Европейский Парламент и Совет Европейского Союза,
Руководствуясь Договором об учреждении Европейского Сообщества и, в частности, Статьей 286 Договора,
На основании предложения Европейской Комиссии*(3),
Руководствуясь Заключением Европейского комитета по экономическим и социальным вопросам*(4),
Действуя в соответствии с процедурой, установленной в Статье 251 Договора*(5),
Принимая во внимание следующие обстоятельства:
(1) Статья 286 Договора предусматривает применение к учреждениям и органам Сообщества нормативных актов Сообщества о защите физических лиц при обработке персональных данных и о свободном обращении таких данных.
(2) Законченная система защиты персональных данных требует установления не только прав субъектов, которым принадлежат такие данные, и обязанностей тех, кто обрабатывает персональные данные, но и соответствующих санкций для правонарушителей, а также требует введения мониторинга со стороны независимого надзорного органа.
(3) Статья 286(2) Договора предусматривает создание независимого надзорного органа, ответственного за мониторинг применения соответствующих нормативных актов Сообщества к учреждениям и органам Сообщества.
(4) Статья 286(2) Договора предусматривает принятие при необходимости иных положений в соответствующей сфере.
(5) Для того чтобы предоставить физическим лицам юридически обеспеченные права, чтобы конкретизировать обязанности контролирующих лиц при обработке персональных данных в учреждениях и органах Сообщества, а также для того чтобы создать независимый надзорный орган, ответственный за мониторинг обработки персональных данных учреждениями и органами Сообщества, необходим соответствующий Регламент.
(6) Были проведены консультации с Рабочей группой по защите физических лиц при обработке персональных данных, созданной в соответствии со Статьей 29 Директивы Европейского парламента и Совета ЕС 95/46/ЕС от 24 октября 1995 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных*(6).
(7) Защите подлежат те лица, чьи персональные данные при любых обстоятельствах обрабатываются учреждениями и органами Сообщества, например, в связи с тем, что они являются работниками указанных учреждений или органов.
(8) Принципы защиты персональных данных должны применяться к любой информации относительно идентифицированного или идентифицируемого лица. Чтобы определить, является ли лицо идентифицируемым, следует учесть все средства, которые объективно могут быть использованы как контролирующим лицом, так и любым другим лицом для того, чтобы провести соответствующую идентификацию. Принципы защиты персональных данных не применяются по отношению к анонимным данным, если уже невозможно определить лицо, которому принадлежат такие данные.
(9) Директива 95/46/ЕС требует от Государств-членов ЕС обеспечить защиту основных прав и свобод физических лиц, и, в частности, их права на неприкосновенность частной жизни в сфере обработки персональных данных, в целях обеспечения свободного обращения персональных данных в Сообществе.
(10) Директива Европейского парламента и Совета ЕС 97/66/ЕС от 15 декабря 1997 г. об обработке персональных данных и о защите права на неприкосновенность частной жизни в телекоммуникационном секторе*(7) конкретизирует и дополняет Директиву 95/46/ЕС применительно к обработке персональных данных в телекоммуникационном секторе.
(11) Различные иные меры Сообщества, включая меры, касающиеся взаимодействия национальных властей и Европейской Комиссии, также предназначены для того, чтобы конкретизировать и дополнять Директиву 95/46/ЕС в соответствующих сферах.
(12) В Сообществе должно обеспечиваться последовательное и единообразное применение правил, направленных на защиту основных прав и свобод человека в сфере обработки персональных данных.
(13) Целью является обеспечение как эффективного соблюдения правил, касающихся защиты основных прав и свобод человека, так и свободного обращения персональных данных между Государствами-членами ЕС и учреждениями и органами Сообщества либо между учреждениями и органами Сообщества для целей, связанных с исполнением соответствующих полномочий.
(14) В этих целях должны быть приняты меры, обязательные для учреждений и органов Сообщества. Указанные меры должны применяться ко всем операциям по обработке персональных данных во всех учреждениях и органах Сообщества постольку, поскольку указанная обработка данных проводится при осуществлении деятельности, полностью или частично подпадающей под действие законодательства Сообщества.
(15) Если указанная обработка данных проводится учреждениями или органами Сообщества при осуществлении деятельности, не подпадающей под действие настоящего Регламента, в частности, той, что указана в Разделах V и VI Договора об учреждении Европейского Союза, защита основных прав и свобод человека должна обеспечиваться с учетом Статьи 6 Договора об учреждении Европейского Союза. Доступ к документам, в том числе, условия доступа к документам, содержащим персональные данные, регулируются правилами, принятыми на основании Статьи 255 Договора об учреждении ЕС, под действие которой подпадают Разделы V и VI Договора об учреждении Европейского Союза.
(16) Указанные меры не применяются к органам, учрежденным не в рамках Сообщества, кроме того, Уполномоченный по надзору за защитой персональных данных на территории Европейского Сообщества не вправе осуществлять мониторинг обработки персональных данных указанными органами.
(17) Эффективность защиты физических лиц при обработке персональных данных в Европейском Союзе предполагает согласованность соответствующих правил и процедур, применяемых к видам деятельности, относящимся к различным правовым контекстам. Развитие основных принципов защиты персональных данных в сфере правовой взаимопомощи по уголовным делам, в сфере полицейского и таможенного взаимодействия, а также учреждение секретариата для общих надзорных органов, учрежденных Конвенцией о Европоле, Конвенцией об использовании информационных технологий в таможенных целях и Шенгенской Конвенцией, представляют собой первый шаг в этом направлении.
(18) Настоящий Регламент не должен влиять на права и обязанности Государств-членов ЕС, предусмотренные Директивами 95/46/ЕС и 97/66/ЕС. Он не предназначен для того, чтобы изменить существующие процедуры и сложившуюся практику, законно имплементированные Государствами-членами ЕС в сфере национальной безопасности, предотвращения беспорядков или предотвращения, выявления, расследования преступлений, а также судопроизводства по ним в соответствии с Протоколом о привилегиях и иммунитетах Европейских Сообществ и международным правом.
(19) Учреждения и органы Сообщества должны уведомлять уполномоченные органы Государств-членов ЕС, если придут к выводу о том, что коммуникации по их телекоммуникационным сетям должны быть приостановлены с соблюдением соответствующих национальных положений.
(20) Положения, применяемые к учреждениям и органам Сообщества, должны соответствовать положениям, принятым в связи с гармонизацией национального законодательства или имплементацией иных направлений политики Сообщества, в частности, в сфере взаимодействия. Однако может возникнуть необходимость конкретизировать и дополнить указанные положения, в целях обеспечения защиты физических лиц при обработке персональных данных учреждениями и органами Сообщества.
(21) Это касается также прав физических лиц, чьи данные обрабатываются, обязанностей учреждений и органов Сообщества, осуществляющих обработку, и полномочий, предоставляемых независимому надзорному органу, ответственному за обеспечение правильного применения настоящего Регламента.
(22) Права, предоставленные владельцу персональных данных, и их осуществление не должны влиять на обязанности, возложенные на контролирующее лицо.
(23) Независимый надзорный орган должен осуществлять свои надзорные функции в соответствии с Договором и с соблюдением основных прав и свобод человека. Он должен вести свои расследования в соответствии с Протоколом о привилегиях и иммунитетах и с Должностной инструкцией должностных лиц Европейских Сообществ, а также с условиями, применимыми к иным служащим Сообществ.
(24) Необходимые технические меры должны быть приняты для того, чтобы обеспечить доступ независимого надзорного органа к реестрам операций по обработке, проводимых Инспекторами по защите персональных данных.
(25) Решения независимого надзорного органа относительно исключений, гарантий, авторизаций и условий, связанных с операциями по обработке данных, согласно определению, данному в настоящем Регламенте, должны публиковаться в отчете о его деятельности. Независимо от публикации ежегодного отчета о деятельности независимый надзорный орган вправе публиковать отчеты по отдельным вопросам.
(26) Отдельные операции по обработке, которые могут представлять собой особый риск для прав и свобод владельцев данных, подлежат предварительной проверке независимым надзорным органом. Заключение, сделанное по результатам указанной предварительной проверки, в том числе, заключение, сделанное в результате непредставления ответа в установленный срок, не должно влиять на последующее осуществление независимым надзорным органом его полномочий в отношении рассматриваемой операции по обработке.
(27) Обработка персональных данных в целях выполнения задач, осуществляемых учреждениями и органами Сообщества в публичных интересах, включает в себя обработку персональных данных, необходимую для функционирования указанных учреждений и органов и управлениями ими.
(28) В отдельных случаях обработка персон
