чи інші переконання, а також дані, що стосуються здоров'я або статевого життя, не можуть піддаватися автоматизованій обробці, якщо внутрішнє законодавство не забезпечує відповідних гарантій.

! СПД

Преамбула

Держави — члени Ради Європи, які підписали цю Конвенцію, беручи до уваги те, що метою Ради Європи є досягнення більшого єднання між її членами, яке ґрунтується, зокрема, на дотриманні верховенства права, а також прав людини й основоположних свобод;

беручи до уваги те, що бажано поширювати гарантії прав й основоположних свобод кожної людини, зокрема права на повагу до недоторканості приватного життя, з огляду на зростання транскордонного потоку персональних даних, які піддаються автоматизованій обробці;

підтверджуючи водночас свою відданість свободі інформації незалежно від кордонів;

визнаючи необхідність узгодження основоположних цінностей поваги до недоторканості приватного життя й безперешкодного обміну інформацією між народами;

домовилися про таке:

Глава I. Загальні положення

Стаття 1. Предмет і мета

Метою цієї Конвенції є забезпечення на території кожної Сторони для кожної особи, незалежно від її громадянства або місця проживання, дотримання її прав й основоположних свобод, зокрема її права на недоторканість приватного життя, у зв'язку з автоматизованою обробкою персональних даних, що її стосуються (далі — захист даних).

Стаття 2. Визначення

Для цілей цієї Конвенції:

a) термін «персональні дані» означає будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною (далі — суб'єкт даних);

b) термін «файл даних для автоматизованої обробки» означає будь-який масив даних, що піддається автоматизованій обробці;

c) термін «автоматизована обробка» включає такі операції, що здійснюються повністю або частково за допомогою автоматизованих засобів: зберігання даних, виконання логічних та (або) арифметичних операцій із цими даними, їхню зміну, знищення, вибірку або поширення;

d) термін «контролер файлу» означає фізичну або юридичну особу, державний орган, установу чи будь-який інший орган, що уповноважений відповідно до національного законодавства вирішувати, яким повинно бути призначення файлу даних для автоматизованої обробки, які категорії персональних даних повинні зберігатися та які операції повинні здійснюватися з ними.

Стаття 3. Сфера застосування

1. Сторони зобов'язуються застосовувати цю Конвенцію до файлів персональних даних для автоматизованої обробки та до автоматизованої обробки персональних даних у державному та приватному секторах.

2. Будь-яка Держава під час підписання або здачі на зберігання своєї ратифікаційної грамоти або документа про прийняття, схвалення або приєднання чи будь-коли в подальшому може повідомити за допомогою заяви на ім'я Генерального секретаря Ради Європи про те, що вона:

a) не буде застосовувати цієї Конвенції до певних категорій файлів персональних даних для автоматизованої обробки, перелік яких буде зданий на зберігання. Однак до цього переліку вона не повинна включати категорії файлів даних для автоматизованої обробки, які згідно з її внутрішнім законодавством підпадають під дію положень про захист даних. Отже, вона не повинна вносити зміни до цього переліку за допомогою нової заяви щоразу, коли згідно з її внутрішнім законодавством під дію положень про захист персональних даних підпадають додаткові категорії файлів персональних даних для автоматизованої обробки;

b) також буде застосовувати цю Конвенцію до інформації, яка стосується груп осіб, асоціацій, фондів, компаній, корпорацій та будь-яких інших організацій, що безпосередньо чи опосередковано складаються з окремих осіб, незалежно від того, мають чи не мають такі установи статус юридичної особи;

c) також буде застосовувати цю Конвенцію до файлів персональних даних, які не обробляються автоматизовано.

3. Будь-яка Держава, що поширила сферу застосування цієї Конвенції за допомогою будь-якої із заяв, передбачених у підпунктах «b» і «c» викладеного вище пункту 2, може повідомити в зазначеній заяві, що таке поширення сфери застосування цієї Конвенції стосується лише певних категорій файлів персональних даних, перелік яких буде зданий на зберігання.

4. Будь-яка Сторона, яка за допомогою заяви, передбаченої у підпункті «a» викладеного вище пункту 2, виключила певні категорії файлів персональних даних для автоматизованої обробки, не може вимагати застосування Конвенції до таких категорій Стороною, яка не виключила їх.

5. Так само Сторона, яка не здійснила того чи того поширення, передбаченого в підпунктах «b» і «c» викладеного вище пункту 2, не може вимагати застосування цієї Конвенції за цими підпунктами стосовно Сторони, яка здійснила такі поширення.

6. Заяви, передбачені у викладеному вище пункті 2, набирають чинності з моменту набрання чинності Конвенцією для Держави, яка їх зробила, якщо такі заяви було зроблено під час підписання або здачі на зберігання її ратифікаційної грамоти або документа про прийняття, схвалення чи приєднання або через три місяці після отримання їх Генеральним секретарем Ради Європи, якщо їх було зроблено будь-коли в подальшому. Такі заяви можуть бути відкликані повністю або частково за допомогою повідомлення на ім'я Генерального секретаря Ради Європи. Такі відкликання набувають чинності через три місяці з дати отримання такого повідомлення.

Глава II. Основні принципи захисту даних

Стаття 4. Обов'язки Сторін

1. Кожна Сторона вживає необхідних заходів стосовно свого внутрішнього законодавства для набрання чинності основними принципами захисту даних, викладеними в цій главі.

2. Таких заходів уживають принаймні тоді, коли ця Конвенція набирає чинності для відповідної Сторони.

Стаття 5. Якість даних

Персональні дані, що піддаються автоматизованій обробці, повинні:

a) отримуватися та оброблятися сумлінно та законно;

b) зберігатися для визначених і законних цілей та не використовуватися в спосіб, не сумісний із цими цілями;

c) бути адекватними, відповідними та ненадмірними стосовно цілей, для яких вони зберігаються;

d) бути точними та в разі необхідності оновлюватися;

e) зберігатись у формі, яка дозволяє ідентифікацію суб'єктів даних не довше, ніж це необхідно для мети, для якої такі дані зберігаються.

Стаття 6. Особливі категорії даних

Персональні дані, що свідчать про расову приналежність, політичні, релігійні чи інші переконання, а також дані, що стосуються здоров'я або статевого життя, не можуть піддаватися автоматизованій обробці, якщо внутрішнє законодавство не забезпечує відповідних гарантій. Це правило також застосовується до персональних даних, що стосуються засудження у кримінальному порядку.

Стаття 7. Безпека даних

Для захисту персональних даних, що зберігаються у файлах даних для автоматизованої обробки, уживають відповідних заходів безпеки, спрямованих на запобігання випадковому чи несанкціонованому знищенню або випадковій утраті, а також на запобігання несанкціонованим доступу, зміні або поширенню.

Стаття 8. Додаткові гарантії для суб'єкта даних

Будь-якій особі надається можливість:

a) з'ясувати існування файлу персональних даних для автоматизованої обробки, його головні цілі, а також особу та постійне місце проживання чи головне місце роботи контролера файлу;

b) отримувати через обґрунтовані періоди та без надмірної затримки або витрат підтвердження або спростування факту зберігання персональних даних, що її стосуються, у файлі даних для автоматизованої обробки, а також отримувати такі дані в доступній для розуміння формі;

c) вимагати у відповідних випадках виправлення або знищення таких даних, якщо вони оброблялися всупереч положенням внутрішнього законодавства, що запроваджують основоположні принципи, визначені у статтях 5 і 6 цієї Конвенції;

d) використовувати засоби правового захисту в разі невиконання передбаченого в пунктах «b» і «c» цієї статті прохання про підтвердження або у відповідних випадках про надання, виправлення або знищення персональних даних.

Стаття 9. Винятки та обмеження

1. Винятки з положень статей 5, 6 та 8 цієї Конвенції дозволяються лише в рамках, визначених цією статтею.

2. Відхилення від положень статей 5, 6 та 8 цієї Конвенції дозволяється тоді, коли таке відхилення передбачене законодавством Сторони та є в демократичному суспільстві необхідним заходом, спрямованим на:

a) захист державної та громадської безпеки, фінансових інтересів Держави або на боротьбу з кримінальними правопорушеннями;

b) захист суб'єкта даних або прав і свобод інших людей.

3. Обмеження стосовно здійснення прав, визначених у пунктах «b», «c» та «d» статті 8, можуть установлюватися законодавством стосовно файлів персональних даних для автоматизованої обробки, що використовуються для цілей статистики або наукових досліджень у випадках явної відсутності небезпеки порушення недоторканості приватного життя суб'єктів даних.

Стаття 10. Санкції та засоби правового захисту

Кожна Сторона зобов'язується встановити відповідні санкції та засоби правового захисту стосовно порушень положень внутрішнього права, що запроваджують основоположні принципи захисту персональних даних, визначені в цій главі.

Стаття 11. Розширення захисту

Жодне з положень цієї глави не тлумачиться як таке, що обмежує можливості Сторони забезпечувати суб'єктам даних більший ступінь захисту, ніж передбачений цією Конвенцією, або як таке, що іншим чином завдає шкоди такій можливості.

Глава III. Транскордонні потоки даних

Стаття 12. Транскордонні потоки персональних даних та внутрішнє законодавство

1. Стосовно передачі через національні кордони за допомогою будь-яких засобів персональних даних, що піддаються автоматизованій обробці або зібрані з метою їхньої автоматизованої обробки, застосовуються такі положення.

2. Сторона не може лише з метою захисту недоторканості приватного життя забороняти чи обумовлювати спеціальними дозволами транскордонні потоки персональних даних, що передаються на територію іншої Сторони.

3. Однак кожна Сторона має право відступати від положень пункту 2:

a) якщо її законодавство містить конкретні положення для певних категорій персональних даних або файлів персональних даних для автоматизованої обробки, у зв'язку з особливостями цих даних або файлів, за винятком випадків, коли положення іншої Сторони забезпечують аналогічний захист;

b) якщо передача даних здійснюється з її території на територію Держави, що не є Договірною Державою, через територію іншої Сторони, для запобігання порушенню такою передачею законодавства Сторони, зазначеної на початку цього пункту.

Глава IV. Взаємна допомога

Стаття 13. Співробітництво між Сторонами

1. Сторони погоджуються надавати одна одній взаємну допомогу для реалізації цієї Конвенції.

2. Для цього:

a) кожна Сторона призначає один чи більше органів, назву та адресу яких вона повідомляє Генеральному секретарю Ради Європи;

b) кожна Сторона, яка призначила більше одного органу, зазначає у своєму повідомленні, згаданому в попередньому підпункті, сферу повноважень кожного з них.

3. Орган, призначений однією Стороною, на прохання органу, призначеного іншою Стороною:

a) надає інформацію про своє законодавство та адміністративну практику в галузі захисту даних;

b) відповідно до свого внутрішнього законодавства та виключно з метою захисту недоторканості приватного життя вживає всіх відповідних заходів для надання фактичної інформації стосовно конкретної автоматизованої обробки, яка здійснюється на його території, але за винятком персональних даних, що обробляються.

Стаття 14. Допомога суб'єктам даних, які проживають за кордоном

1. Кожна Сторона надає допомогу будь-якій особі, яка постійно проживає за кордоном, у здійсненні прав, наданих її внутрішнім законодавством, що запроваджує принципи, визначені в статті 8 цієї Конвенції.

2. Якщо така особа проживає на території іншої Сторони, їй надається можливість подати своє прохання за посередництвом органу, призначеного цією Стороною.

3. Прохання про надання допомоги повинно містити всі необхідні відомості, що стосуються, inter alia:

a) прізвища, адреси та будь-яких інших відповідних відомостей, які встановлюють особу, що звертається з проханням;

b) файла персональних даних для автоматизованої обробки, якого стосується прохання, або його контролера;

c) мети прохання.

Стаття 15. Гарантії стосовно допомоги, що надається призначеними органами

1. Орган, який призначений однією Стороною і який отримав від органу, призначеного іншою Стороною, інформацію, що супроводжує прохання про надання допомоги, або інформацію у відповідь на його прохання про надання допомоги, використовує цю інформацію лише для цілей, зазначених у проханні про надання допомоги.

2. Кожна Сторона забезпечує, щоб особи, які працюють у призначеному органі або діють від його імені, мали відповідні зобов'язання стосовно збереження таємності або конфіденційності такої інформації.

3. Призначеному органу на свій розсуд і без ясно вираженої згоди суб'єкта даних, що проживає за кордоном, у жодному випадку не дозволяється звертатися згідно з пунктом 2 статті 14 з проханням про надання допомоги від імені відповідної особи.

Стаття 16. Відхилення прохань про надання допомоги

Призначений орган, до якого надіслано прохання про надання допомоги згідно зі статтями 13 або 14 цієї Конвенції, може відмовитися задовольняти таке прохання, якщо:

a) прохання є не сумісним з повноваженнями, якими наділені в галузі захисту персональних даних органи, що відповідають за виконання прохання;

b) прохання не відповідає положенням цієї Конвенції;

c) виконання прохання порушило б суверенітет, безпеку або громадський порядок (ordre public) Сторони, якою він був призначений, або права та основоположні свободи осіб, які перебувають під юрисдикцією цієї Сторони.

Стаття 17. Витрати на допомогу та порядок її надання

1. Взаємна допомога, яку Сторони надають одна одній згідно зі статтею 13, та допомога, яку вони надають згідно зі статтею 14 суб'єктам даних, що проживають за кордоном, не може бути підставою для сплати жодних витрат або зборів, за винятком тих, що сплачуються у зв'язку з діяльністю експертів і перекладачів. Витрати або збори у зв'язку з діяльністю останніх сплачуються Стороною, яка призначила орган, що звертається з проханням про надання допомоги.

2. На суб'єкта даних не може покладатися сплата витрат або зборів, пов'язаних із заходами, яких було вжито від його імені на території іншої Сторони, крім витрат або зборів, які на законних підставах сплачуються резидентами такої Сторони.

3. Інші подробиці стосовно надання допомоги, що стосуються, зокрема, форм і процедур, а також використання мов, визначаються безпосередньо між відповідними Сторонами.

Глава V. Консультативний комітет

Стаття 18. Склад Комітету

1. Консультативний комітет створюється після набуття чинності цією Конвенцією.

2. Кожна Сторона призначає до Комітету одного представника та заступника представника. Будь-яка Держава — член Ради Європи, яка не є Стороною Конвенції, має право бути представленою в Комітеті спостерігачем.

3. Консультативний комітет одностайним рішенням може запропонувати будь-якій Державі, яка не є членом Ради Європи і не є Стороною Конвенції, бути представленою на тому чи тому засіданні як спостерігач.

Стаття 19. Функції Комітету

Консультативний комітет:

a) може вносити пропозиції для сприяння застосуванню або поліпшення застосування Конвенції;

b) може вносити пропозиції стосовно внесення змін та доповнень до цієї Конвенції відповідно до статті 21;

c) надає свій висновок стосовно будь-якої пропозиції про внесення змін та доповнень до цієї Конвенції, які передаються йому на розгляд відповідно до пункту 3 статті 21;

d) на прохання Сторони може робити висновок з будь-якого питання, що стосується застосування цієї Конвенції.

Стаття 20. Процедура

1. Консультативний комітет скликається Генеральним секретарем Ради Європи. Його перше засідання відбувається у рамках дванадцяти місяців після набрання чинності цією Конвенцією. У подальшому він збирається принаймні раз на два роки й у будь-якому разі, коли одна третина представників Сторін вимагає його скликання.

2. Кворумом засідання Консультативного комітету є більшість представників Сторін.

3. Після кожного свого засідання Консультативний комітет подає Комітету Міністрів Ради Європи звіт про свою роботу та про стан виконання Конвенції.

4. Відповідно до положень цієї Конвенції Консультативний комітет складає свій регламент.

Глава VI. Зміни

Стаття 21. Зміни

1. Зміни до цієї Конвенції можуть пропонуватися Стороною, Комітетом Міністрів Ради Європи або Консультативним комітетом.

2. Будь-яка пропозиція про внесення зміни надсилається Генеральним секретарем Ради Європи Державам — членам Ради Європи та кожній Державі, що не є членом Ради Європи, яка приєдналася до цієї Конвенції або якій було запропоновано приєднатися до неї відповідно до положень статті 23.

3. Крім того, будь-яку зміну, запропоновану Стороною або Комітетом Міністрів, надсилають Консультативному комітетові, який подає Комітету Міністрів свої стосовно цієї запропонованої зміни.

4. Комітет Міністрів розглядає запропоновану зміну та будь-який висновок, поданий Консультативним комітетом, і може затвердити зміну.

5. Текст будь-якої зміни, затвердженої Комітетом Міністрів відповідно до пункту 4 цієї статті, надсилається Сторонам для прийняття.

6. Будь-яка зміна, затверджена відповідно до пункту 4 цієї статті, набуває чинності на тридцятий день після того, як усі Сторони повідомили Генеральному секретарю про її прийняття.

Глава VII. Заключні положення

Стаття 22. Набрання чинності

1. Ця Конвенція відкрита для підписання Державами — членами Ради Європи. Вона підлягає ратифікації, прийняттю або схваленню. Ратифікаційні грамоти або документи про прийняття чи схвалення здаються на зберігання Генеральному секретарю Ради Європи.

2. Ця Конвенція набирає чинності в перший день місяця, що настає після закінчення тримісячного періоду від дати, коли п'ять Держав — членів Ради Європи висловили свою згоду на обов'язковість для них цієї Конвенції відповідно до положень попереднього пункту.

3. Для будь-якої Держави-члена, яка в подальшому висловить свою згоду на обов'язковість для неї цієї Конвенції, вона набирає чинності в перший день місяця, що настає після закінчення тримісячного періоду від дати здачі на зберігання ратифікаційної грамоти або документа про прийняття чи схвалення.

Стаття 23. Приєднання Держав, що не є членами Ради Європи

1. Після набрання чинності цією Конвенцією Комітет Міністрів Ради Європи може запропонувати будь-якій Державі, яка не є членом Ради Європи, приєднатися до цієї Конвенції за допомогою рішення, що приймається більшістю голосів, передбаченою в пункті «d» статті 20 Статуту Ради Європи, i шляхом одностайного голосування представників Договірних Держав, які мають право засідати в Комітеті.

2. Для будь-якої Держави, що приєдналася до цієї Конвенції, Конвенція набирає чинності в перший день місяця, що настає після закінчення тримісячного періоду від дати здачі на зберігання документа про приєднання Генеральному секретарю Ради Європи.

Стаття 24. Територіальні положення

1. Будь-яка Держава під час підписання або здачі на зберігання своєї ратифікаційної грамоти або свого документа про прийняття, схвалення чи приєднання може визначити територію або території, до яких застосовується ця Конвенція.

2. Будь-яка Держава може будь-коли після цього шляхом подання заяви на ім'я Генерального секретаря Ради Європи поширити дію цієї Конвенції на будь-яку іншу територію, визначену в цій заяві. Конвенція набирає чинності стосовно такої території у перший день місяця, що настає після закінчення тримісячного періоду від дати отримання такої заяви Генеральним секретарем.

3. Будь-яка заява, зроблена відповідно до двох попередніх пунктів, може бути відкликана стосовно будь-якої території, визначеної в цій заяві, шляхом подання відповідного повідомлення на ім'я Генерального секретаря. Відкликання набирає чинності в перший день місяця, що настає після закінчення шестимісячного періоду від дати отримання такого повідомлення Генеральним секретарем.

Стаття 25. Застереження

Жодне застереження стосовно положень цієї Конвенції не дозволяється.

Стаття 26. Денонсація

1. Будь-яка Сторона може будь-коли денонсувати цю Конвенцію шляхом подання відповідного повідомлення на ім'я Генерального секретаря Ради Європи.

2. Така денонсація набирає чинності в перший день місяця, що настає після закінчення шестимісячного періоду від дати отримання такого повідомлення Генеральним секретарем.

Стаття 27. Повідомлення

Генеральний секретар Ради Європи повідомляє Державам — членам Ради Європи та будь-якій Державі, що приєдналася до цієї Конвенції, про:

a) будь-яке підписання;

b) здачу на зберігання будь-якої ратифікаційної грамоти чи будь-якого документа про прийняття, схвалення або приєднання;

c) будь-яку дату набрання чинності цією Конвенцією відповідно до статей 22, 23 та 24;

d) будь-яку іншу дію або повідомлення, що стосуються цієї Конвенції.

На посвідчення чого ті, що підписалися нижче, належним чином на те вповноважені, підписали цю Конвенцію.

Учинено в Страсбурзі 28 січня 1981 року англійською та французькою мовами, причому обидва тексти є автентичними, в одному примірнику, який зберігається в архівах Ради Європи. Генеральний секретар Ради Європи надсилає засвідчені копії цієї Конвенції кожній Державі — члену Ради Європи та будь-якій Державі, якій було запропоновано приєднатися до цієї Конвенції.

До змісту номеру