Использован тест закона, помещенный веб-сайте
ПРИВ@ТНОСТЬ

  Закон Норвегии № 31
от 14 апреля 2000 года об обработке персональных данных
(Закон о персональных данных)

(Перевод с английского на русский – Никита Дунаев, Сергей Смирнов, "Правозащитная сеть", 2004)

Глава I. Цель и сфера применения настоящего закона
Глава II. Общие правила обработки персональных данных
Глава III. Информация об обработке персональных данных
Глава IV. Прочие права субъекта данных
Глава V. Передача персональных данных в другие страны
Глава VI. Обязанность по уведомлению и получению лицензии
Глава VII. Видеонаблюдение
Глава VIII. Надзор и санкции
Глава IX. Вступление в силу, переходные положения. Поправки в другие законодательные нормы
 
 

Глава I. Цель и сфера применения настоящего закона

Статья 1. Цель настоящего закона

Целью настоящего закона является защита физических лиц от нарушений их права на приватность при обработке персональных данных.

Настоящий закон должен содействовать тому, чтобы обработка персональных данных проводилась в соответствии с уважением основополагающего права на приватность, в том числе необходимости защиты личности и частной жизни, а также обеспечения должного качества персональных данных.

Статья 2. Определения

Для целей настоящего закона применяются следующие термины:

1. персональные данные: любая информация и оценки, которые можно связать с физическим лицом,

2. обработка персональных данных: любое использование персональных данных, такое как сбор, запись, систематизация, хранение и раскрытие, либо сочетание таких видов использования,

3. файловая система персональных данных: системы регистрации данных, записи и т.п., в которых систематически хранятся персональные данные в целях извлечения информации, относящейся к физическому лицу.

4. контролер: лицо, которое определяет цель обработки персональных данных и средства, которые при этом будут использоваться,

5. обработчик: лицо, которое обрабатывает персональные данные по поручению контролера,

6. субъект данных: лицо, с которым можно связать персональные данные,

7. согласие: любое добровольное, ясно выраженное и информированное заявление со стороны субъекта данных о том, что он соглашается на обработку относящихся к нему персональных данных,

8. персональные данные деликатного характера: информация, относящаяся к:

a) расовому или этническому происхождению, либо политическим взглядам, философскими или религиозным воззрениям,
b) фактам о том, что лицо находилось под подозрением, следствием, судом или приговором по уголовному преступлению,
c) здоровью,
d) половой жизни,
e) членству в профсоюзах.

Статья 3. Основная сфера применения настоящего закона

Настоящий закон применяется к:

a) обработке персональных данных, производимой полностью или частично с помощью автоматизированных средств, а также
b) иной обработке персональных данных, которые содержатся в файловой системе персональных данных или предназначены для нее.

Настоящий закон не применяется к обработке персональных данных, проводимой физическим лицом исключительно в личных целях.

Король может вводить нормы о неприменимости настоящего закона или отдельных его статей к определенным учреждениям и сферам администрации.

Король может вводить нормы в отношении обработки персональных данных в особых видах деятельности или отраслях. В отношении обработки персональных данных, связанной со службами кредитной информации, – отдельными нормативными актами могут быть установлены положения, регулирующие, в частности, виды данных, которые можно обрабатывать, источники, из которых можно получать персональные данные, круг лиц, которым можно раскрывать кредитную информацию и порядок такого раскрытия, удаление негативной кредитной информации и обязанность хранить профессиональную тайну со стороны работников кредитного бюро. Могут быть также предписаны правила, согласно которым настоящий закон или отдельные положения, установленные настоящим законом или вытекающие из настоящего закона, должны применяться к обработке кредитной информации, относящейся не только к физическим лицам.

Статья 4. Территориальная юрисдикция настоящего закона

Настоящий закон применим к контролерам, учрежденным на территории Норвегии. Король может ввести нормы, по которым настоящий закон частично или полностью применим к территориям Svalbard и Jan Mayen, а также вводить особые правила обработки персональных данных для этих регионов.

Настоящий закон также применим к контролерам, расположенным в государствах за пределами Европейской экономической зоны, если контролер использует оборудование на территории Норвегии. Однако это положение не применяется, если такое оборудование используется лишь для передачи персональных данных через Норвегию.

Контролеры, упомянутые во второй части настоящей статьи, должны иметь представителя, учрежденного в Норвегии. Положения, применяемые к контролеру, применимы и к представителю.

Статья 5. Отношение к другому законодательству

Положения настоящего закона применимы к обработке персональных данных, если иное не предусмотрено особым законодательством, регулирующим порядок обработки.

Статья 6. Отношение к законному праву доступа к информации в соответствии с другим законодательством

Настоящий закон не ограничивает право доступа к информации в соответствии с Законом о свободе информации, Законом об общественной администрации или любое иное законное право доступа к персональным данным.

Если иное законодательство предоставляет право на более широкий доступ к информации по сравнению с настоящим законом, то контролер должен по собственной инициативе предоставить информацию о существовании права требовать такого доступа.

Статья 7. Отношение к свободе слова

Обработка персональных данных исключительно для художественных, литературных или журналистских целей, включая цели формирования мнения, регулируется лишь положениями статей 13 – 15, 26, 36 – 41 с учетом главы VIII.

Глава II. Общие правила обработки персональных данных

Статья 8. Условия обработки персональных данных

Персональных данные (статья 2 пункт 1) могут обрабатываться, только если субъект данных дал на это согласие, либо если такая обработка разрешена законодательством, либо если обработка необходима для:

a) исполнения контракта, стороной которого является субъект данных, либо принятия шагов по просьбе субъекта данных для заключения такого контракта,
b) выполнения контролером правовых обязательств,
c) защиты жизненных интересов субъекта данных,
d) выполнения задач в общественных интересах,
e) исполнения официальных функций, либо
f) для того чтобы позволить контролеру или третьим лицам, которым раскрывается информация, защищать законный интерес, если такой интерес не противоречит интересам субъекта данных.

Статья 9. Обработка персональных данных деликатного характера

Персональные данные деликатного характера (статья 2, пункт 8) могут обрабатываться, только если обработка удовлетворяет одному из условий, изложенных в статье 8, и если:

a) субъект данных даст согласие на обработку,
b) такая обработка разрешена законодательством,
c) обработка необходима для защиты жизненных интересов лица, а субъект данных не способен дать свое согласие,
d) обработка относится исключительно к данным, которые субъект данных добровольно и очевидным образом обнародовал,
e) обработка необходима для установления, осуществления или защиты правового притязания,
f) обработка необходима, чтобы контролер мог выполнить свои обязательства или воспользоваться своими правами в области трудового законодательства,
g) обработка необходима для целей профилактической медицины, медицинской диагностики, предоставления ухода или лечения либо управления службами здравоохранения, и при этом данные обрабатываются работниками сферы здравоохранения, которые связаны обязательством по хранению профессиональной тайны, либо
h) обработка необходима для исторических, статистических или научных целей и общественный интерес в такой обработке явно перевешивает возможные отрицательные последствия для физического лица.

Некоммерческие ассоциации и фонды могут в ходе своей деятельности обрабатывать персональные данные деликатного характера, даже если такая обработка не удовлетворяет одному из условий, установленных в пунктах a – h первой части настоящей статьи. Такая обработка может проводиться только в отношении данных, касающихся их членов либо лиц, которые имеют с ними добровольные регулярные контакты в связи с целями этой ассоциации или фонда, и только в отношении данных, собранных посредством таких контактов. Персональные данные не могут раскрываться без согласия субъекта данных.

Инспекция по персональным данным (Data Inspectorate) может решить, что персональные данные деликатного характера можно также обрабатывать и в иных случаях, если того требуют важные политические интересы и при этом предпринимаются шаги для защиты интересов субъекта данных.

Статья 10. Реестр уголовных судимостей

Полный реестр уголовных судимостей может вестись только под контролем официального органа.

Статься 11. Основные требования к обработке персональных данных

Контролер должен обеспечить, чтобы обрабатываемые персональные данные:

a) обрабатывались, только когда это разрешено согласно статьям 8 и 9,
b) использовались только для ясно заявленных целей, которые объективно обусловлены деятельностью контролера,
c) не использовались в дальнейшем для целей, несовместимых с первоначальной целью сбора, без согласия субъекта данных,
d) являлись достаточными, уместными и не чрезмерными по отношению к цели обработки, а также
e) являлись точными и не устаревшими и хранились не дольше, чем необходимо для цели обработки согласно статьям 27 и 28.

Последующая обработка персональных данных для исторических, статистических или научных целей не считается несовместимой с первоначальными целями сбора данных по пункту c) первой части настоящей статьи, если общественный интерес в проводимой обработке явно перевешивает возможные неудобства для физических лиц.

Статья 12. Использование персональных идентификационных номеров и т.п.

Персональные идентификационные номера и прочие явные средства идентификации могут использоваться при обработке, если существует объективная необходимость в точной идентификации и этот метод необходим для достижения такой идентификации.

Инспекция по персональным данным может предписать контролеру использовать подобные, упомянутые в первой части настоящей статьи, средства идентификации, для того чтобы обеспечить надлежащее качество персональных данных.

Король может вводить дальнейшие правила, регулирующие использование персональных идентификационных номеров и иных явных средств идентификации.

Статья 13. Безопасность данных

При обработке персональных данных контролер и обработчик посредством плановых, систематических мер должны обеспечить должную безопасность данных с точки зрения конфиденциальности, целостности и доступности.

Для достижения должной безопасности данных контролер и обработчик должны документально оформлять системы данных и принимаемые меры безопасности. Такая документация должны быть доступна для работников контролера и обработчика. Документация должна быть также доступна для Инспекции по персональным данным и Апелляционного совета по приватности.

Любой контролер, который разрешает доступ к персональным данным иным лицам – таким как обработчику или прочим лицам, которые исполняют функции, связанные с системой данных, – должен обеспечить, чтобы означенные лица выполняли требования, изложенные в первой и второй части настоящей статьи.

Король может вводить нормы в отношении безопасности данных при обработке данных, в том числе дальнейшие правила в отношении организационных и технических мер безопасности.

Статья 14. Внутренний контроль

Контролер должен ввести и проводить плановые и систематические меры, необходимые для выполнения требований, установленных настоящим законом или в соответствии с настоящим законом, в том числе меры по обеспечению надлежащего качества персональных данных.

Контролер должен документально оформлять такие меры. Эта документация должна быть доступна работникам контролера и обработчика. Эта документация должна быть также доступна для Инспекции по персональным данным и Апелляционного совета по приватности.

Король может вводить нормы, содержащие дальнейшие правила в отношении внутреннего контроля.

Статья 15. Право обработчика распоряжаться персональными данными

Ни один обработчик не может обрабатывать персональные данные иначе, чем на основании письменного соглашения с контролером. Равным образом, данные не могут передаваться иному лицу для хранения или производства иных действий без такого соглашения.

В соглашении с контролером должно быть указано, что обработчик обязуется принять меры безопасности согласно статье 13.

Статья 16. Срок ответа на запросы в отношении данных и т.п.

Контролер должен отвечать на запросы относительно доступа и прочих прав по статьям 18, 22, 25, 26, 27 и 28 без необоснованных проволочек и не позднее, чем в течение 30 дней с даты получения запроса.

Если особые обстоятельства делают невозможным ответ на запрос в течение 30 дней, ответ может быть отложен до тех пор, пока ответ станет возможен. В этом случае контролер должен дать предварительный ответ, указав причину отсрочки и предполагаемое время ответа.

Статья 17. Плата

Контролер не может требовать вознаграждение за предоставление данных согласно главе III или за выполнение требований субъекта данных согласно главе IV.

Глава III. Информация об обработке персональных данных

Статья 18. Право доступа

Любое обратившееся с запросом лицо должно получить информацию о характере проводимой контролером обработки персональных данных и может потребовать предоставление следующей информации:

a) имя и адрес контролера и его представителя, если таковой имеется,
b) кто отвечает за практическое выполнение возложенных на контролера обязанностей,
c) цель обработки,
d) описание категорий обрабатываемых персональных данных,
e) источники данных, а также
f) будут ли данные раскрываться, и если да, то кому.

Если запрашивающее информацию лицо является субъектом данных, то контролер должен информировать его о следующем:

a) категориях обрабатываемых данных, относящихся к субъекту данных, а также
b) мерах безопасности, принятых в связи с обработкой, при условии что такая информация не будет во вред безопасности.

Субъект данных может потребовать, чтобы контролер дал более подробную информацию по пунктам a – f первой части настоящей статьи, настолько насколько это необходимо для того, чтобы позволить субъекту данных защитить свои интересы.

Право на получение информации по второй и третьей части настоящей статьи не применяется, если персональные данные обрабатываются исключительно для исторических, статистических и научных целей и обработка не будет иметь непосредственного значения для субъекта данных.

Статья 19. Обязательство по предоставлению информации при сборе данных от субъекта данных

Если персональные данные собираются у самого субъекта данных, то контролер должен по собственной инициативе прежде проинформировать субъекта данных о следующем:

a) имени и адресе контролера и его представителя, если таковой имеется,
b) цели обработки,
c) будут ли данные раскрываться и если да, то кому,
d) о том, что предоставление данных является добровольным, а также
e) любых иных обстоятельствах, которые позволят субъекту данных наиболее эффективным способом воспользоваться своими правами по настоящему закону, в частности сообщить о праве требовать доступа к данным согласно статье 18 и праве требовать исправления данных в соответствии со статьями 27 и 28.

Информировать не обязательно, если субъект данных вне всяких сомнений уже обладает информацией, упомянутой в первой части настоящей статьи.

Статья 20. Обязательство по предоставлению информации при сборе данных от лиц, не являющихся субъектом данных

Контролер, собирающий персональные данные у лица, не являющегося субъектом данных, должен по собственной инициативе проинформировать субъекта данных о том, какие данные о нем собираются, а также предоставить информацию, упомянутую в первой части статьи 19, и сделать это сразу же после получения данных. Если целью сбора данных является сообщение их другим лицам, то контролер может подождать с уведомлением субъекта данных до тех пор, пока не произойдет такое раскрытие данных.

Субъект данных не вправе получать уведомление в соответствии с частью первой настоящей статьи, если:

a) сбор или сообщение данных явным образом разрешены законодательством,
b) уведомление невозможно или чрезмерно затруднено, либо
c) субъект данных вне всяких сомнений уже обладает информацией, которая будет содержаться в уведомлении.

Если уведомление не производится согласно пункту b, то информация должна быть, тем не менее, предоставлена, как только с субъектом данных будет установлен контакт на основе полученных данных.

Статья 21. Обязательство по предоставлению информации в связи с использованием персональных профилей

Если какое-либо лицо вступает в контакт с субъектом данных или принимает решения в отношении субъекта данных на основании персональных профилей, призванных характеризовать поведение, предпочтения, способности или потребности, например в связи с рекламной деятельностью, контролер должен информировать субъекта данных о следующем:

a) личности контролера,
b) категориях используемых данных, а также
c) источниках этих данных.

Статья 22. Право на получение информации в отношении автоматизированных решений

Если решение имеет юридические или иные существенные последствия для субъекта данных и основано исключительно на автоматизированной обработке персональных данных, то субъект данных, ставший объектом этого решения, может потребовать от контролера описание правил, заложенных в программное обеспечение, которое лежало в основе решения.

Статья 23. Исключения из права на информацию

Право доступа согласно статьям 18 и 22, а также обязанность предоставлять информацию согласно статьям 19, 20 и 21 не распространяется на данные:

a) которые, если станут известны, могут угрожать национальной безопасности, национальной обороне либо отношениям с международными государствами или международными организациями,

b) в отношении которых требуется секретность в интересах предупреждения, расследования, разоблачения и преследования преступлений,

c) которые должны рассматриваться как нежелательные для сведения субъекта данных с точки зрения здоровья данного лица или отношений с близкими ему лицами,

d) на которые распространяется предписанная законодательством обязанность по соблюдению профессиональной тайны,

e) которые содержатся только в текстах, созданных на подготовительном этапе для внутренних целей, и которые не были раскрыты другим лицам,

f) предоставление информации о которых противоречит очевидным и существенным частным или общественным интересам, включая интересы самого субъекта данных.

Данные по части первой пункт c) настоящей статьи, тем не менее, могут по требованию сообщаться представителю субъекта данных, если нет особых причин этого не делать. Любое лицо, которое отказывается предоставить доступ к данным по первой части настоящей статьи, должно письменно привести причину отказа с конкретной ссылкой на положение, которое регулирует исключения.

Король может вводить нормы в отношении иных исключений из права доступа и обязательства по предоставлению информации, а также в отношении условий осуществления права доступа.

Статья 24. Порядок предоставления информации

Информация может быть запрошена в письменной форме у контролера или обработчика в соответствии со статьей 15. Прежде чем предоставить доступ к данным, относящимся к субъекту данных, контролер может потребовать, чтобы субъект данных представил письменный, подписанный запрос.

Глава IV. Другие права субъекта данных

Статья 25. Право требовать ручную обработку

Любое лицо, которое стало объектом полностью автоматизированного решения, упомянутого в статье 22, или которого такое решение непосредственно затрагивает иным образом, может потребовать, чтобы решение было повторно рассмотрено человеком.

Право по первой части настоящей статьи не применяется, если интересы субъекта данных с точки зрения защиты приватности должным образом защищены, и решение разрешено законом либо связано с исполнением контракта.

Статья 26. Право исключать себя из прямого маркетинга

Король может вводить нормы в отношении центрального реестра исключений из прямого маркетинга, а также правила, регламентирующие этот реестр.

Субъект данных может потребовать, чтобы его имя блокировалось при проведении прямой рекламы, независимо от способа ее проведения. Можно требовать, чтобы такое блокирование было произведено как в центральном реестре исключений из прямого маркетинга, так и в базе адресов лица, проводящего такой маркетинг.

Контролеры, занимающиеся прямым маркетингом, должны сверять свою базу адресов с центральным реестром исключений из прямого маркетинга, прежде чем впервые осуществлять рассылку, и не менее четырех раз в год.

Любое лицо, которому направляется прямая реклама, должно быть информировано о том, кто предоставил персональные данные, лежащие в основе рассылки.

Право требовать блокировку в центральном реестре исключений из прямой рекламы не распространяется на рекламу продукции тех контролеров, с которыми у субъекта данных есть текущие клиентские отношения.

Статья 27. Исправление неверных персональных данных

Если персональные данные неточны или неполны либо не разрешены для обработки, то контролер должен по собственной инициативе или по требованию субъекта данных исправить эти неверные данные. Контролер должен, по возможности, обеспечить, чтобы ошибка не имела последствий для субъекта данных, например путем уведомления получателей раскрываемых данных.

Исправление неточных или неполных персональных данных, которые могут иметь существенное значение в качестве документов, должно производиться путем особого выделения этих данных и дополнения их точными данными.

Если на то есть веские основания с точки зрения защиты приватности, Инспекция по персональным данным может вопреки второй части настоящей статьи решить, что исправление должно производиться путем удаления или блокировки неверных персональных данных. Если данные не могут быть уничтожены согласно Закону об архивах, то административное решение об удалении данных должно быть согласовано с Генеральным директором Национального архива Норвегии. Такое решение будет иметь преимущественную силу перед положениями статей 9 и 18 Закона об архивах №126 от 4 декабря 1992 года.

Удаление данных должно сопровождаться записью точных и полных данных. Если это невозможно, и содержащий удаляемые данные документ в результате представляет очевидно неверную картину, то должен быть удален весь документ.

Король может ввести нормы, содержащие дополнительные положения о порядке произведения исправлений.

Статья 28. Запрет на хранение избыточных персональных данных

Контролер не должен хранить персональные данные дольше, чем это необходимо для достижения цели обработки. Если персональные данные не подлежат последующему хранению согласно закону об архивах или иному законодательству, то они должны быть стерты.

Контролер может (вопреки первой части настоящей статьи) хранить персональные данные для исторических, статистических или научных целей, если общественный интерес в хранении этих данных явным образом перевешивает возможные неудобства для затрагиваемого лица. В этом случае контролер должен обеспечить, чтобы вид их хранения не позволял идентифицировать субъекта данных дольше, чем это необходимо.

Субъект данных может потребовать, чтобы крайне неблагоприятные для него данные были заблокированы или удалены, если это:

a) не противоречит иному законодательству, а также
b) оправданно с учетом целого ряда факторов, в том числе нужд иных лиц в документации, интересов субъекта данных, культурно-исторических соображений, а также ресурсов, требуемых для выполнения такого требования.

После согласования с генеральным директором национального архива Норвегии, Инспекция по персональным данным может решить, что право на удаление информации согласно третьей части настоящей статьи будет иметь преимущественную силу перед положениями статей 9 и 18 Закона об архивах №126 от 4 декабря 1992 года.

Если документ, содержавший удаленные данные, дает очевидно неверную картину после удаления данных, то должен быть удален весь документ.

Глава V. Передача персональных данных в другие страны

Статья 29. Основные условия

Персональные данные могут передаваться только в те страны, которые обеспечивают достаточную защиту данных. Страны, выполнившие Директиву 95/46/EC о защите личности при обработке персональных данных и о свободном движении таких данных, отвечают требованиям в отношении достаточного уровня защиты.

При оценке достаточности уровня защиты, должно быть обращено особое внимание, в частности, на характер данных, цель и продолжительность предполагаемой обработки, а также на законодательные нормы и профессиональные кодексы и меры безопасности, действующие в соответствующих странах. Важное значение должно придаваться тому, присоединилась ли страна к Конвенции № 108 Совета Европы от 28 января 1981 года о защите личности при автоматизированной обработке персональных данных.

Статья 30. Исключения

Персональные данные могут передаваться в страны, не обеспечивающие достаточный уровень защиты, если:

a) субъект данных дал согласие на передачу,
b) существует обязательство по передаче данных в соответствии с международным соглашением либо как результат членства в международной организации,
c) передача необходима для исполнения контракта с субъектом данных либо для выполнения, по просьбе субъекта данных, действий перед заключением такого контракта,
d) передача необходима для заключения или исполнения контракта с третьей стороной в интересах субъекта данных,
e) передача необходима в целях защиты жизненных интересов субъекта данных,
f) передача необходима для установления, осуществления или защиты правового притязания,
g) передача необходима или требуется законом для защиты важного общественного интереса, либо
h) существует законодательное право требовать данные из публичного реестра.

Инспекция по персональным данным может разрешить передачу, даже если не выполнены требования первой части настоящей статьи, при условии, что контролер предоставляет достаточные гарантии в отношении защиты прав субъекта данных. Инспекция по персональным данным может определять условия для передачи.

Король может вводить нормы, регулирующие передачу персональных данных в другую страну, в том числе в отношении запрета или ограничений на передачу в конкретные страны, которые не удовлетворяют требованиям, указанным в статье 29.

Глава VI. Обязательство по уведомлению и получению лицензии

Статья 31. Обязательство по уведомлению

Контролер должен уведомить Инспекцию по персональных данным, прежде чем:

a) обрабатывать данные автоматизированными средствами,
b) создавать неавтоматизированную файловую систему персональных данных, которая содержит персональные данные деликатного характера.

Уведомление должно быть представлено не позднее, чем за 30 дней до начала обработки. Инспекция по персональным данным должна дать контролеру расписку в получении уведомления.

Новое уведомление должно быть представлено перед обработкой, которая выходит за рамки, установленные для обработки в статье 32. Даже если никаких изменений не произошло, новое уведомление должно быть представлено через три года после представления предыдущего уведомления.

Король может ввести нормы в отношении того, что определенные методы обработки или контролеры освобождаются от обязательства представлять уведомление при условии представления упрощенного уведомления или при условии получения лицензии. Для обработки, освобожденной от обязательства представлять уведомление, могут вводиться нормы по ограничению ущерба, который могла бы нанести такая обработка субъекту данных.

Статья 32. Содержание уведомления

Уведомление должно содержать информацию о следующем:

a) имя и адрес контролера и его представителя и обработчика, если таковые имеются,
b) когда начнется обработка,
с) кто отвечает на практике за выполнение возложенных на контролере обязательств,
d) цель обработки,
e) краткое описание категорий персональных данных, подлежащих обработке,
f) источники персональных данных,
g) правовые основания для сбора данных,
h) лица, которым будут раскрываться персональные данные, включая получателей в других странах, если таковые имеются, а также
i) меры безопасности, относящиеся к обработке.

Король может ввести нормы в отношении информации, которая должна содержаться в уведомлении, а также в отношении порядка исполнения обязательства по представлению уведомления.

Статья 33. Обязательство по получению лицензии

Для обработки персональных данных деликатного характера требуется лицензия Инспекции по персональным данным. Это, однако, не относится к обработке персональных данных деликатного характера, которые были предоставлены субъектом данных добровольно.

Инспекция по персональным данным может решить, что лицензированию подлежит также обработка иных, помимо персональных данных деликатного характера, персональных данных, если такая обработка способна явным образом нарушить существенные интересы с точки зрения приватности. При рассмотрении вопроса о необходимости лицензии Инспекция по персональным данным должна, в частности, принимать во внимание характер и объем персональных данных и цель обработки.

Контролер может потребовать, чтобы Инспекция приняла решение о том, будет ли обработка подлежать лицензированию.

Обязательство по получению лицензии согласно первой и второй части настоящей статьи не распространяется на обработку персональных данных в центральных правительственных и муниципальных органах, если такая обработка разрешена особым законодательством.

Король может ввести нормы в отношении того, что определенные методы обработки не подлежат лицензированию согласно первой части настоящей статьи. В отношении видов обработки, освобожденных от лицензирования, могут вводиться нормы по ограничению ущерба, который обработка могла бы нанести субъекту данных.

Статья 34. Решение о выдаче лицензии

При решении вопроса о выдаче лицензии должно быть выяснено, способна ли обработка персональных данных нанести ущерб лицам, которые не подпадают под гарантии положений глав II-V и условий согласно статье 35. В этом случае необходимо решить вопрос о том, перевешивают ли такой ущерб соображения в пользу обработки.

Статья 35. Условия, устанавливаемые лицензией

При выдаче лицензии должен быть решен вопрос о том, устанавливать ли условия обработки, если такие условия необходимы для ограничения возможного ущерба, который в противном случае может быть причинен субъекту данных.

Глава VII. Видеонаблюдение

Статья 36. Определение

Термин "видеонаблюдение" означает непрерывное или регулярно повторяемое наблюдение за лицами посредством дистанционно или автоматически управляемой видеокамеры, камеры или аналогичного устройства.

Статья 37. Сфера применения

Положения статей 38-41 применяются ко всем видам видеонаблюдения. То же относится к статьям 8, 9, 11, 31 и 32. Однако видеонаблюдение с целью обнаружения данных, указанных в статье 2 пункт 8 подпункт b, разрешено даже при отсутствии соблюдения условий, изложенных в статье 9 часть 1.

Если видеозаписи, полученные путем видеонаблюдения, хранятся таким образом, что позволяют извлекать данные о конкретном лице согласно статье 3 часть 1, то применимы и остальные положения настоящего закона. Однако обязательство по получению лицензии согласно статье 33 не применимо к видеонаблюдению, целью которого является обнаружение данных, упомянутых в статье 2 пункт 8 подпункт b.

Статья 38. Основные требования к видеонаблюдению

Видеонаблюдение в местах, которые регулярно посещаются ограниченной группой людей, разрешено, только если существует особая необходимость в таком наблюдении в интересах соответствующей деятельности.

Статья 39. Раскрытие видеозаписей, сделанных путем видеонаблюдения

Персональные данные, которые были собраны путем видеозаписи, сделанной в связи с видеонаблюдением, могут раскрываться какому-либо лицу, помимо контролера, только если субъект данных дал на это согласие либо если существует законодательное положение о таком раскрытии. Однако за исключением случаев, когда обязательство по хранению профессиональной тайны не допускает раскрытие, видеозаписи могут быть раскрыты полиции в связи с расследованием преступлений или несчастных случаев.

Статья 40. Уведомление о проведении видеонаблюдения

Если общественные места или места, регулярно посещаемые ограниченной группой людей, подвергаются видеонаблюдению, то должно присутствовать ясное оповещение в виде вывески или иной форме о том, что данное место находится под наблюдением, с указанием личности контролера.

Статья 41. Нормативные акты

Король может ввести нормы, содержащие дополнительные положения в отношении видеонаблюдения и видеозаписи, производимой в связи с таким наблюдением, а также в отношении охраны, использования и уничтожения видеозаписей, сделанных в связи с видеонаблюдением, равно как и в отношении права лица, являющегося объектом наблюдения, на доступ к той части видеозаписей, на которой это лицо запечатлено. Также могут быть предписаны нормы в отношении того, что видеозаписи могут быть раскрыты при обстоятельствах, отличных от упомянутых в статье 39.

Глава VIII. Надзор и санкции

Статья 42. Организация и функции Инспекции по персональным данным

Инспекция по персональным данным является независимым административным органом, подчиненным королю и правительству. Король и правительство не могут давать указания Инспекции – или отменять ее решения – по конкретным делам при исполнении Инспекцией своих полномочий в соответствии с законодательством. Инспекцию по персональным данным возглавляет директор, назначаемый королем. Король может решить, что директор должен назначаться на определенный срок.

Инспекция по персональным данным должна:

1) вести систематический, публичный реестр всей обработки, которая заявлена согласно статье 31 или на которую выдана лицензия согласно пункту 33, где должна содержаться информация, упомянутая в статье 18 часть 1 с учетом статьи 23,
2) рассматривать заявки на получение лицензий, получать уведомления и рассматривать вопрос о выдаче лицензий, если это разрешено законом,
3) следить, чтобы соблюдались законы и нормативные акты, относящиеся к обработке персональных данных, и чтобы исправлялись ошибки и несоответствия данных,
4) быть в курсе и предоставлять информацию о положении дел в стране и за границей в области обработки персональных данных, а также о проблемах, связанных с такой обработкой,
5) выявлять угрозы приватности и давать рекомендации по избежанию или ограничению таких угроз,
6) давать рекомендации и наставления в вопросах, касающихся защиты приватности и защиты персональных данных, лицам, которые планируют обрабатывать персональные данные или создавать системы для такой обработки, в том числе оказывать помощь в составлении этических кодексов для различных отраслей,
7) по требованию или по собственной инициативе давать заключение по вопросам, имеющим отношение к обработке персональных данных, а также
8) представлять ежегодный отчет о своей деятельности королю.

Решения, принятые Инспекцией по персональным данным согласно статьям 9, 12, 27, 28, 30, 33, 34, 35, 44, 46 и 47, могут быть обжалованы в Апелляционном совете по приватности. Решения, принятые согласно статьям 27 или 28, могут быть далее обжалованы у короля, если соответствующее решение касается персональных данных, обрабатываемых для исторических целей.

Статья 43. Организация и функции Апелляционного совета по приватности

Апелляционный совет по приватности принимает решения по апелляциям на решения Инспекции по персональным данным согласно статье 42 часть 4. Апелляционный совет является независимым административным органом, подчиненным королю и правительству. Второе предложение статьи 42 часть 1 применяется соответственно.

Апелляционный совет по приватности состоит из семи членов, которые назначаются сроком на четыре года с возможностью повторного назначения на последующие четыре года. Председатель и заместитель председателя назначаются парламентом (Стортингом). Другие пять членов назначаются королем.

Апелляционный совет по приватности может решить, что председатель или заместитель председателя наряду с двумя другими членами Апелляционного совета могут рассматривать апелляции, не терпящие отлагательства.

Апелляционный совет по приватности должен представлять королю ежегодный отчет о заслушанных апелляциях.

Судебные иски о законности решений, принятых Апелляционным советом по приватности, должны подаваться против государства, представителем которого является Апелляционный совет по приватности.

Король может вводить дальнейшие правила в отношении организации и административных процедур Апелляционного совета по приватности.

Статья 44. Доступ надзорных органов к данным

Инспекция по персональным данным и Апелляционный совет по приватности могут затребовать любые данные, необходимые им для успешного исполнения своих функций.

В связи с проверкой соблюдения положений законодательства, Инспекция по персональным данным может потребовать доступ к местам, где находятся файловые системы персональных данных, оборудование по видеонаблюдению и видеозаписи, упомянутые в статье 37, персональные данные, подвергающиеся автоматизированной обработке, и технические средства для такой обработки. Инспекция может проводить подобные проверки или инспекции по своему усмотрению и вправе требовать от персонала таких мест любого содействия, необходимого для проведения проверок или инспекций.

Право требовать информацию и доступ к помещениям и оборудованию согласно частям 1 и 2 настоящей статьи применяется, невзирая на обязательства по хранению профессиональной тайны.

Король может вводить нормы относительно исключений из частей 1 – 3 настоящей статьи в интересах безопасности государства. Король может также вводить нормы в отношении компенсации расходов, понесенных в связи с инспекциями. Любые неуплаченные суммы по возмещению таких расходов могут быть принудительно взысканы.

Статья 45. Обязательство надзорных органов соблюдать профессиональную тайну

Работники Инспекции по персональным данным, члены Апелляционного совета по приватности и прочие лица, которые находятся на службе в надзорных органах, подпадают под положения об обязанности хранить профессиональную тайну, установленные статьями 13 (и последующими) Закона о государственной администрации. Обязательство по хранению профессиональной тайны также применимо к информации относительно мер безопасности, упомянутых в статье 13.

Инспекция по персональным данным и Апелляционный совет по приватности могут, невзирая на свою обязанность хранить профессиональную тайну согласно первой части настоящей статьи, предоставлять информацию надзорным органам других стран, если это необходимо для принятия административных решений в связи с надзорной деятельностью.

Статья 46. Распоряжения об изменении или прекращении незаконной обработки

Инспекция по персональным данным может издавать распоряжения о прекращении обработки персональных данных, которая противоречит положениям, содержащимся или вытекающим из настоящего закона, либо об условиях, которые должны быть выполнены для приведения обработки в соответствие с настоящим законом.

Статья 47. Принудительный штраф

В связи с распоряжениями по статьям 12, 27, 28 и 46, Инспекция по персональным данным может наложить принудительный штраф, который будет начисляться за каждый день просрочки срока, установленного для исполнения распоряжения, вплоть до выполнения распоряжения.

Принудительный штраф не должен начисляться до истечения срока подачи апелляции. Если административное решение будет обжаловано, принудительный штраф не должен начисляться до вынесения решения Апелляционным советом по приватности. Инспекция по персональным данным может отменить действие наложенного принудительного штрафа.

Статья 48. Ответственность

Любой, кто умышленно или по грубой халатности:

a) не посылает уведомление согласно статье 31,
b) обрабатывает персональные данные без необходимой лицензии согласно статье 33,
c) нарушает условия, установленные согласно статьям 35 или 46,
d) не выполняет распоряжений Инспекции по персональным данным согласно статьям 12, 27, 28 или 46,
e) обрабатывает персональные данные в нарушение статей 13, 15, 26 или 39, либо
f) не предоставляет информацию согласно статьям 19, 20, 21, 40 или 44,

подлежит наказанию штрафом и/или лишением свободы сроком до одного года.

В особо тяжких случаях может быть назначено наказание в виде лишения свободы сроком до трех лет. При решении вопроса о том, имеются ли особо отягчающие обстоятельства, внимание должно быть уделено, в частности, угрозе причинения крупного ущерба или неудобства субъекту данных, выгоде, к которой стремились посредством нарушения, продолжительности и объему нарушений, очевидности нарушения, а также тому, признавался ли ранее контролер виновным в нарушении аналогичных положений.

Сообщник подлежит аналогичному наказанию.

В нормативных актах, изданных в соответствии с настоящим законом, может быть предписано, что любое лицо, которое умышленно или по грубой халатности нарушает такие нормативные акты, подлежит наказанию в виде штрафа или лишения свободы сроком до одного года.

Статья 49. Компенсация

Контролер должен возместить ущерб, причиненный в результате обработки персональных данных в нарушение положений, установленных или вытекающих из настоящего закона, если при этом не было установлено, что ущерб не вызван ошибкой или халатностью со стороны контролера.

Контролеры, которые предоставляют кредитную информацию и которые сообщили информацию, оказавшуюся неточной или очевидно ложной, должны возместить любой ущерб, причиненный в результате этого неверного сообщения – независимо от того, был ли ущерб вызван ошибкой или халатностью со стороны контролера.

Компенсация должна соответствовать финансовому ущербу, который понесла пострадавшая сторона в результате незаконной обработки. Контролеру может быть также предписано выплатить разумную компенсацию за ущерб неэкономического характера (возмещение за неденежный ущерб).

Глава IX. Вступление в силу. Переходные положения. Поправки к другому законодательству

Статья 50. Вступление в силу

Настоящий закон вступает в силу с даты, определенной Королем. Король может принять решение о том, что отдельные положения закона вступают в силу в иные сроки.

Статья 51. Переходные положения

1. В отношении обработки персональных данных, которая была начата до вступления в силу настоящего закона и которая подлежит уведомлению и лицензированию согласно положениям Главы VI, уведомление должно быть послано, согласно статье 31, или заявка на лицензию представлена в Инспекцию по персональным данным, согласно статье 33, не позднее чем в течение года после вступления в силу настоящего закона. Если обработка проводится в соответствии с лицензией согласно статье 9 закона о файловых системах персональных данных, то срок подачи уведомления или заявки на лицензирование составляет два года с даты вступления в силу настоящего закона. До подачи уведомления или выдачи лицензии Инспекцией, персональные данные могут обрабатываться в соответствии с положениями закона о файловых системах персональных данных.

2. Согласие, данное субъектом данных до вступления в силу настоящего закона, будет по-прежнему применимо, если оно соответствует условиям, изложенным в статье 2 пункт 7.

3. Апелляции, полученные Инспекцией по персональным данным после вступления в силу настоящего закона, должны рассматриваться Апелляционным советом по приватности.

4. Король может вводить нормы, предписывающие дальнейшие переходные положения.

Статья 52. Поправки к другому законодательству

Следующие поправки должны быть внесены в другое законодательство:

1. Закон № 10 от 22 мая 1902 года о гражданском кодексе должен быть изменен следующим образом: статья 390 отменяется.

2. Закон № 48 от 9 июня 1978 года о файловых системах персональных данных и т.п. отменяется.

3. Часть первая статьи 202a закона № 25 от 22 мая 1981 года о процедуре в уголовных делах должна читаться в следующей редакции:

Если есть законные основания подозревать, что было совершено одно или несколько уголовных преступлений, влекущих наказание в виде лишения свободы сроком свыше шести месяцев, то полиция может проводить скрытое видеонаблюдение в общественном месте, как указано в статье 40 закона о персональных данных, если такое наблюдение представляет существенное значение для расследования. Статья 196 применяется соответственно.

4. Статья 22 часть вторая закона № 26 от 13 мая 1988 года о взыскании долга, должна читаться следующим образом:

Первая часть не должна препятствовать передаче или законному использованию в деятельности, связанной с кредитной информацией, которая проводится в соответствии с законом о персональных данных.

5. Закон № 126 от 4 декабря об архивах должен быть изменен следующим образом.

Третье предложение статьи 9c должно читаться следующим образом:

Системы обработки персональных данных или их части могут, однако, уничтожаться в соответствии с положениями закона о персональных данных.

Второе предложение статьи 9 пункт d должно читаться следующим образом:

Однако положения в отношении удаления данных, предписанного в соответствии с третьей и пятой частями статьи 27 и четвертой частью статьи 28 закона о персональных данных, применяются в полном объеме.

Второе предложение статьи 18 должно читаться следующим образом:

Однако положения закона о персональных данных в отношении исправления и удаления данных применяются в полном объеме.

6. Статья 11 часть третья закона № 62 от 19 июня 1997 года о семейном консультировании должна читаться следующим образом:

Обработка записей о клиенте не подпадает под лицензирование по статье 33 закона о персональных данных.

7. Закон № 47 от 26 июня 1998 года о прогулочных лодках и малых судах должен быть изменен следующим образом.

Второе предложение статьи 13 должно читаться следующим образом:

В противном случае компиляция может производиться, только если этого требует иное законодательство или административное решение в соответствии с законом о персональных данных.

Статья 14 должна читаться следующим образом:

Статья 14 Право доступа

Право доступа в соответствии со статьей 18 и с учетом статьи 23 закона о персональных данных применимо к реестру малых судов.

Статья 16 должна читаться следующим образом:

Статья 16 Ответственность регистрационного ведомства

Регистрационное ведомство, упомянутое в статье 3, должно обеспечить соблюдение положений, установленных или вытекающих из статей 10 – 15 настоящего закона и из закона о персональных данных.

8. Закон о Шенгенской информационной системе должен быть изменен следующим образом.

Третье и четвертое предложения второй части статьи 3 должны читаться следующим образом:

Документация должна быть также доступна Инспекции по персональным данным и Апелляционному совету по приватности. Работники Инспекции по персональным данным, члены Апелляционного совета по приватности или иные лица, находящиеся на службе в этих надзорных органах, должны не допускать доступ несанкционированных лиц к информации о мерах безопасности.

Второе предложение статьи 4 должно читаться следующим образом:

Контролер должен документально оформлять такие меры. С документацией должны быть ознакомлены работники контролера и обработчика. Документация должна быть также доступна Инспекции по персональным данным и Апелляционному совету по приватности.

Первое предложение первой части статьи 22 должно читаться следующим образом:

Инспекция по персональным данным и Апелляционный совет по приватности могут затребовать любые данные, необходимые для исполнения своих функций.

Вторая часть статьи 23 должна читаться следующим образом:

Административные решения Инспекции по персональным данным, принятые в соответствии с первой частью, могут быть обжалованы в Апелляционном совете по приватности.