Директива Европейского Парламента и Совета Европейского Союза 2016/680 от 27.04.2016 о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, о свободном обращении таких данных, а также об отмене Рамочного Решения 2008/977/ПВД Совета ЕС (Брюссель, 27 апреля 2016 г.)

Директива Европейского Парламента и Совета Европейского Союза 2016/680 от 27 апреля 2016 г.
о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, о свободном обращении таких данных, а также об отмене Рамочного Решения 2008/977/ПВД Совета ЕС*(1)
(Брюссель, 27 апреля 2016 г.)

Исправления:

Корригендум, ОЖ N L 127, 23.5.2018, стр. 6 (2016/680)

Европейский Парламент и Совет Европейского Союза,

Руководствуясь Договором о функционировании Европейского Союза, и, в частности, Статьей 16(2) Договора,

На основании предложения Европейской Комиссии,

После передачи проекта законодательного акта национальным парламентам,

На основании заключения Комитета регионов*(2),

Действуя в соответствии с обычной законодательной процедурой*(3),

Принимая во внимание следующие обстоятельства:

(1) Защита физических лиц при обработке персональных данных является основным правом. Статья 8(1) Хартии Европейского Союза об основных правах ("Хартия") и Статья 16(1) Договора о функционировании Европейского Союза (TFEU) предусматривают, что каждый человек имеет право на защиту относящихся к нему персональных данных.

(2) Принципы и правила защиты физических лиц при обработке их персональных данных вне зависимости от гражданства или места жительства лица должны соответствовать основным правам и свободам, в частности, праву на защиту персональных данных. Целью настоящей Директивы является содействие формированию пространства свободы, безопасности и правосудия.

(3) В связи с быстрым развитием технологий и глобализацией появились новые проблемы, связанные с защитой персональных данных. Масштаб сбора персональных данных и обмена ими существенно увеличился. Технологии позволяют обрабатывать персональные данные в беспрецедентных масштабах для осуществления таких действий, как предотвращение, расследование, выявление или уголовное преследование преступлений или исполнение уголовных наказаний.

(4) Следует облегчать свободное обращение персональных данных между компетентными органами в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности в Европейском Союзе и предотвращение таких угроз, а также передачу таких личных данных третьим странам и международным организациям при обеспечении высокого уровня защиты персональных данных. Указанные изменения требуют построения надежной, более согласованной правовой базы в области защиты персональных данных в Европейском Союзе, опирающейся на строгое исполнение.

(5) Директива 95/46/EC Европейского Парламента и Совета ЕС*(4) применяется ко всем видам обработки персональных данных в государствах-членах ЕС в частном и в государственном секторах. Но она не применяется к обработке персональных данных в ходе осуществления деятельности, которая выходит за рамки права Сообщества, в частности, деятельности в области судебного сотрудничества по уголовным делам и полицейского сотрудничества.

(6) Рамочное Решение 2008/977/ПВД*(5) Совета ЕС применяется в области судебного сотрудничества по уголовным делам и полицейского сотрудничества. Сфера применения указанного Рамочного Решения ограничена обработкой персональных данных, передаваемых или предоставляемых между государствами-членами ЕС.

(7) Обеспечение согласованного и высокого уровня защиты персональных данных физических лиц и облегчение обмена персональными данными между компетентными органами государств-членов ЕС имеет решающее значение для обеспечения эффективного судебного сотрудничества по уголовным делам и полицейского сотрудничества. Исходя из этого уровень защиты прав и свобод физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение таких угроз, должен быть эквивалентным во всех государствах-членах ЕС. Эффективная защита персональных данных на территории Европейского Союза требует усиления прав субъектов данных и обязанностей лиц, осуществляющих обработку персональных данных, а также эквивалентных полномочий по контролю и обеспечению соблюдения положений для защиты персональных данных в государствах-членах ЕС.

(8) Статья 16(2) TFEU предписывает Европейскому Парламенту и Совету ЕС установить правила в отношении защиты физических лиц при обработке персональных данных и правила в отношении свободного обращения персональных данных.

(9) На основании вышеизложенного Регламент (ЕС) 2016/679 Европейского Парламента и Совета ЕС*(6) устанавливает общие правила в отношении защиты физических лиц при обработке персональных данных и обеспечения свободного обращения таких данных на территории Европейского Союза.

(10) В Декларации N 21 "О защите персональных данных в области судебного сотрудничества по уголовным делам и полицейского сотрудничества", прилагаемой к заключительному акту межправительственной конференции, которая приняла Лиссабонский договор, конференция признала, что специальные правила о защите персональных данных и о свободном обращении таких данных в области судебного сотрудничества по уголовным делам и полицейского сотрудничества на основе Статьи 16 TFEU могут оказаться необходимыми в силу особого характера данных областей.

(11) В этой связи целесообразно, чтобы указанные области регулировались директивой, которая устанавливает специальные правила о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение таких угроз, с учетом специфического характера указанных видов деятельности. К таким компетентным органам могут относиться не только органы государственной власти, такие как судебные органы, полиция или другие правоохранительные органы, но и иные органы или организации, на которых в соответствии с законодательством государств-членов ЕС возложено осуществление государственной власти и государственных полномочий в целях настоящей Директивы. Если такой орган или организация осуществляют обработку персональных данных для иных целей, отличных от целей настоящей Директивы, применяется Регламент (ЕС) 2016/679. Таким образом, Регламент (ЕС) 2016/679 применяется в тех случаях, когда орган или организация собирают персональные данные для иных целей и в дальнейшем обрабатывают такие персональные данные для выполнения юридических обязательств, которые на них возложены. Например, в целях предотвращения, расследования, выявления или уголовного преследования преступлений финансовые институты хранят некоторые обрабатываемые ими персональные данные и предоставляют такие персональные данные только компетентным национальным органам в особых случаях и в соответствии с законодательством государства-члена ЕС. Орган или организация, которые обрабатывают персональные данные по поручению таких органов в рамках настоящей Директивы, должны быть связаны договором или иным правовым актом и положениями, применимыми к лицам, осуществляющим обработку, в соответствии с настоящей Директивой. При этом применение Регламента (ЕС) 2016/679 не затрагивается в отношении обработки персональных данных лицами, осуществляющими обработку, на которых не распространяется сфера действия настоящей Директивы.

(12) Деятельность сотрудников полиции или других правоохранительных органов, в том числе деятельность полиции без предварительного знания того, является ли происшествие уголовным преступлением или нет, в основном ориентирована на предотвращение, расследование, выявление или уголовное преследование преступлений. Такая деятельность также может включать в себя осуществление полномочий путем принятия мер принуждения, например, действия полиции на демонстрациях, крупных спортивных мероприятиях и при массовых беспорядках. Такие действия также включают в себя поддержание правопорядка в качестве задачи, возложенной на полицию или на иные правоохранительные органы, если это необходимо для защиты от угроз общественной безопасности и предотвращения таких угроз, а также для защиты охраняемых законом жизненных интересов общества. Государства-члены ЕС могут возложить на компетентные органы выполнение иных задач, которые необязательно осуществляются в целях предотвращения, расследования, выявления или уголовного преследования преступлений, включая защиту от угроз общественной безопасности и предотвращение таких угроз. В этой связи обработка персональных данных для таких целей подпадает под действие Регламента (ЕС) 2016/679 в том объеме, в котором она входит в сферу действия права Европейского Союза.

(13) Понятие "уголовное преступление" в значении настоящей Директивы представляет собой независимый концепт права Европейского Союза в трактовке Суда Европейского Союза (Суд ЕС).

(14) Поскольку настоящая Директива не применяется к обработке персональных данных в ходе осуществления деятельности, которая выходит за пределы права Европейского Союза, деятельность, касающаяся национальной безопасности, деятельность учреждений или подразделений, занимающихся вопросами национальной безопасности, а также обработка персональных данных государствами-членами ЕС при осуществлении деятельности, которая подпадают под действие Главы 2 Титула V Договора о Европейском Союзе (TEU), не должна рассматриваться как деятельность, подпадающая под действие настоящей Директивы.

(15) В целях обеспечения одинакового уровня защиты физических лиц посредством имеющих юридическую силу прав на всей территории Европейского Союза, а также в целях недопущения различий, затрудняющих обмен персональными данными между компетентными органами, настоящая Директива должна предусмотреть гармонизированные правила для защиты и свободного обращения персональных данных, обработка которых осуществляется в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение таких угроз. Сближение законодательства государств-членов ЕС не должно приводить к ослаблению защиты персональных данных, которую они предоставляют, но, напротив, должно стремиться к обеспечению высокого уровня защиты в рамках Европейского Союза. Государства-члены ЕС не должны быть лишены возможности предоставлять более высокие гарантии по сравнению с теми, что установлены настоящей Директивой для защиты прав и свобод субъектов данных в отношении обработки персональных данных компетентными органами.

(16) Настоящая Директива не затрагивает принцип доступа общественности к официальным документам. В соответствии с Регламентом (ЕС) 2016/679 персональные данные в официальных документах, которые хранятся органами государственной власти, публичными или частными организациями для выполнения задач в общественных интересах, могут быть раскрыты таким органом или организацией в соответствии с законодательством Европейского Союза или государства-члена ЕС, под действие которого подпадает такой орган или организация, в целях согласования доступа общественности к официальным документам с правом на защиту персональных данных.

(17) Защита, предоставляемая настоящей Директивой, должна применяться к физическим лицам, независимо от их гражданства или места жительства, в связи с обработкой их персональных данных.

(18) Для предотвращения серьезного риска обхода положений настоящей Директивы защита физических лиц должна быть технически нейтральной и не должна зависеть от используемых технических средств. Защита физических лиц должна применяться в отношении обработки персональных данных при помощи автоматизированных средств, а также в отношении ручной обработки, если персональные данные содержатся или должны содержаться в файловой системе. Файлы или группы файлов, а также их титульные страницы, которые не структурированы в соответствии со специальными критериями, не должны подпадать под сферу применения настоящей Директивы.

(19) Регламент (EC) 45/2001 Европейского Парламента и Совета ЕС*(7) применяется в отношении обработки персональных данных институтами, органами, учреждениями и агентствами Европейского Союза. Регламент (ЕС) 45/2001 и другие законодательные акты Европейского Союза в области обработки персональных данных должны быть изменены в соответствии с принципами и нормами, установленными в Регламенте (ЕС) 2016/679.

(20) Настоящая Директива не препятствует государствам-членам ЕС определить в своих национальных нормах об уголовном судопроизводстве процесс и процедуры обработки персональных данных судами и другими судебными органами, в частности, персональных данных, содержащихся в судебных решениях или в документах, которые относятся к уголовному судопроизводству.

(21) Принципы защиты данных должны применяться в отношении любой информации, касающейся идентифицированного или идентифицируемого физического лица. В целях установления того, является ли физическое лицо идентифицируемым, следует принять во внимание все средства, с высокой степенью вероятности используемые контролером или иным лицом, для того чтобы прямо или косвенно идентифицировать физическое лицо, например, выявление. При определении того, используются ли средства с достаточной степенью вероятности для идентификации физического лица, следует обратить внимание на все объективные факторы, такие как расходы на идентификацию и количество времени, необходимое для идентификации, с учетом имеющихся на момент обработки технологий и технологических разработок. Вследствие этого принципы защиты данных не применяются в отношении анонимной информации, а именно информации, которая не относится к идентифицированному или идентифицируемому физическому лицу, или в отношении персональных данных, предоставленных анонимно таким образом, что субъект данных более не идентифицируется.

(22) Органы государственной власти, которым раскрываются персональные данные в соответствии с правовыми обязательствами для выполнения их официальных задач, например, налоговые органы и органы таможенного контроля, отделы финансовых расследований, независимые административные органы или службы по надзору за финансовыми рынками, ответственные за регулирование и надзор рынков ценных бумаг, не должны считаться получателями, если они получают персональные данные, которые необходимы для осуществления конкретного расследования в общих интересах в соответствии с законодательством Европейского Союза или государства-члена ЕС. Запрос на раскрытие данных, направленный органами государственной власти, всегда должен осуществляться в письменной форме, быть обоснованным и касаться отдельных случаев, он не должен касаться целостности файловой системы или вести к объединению файловых систем. Обработка персональных данных указанными органами государственной власти должна соответствовать применимым нормам по защите данных согласно целям обработки.

(23) Генетические данные должны определяться как персональные данные в отношении унаследованных или приобретенных генетических характеристик физического лица, которые содержат уникальную информацию о физиологии или состоянии здоровья физического лица и которые были получены в результате анализа биологического образца соответствующего лица, в частности, в результате хромосомного анализа, анализа дезоксирибонуклеиновой кислоты (ДНК) или рибонуклеиновой кислоты (РНК), или в результате анализа иных элементов, позволяющего получить эквивалентную информацию. С учетом сложности и степени ценности генетической информации существует большой риск ее несанкционированного использования и повторного использования контролером в различных целях. Следует в целом запретить любую дискриминацию на основе генетических особенностей.

(24) Связанные со здоровьем персональные данные должны включать в себя все данные, которые относятся к состоянию здоровья субъекта данных и раскрывают информацию о прошлом, текущем и будущем физическом или психологическом состоянии здоровья субъекта данных. К таким данным относится информация о физическом лице, собранная в ходе регистрации или предоставления медицинских услуг согласно Директиве 2011/24/ЕС Европейского Парламента и Совета ЕС*(8) указанному физическому лицу; номер, символ или знак, присвоенные физическому лицу для однозначной идентификации указанного лица в медицинских целях; информация, полученная в результате исследования или обследования части тела или телесного материала, включая генетические данные и биологические образцы; а также любая информация, например, о заболевании, инвалидности, риске заболевания, медицинском анамнезе, клиническом лечении или о физиологическом или медико-биологическом состоянии субъекта данных, независимо от источника данных, например, они могут быть получены от врача или другого медицинского работника, больницы, медицинского оборудования или в результате диагностики в лабораторных условиях.

(25) Все государства-члены ЕС входят в Международную организацию уголовной полиции (Интерпол). Для выполнения своих задач Интерпол получает, хранит и распространяет персональные данные в целях содействия компетентным органам в предотвращении международной преступности и борьбе с ней. В этой связи необходимо укреплять сотрудничество между Европейским Союзом и Интерполом посредством поощрения эффективного обмена персональными данными при обеспечении соблюдения основных прав и свобод в отношении автоматизированной обработки персональных данных. Если персональные данные передаются из Европейского Союза в Интерпол и в страны, которые делегировали в Интерпол своих членов, применяется настоящая Директива, в частности, положения о международной передаче данных. Настоящая Директива должна применяться без ущерба конкретным правилам, установленным в Общей позиции 2005/69/ПВД Совета ЕС*(9) и в Решении 2007/533/ПВД Совета ЕС*(10).

(26) Любая обработка персональных данных должна быть законной, справедливой и прозрачной для соответствующих физических лиц и должна осуществляться только в конкретных целях, установленных законодательством. Само по себе это не препятствует правоохранительным органам проводить такие мероприятия, как негласные расследования или видеонаблюдение. Такие мероприятия могут проводиться в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение таких угроз, в той степени, в которой указанные мероприятия предусмотрены законодательством и являются необходимой и соразмерной мерой в демократическом обществе с должным учетом законных интересов соответствующего физического лица. Понятие принципа защиты данных при справедливой обработке отделено от понятия права на справедливое судебное разбирательство, как определено в Статье 47 Хартии и в Статье 6 Европейской конвенции о защите прав человека и основных свобод (ECHR). Физические лица должны быть осведомлены о рисках, нормах, гарантиях и правах в отношении обработки их персональных данных и о том, как осуществлять свои права в отношении указанной обработки. В частности, определенные цели, для которых обрабатываются персональные данные, должны быть ясными и законными, они должны определяться в ходе сбора персональных данных. Персональные данные должны быть соответствующими, уместными относительно целей, в которых они обрабатываются. В частности, это требует гарантии того, что собираемые персональные данные не являются чрезмерными и что их хранение осуществляется в пределах срока, необходимого для целей, в которых они обрабатываются. Персональные данные должны обрабатываться только в случае, если цель обработки не могла быть достигнута иным способом. Для того чтобы гарантировать, что персональные данные не хранятся дольше необходимого срока, контролер должен установить сроки для их уничтожения или для периодического пересмотра. Государства-члены ЕС должны разработать необходимые гарантии в отношении персональных данных, хранящихся в течение более длительных периодов для их архивирования в общественных интересах, а также для использования в научных, статистических или исторических целях.

(27) Для предотвращения, расследования и уголовного преследования преступлений необходимо, чтобы компетентные органы обрабатывали персональные данные, собранные в ходе предотвращения, расследования, выявления или уголовного преследования конкретных преступлений, за рамками указанных действий для понимания преступной деятельности и установления связей между различными выявленными уголовными преступлениями.

(28) Для того чтобы обеспечить безопасность и предотвратить обработку в нарушение настоящей Директивы, обработка персональных данных должна осуществляться таким образом, который гарантирует надлежащий уровень защиты и конфиденциальности, в том числе путем предотвращения несанкционированного доступа к персональным данным и к оборудованию, используемому для обработки, а также несанкционированного использования таких данных и оборудования, с учетом уровня развития техники и расходов на имплементацию в отношении рисков и характера подлежащих защите персональных данных.

(29) Сбор персональных данных должен осуществляться в определенных, ясных и законных целях в рамках настоящей Директивы. Персональные данные не должны обрабатываться в целях, несовместимых с предотвращением, расследованием, выявлением или уголовным преследованием преступлений или исполнением уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение таких угроз. Если персональные данные обрабатываются тем же или другим контролером в рамках настоящей Директивы с целью, отличной от тех целей, для которых они были собраны, такая обработка допустима при условии, что она разрешена в соответствии с применимыми правовыми нормами и является необходимой и соразмерной для такой другой цели.

(30) Следует применять принцип точности данных с учетом характера и цели соответствующей обработки. В частности, в ходе судебного разбирательства, заявления, содержащие персональные данные, основаны на субъективном восприятии физических лиц и не всегда поддаются проверке. Следовательно, требование точности должно относиться не к точности заявления, а к тому факту, что определенное заявление было сделано.

(31) Обработка персональных данных в области судебного сотрудничества по уголовным делам и полицейского сотрудничества характеризуется тем, что обрабатываются персональные данные, относящиеся к различным категориям субъектов данных. В этой связи в применимых случаях, насколько это возможно, следует четко разграничивать персональные данные различных категорий субъектов данных, таких как подозреваемые; лица, осужденные за совершение уголовного преступления; потерпевшие и другие участники, например свидетели; лица, обладающие значимой информацией или контактами, а также сообщники подозреваемых и осужденных преступников. Это положение не препятствует применению права на презумпцию невиновности, гарантированного Хартией и ECHR, как оно трактуется в судебной практике суда ЕС и Европейского Суда по правам человека соответственно.

(32) Компетентные органы должны гарантировать, что неточные, неполные или неактуальные персональные данные не передаются и не предоставляются в распоряжение. В целях обеспечения защиты физических лиц, точности, полноты или степени, в которой персональные данные являются актуальными, а также достоверности передаваемых или предоставляемых в распоряжение персональных данных, компетентные органы должны, по возможности, добавлять необходимую информацию во всех случаях передачи персональных данных.

(33) Если в настоящей Директиве делается ссылка на законодательство государства-члена ЕС, законное основание или законодательную меру, это необязательно требует принятия парламентом законодательного акта, без ущерба требованиям конституционного строя соответствующего государства-члена ЕС. Однако указанное законодательство государства-члена ЕС, законное основание или законодательная мера должны быть ясными и точными, их применение должно быть заранее предсказуемо для лиц, которых они касаются, в соответствии с судебной практикой Суда ЕС и Европейского Суда по правам человека. Законодательство государства-члена ЕС, регулирующее обработку персональных данных в рамках настоящей Директивы, должно содержать как минимум задачи, вид обрабатываемых персональных данных, цели обработки, процедуры обеспечения целостности и конфиденциальности персональных данных, а также процедуры их уничтожения, предоставляя тем самым достаточные гарантии против риска злоупотреблений и произвола.

(34) Обработка персональных данных компетентными органами в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение таких угроз, должна охватывать любые операции или набор операций, осуществляемых в отношении персональных данных или ряда персональных данных в указанных целях с применением автоматизированных средств или без таковых, например сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультирование, использование, упорядочение или объединение, ограничение обработки, удаление или уничтожение. В частности, нормы настоящей Директивы должны применяться к передаче персональных данных в целях настоящей Директивы получателю, на которого не распространяется сфера действия настоящей Директивы. К таким получателям должны относиться физические или юридические лица, органы государственной власти, агентства или иные органы, которым компетентные органы на законных основаниях раскрывают персональные данные. Если персональные данные были изначально собраны компетентным органом для одной из целей настоящей Директивы, Регламент (ЕС) 2016/679 применяется к обработке таких данных в целях, отличных от целей настоящей Директивы, если такая обработка разрешена законодательством Европейского Союза или государства-члена ЕС. В частности, нормы Регламента (ЕС) 2016/679 применяются к передаче персональных данных в целях, на которые не распространяется сфера действия настоящей Директивы. Регламент (ЕС) 2016/679 применяется к обработке персональных данных получателем, который не является компетентным органом или не действует в качестве такового в значении настоящей Директивы и которому компетентные органы на законных основаниях раскрывают персональные данные. При имплементации настоящей Директивы государства-члены ЕС должны также иметь возможность уточнить сферу применения норм Регламента (ЕС) 2016/679 в соответствии с изложенными в нем условиями.

(35) Для того чтобы обработка персональных данных в соответствии с настоящей Директивой была законной, она должна быть необходима для выполнения компетентным органом задач в общественных интересах на основе законодательства Европейского Союза или государства-члена ЕС в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение таких угроз. Указанные виды деятельности должны охватывать защиту жизненно важных интересов субъекта данных. Осуществление задач по предотвращению, расследованию, выявлению или уголовному преследованию преступлений, институционально возложенное законом на компетентные органы, позволяет им требовать от физических лиц выполнения сделанных запросов. В этом случае согласие субъекта данных, как определено в Регламенте (ЕС) 2016/679, не должно служить законным основанием для обработки персональных данных компетентными органами. Если субъект данных должен исполнить правовое обязательство, то субъект данных не имеет подлинного и свободного выбора, поэтому реакция субъекта данных не может рассматриваться в качестве добровольного указания его воли. Это не должно препятствовать государствам-членам ЕС законодательно предусматривать, что субъект данных может дать согласие на обработку своих персональных данных в целях настоящей Директивы, например для проведения ДНК-тестов в рамках уголовных расследований или для мониторинга его местоположения с помощью электронных меток в целях исполнения уголовных наказаний.

(36) Государства-члены ЕС должны предусматривать, что если законодательство Европейского Союза или государства-члена ЕС, применимое к передающему компетентному органу, устанавливает конкретные условия, применимые в определенных обстоятельствах к обработке персональных данных, например использование кодов обработки, то передающий компетентный орган должен проинформировать получателя таких персональных данных о таких условиях и о требовании соблюдать их. Такие условия могут, например, включать в себя запрет на дальнейшую передачу персональных данных иным лицам, на их использование в целях, отличных от тех, для которых они были переданы получателю, или информирование субъекта данных в случае ограничения права на получение информации без предварительного согласия передающего компетентного органа. Указанные обязательства также должны применяться к передаче компетентным органом персональных данных получателям в третьих странах или международным организациям. Государства-члены ЕС должны гарантировать, что передающий компетентный орган не применяет к получателям в других государствах-членах ЕС или к агентствам, органам и учреждениям, созданным в соответствии с Главами 4 и 5 Титула V TFEU, условия, отличные от тех, что применимы к аналогичной передаче данных внутри государства-члена ЕС такого компетентного органа.

(37) Персональные данные, которые по своей природе являются особенно конфиденциальными в контексте основных прав и свобод, нуждаются в особой защите, так как особенности их обработки могут привести к существенному риску для основных прав и свобод. Указанные персональные данные должны включать в себя персональные данные, раскрывающие расовое и этническое происхождение, при этом использование термина "расовое происхождение" в настоящей Директиве не означает, что Европейский Союз одобряет теории, которые пытаются установить существование отдельных человеческих рас. Указанные персональные данные должны обрабатываться только в тех случаях, когда в отношении обработки установлены надлежащие гарантии соблюдения прав и свобод субъекта данных, предусмотренных законом, и обработка допускается в случаях, предусмотренных законодательством; если обработка еще не разрешена в соответствии с таким законодательством, но необходима для защиты жизненно важных интересов субъекта данных или другого физического лица; или если обработка касается данных, которые явно опубликованы субъектом данных. Надлежащие гарантии соблюдения прав и свобод субъекта данных могут включать в себя возможность собирать такие данные только в связи с иными данными в отношении заинтересованного физического лица, возможность обеспечивать надлежащую защиту собранных данных, более строгие правила доступа к данным сотрудников компетентных органов, а также запрет на передачу таких данных. Обработка таких данных также должна быть разрешена законодательством, если субъект данных дал явно выраженное согласие на обработку, которая затрагивает его в особой степени. Однако согласие субъекта данных не должно представлять собой юридическое основание для обработки таких конфиденциальных персональных данных компетентными органами.

(38) Субъект данных должен иметь право не подвергаться действию решения, оценивающего связанные с ним личностные аспекты, которое основано исключительно на автоматизированной обработке и которое создает неблагоприятные юридические последствия, затрагивающие его или существенно влияющие на него. В любом случае такая обработка должна осуществляться при соблюдении надлежащих гарантий, включая особое информирование субъекта данных и право на вмешательство оператора, на высказывание своей точки зрения, получение объяснений в отношении решения, принятого после такой оценки, а также на оспаривание такого решения. Формирование профиля, которое приводит к дискриминации в отношении физических лиц на основе персональных данных, являющихся по своей природе особенно конфиденциальными в контексте основных прав и свобод, должно быть запрещено на условиях, изложенных в Статьях 21 и 52 Хартии.

(39) Для того чтобы субъект данных мог осуществлять свои права, любая информация должна быть легко доступна для него, в том числе на сайте контролера, и представлена в понятной форме на ясном и простом языке. Такая информация должна быть адаптирована к потребностям социально незащищенных физических лиц, в частности, детей.

(40) Необходимо создать условия для облегчения осуществления субъектом данных своих прав на основании положений, принятых во исполнение настоящей Директивы, включая механизмы запроса и, если применимо, безвозмездного получения, в частности, доступа к данным, возможности исправления или удаления персональных данных и ограничения обработки. Следует обязать контролера отвечать на запросы субъекта данных без необоснованных задержек, за исключением случаев, когда контролер ограничивает права субъектов данных в соответствии с настоящей Директивой. Кроме того, если запросы явно не обоснованы или носят чрезмерный характер, в частности, если субъект данных запрашивает информацию неоднократно и без разумных оснований или если субъект данных злоупотребляет своим правом на получение информации, например, путем предоставления ложной или вводящей в заблуждение информации при подаче запроса, контролер должен иметь возможность взимать разумную плату или отказываться действовать в соответствии с запросом.

(41) Если контролер запрашивает дополнительную информацию, необходимую для подтверждения личности субъекта данных, такая информация должна обрабатываться только для этой конкретной цели и не должна храниться дольше срока, необходимого для указанной цели.

(42) Субъекту данных должна быть предоставлена как минимум следующая информация: личность контролера, наличие операций по обработке данных, цели обработки, право на подачу жалобы, право запрашивать у контролера доступ к данным, возможность исправления или удаления персональных данных или ограничения обработки. Такая информация может быть предоставлена на сайте компетентного органа. Кроме того, в определенных случаях, чтобы субъект данных мог осуществлять свои права, он должен быть проинформирован о правовом основании обработки и о сроке хранения данных в том объеме, в котором такая дополнительная информация необходима для обеспечения справедливой обработки в отношении субъекта данных с учетом конкретных обстоятельств, при которых обрабатываются персональные данные.

(43) Физическое лицо должно иметь право доступа к относящимся к нему собранным персональным данным и осуществлять указанное право беспрепятственно и с определенной периодичностью в целях получения информации об обработке и проверки ее законности. Таким образом, каждый субъект данных должен иметь право знать и получать сведения в отношении целей, для которых обрабатываются данные, срока, в течение которого обрабатываются данные, и получателей персональных данных, в том числе получателей в третьих странах. Если в таких сведениях содержится информация о происхождении персональных данных, информация не должна раскрывать личность физических лиц, в частности, конфиденциальных источников. Для обеспечения указанного права достаточно, чтобы субъект данных имел полную сводную информацию о таких данных в понятной форме, то есть в форме, которая позволяет субъекту данных ознакомиться с такими данными и удостовериться в том, что они являются точными и обрабатываются в соответствии с настоящей Директивой, чтобы заинтересованный субъект данных мог реализовать права, предоставленные ему настоящей Директивой. Такая сводная информация может быть предоставлена в форме копии персональных данных, подвергнутых обработке.

(44) Государства-члены ЕС должны иметь возможность принимать законодательные меры, задерживающие, ограничивающие или исключающие предоставление информации субъектам данных либо полностью или частично ограничивающие доступ к их персональным данным, в том объеме, в котором такие меры являются необходимыми и соразмерными в демократическом обществе с должным учетом основных прав и законных интересов соответствующего физического лица, во избежание препятствования направлению официальных или правовых запросов, проведению расследований или процедур, во избежание ущерба предотвращению, расследованию, выявлению или уголовному преследованию преступлений либо исполнению уголовных наказаний, в целях защиты общественной безопасности или национальной безопасности или в целях защиты прав и свобод иных лиц. Контролер должен оценить в рамках конкретного и индивидуального рассмотрения каждого случая, должно ли право доступа быть частично или полностью ограничено.

(45) Любой отказ в доступе или ограничение доступа, по общему правилу, должны быть доведены до сведения субъекта данных в письменном виде с указанием фактических или правовых оснований принятия решения.

(46) Любые ограничения прав субъекта данных не должны противоречить Хартии и ECHR, как они трактуются в судебной практике суда ЕС и Европейского Суда по правам человека соответственно, в частности, не затрагивать сущность указанных прав и свобод.

(47) Физическое лицо должно иметь право на исправление относящихся к нему неточных персональных данных, особенно если такие неточности касаются фактов, а также право на удаление персональных данных, если обработка таких данных нарушает положения настоящей Директивы. При этом право на исправление не должно затрагивать, например, содержание свидетельских показаний. Физическое лицо также должно иметь право на ограничение обработки, если оно оспаривает точность персональных данных, и при этом невозможно установить их точность или неточность, или если персональные данные должны храниться в целях доказательств. В частности, вместо удаления персональных данных обработка должна быть ограничена, если в определенном случае имеются разумные основания полагать, что удаление может затронуть законные интересы субъекта данных. В таком случае данные ограниченного использования должны обрабатываться только для целей, препятствующих их удалению. Способы ограничения обработки персональных данных могут включать в себя, inter alia, передачу отобранных данных другой системе обработки, например для целей архивирования, или закрытие доступа к отобранным данным. По общему правилу, в автоматизированных файловых системах ограничение обработки должно гарантироваться техническими средствами. Факт того, что обработка персональных данных ограничена, должен быть четко указан в системе таким образом, чтобы было понятно, что обработка персональных данных ограничена. О таком исправлении или удалении персональных данных или об ограничении обработки необходимо уведомить получателей, которым указанные данные были раскрыты, а также компетентные органы, от которых поступили неточные данные. Контролеры также должны воздерживаться от дальнейшего распространения таких данных.

(48) Если контролер отказывает субъекту данных в праве на информацию о персональных данных, на доступ к ним, на исправление или удаление персональных данных либо на ограничение обработки, субъект данных должен иметь право потребовать, чтобы национальный надзорный орган проверил законность обработки. Необходимо проинформировать субъекта данных об этом праве. Если надзорный орган действует от имени субъекта данных, то он должен проинформировать субъекта данных как минимум о том, что все необходимые проверки или пересмотры со стороны надзорного органа были проведены. Надзорный орган также должен информировать субъекта данных о праве обращаться за судебной защитой.

(49) Если персональные данные обрабатываются в ходе уголовного расследования и судебного производства по уголовным делам, государства-члены ЕС должны иметь возможность предусматривать, что право на информацию, доступ, исправление или удаление персональных данных, а также на ограничение обработки осуществляется в соответствии с национальными правилами судопроизводства.

(50) Необходимо установить ответственность и обязательства контролера в отношении любой обработки персональных данных, осуществляемой контролером или от его имени. В частности, контролер обязан имплементировать надлежащие и эффективные меры и иметь возможность продемонстрировать соответствие обработки настоящей Директиве. Указанные меры должны учитывать характер, сферу применения, контекст и цели обработки, а также риск для прав и свобод физических лиц. Меры, принимаемые контролером, должны включать в себя разработку и имплементацию специальных гарантий в отношении обращения с персональными данными социально незащищенных физических лиц, в частности, детей.

(51) Риски для прав и свобод физических лиц, разной степени вероятности и серьезности, могут возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности: если обработка может привести к дискриминации, хищению персональных данных или мошенничеству с персональными данными, финансовым потерям, ущербу для репутации, нарушению конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированной отмене псевдонимизации, или к иному неблагоприятному экономическому или социальному положению; если субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; если обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональном союзе; если обрабатываются генетические или биометрические данные в целях однозначной идентификации лица или если обрабатываются данные, касающиеся здоровья или данные о половой жизни, сексуальной ориентации, об уголовных судимостях и преступлениях или о соответствующих мерах безопасности; если оцениваются личностные аспекты, в частности, анализ или прогнозирование аспектов, касающихся производственных показателей, экономической ситуации, здоровья, индивидуальных предпочтений, интересов, надежности, поведения, месторасположения или передвижения, в целях создания или использования персональных профилей; если обрабатываются персональные данные социально незащищенных физических лиц, в частности, детей; или если обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.

(52) Вероятность и серьезность риска должны определяться исходя из характера, сферы применения, контекста и целей обработки. Риск должен оцениваться на основе объективной оценки, посредством которой будет установлено, влечет ли обработка персональных данных риск высокой степени. К риску высокой степени относится особый риск для прав и свобод субъектов данных.

(53) Защита прав и свобод физических лиц при обработке персональных данных требует принятия надлежащих технических и организационных мер в целях обеспечения соблюдения требований настоящей Директивы. Имплементация таких мер не должна зависеть исключительно от экономических соображений. Чтобы продемонстрировать соблюдение настоящей Директивы, контролер должен разработать внутреннюю политику и внедрить меры, которые, в частности, соответствуют принципам проектируемой защиты данных и защиты данных по умолчанию. Если контролер провел оценку воздействия на защиту данных в соответствии с настоящей Директивой, результаты должны быть приняты во внимание при разработке таких мер и процедур. Такие меры могут состоять, inter alia, в использовании псевдонимизации в максимально короткие сроки. Использование псевдонимизации в целях настоящей Директивы может служить инструментом, способным облегчить, в частности, свободное движение персональных данных в рамках пространства свободы, безопасности и правосудия.

(54) Защита прав и свобод субъектов данных, а также ответственность и обязанности контролеров и обрабатывающих данные лиц, также в отношении мониторинга со стороны надзорных органов и их мер, требует четкого распределения обязанностей, изложенных в настоящей Директиве, в том числе, если контролер определяет цели и средства обработки совместно с другими контролерами или если обработка осуществляется от имени контролера.

(55) Обработка обрабатывающим данные лицом должна регулироваться правовым актом, в том числе юридически обязательным договором между обрабатывающим данные лицом и контролером, который предусматривает, в частности, что обрабатывающее данные лицо должно действовать только в соответствии с инструкциями контролера. Обрабатывающее данные лицо должно учитывать принципы проектируемой защиты данных и защиты данных по умолчанию.

(56) Чтобы продемонстрировать соблюдение настоящей Директивы, контролер или обрабатывающее данные лицо должны вести учет всех категорий операций по обработке персональных данных в сфере их ответственности. Каждый контролер и обрабатывающее данные лицо должны сотрудничать с надзорными органами и представлять им указанные документы по запросу, чтобы они могли использоваться для мониторинга таких операций по обработке. Контролер или обрабатывающее данные лицо, которые обрабатывают персональные данные в неавтоматизированных системах обработки, должны иметь в наличии эффективные методы подтверждения законности обработки, обеспечения самоконтроля, а также целостности и защиты данных, в частности, журналы регистрации и иные формы ведения учета.

(57) Журналы регистрации должны храниться как минимум в отношении операций в автоматизированных системах обработки, таких как сбор, изменение, наведение справок, раскрытие, включая передачу, объединение или удаление данных. Идентификационная информация о лице, которое наводит справки или раскрывает персональные данные, должна быть внесена в журнал, и такая идентификационная информация должна позволять устанавливать основание для проведения операций по обработке. Журналы регистрации должны использоваться исключительно для проверки законности обработки, самоконтроля для обеспечения целостности и защиты данных, а также в целях уголовного судопроизводства. Самоконтроль также включает в себя внутреннее дисциплинарное производство компетентных органов.

(58) Контролер должен проводить оценку воздействия на защиту данных, если операции по обработке могут привести к высокой степени риска для прав и свобод субъектов данных в силу характера, сферы применения или целей операций по обработке. Указанная оценка воздействия должна включать в себя, в частности, меры, гарантии и механизмы, предусмотренные для обеспечения защиты персональных данных и подтверждения соблюдения настоящей Директивы. Оценка воздействия должна охватывать соответствующие системы и процедуры операций по обработке, но не отдельные случаи.

(59) В целях обеспечения эффективной защиты прав и свобод субъектов данных контролер или обрабатывающее данные лицо должны консультироваться с надзорным органом в некоторых случаях до начала процесса обработки.

(60) Для того чтобы обеспечить безопасность и предотвратить обработку в нарушение настоящей Директивы, контролер или обрабатывающее данные лицо должны оценить риски, присущие обработке, и имплементировать меры по снижению указанных рисков, например, криптографическую защиту. Указанные меры должны гарантировать соответствующий уровень защиты, в том числе конфиденциальность, с учетом уровня развития техники и расходов на имплементацию в отношении рисков и характера подлежащих защите персональных данных. При оценке риска для защиты данных необходимо уделить внимание рискам, имеющим место при обработке персональных данных, например, случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или несанкционированному доступу к переданным, сохраненным или иным образом обрабатываемым данным, которые могут привести к физическому, материальному или нематериальному ущербу. Контролер и обрабатывающее данные лицо должны гарантировать, что обработку персональных данных осуществляют только уполномоченные лица.

(61) Утечка персональных данных, если она не была вовремя и соответствующим образом устранена, может привести к физическому, материальному или нематериальному ущербу для физических лиц, например, потере контроля над персональными данными или ограничению прав, дискриминации, хищению персональных данных или мошенничеству с данными, финансовым потерям, несанкционированной отмене псевдонимизации, ущербу репутации, нарушению конфиденциальности персональных данных, защищенных обязанностью соблюдать профессиональную тайну, или к любому другому неблагоприятному экономическому или социальному положению для соответствующего лица. Вследствие этого, как только контролеру станет известно об утечке персональных данных, он должен уведомить об этом надзорный орган незамедлительно и, при наличии возможности, не позднее 72 часов после того, как он узнал об утечке, за исключением случаев, когда контролер способен доказать в соответствии с принципом подотчетности, что утечка персональных данных не приведет к риску для прав и свобод физических лиц. Если указанное уведомление не может быть сделано в течение 72 часов, причины задержки необходимо указать в уведомлении, при этом информация может быть предоставлена поэтапно без дальнейшего промедления.

(62) Следует незамедлительно уведомить физических лиц в случаях, когда утечка персональных данных может привести к высокой степени риска для прав и свобод физических лиц, чтобы они могли принять необходимые меры предосторожности. В сообщении следует описать характер утечки персональных данных и дать соответствующему физическому лицу рекомендации по смягчению потенциальных неблагоприятных последствий. Сообщение должно быть направлено субъектам данных в кратчайшие разумные сроки в тесном сотрудничестве с надзорным органом и с учетом рекомендаций, предоставленных таким органом или другими соответствующими органами. Например, необходимость смягчить непосредственный риск ущерба требует незамедлительного уведомления субъектов данных, тогда как необходимостью принятия соответствующих мер против продолжающихся или аналогичных утечек данных можно обосновать более длительный срок уведомления. В тех случаях, когда путем задержки или ограничения уведомления соответствующего физического лица об утечке персональных данных невозможно избежать препятствий для направления официальных или правовых запросов, для проведения расследований или процедур, невозможно избежать ущерба предотвращению, выявлению, расследованию или уголовному преследованию преступлений либо исполнению уголовных наказаний, а также невозможно защитить общественную безопасность или национальную безопасность либо права и свободы иных лиц, такое уведомление в исключительных обстоятельствах может не производиться.

(63) Контролер должен назначить лицо, которое будет содействовать ему в мониторинге внутреннего соблюдения положений, принятых в соответствии с настоящей Директивой, за исключением случаев, когда государство-член ЕС решит предоставить освобождение судам и другим независимым судебным органам, когда они выполняют судебные функции. Такое лицо может являться текущим сотрудником контролера, прошедшим специальную подготовку в области законодательства и практики защиты данных для получения экспертных знаний в этой области. Необходимый уровень экспертных знаний должен определяться, в частности, исходя из обработки данных и защиты, которая необходима для персональных данных, обрабатываемых контролером. Такое лицо может выполнять свои обязанности на условиях частичной или полной занятости. Инспектор по защите персональных данных может быть назначен несколькими контролерами совместно с учетом их организационной структуры и размера, например при наличии общих ресурсов в центральных подразделениях. Такое лицо также может быть назначено на разные должности в структуре соответствующих контролеров. Такое лицо должно оказывать контролеру и сотрудникам, обрабатывающим персональные данные, содействие путем их информирования и консультирования по вопросам соблюдения соответствующих обязательств по защите данных. Такие инспекторы по защите персональных данных должны быть в состоянии независимо исполнять свои обязанности и выполнять свои задачи в соответствии с законодательством государств-членов ЕС.

(64) Государства-члены ЕС гарантируют, что передача данных третьей стране или международной организации осуществляется только в том случае, если это необходимо для предотвращения, расследования, выявления или уголовного преследования преступлений или для исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение таких угроз, и что контролер в третьей стране или в международной организации является компетентным органом в значении настоящей Директивы. Передача должна осуществляться только компетентными органами, действующими в качестве контролеров, за исключением случаев, когда обрабатывающим данные лицам явно поручено передавать данные от имени контролеров. Такая передача может иметь место в том случае, если Европейская Комиссия приняла решение о том, что соответствующая третья страна или международная организация обеспечивает надлежащий уровень защиты, если предоставлены надлежащие гарантии или если применяются изъятия для конкретных ситуаций. Если персональные данные передаются из Европейского Союза контролерам, обрабатывающим данные лицам или иным получателям в третьих странах или международных организациях, то это не должно отрицательно сказаться на уровне защиты физических лиц, предусмотренном настоящей Директивой в Европейском Союзе, в том числе в случае последующей передачи персональных данных из третьей страны или международной организации контролерам или обрабатывающим данные лицам в той же или в другой третьей стране или международной организации.

(65) Если персональные данные передаются из государства-члена ЕС в третьи страны или международные организации, такая передача должна, по общему правилу, осуществляться только после того, как государство-член ЕС, из которого были получены данные, даст разрешение на передачу. Интересы эффективного сотрудничества правоохранительных органов требуют, чтобы в случаях, когда угроза для общественной безопасности государства-члена ЕС или третьей страны или для существенных интересов государства-члена ЕС является настолько непосредственной, что не позволяет получить предварительное разрешение в надлежащий срок, компетентный орган должен иметь возможность передавать необходимые персональные данные в соответствующую третью страну или международную организацию без такого предварительного разрешения. Государства-члены ЕС должны предусмотреть, что любые особые условия, касающиеся передачи, должны быть доведены до сведения третьих стран или международных организаций. На последующие передачи персональных данных необходимо предварительное разрешение компетентного органа, который осуществил первоначальную передачу. При принятии решения о предоставлении разрешения на последующую передачу компетентный орган, который осуществил первоначальную передачу, должен надлежащим образом учитывать все значимые факторы, включая степень тяжести уголовного преступления, конкретные условия, на которых данные были изначально переданы и цели такой передачи, характер и условия исполнения уголовного наказания, а также уровень защиты персональных данных в третьей стране или международной организации, которым передаются персональные данные. Компетентный орган, осуществивший первоначальную передачу, также должен иметь возможность предусмотреть особые условия для последующей передачи. Такие особые условия могут быть описаны, например, в кодах обработки.

(66) Европейская Комиссия может принять действительное для всего Европейского Союза решение о том, что третья страна, территория или определенный сектор в третьей стране или международная организация гарантирует надлежащий уровень защиты данных, обеспечивая тем самым правовую определенность и единообразие на территории Европейского Союза в отношении третьей страны или международной организации, которая гарантирует такой уровень защиты. В указанных случаях передача персональных данных в соответствующие страны может осуществляться без необходимости получения какого-либо специального разрешения, за исключением случаев, когда другое государство-член ЕС, откуда были получены данные, должно предоставить свое разрешение на их передачу.

(67) В соответствии с основополагающими ценностями Европейского Союза, к которым, в частности, относится защита прав человека, Европейская Комиссия при оценке третьей страны или территории или определенного сектора в третьей стране должна принять во внимание то, каким образом третья страна соблюдает принципы верховенства права, обеспечивает доступность правосудия, а также соблюдает нормы и стандарты международного права в области прав человека, основного и секторального законодательства, включая законодательство относительно общественной безопасности, обороны и внутренней безопасности, а также публичный порядок и уголовное законодательство. При принятии решения о соответствии в отношении территории или определенного сектора в третьей стране следует учитывать четкие и объективные критерии, например, определенный вид обработки и объем применимых правовых стандартов и законодательства, действующих в третьей стране. Третья страна должна предоставить гарантии, обеспечивающие надлежащий уровень защиты, эквивалентный уровню, гарантированному в Европейском Союзе, в особенности, если персональные данные обрабатываются в одном или нескольких определенных секторах. В частности, третья страна должна гарантировать эффективный и независимый мониторинг защиты данных и должна предусмотреть механизмы сотрудничества с органами государств-членов ЕС по защите данных, а субъектам данных должны быть предоставлены обеспеченные законодательством эффективные права и эффективные административные и судебные средства защиты.

(68) Наряду с международными обязательствами, которые приняла на себя третья страна или международная организация, Европейская Комиссия должна принять во внимание обязательства, возникающие вследствие участия третьей страны или международной организации в многосторонних или региональных системах, в частности, в отношении защиты персональных данных, а также имплементацию указанных обязательств. В частности, необходимо учесть присоединение третьей страны к Конвенции Совета Европы от 28 января 1981 г. о защите физических лиц при автоматизированной обработке персональных данных и к дополнительному протоколу к ней. Европейская Комиссия должна консультироваться с Европейским советом по защите данных, учрежденным Регламентом (ЕС) 2016/679 ("Совет") при оценке уровня защиты в третьих странах или международных организациях. Европейская Комиссия также должна принимать во внимание любые существенные решения Европейской Комиссии о соответствии, принятые согласно Статье 45 Регламента (ЕС) 2016/679.

(69) Европейская Комиссия должна контролировать исполнение решений об уровне защиты в третьей стране, территории или в определенном секторе в третьей стране или в международной организации. В своих решениях о соответствии Европейская Комиссия должна предусмотреть механизм периодической проверки их исполнения. Периодическая проверка должна проводиться по согласованию с заинтересованной третьей страной или международной организацией и учитывать все соответствующие изменения в такой третьей стране или международной организации.

(70) Европейская Комиссия может признать, что третья страна, территория или определенный сектор в третьей стране или международная организация более не обеспечивают надлежащий уровень защиты данных. Следовательно, передача персональных данных указанной третьей стране или международной организации должна быть запрещена кроме случаев, когда соблюдаются требования настоящей Директивы в отношении передачи данных на условиях предоставления приемлемых гарантий и отступлений для определенных ситуаций. Следует предусмотреть порядок проведения консультаций между Европейской Комиссией и указанными третьими странами или международными организациями. Европейская Комиссия своевременно должна проинформировать третью страну или международную организацию о причинах и начать консультации для устранения возникших затруднений.

(71) Передача данных, не основанная на решении о соответствии, должна быть разрешена только в том случае, если надлежащие гарантии были предоставлены в юридически обязывающем документе, который гарантирует защиту персональных данных, или если контролер оценил все обстоятельства передачи данных и на основе такой оценки пришел к выводу о наличии надлежащих гарантий в отношении защиты персональных данных. Такими юридически обязывающими документами могут быть, например, юридически обязательные двусторонние соглашения, заключенные государствами-членами ЕС и имплементированные в их правовой порядок, которые могут быть приведены в исполнение субъектами данных, что обеспечивает соблюдение требований по защите данных и прав субъектов данных, включая право на эффективные административные и судебные средства защиты. Контролер должен принимать во внимание соглашения о сотрудничестве, заключенные между Европолом или Евроюстом и третьими странами, которые позволяют осуществлять обмен персональными данными при проведении оценки всех обстоятельств передачи данных. Контролер также должен учитывать тот факт, что на передачу персональных данных распространяется обязательство по соблюдению конфиденциальности и принцип избирательности, которые гарантируют, что персональные данные не будут обрабатываться для других целей, кроме как для целей передачи. Кроме того, контролер должен учитывать, что персональные данные не будут использоваться для запроса, вынесения решения или исполнения смертной казни или любой формы жестокого и бесчеловечного обращения. Хотя указанные условия могут считаться надлежащими гарантиями, позволяющими передавать данные, контролер должен иметь возможность требовать предоставления дополнительных гарантий.

(72) При отсутствии решения о соответствии или надлежащих гарантий передача или категория передачи данных может осуществляться только в особых ситуациях, если это необходимо для защиты жизненно важных интересов субъектов данных или иных лиц, для защиты законных интересов субъекта данных, если это предусмотрено законодательством государства-члена ЕС, передающего персональные данные; для предотвращения непосредственной и серьезной угрозы общественной безопасности государства-члена ЕС или третьей страны; в отдельных случаях в целях предупреждения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение таких угроз; или в отдельных случаях для установления или осуществления правовых требований или защиты по ним. Такие отступления следует толковать ограничительно. Они не должны допускать случаев частой, массовой и структурной передачи персональных данных или масштабной передачи данных, но должны быть ограничены строго необходимыми данными. Такие случаи передачи должны быть документированы и предоставлены надзорному органу по его запросу в целях контроля законности передачи.

(73) Компетентные органы государств-членов ЕС применяют действующие двусторонние или многосторонние международные соглашения, заключенные с третьими странами в сфере судебного сотрудничества по уголовным делам и полицейского сотрудничества в целях обмена соответствующей информацией для выполнения законно возложенных на них задач. По общему правилу, это происходит через посредство или как минимум с участием органов, являющихся компетентными в соответствующих третьих странах для целей настоящей Директивы, иногда даже в отсутствие двустороннего или многостороннего международного соглашения. Однако в отдельных случаях регулярные процедуры, требующие обращения в такой орган в третьей стране, могут быть неэффективными или нецелесообразными, в частности, потому, что передача данных не может быть осуществлена своевременно, или потому, что такой орган в третьей стране не соблюдает принцип верховенства права или международные нормы и стандарты в области прав человека. По указанным причинам компетентные органы государств-членов ЕС могут принять решение о передаче персональных данных непосредственно получателям в таких третьих странах. Это может иметь место в случае острой необходимости передать персональные данные для спасения жизни человека, которому угрожает опасность стать жертвой уголовного преступления, или в интересах предотвращения неизбежного совершения преступления, в том числе актов терроризма. Даже если такая передача между компетентными органами и получателями, находящимися в третьих странах, должна иметь место только в отдельных случаях, настоящая Директива должна предусматривать условия, регулирующие такие случаи. Указанные положения не должны рассматриваться как отступления от любых существующих двусторонних или многосторонних международных соглашений в сфере судебного сотрудничества по уголовным делам и полицейского сотрудничества. Указанные правила должны применяться в дополнение к другим правилам настоящей Директивы, в частности, в дополнение к нормам о законности обработки и нормам, предусмотренным Главой V.

(74) Если персональные данные перемещаются через границы, это может подвергнуть повышенному риску способность физических лиц осуществлять права на защиту данных и защищать себя от незаконного использования или разглашения таких данных. В то же время надзорные органы могут быть не в состоянии рассмотреть жалобу или провести расследование в отношении деятельности, осуществляемой за пределами их границ. Их попытки сотрудничать в трансграничном контексте также могут быть затруднены недостаточными превентивными или корректирующими полномочиями и противоречивыми правовыми режимами. Вследствие этого существует необходимость содействовать тесному сотрудничеству между надзорными органами по защите персональных данных для того, чтобы они могли обмениваться информацией со своими иностранными контрагентами.

(75) Учреждение в государствах-членах ЕС надзорных органов, способных осуществлять свои функции полностью независимо, является существенным компонентом защиты физических лиц при обработке персональных данных. Надзорные органы должны контролировать применение положений, принятых в соответствии с настоящей Директивой, и должны содействовать их последовательному применению на всей территории Европейского Союза в целях защиты физических лиц при обработке персональных данных. В указанных целях надзорные органы должны сотрудничать друг с другом и с Европейской Комиссией.

(76) Государства-члены ЕС могут возложить на надзорный орган, уже учрежденный в соответствии с Регламентом (ЕС) 2016/679, ответственность за задачи, которые должны осуществляться национальными надзорными органами, подлежащими учреждению в соответствии с настоящей Директивой.

(77) Государства-члены ЕС должны иметь возможность учреждать несколько надзорных органов, если это соответствует их конституционной, организационной и административной структуре. Каждый надзорный орган должен быть обеспечен финансовыми и кадровыми ресурсами, помещениями и инфраструктурой, необходимой для эффективного выполнения своих задач, в том числе задач, связанных с взаимной помощью и сотрудничеством с другими надзорными органами на территории Европейского Союза. Каждый надзорный орган должен иметь отдельный публичный годовой бюджет, который может являться частью общего государственного или национального бюджета.

(78) К надзорным органам должны применяться независимые механизмы контроля или мониторинга в отношении их финансовых расходов при условии, что такой финансовый контроль не затрагивает их независимости.

(79) На законодательном уровне в каждом государстве-члене ЕС необходимо установить общие условия для члена или членов надзорного органа; они должны, в частности, предусматривать, что указанные члены назначаются парламентом, правительством или главой государства-члена ЕС на основе предложения правительства, члена правительства, парламента или палаты парламента либо независимым органом, который уполномочен законодательством государства-члена ЕС осуществлять такое назначение, посредством прозрачной процедуры. Для того чтобы гарантировать независимость надзорного органа, его член или члены должны действовать добросовестно, воздерживаться от любых действий, несовместимых с их задачами, и не должны в течение срока действия своих полномочий участвовать в любой несовместимой возмездной или безвозмездной деятельности. Для того чтобы гарантировать независимость надзорного органа, его персонал должен быть выбран надзорным органом, что может предусматривать участие независимого органа, уполномоченного законодательством государства-члена ЕС.

(80) Хотя настоящая Директива применяется также к деятельности национальных судов и других судебных органов, компетенция надзорных органов не должна охватывать обработку персональных данных, если суды выполняют судебные функции, чтобы обеспечить независимость судей при исполнении ими судебных функций. Указанное исключение должно ограничиваться судебной деятельностью по судебным делам и не применяться к другим видам деятельности, которыми могут заниматься судьи в соответствии с законодательством государств-членов ЕС. Государства-члены ЕС также должны гарантировать, что компетенция надзорного органа не охватывает обработку персональных данных других независимых судебных органов, выполняющих судебные функции, например, прокуратуры. В любом случае соблюдение правил настоящей Директивы судами и другими независимыми судебными органами всегда подлежит независимому контролю в соответствии со Статьей 8(3) Хартии.

(81) Каждый надзорный орган должен обрабатывать жалобы, поданные любым субъектом данных, и расследовать соответствующий вопрос или передать его компетентному надзорному органу. Расследование на основании жалобы должно проводиться в таком объеме, в котором это необходимо в конкретном случае, и должно подлежать судебному пересмотру. Надзорный орган должен информировать субъекта данных о ходе и результатах рассмотрения жалобы в разумный срок. Если дело требует дальнейшего расследования или взаимодействия с другим надзорным органом, субъекту данных должна быть предоставлена промежуточная информация.

(82) Для того чтобы обеспечить эффективный, надежный и последовательный мониторинг соблюдения и исполнения настоящей Директивы в Европейском Союзе в соответствии с TFEU, как это толкуется в судебной практике Суда ЕС, надзорные органы в каждом государстве-члене ЕС должны иметь одинаковые задачи и осуществлять эффективные полномочия, в том числе следственные, корректирующие и консультативные полномочия, которые являются важными средствами выполнения их задач. Однако их полномочия не должны вступать в конфликт с конкретными нормами уголовного судопроизводства, включая расследование и уголовное преследование преступлений, или противоречить независимости судебных органов. Без ущерба полномочиям органов прокуратуры в соответствии с законодательством государств-членов ЕС надзорные органы также должны иметь право доводить нарушения настоящей Директивы до сведения судебных органов или участвовать в судебных разбирательствах. Полномочия надзорных органов должны осуществляться в соответствии с процессуальными гарантиями, установленными законодательством Европейского Союза или государства-члена ЕС, беспристрастно, справедливо и в разумный срок. В частности, каждая мера должна быть надлежащей, необходимой и соразмерной в свете обеспечения соблюдения настоящей Директивы с учетом обстоятельств каждого отдельного дела, должна уважать право каждого лица быть выслушанным до принятия отдельной меры, которая может отрицательно повлиять на такое лицо, и не должна допускать излишних расходов и чрезмерных затруднений для соответствующего лица. Следственные полномочия в отношении доступа в помещения должны осуществляться в соответствии со специальными требованиями в законодательстве государства-члена ЕС, например, требованием о получении предварительного судебного разрешения. Принятие юридически обязательного решения должно подлежать судебному пересмотру в государстве-члене ЕС надзорного органа, который принял решение.

(83) Надзорные органы должны содействовать друг другу в выполнении их задач и оказывать взаимную помощь в целях обеспечения последовательного применения и исполнения положений, принятых в соответствии с настоящей Директивой.

(84) Совет способствует последовательному применению настоящей Директивы в Европейском Союзе, в том числе посредством консультирования Европейской Комиссии и стимулирования сотрудничества надзорных органов в Европейском Союзе.

(85) Каждый субъект данных обладает правом на подачу жалобы в один надзорный орган и правом на эффективные средства судебной защиты в соответствии со Статьей 47 Хартии, если субъект данных считает, что его права согласно положениям, принятым в соответствии с настоящей Директивой, нарушены, или если надзорный орган не принимает меры в отношении жалобы, полностью или частично отклоняет жалобу или отказывает в ее удовлетворении или не совершает действий, если такие действия необходимы для защиты прав субъекта данных. Расследование на основании жалобы должно проводиться в таком объеме, в котором это необходимо в конкретном случае, и должно подлежать судебному пересмотру. Надзорный орган должен информировать субъекта данных о ходе и результатах рассмотрения жалобы в разумный срок. Если дело требует дальнейшего расследования или взаимодействия с другим надзорным органом, субъекту данных должна быть предоставлена промежуточная информация. В целях облегчения подачи жалобы каждый надзорный орган должен принять такие меры, как предоставление формуляра жалобы, который может быть заполнен электронным способом, не исключая иных средств связи.

(86) Любое физическое или юридическое лицо имеет право на эффективные средства судебной защиты в компетентном национальном суде в отношении решения надзорного органа, которое порождает юридические последствия для указанного лица. Такое решение касается, в частности, осуществления следственных, корректирующих и разрешительных полномочий надзорного органа либо отклонения жалобы или отказа в ее удовлетворении. Однако право на эффективные средства судебной защиты не охватывает иные меры надзорного органа, которые не являются юридически обязательными, например, выпущенные надзорным органом заключения или рекомендации. Судебное производство в отношении надзорного органа должно быть возбуждено в судах государства-члена ЕС, в котором учрежден надзорный орган, и должно осуществляться в соответствии с законодательством такого государства-члена ЕС. Указанные суды осуществляют юрисдикцию, которая охватывает полномочия на изучение всех вопросов факта и права, относящихся к рассматриваемому ими спору.

(87) Если субъект данных считает, что его права согласно настоящей Директиве нарушены, он вправе передать органу, деятельность которого направлена на защиту прав и интересов субъектов данных при обработке их персональных данных и который учрежден в соответствии с законодательством государства-члена ЕС, право подавать в надзорный орган жалобу от имени субъекта данных и осуществлять права на судебную защиту. Право представительства субъектов данных не должно затрагивать процессуальное законодательство государств-членов ЕС, которое может требовать обязательного представительства субъектов данных в национальных судах через адвоката, как определено в Директиве 77/249/ЕЭС Совета ЕС*(11).

(88) Контролер или иной компетентный орган в соответствии с законодательством государства-члена ЕС должны компенсировать любой ущерб, который лицо может понести в результате обработки данных в нарушение положений, принятых в соответствии с настоящей Директивой. Понятие ущерба должно широко толковаться в свете прецедентной практики Суда ЕС таким образом, чтобы полностью соответствовать целям настоящей Директивы. Это положение не затрагивает любые иски о возмещении ущерба в результате нарушения других норм законодательства Европейского Союза или государства-члена ЕС. Обработка, которая является незаконной или нарушает положения, принятые в соответствии с настоящей Директивой, также охватывает обработку, которая нарушает имплементационные акты, принятые в соответствии с настоящей Директивой. Субъекты данных должны получить полную и эффективную компенсацию за понесенный ими ущерб.

(89) В отношении физического или юридического лица, которое нарушает настоящую Директиву, должны быть предусмотрены санкции, независимо от того, регулируется ли такое лицо частным или публичным правом. Государства-члены ЕС гарантируют, что санкции являются эффективными, соразмерными и оказывают сдерживающее воздействие, и принимают все необходимые меры по обеспечению исполнения санкций.

(90) Для того чтобы гарантировать единообразные условия имплементации настоящей Директивы, Европейской Комиссии должны быть предоставлены имплементационные полномочия в отношении надлежащего уровня защиты, предоставленного третьей страной, территорией или определенным сектором в третьей стране либо международной организацией, в отношении формата и процедур взаимной помощи, порядка осуществления обмена информацией электронными средствами между надзорными органами, а также между надзорными органами и Советом. Указанные полномочия должны осуществляться в соответствии с Регламентом (ЕС) 182/2011 Европейского Парламента и Совета ЕС*(12).

(91) Процедура проверки должна использоваться для принятия имплементационных актов относительно надлежащего уровня защиты, предоставленного третьей страной, территорией или определенным сектором в третьей стране либо международной организацией, относительно формата и процедур взаимной помощи, порядка осуществления обмена информацией электронными средствами между надзорными органами, а также между надзорными органами и Советом, при условии, что указанные акты имеют общую сферу применения.

(92) Европейская Комиссия должна незамедлительно принять имплементационные акты, если это необходимо по причинам безотлагательной срочности в случаях, обоснованных должным образом, когда третья страна, территория или определенный сектор в третьей стране или международная организация более не обеспечивают надлежащий уровень защиты.

(93) Поскольку цели настоящей Директивы, а именно защита основных прав и свобод физических лиц, в частности, права на защиту персональных данных и обеспечение свободного обмена персональными данными между компетентными органами на территории Европейского Союза, не могут быть в достаточной степени достигнуты государствами-членами ЕС, но в силу своего масштаба и воздействия могут быть эффективнее достигнуты на уровне Европейского Союза, Европейский Союз может принять меры в соответствии с принципом субсидиарности, изложенным в Статье 5 TEU. В соответствии с принципом пропорциональности, изложенным в данной Статье, настоящая Директива не выходит за пределы того, что необходимо для достижения указанных целей.

(94) Специальные положения актов Европейского Союза, принятых в области судебного сотрудничества по уголовным делам и полицейского сотрудничества до даты принятия настоящей Директивы, которые регулируют обработку персональных данных между государствами-членами ЕС или доступ уполномоченных органов государств-членов ЕС к информационным системам, созданным в соответствии с Договорами, должны оставаться неизменными, например, специальные положения, касающиеся защиты персональных данных, применяемые в соответствии с Решением 2008/615/ПВД Совета ЕС*(13) или Статьей 23 Конвенции о взаимной помощи по уголовным делам между государствами-членами Европейского Союза*(14). Поскольку Статья 8 Хартии и Статья 16 TFEU требуют, чтобы основное право на защиту персональных данных обеспечивалось последовательно на всей территории Европейского Союза, Европейской Комиссии следует оценить взаимосвязь между настоящей Директивой и актами, принятыми до даты принятия настоящей Директивы, которые регулируют обработку персональных данных между государствами-членами ЕС или доступ уполномоченных органов государств-членов ЕС к информационным системам, созданным в соответствии с Договорами, для оценки необходимости согласования указанных специальных положений с настоящей Директивой. В соответствующих случаях Европейская Комиссия должна вносить предложения в целях обеспечения последовательности правовых норм, касающихся обработки персональных данных.

(95) В целях обеспечения всесторонней и последовательной защиты персональных данных в Европейском Союзе международные соглашения, которые государства-члены ЕС заключили до даты вступления в силу настоящей Директивы и которые соответствуют законодательству Европейского Союза, применявшемуся до указанной даты, сохраняют свою силу до тех пор, пока они не будут изменены, заменены или отменены.

(96) Государствам-членам ЕС необходимо предоставить срок не более двух лет с даты вступления в силу настоящей Директивы для ее преобразования в национальное право. Уже осуществляемая на указанную дату обработка данных должна быть приведена в соответствие с настоящей Директивой в течение двух лет, после чего настоящая Директива вступает в силу. Однако если такая обработка соответствует законодательству Европейского Союза, применяемому до даты вступления в силу настоящей Директивы, требования настоящей Директивы, касающиеся предварительных консультаций с надзорным органом, не должны применяться к операциям по обработке данных, уже осуществляемым на указанную дату, при условии, что такие требования по своей природе должны быть соблюдены до начала обработки. Если государства-члены ЕС используют более длительный срок имплементации, истекающий через семь лет после вступления в силу настоящей Директивы, в целях выполнения обязательств по регистрации для автоматизированных систем обработки данных, созданных до указанной даты, контролер или обрабатывающее данные лицо должны иметь в наличии эффективные методы подтверждения законности обработки, обеспечения самоконтроля, а также целостности и защиты данных, в частности, журналы регистрации и иные формы ведения учета.

(97) Настоящая Директива не затрагивает нормы о борьбе с сексуальным насилием, сексуальной эксплуатацией детей и детской порнографией, предусмотренные Директивой 2011/93/ЕС Европейского Парламента и Совета ЕС*(15).

(98) В этой связи следует отменить Рамочное Решение 2008/977/ПВД.

(99) В соответствии со Статьей 6а Протокола N 21 о позиции Соединенного Королевства Великобритании и Северной Ирландии и Ирландии в отношении пространства свободы, безопасности и правосудия, приложенного к TEU и к TFEU, Соединенное Королевство и Ирландия не связаны нормами настоящей Директивы, которые относятся к обработке персональных данных государствами-членами ЕС при осуществлении деятельности, подпадающей под сферу применения Главы 4 или Главы 5 Титула V Части Третьей TFEU, если Соединенное Королевство и Ирландия не связаны нормами, регулирующими формы судебного сотрудничества по уголовным делам или полицейского сотрудничества, которые требуют соблюдения положений, принятых на основе Статьи 16 TFEU.

(100) В соответствии со Статьями 2 и 2а Протокола N 22 о позиции Дании, приложенного к TEU и к TFEU, Дания не связана нормами настоящей Директивы и не обязана применять нормы, которые относятся к обработке персональных данных государствами-членами ЕС при осуществлении деятельности, подпадающей под сферу применения Главы 4 или Главы 5 Титула V Части Третьей TFEU. Поскольку настоящая Директива основывается на Шенгенских достижениях в соответствии с положениями Титула V Части Третьей TFEU, Дания в соответствии со Статьей 4 указанного Протокола в течение шести месяцев с даты принятия настоящей Директивы должна решить, будет ли она имплементировать ее в свое национальное законодательство.

(101) Что касается Исландии и Норвегии, настоящая Директива представляет собой развитие положений Шенгенских достижений в значении Соглашения, заключенного Советом Европейского Союза и Республикой Исландия и Королевством Норвегия об участии последних двух государств в процессе реализации, применения и развития Шенгенских достижений*(16).

(102) Что касается Швейцарии, настоящая Директива представляет собой развитие положений Шенгенских достижений в значении Соглашения между Европейским Союзом, Европейским Сообществом и Швейцарской Конфедерацией об участии Швейцарской Конфедерации в процессе реализации, применения и развития Шенгенских достижений*(17).

(103) Что касается Лихтенштейна, настоящая Директива представляет собой развитие положений Шенгенских достижений в значении Протокола между Европейским Союзом, Европейским Сообществом, Швейцарской Конфедерацией и Княжеством Лихтенштейн о присоединении Княжества Лихтенштейн к Соглашению между Европейским Союзом, Европейским Сообществом и Швейцарской Конфедерацией об участии Швейцарской Конфедерации в процессе реализации, применения и развития Шенгенских достижений*(18).

(104) Настоящая Директива соблюдает все основные права и принципы, признанные в Хартии и закрепленные в TFEU, в частности, право на уважение частной и семейной жизни, защиту персональных данных, право на эффективное средство правовой защиты и на справедливое судебное разбирательство. Ограничения указанных прав соответствуют Статье 52(1) Хартии, поскольку они необходимы для достижения целей общего интереса, признанных Европейским Союзом, или для защиты прав и свобод иных лиц.

(105) В соответствии с Общей политической Декларацией от 28 сентября 2011 г. государств-членов ЕС и Европейской Комиссии о пояснительных документах государства-члены ЕС приняли на себя обязательства в обоснованных случаях сопровождать официальное уведомление о принятии мер по преобразованию в национальное право одним или более документами, разъясняющими взаимосвязь между компонентами директивы и соответствующими частями национальных актов, преобразующих ее в национальное право. В отношении настоящей Директивы законодатель считает передачу таких документов оправданной.

(106) В соответствии со Статьей 28(2) Регламента (ЕС) 45/2001 была проведена консультация с Европейским инспектором по защите данных, и 7 марта 2012 г. он выдал свое заключение*(19).

(107) Настоящая Директива не препятствует государствам-членам ЕС предусмотреть осуществление субъектами данных прав на информацию, доступ к персональным данным, их исправление или удаление, а также на ограничение обработки в ходе уголовного судопроизводства и не затрагивает возможные ограничения в национальных нормах уголовного процесса,

Приняли настоящую Директиву:

Совершено в Брюсселе 27 апреля 2016 г.

За Европейский Парламент

Председатель

M. SCHULZ

За Совет ЕС

Председатель

J.A. HENNIS-PLASSCHAERT

------------------------------

*(1) Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA. Опубликована в Официальном Журнале (далее - ОЖ) N L 119, 04.05.2016, стр. 89.

*(2) ОЖ N C 391, 18.12.2012, стр. 127.

*(3) Позиция Европейского Парламента от 12 марта 2014 г. (еще не опубликована в ОЖ) и позиция Совета ЕС при первом чтении от 8 апреля 2016 г. (еще не опубликована в ОЖ). Позиция Европейского Парламента от 14 апреля 2016 г.

*(4) Директива 95/46/EC Европейского Парламента и Совета ЕС от 24 октября 1995 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных (ОЖ N L 281, 23.11.1995, стр. 31).

*(5) Рамочное Решение 2008/977/ПВД Совета ЕС от 27 ноября 2008 г. о защите персональных данных, обработанных в рамках полицейского и судебного сотрудничества по уголовным делам (ОЖ N L 350, 30.12.2008, стр. 60).

*(6) Регламент (ЕС) 2016/679 Европейского Парламента и Совета ЕС от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных) (см. страницу 1 настоящего ОЖ).

*(7) Регламент (ЕС) 45/2001 Европейского Парламента и Совета ЕС от 18 декабря 2000 г. о защите физических лиц при обработке персональных данных, осуществляемой учреждениями и органами Сообщества, и о свободном обращении таких данных (ОЖ N L 8, 12.01.2001, стр. 1).

*(8) Директива 2011/24/ЕС Европейского Парламента и Совета ЕС от 9 марта 2011 г. о правах пациентов в трансграничном медицинском обслуживании (ОЖ N L 88, 04.04.2011, стр. 45).

*(9) Общая позиция 2005/69/ПВД Совета ЕС от 24 января 2005 г. об обмене некоторыми данными с Интерполом (ОЖ N L 27, 29.1.2005, стр. 61).

*(10) Решение 2007/533/ПВД Совета ЕС от 12 июня 2007 г. о создании, функционировании и использовании Шенгенской информационной системы второго поколения (SIS II) (ОЖ N L 205, 7.8.2007, стр. 63).

*(11) Директива 77/249/ЕЭС Совета ЕС от 22 марта 1977 г. о содействии эффективному осуществлению свободного предоставления услуг адвокатами (ОЖ N L 78, 26.3.1977, стр. 17).

*(12) Регламент (ЕС) 182/2011 Европейского Парламента и Совета ЕС от 16 февраля 2011 г., устанавливающий правила и общие принципы относительно механизмов контроля государствами-членами ЕС выполнения Европейской Комиссией имплементационных полномочий (ОЖ N L 55, 28.02.2011, стр. 13).

*(13) Решение 2008/615/ПВД Совета ЕС от 23 июня 2008 г. об усилении трансграничного сотрудничества, в частности, в целях борьбы с терроризмом и трансграничной преступностью (ОЖ N L 210, 6.8.2008, стр. 1).

*(14) Акт Совета ЕС от 29 мая 2000 г., утверждающий в соответствии со Статьей 34 Договора о Европейском Союзе Конвенцию о взаимной помощи по уголовным делам между государствами-членами Европейского Союза (ОЖ N C 197, 12.7.2000, стр. 1).

*(15) Директива 2011/93/ЕС Европейского Парламента и Совета ЕС от 13 декабря 2011 г. о борьбе с сексуальным насилием, сексуальной эксплуатацией детей и детской порнографией и о замене Рамочного Решения 2004/68/ПВД Совета ЕС (ОЖ N L 335, 17.12.2011, стр. 1).

*(16) ОЖ N L 176, 10.07.1999, стр. 36.

(17) ОЖ N L 53, 27.2.2008, стр. 52.

*(18) ОЖ N L 160, 18.6.2011, стр. 21.

*(19) ОЖ N C 192, 30.6.2012, стр. 7.