Конвенция
о защите физических лиц при автоматизированной обработке персональных данных
(Страсбург, 28 января 1981 г.)
(с изменениями от 15 июня 1999 г.)

ETS N 108

См. тексты неофициального перевода и резюме к настоящему документу, предоставленные Правовым управлением Государственной Думы ФС РФ

См. статус настоящей Конвенции

См. Дополнительный протокол к настоящей Конвенции (Страсбург, 8 ноября 2001 г.). Российская Федерация названный Протокол не ратифицировала

 Преамбула

 Государства - члены Совета Европы, подписывающие данный документ,

 принимая во внимание, что целью Совета Европы является достижение более тесного объединения его членов на основе уважения принципов правового государства, а равно прав и основных свобод человека;

 принимая во внимание настоятельную необходимость усиления гарантий прав и основных свобод каждого человека и в особенности права на неприкосновенность его этичной сферы, вызванную все возрастающим перемещением через границы персональных данных, обработанных с применением автоматизированных средств;

 одновременно подтверждая свою приверженность свободе информации независимо от границ;

 признавая необходимость совмещения фундаментальных ценностей уважения неприкосновенности личной сферы и свободного обмена информацией между народами,

 согласились со следующим:

 Глава I. Общие положения

 Статья 1. Предмет и цель

 Целью настоящей Конвенции является обеспечение на территории каждой из Сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных ("защита данных").

 Статья 2. Определения

 Для целей настоящей Конвенции:

 а. "персональные данные" означают информацию, касающуюся конкретного или могущего быть идентифицированным лица ("субъекта данных");

 b. "автоматизированная база данных" означает любой набор данных, к которым применяется автоматическая обработка;

 с. "автоматическая обработка" включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических или/и арифметических операций с такими данными, их изменение, стирание, восстановление или распространение;

 d. "контролер базы данных" означает физическое или юридическое лицо, государственный орган, ведомство или любую другую организацию, которая в соответствии с национальным правом наделена полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться.

Поправками, принятыми Комитетом министров в Страсбурге 15 июня 1999 г., в статью 3 настоящей Конвенции внесены изменения

См. текст статьи в предыдущей редакции

 Статья 3. Область применения

 1. Стороны обязуются применять настоящую Конвенцию к автоматизированным базам  персональных данных и к автоматической обработке персональных данных в публичном и частном секторах.

 2. Любое Государство или Европейские сообщества в момент подписания или сдаче на хранение их ратификационных грамот или документа о принятии, одобрении или присоединении или впоследствии в любое другое время могут уведомить путем заявления Генерального секретаря Совета Европы о том, что:

 a) оно не будет применять настоящую Конвенцию к определенным категориям автоматизированных файлов персональных данных, перечень которых будет сдан на хранение. Однако такой перечень не должен включать те категории автоматизированных файлов данных, на которые распространяется действие положений национального права о защите данных. Соответственно, оно должно вносить изменения в этот перечень путем нового заявления всякий раз, когда в соответствии с национальным правом под действие норм о защите данных подпадают дополнительные категории автоматизированных файлов данных;

 b) оно будет также применять настоящую Конвенцию в отношении информации, касающейся групп лиц, ассоциаций, фондов, компаний, корпораций и любых других организаций, состоящим, прямо или косвенно, из частных лиц, независимо от того, обладают ли такие организации правосубъектностью;

 c) оно будет применять настоящую Конвенцию в отношении файлов персональных данных, которые не подвергаются автоматизированной обработке.

 3. Любое Государство или Европейские сообщества, расширившее сферу применения настоящей Конвенции путем любого из заявлений, предусмотренных  пунктом b или  с части 2 настоящей статьи, могут уведомить с помощью указанного заявления о том, что такое расширение# применение# касается лишь определенных категорий файлов персональных данных, перечень которых будет сдан на хранение.

 4. Сторона, которая посредством заявления, предусмотренного подпунктом 2.а настоящей статьи, установила исключения для определенных категорий автоматизированных баз персональных данных, не может требовать, чтобы Сторона, не установившая подобных исключений, применяла настоящую Конвенцию к таким категориям.

 5. Подобным же образом Сторона, которая не использовала возможности расширенного применения Конвенции, предоставленные  подпунктами 2.b и  с настоящей статьи, не может требовать, чтобы Сторона, которая расширила применение настоящей Конвенции, применяла ее в этой части.

 6. Заявления, предусмотренные  пунктом 2 настоящей статьи, начинают действовать с момента вступления Конвенции в силу в отношении Государства или Европейских сообществ, которые их сделали, если они были сделаны при подписании либо сдаче на хранение его ратификационной грамоты или документа о принятии, одобрении или присоединении, либо через три месяца после их получения Генеральным секретарем Совета Европы. Эти заявления могут быть отозваны полностью или частично путем уведомления на имя Генерального секретаря Совета Европы. Такой отзыв начинает действовать через три месяца со дня получения такого уведомления.

 Глава II. Основные принципы защиты данных

 Статья 4. Обязанности сторон

 1. Каждая Сторона принимает необходимые меры для того, чтобы основные принципы защиты данных, изложенные в настоящей главе, были реализованы в ее национальном праве.

 2. Эти меры принимаются не позднее вступления настоящей Конвенции в силу в отношении такой Стороны.

 Статья 5. Требования, предъявляемые к данным

 Персональные данные, проходящие  автоматическую обработку:

 а. должны быть получены и обработаны добросовестным и законным образом;

 b. должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;

 с. должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;

 d. должны быть точными и в случае необходимости обновляться;

 е. должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.

 Статья 6. Особые категории данных

 Персональные данные о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, а равно персональные данные, касающиеся здоровья или сексуальной жизни, могут подвергаться автоматической обработке только в тех случаях, когда национальное право предусматривает надлежащие гарантии. Это же правило применяется к персональным данным, касающимся судимости.

 Статья 7. Охрана данных

 Настоящая Конвенция обязывает Стороны принимать надлежащие меры для охраны  персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.

 Статья 8. Дополнительные гарантии для субъекта данных

 Любому лицу должно быть предоставлено право:

 a. быть осведомленным о существовании автоматизированной базы персональных данных, о ее главных целях, а также о контролере базы данных, его месте жительства либо юридическом адресе;

 b. периодически и без излишних затрат времени или средств обращаться с запросом о том, накапливаются ли в  автоматизированной базе данных касающиеся его персональные данные, и получать информацию о таких данных в доступной форме;

 с. требовать уточнения или уничтожения таких данных, если они были обработаны с нарушением положений национального права, реализующих основные принципы, изложенные в  статьях 5 и  6 настоящей Конвенции;

 d. прибегнуть к судебной защите нарушенного права, если его запрос либо требование о предоставлении информации, уточнении или уничтожении данных, упомянутые в пунктах b и с настоящей статьи, не были удовлетворены.

 Статья 9. Исключения и ограничения

 1. Не допускаются исключения из положений  статей 5,  6 и  8 настоящей Конвенции, кроме тех, которые определены в настоящей статье.

 2. Изъятие из положений  статей 5,  6 и  8 настоящей Конвенции допускается, когда такое изъятие предусмотрено законом Стороны и представляет собой необходимую в демократическом обществе меру, установленную:

 а. для охраны государственной и общественной безопасности, денежных интересов Государства или для пресечения преступлений;

 b. для защиты субъекта данных или прав и свобод других лиц.

 3. Применительно к автоматизированным базам персональных данных, используемым для статистических и исследовательских целей, законом могут быть установлены ограничения в осуществлении правомочий, указанных в  пунктах b, с и d статьи 8, при условии исключения риска нарушения неприкосновенности личной сферы субъектов данных.

 Статья 10. Санкции и средства судебной защиты права

 Каждая Сторона обязуется установить надлежащие санкции и средства судебной защиты на случай нарушения положений национального права, реализующих основные принципы защиты данных, изложенные в настоящей главе.

 Статья 11. Расширенная защита

 Ни одно из положений настоящей главы не должно быть истолковано как ограничивающее или иным образом влияющее на возможность Стороны предоставить субъектам данных более широкую защиту, нежели та, которая обусловлена настоящей Конвенцией.

 Глава III. Передача информации через границы

 Статья 12. Передача персональных данных через границы
и национальное право

 1. Нижеследующие положения будут применяться к передаче через национальные границы  персональных данных, проходящих автоматическую обработку или предназначенных для автоматической обработки, независимо от способа такой передачи.

 2. Сторона не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.

 3. Тем не менее, каждая Сторона вправе отступить от положений пункта 2:

 а. в той мере, в какой ее законодательство устанавливает специальные правила в отношении определенных категорий персональных данных или автоматизированных баз персональных данных - кроме случаев, когда правилами другой Стороны предусмотрена равноценная защита;

 b. когда передача осуществляется с ее территории на территорию Государства, не являющегося Стороной Конвенции, через территорию другой Стороны - с той целью, чтобы такая передача не совершалась в обход законодательства Стороны, указанной в начале настоящего пункта.

 Глава IV. Взаимная помощь

 Статья 13. Сотрудничество сторон

 1. Стороны соглашаются с тем, что они будут оказывать друг другу взаимную помощь, направленную на выполнение настоящей Конвенции.

 2. С этой целью:

 а. каждая Сторона назначает один или несколько органов, наименование и адрес каждого из которых сообщаются Генеральному Секретарю Совета Европы;

 b. каждая Сторона, назначившая более одного органа, определяет в сообщении, о котором упоминается в предшествующем подпункте, компетенцию каждого органа.

 3. Орган, назначенный Стороной, по ходатайству органа, назначенного другой Стороной:

 а. предоставляет информацию о правовых положениях и административной практике Стороны в сфере защиты информации;

 b. в соответствии со своим национальным правом и исключительно в целях защиты неприкосновенности личной сферы, принимает все надлежащие меры для предоставления фактической информации, касающейся отдельных случаев  автоматической обработки, осуществляемой на ее территории, за исключением самих персональных данных, проходящих такую обработку.

 Статья 14. Помощь субъектам данных, проживающим за рубежом

 1. Каждая сторона должна оказывать помощь любому лицу, проживающему за рубежом, в осуществлении правомочий, предусмотренном его национальным правом, реализующим принципы, изложенные в  статье 8 настоящей Конвенции.

 2. Если такое лицо проживает на территории другой Стороны, ему будет предоставлена возможность передать свое ходатайство через посредничество органа, назначенного этой Стороной.

 3. Ходатайство о помощи должно содержать все необходимые реквизиты, в том числе касающиеся:

 а. имени, адреса и других относящихся к делу характеристик, позволяющих идентифицировать лицо, подавшее ходатайство;

 b. автоматизированной базы персональных данных, к которой относится ходатайство, и ее контролера;

 с. цели ходатайства.

 Статья 15. Гарантии, предоставляемые
назначенным органом при оказании помощи

 1. Орган, назначенный Стороной, получивший от Органа, назначенного другой Стороной, информацию, сопровождающую ходатайство о помощи либо полученную в ответ на ее собственное ходатайство о помощи, не должен использовать эту информацию для иных целей, нежели те, которые определены в ходатайстве о помощи.

 2. Каждая Сторона обязана следить за тем, чтобы сотрудники назначенного органа или лица, действующие от его имени, были связаны обязательством соблюдения секретности или конфиденциальности в отношении такой информации.

 3. Не допускается, чтобы назначенный орган подавал предусмотренное  пунктом 2 статьи 14 ходатайство от имени субъекта данных, проживающего за рубежом, по своему усмотрению и без прямо выраженного согласия заинтересованного лица.

 Статья 16. Отказ в удовлетворении ходатайства о помощи