Верховна Рада України: минуле, сучасне, майбутнє

http://privacy.hro.org/docs/laws/abroad/sweden/index_1.php?printv=1

Закон о защите персональных данных (1998:204)
принят 29 апреля 1998 г.
(Текст взят с Интернет-сайта шведского Агентства по защите данных, http://www.datainspektionen.se. Перевод с английского на русский – Виталий Кулапов, Сергей Смирнов, "Правозащитная сеть", 2004) Общие положения
Сфера применения
Предоставление информации зарегистрированному лицу
Безопасность при обработке
Передача персональных данных в третью страну
Извещение надзирающего органа власти
Принимается в следующей редакции:
Общие положения
Цель настоящего Закона
Статья 1
Целью настоящего Закона является защита человека от нарушений неприкосновенности его частной жизни посредством обработки персональных данных.
Положения иных нормативно-правовых актов
Статья 2
В случае противоречия между положениями настоящего закона и положениями иных нормативно-правовых актов применению подлежат последние.
Определения терминов
Статья 3
Термины, применяемые в настоящем законе, используются в следующих значениях.
Обработка (персональных данных) – любая операция или совокупность операций, которая осуществляется в отношении персональных данных, независимо от того, происходит ли это автоматически; например, сбор, запись, организация, хранение, адаптация или изменение, восстановление, накопление, раскрытие информации посредством передачи, распространения либо иного способа, коррекция или объединение, блокировка, стирание или уничтожение.
Блокировка (персональных данных) – операция, осуществляемая с целью дополнить персональные данные информацией о том, что доступ к ним ограничен, и о причинах такого ограничения, а также с целью не допустить передачу персональных данных третьим лицам, за исключением положений Главы 2 Закона о свободе прессы.
Получатель – лицо, которому предоставляются персональные данные. Однако, в случае, когда персональные данные предоставляются представителям власти для обеспечения реализации возложенных на них обязанностей по надзору, контролю или аудиту, представители власти не рассматриваются в качестве получателей.
Персональные данные – любая информация, имеющая прямое или косвенное отношение к живущему физическому лицу.
Контролер персональных данных – лицо, единолично или совместно с другими лицами решающее вопрос о цели и способах обработки персональных данных.
Ассистент по работе с персональными данными – лицо, производящее обработку персональных данных от имени контролера персональных данных.
Представитель по работе с персональными данными – физическое лицо, назначаемое на должность контролером персональных данных, которое независимо от кого-либо обеспечивает правильность и правомерность обработки персональных данных.
Зарегистрированное лицо – лицо, к которому относятся персональные данные.
Согласие – любая форма добровольного, конкретного и недвусмысленного волеизъявления, посредством которого зарегистрированное лицо после получения информации соглашается на обработку персональных данных, касающихся его.
Надзирающий властный орган – орган власти, назначенный правительством для осуществления надзора.
Третья страна – государство, не входящее в Европейский союз и Европейское экономическое пространство.
Третья сторона – лицо, не являющееся зарегистрированным лицом, контролером персональных данных, представителем по работе с персональными данными, ассистентом по работе с персональными данными либо такими лицами, которые, находясь в прямом подчинении контролера персональных данных или ассистента по работе с персональными данными, имеют право осуществлять обработку персональных данных.
Сфера применения
Действие в пространстве
Статья 4
Настоящий закон распространяется на контролеров персональных данных, которые осуществляют свою деятельность в Швеции.
Настоящий закон также распространяется на контролеров персональных данных третьих стран, если они используют для обработки персональных данных оборудование, находящееся в Швеции. Закон не распространяется на случаи, когда оборудование используется исключительно для передачи информации между двумя третьими странами.
В случае, предусмотренном первым предложением второго абзаца, контролер персональных данных назначает своего представителя в Швеции. Положения настоящего закона, касающиеся контролера персональных данных, распространяются и на его представителя.
Обработка персональных данных, регулируемая настоящим законом
Статья 5
Настоящий закон регулирует частично или полностью автоматизированную обработку персональных данных.
Настоящий закон регулирует иную обработку персональных данных при условии, что данные включены (или предполагаются быть включенными) в систематизированную базу персональных данных, которая доступна для поиска или компиляции по заданным критериям.
Исключение из сферы действия закона обработки персональных данных, осуществляемой в частном порядке
Статья 6
Настоящий закон не распространяется на такую обработку персональных данных, которая осуществляется физическим лицом в процессе деятельности, имеющей исключительно частный характер.
Свобода прессы и свобода выражений мнений
Статья 7
Положения настоящего закона применяются в той мере, в которой они не противоречат нормам, регулирующим свободу прессы и свободу выражения мнений, закрепленным в Законе о свободе прессы и Основном законе о свободе выражения мнений.
Положения статей 9-29 и 33-44, первого абзаца статьи 45, а также статей 47-49 не применяются в отношении такой обработки персональных данных, которая осуществляется исключительно для целей журналистики либо художественного или литературного выражения.
Отношение к принципу публичного доступа к официальным документам
Статья 8
Положения настоящего закона применяются постольку, поскольку они не противоречат обязательству органов власти предоставлять персональные данные согласно Главы 2 Закона о свободе прессы.
Наряду с этим, положения настоящего закона не препятствуют органам власти осуществлять меры по архивированию и сохранению, а также хранению архивных материалов. Положения четвертого параграфа статьи 9 не распространяются на использование органами власти персональных данных в официальных документах.
Основные требования, относящиеся к обработке персональных данных
Статья 9
При осуществлении своих полномочий контролер персональных данных обязан обеспечивать нижеследующее:
а) обработка персональных данных может иметь место только на законных основаниях;
b) обработка персональных данных должна всегда производиться корректным образом и согласно устоявшейся практики;
c) сбор персональных данных должен осуществляется исключительно в специально оговоренных и обоснованных целях;
d) обработка персональных данных не должна производиться в целях, несовместимых с целью сбора информации;
e) обрабатываемые персональные данные должны быть адекватны целям обработки и иметь к ним отношение;
f) объем персональных данных, подлежащих обработке, не должен выходить за рамки необходимого, сообразно целям такой обработки;
g) обрабатываемые персональные данные должны соответствовать действительности и, в случае необходимости, учитывать все изменения, которые в них вносились на момент обработки;
h) сообразно целям обработки, должны приниматься все разумные меры для корректировки, блокировки или уничтожения таких персональных данных, которые не соответствуют действительности или являются неполными;
i) персональные данные не должны храниться в течение периода, превышающего срок, необходимый для этого сообразно целям обработки.
Однако, в целях применения пункта d) первого абзаца настоящей статьи обработка персональных данных в исторических, статистических или научных целях не может считаться несовместимой с целями сбора информации.
Персональные данные могут храниться в течение периода, превышающего срок, указанный в пункте i) первого абзаца настоящей статьи, в исторических, статистических или научных целях. Однако в этом случае персональные данные не могут храниться в течение периода, превышающего срок, необходимый для реализации указанных целей.
Персональные данные, обрабатываемые в исторических, статистических или научных целях, могут быть использованы для принятия мер в отношении зарегистрированного лица только при условии, если зарегистрированное лицо дало соответствующее согласие либо при наличии чрезвычайного обстоятельства, затрагивающего жизненно важные интересы зарегистрированного лица.
Случаи, при которых разрешается обработка персональных данных
Статья 10
Персональные данные могут обрабатываться только при условии, если зарегистрированное лицо дало на это соответствующее согласие, или если обработка необходима для следующих целей:
a) исполнение договора с зарегистрированным лицом или выполнение условий, поставленных зарегистрированным лицом, перед заключением договора;
b) предоставление возможности контролеру персональных данных выполнить возложенную на него юридическую обязанность;
c) защита жизненно важных интересов зарегистрированного лица;
d) выполнение рабочего задания, связанного с реализацией общественных интересов;
e) предоставление возможности контролеру персональных данных или третьему лицу, которому персональные данные передаются, выполнить рабочее задание, связанное с осуществлением властных полномочий, либо
f) реализация цели, касающейся законного интереса контролера персональных данных или третьего лица, которому персональные данные передаются, при условии, если этот интерес имеет больший вес по сравнению с интересом зарегистрированного лица, пользующегося защитой от нарушений неприкосновенности его частной жизни.
Прямой маркетинг
Статья 11
Персональные данные не могут обрабатываться для целей, связанных с прямым маркетингом, если зарегистрированное лицо уведомило в письменном виде контролера персональных данных о своем неодобрении такой обработки.
Отзыв согласия
Статья 12
В случаях, когда обработка персональных данных разрешается исключительно с согласия зарегистрированного лица согласно статьям 10, 15 или 34, зарегистрированное лицо имеет право в любой момент отозвать свое согласие. В этом случае необработанные персональные данные о зарегистрированном лице не подлежат дальнейшей обработке.
Зарегистрированное лицо не имеет права препятствовать такой обработке персональных данных, которая разрешается настоящим законом, за исключением случаев, предусмотренных первым абзацем настоящей статьи и статьей 11.
Запрет обработки персональных данных деликатного характера
Статья 13
Запрещается обработка персональных данных, раскрывающая:
a) расовое или этническое происхождение;
b) политическую позицию;
c) религиозные или философские убеждения;
d) членство в профессиональном союзе.
Наряду с этим, запрещается обработка персональных данных, касающихся состояния здоровья или половой жизни.
В настоящем законе информация, описанная в первом и втором параграфах настоящей статьи, составляет персональные данные деликатного характера.
Изъятия из запрета обработки персональных данных деликатного характера
Статья 14
Несмотря на запрет, содержащийся в статье 13, разрешается обработка персональных данных деликатного характера в случаях, предусмотренных статьями 15 – 19.
Статья 10 предусматривает случаи абсолютного запрета обработки персональных данных.
Согласие или опубликование
Статья 15
Персональные данные деликатного характера могут быть обработаны, если зарегистрированное лицо выразило свое согласие на обработку или явным образом опубликовало данные.
Необходимая обработка
Статья 16
Персональные данные деликатного характера могут обрабатываться, если такая обработка необходима в следующих целях:
a) исполнение должностных обязанностей контролером персональных данных или осуществление им своих трудовых прав;
b) жизненно важные интересы зарегистрированного лица или какого-либо другого лица требуют защиты, и при этом зарегистрированное лицо не может выразить свое согласие, либо
c) необходимо составление, предъявление или защита юридических претензий.
Информация, обрабатываемая на основании пункта а) первого абзаца, может быть предоставлена третьей стороне только в случае, если такая обязанность предусмотрена трудовым правом для контролера персональных данных, или если зарегистрированное лицо выразило на это свое согласие.
Некоммерческие организации
Статья 17
Некоммерческие организации, преследующие политические, философские, религиозные цели, а также профсоюзы могут, в пределах своей специальной правоспособности, осуществлять обработку персональных данных деликатного характера, касающихся членов организации и иных лиц, которые имеют регулярные контакты с этой организацией в силу ее специальных задач. Однако персональные данные деликатного характера могут быть предоставлены третьей стороне только при условии, если зарегистрированное лицо выражает на это согласие.
Здравоохранение и больничное обслуживание
Статья 18
Обработка персональных данных деликатного характера может производиться в целях здравоохранения и больничного обслуживания, при условии, если такая обработка необходима для:
a) превентивной медицины и здравоохранения;
b) установления медицинского диагноза;
c) здравоохранения или медицинского обслуживания, или
d) управления услугами здравоохранения и больничного обслуживания.
Лицо, осуществляющее профессиональную деятельность в сфере здравоохранения и обязанное соблюдать конфиденциальность сведений, которыми оно располагает, также вправе осуществлять обработку конфиденциальных персональных данных деликатного характера. Это правило также распространяется на лиц, обязанных соблюдать конфиденциальность имеющихся у них сведений и получивших персональные данные деликатного характера в ходе своего профессионального взаимодействия с органами здравоохранения.
Исследовательская деятельность и статистика
Статья 19
Персональные данные деликатного характера могут обрабатываться в исследовательских и статистических целях, при условии, что такая обработка необходима в смысле статьи 10, и общественный интерес в исследовательском или статистическом проекте, для которого производится обработка, явно превышает риск ненадлежащего нарушения неприкосновенности частной жизни индивида, которое может повлечь такая обработка.
Условия осуществления обработки, указанные в первом абзаце настоящей статьи, считаются выполненными, если обработка получает одобрение со стороны комитета по исследовательской этике. Комитет по исследовательской этике является специальным органом, в задачи которого входит рассмотрение этических вопросов, связанных с научными исследованиями. Данный орган, в который входят представители общественности и научных кругов, создается при университете, колледже или ином учреждении, которое в весьма значительной степени осуществляет финансирование научных исследований.
Персональные данные могут предоставляться для использования в проектах, указанных в первом абзаце настоящей статьи, если иное не предусмотрено нормами о соблюдении тайны и конфиденциальности.
Право введения дополнительных изъятий
Статья 20
Правительство или орган власти, назначенный Правительством, может вводить дополнительные изъятия из запрета, установленного статьей 13, если это необходимо для обеспечения важного публичного интереса.
Информация о совершенных правонарушениях и т.п.
Статья 21
Запрещается обработка персональных данных, касающихся совершенных правонарушений (включая преступления), приговоров по уголовным делам, принудительных уголовно-процессуальных мер или административного задержания кем-либо, за исключением органов власти.
Правительство или орган власти, назначенный Правительством, может вводить правила, предусматривающие исключения из запрета, установленного в первом абзаце.
Правительство может делать исключение из запрета, установленного в первом абзаце, в отдельных конкретных случаях. Соответствующие полномочия могут быть делегированы Правительством органу власти, обладающему контрольными функциями.
Обработка персональных идентификационных номеров
Статья 22
Работа с информацией о персональных идентификационных номерах или классификационных номерах может проводиться в отсутствие соответствующего согласия только в случае, когда эта работа очевидно оправдана сообразно:
a) цели обработки;
b) важности засекреченной идентификации или
c) какой-либо иной веской причине.
Предоставление информации зарегистрированному лицу
Информация должна предоставляться добровольно
Статья 23
В случае, если сбор данных о лице осуществляется непосредственно от нее/него, контролер персональных данных в связи с этим добровольно предоставляет зарегистрированному лицу информацию об обработке данных.
Статья 24
В случае, если персональные данные собираются не от зарегистрированного лица, а из другого источника, контролер персональных данных должен добровольно предоставить зарегистрированному лицу информацию об обработке данных во время регистрации. Однако если предполагается передача данных третьей стороне, такую информацию необязательно предоставлять перед первым раскрытием данных.
Информацию, указанную в первом абзаце, необязательно предоставлять в случае, если парламент принимает специальные положения, регулирующие регистрацию или раскрытие персональных данных.
Наряду с этим, информацию не обязательно предоставлять в соответствии с первым абзацем в случае, если это представляется невозможным или если это потребует несоразмерных усилий. Однако если данные используются для принятия мер, касающихся зарегистрированного лица, информация должна быть предоставлена в связи с принятием указанных мер.
Информация, которая должна быть предоставлена добровольно
Статья 25
Информация, указанная в статьях 23 и 24 должна включать:
a) идентифицирующие сведения о контролере персональных данных;
b) сведения о цели обработки данных и
c) все иные сведения, необходимые для реализации зарегистрированным лицом своих прав в связи с обработкой, такие, как: сведения о получателях информации, обязанность предоставить информацию и право запросить информацию и получить исправленную информацию.
Однако нет необходимости предоставлять сведения о таких обстоятельствах, о которых зарегистрированное лицо уже осведомлено.
Информация должна быть предоставлена на основании запроса
Статья 26
Контролер персональных данных обязан на безвозмездной основе, один раз в год, извещать каждое физическое лицо (по его запросу) о том, происходит ли обработка персональных данных о заявителе. Если такие данные обрабатываются, необходимо также представить в письменном виде следующие сведения:
a) какая именно информация о заявителе обрабатывается;
b) где эта информация собиралась;
c) какова цель обработки и
d) каким получателям или категориям реципиентов информация раскрывается.
Запрос, указанный в первом абзаце, подается в письменной форме контролеру персональных данных и подписывается самим заявителем. Информация, указанная в первом абзаце, предоставляется в течение одного месяца с момента подачи запроса. Однако при наличии особых причин этот срок может составлять четыре месяца.
Информация, указанная в первом абзаце, не обязательно должна предоставляться в виде рабочего текста, который еще не был окончательно сформулирован на момент подачи заявки, или который включает в себя вспомогательные записки и т.п. Однако это правило не применяется в случае, если данные были раскрыты третьей стороне, либо если они были обработаны в исторических, статистических или научных целях, либо если окончательно не сформулированный рабочий текст содержит данные, которые обрабатывались в течение периода, превышающего один год.
Исключения из обязанности предоставлять информацию в случае необходимости соблюдения тайны и конфиденциальности
Статья 27
Положения статей 23-26 не применяются в той мере, в какой специальный статут, иной законодательный акт или решение, принятое в соответствии с законодательным актом, запрещают предоставлять информацию зарегистрированному лицу. Контролер персональных данных, не являющийся официальным лицом, может в этой связи в соответствующем случае, как это предусмотрено Законом о соблюдении тайны (1980:100) отказать в предоставлении информации зарегистрированному лицу.
Внесение изменений
Статья 28
По просьбе зарегистрированного лица контролер персональных данных обязан незамедлительно изменить, заблокировать или уничтожить персональные данные, которые не были обработаны согласно настоящему закону или нормативно-правовым актам, принятым в соответствии с ним. Контролер персональных данных также обязан известить о принятых мерах третью сторону, которой данные раскрывались, если об этом просит зарегистрированное лицо, либо если такое извещение позволит не допустить существенный вред или неудобства для зарегистрированного лица.
Решения, принятие на основании результатов автоматической обработки
Статья 29
Если решение, имеющее юридические или иные существенные последствия для физического лица, принимается исключительно на основании результатов автоматической обработки таких персональных данных, которые дают характеристику личности, заинтересованное лицо имеет право на пересмотр соответствующего решения по его просьбе.
Каждый, в отношении кого принято решение, указанное в первом абзаце, имеет право на получение информации по запросу от контролера персональных данных о том, какие факторы определяли обработку, результатом которой явилось соответствующее решение. Подача запросов и предоставление информации регулируется соответствующими правилами, установленными статьей 26.
Безопасность при обработке
Лица, осуществляющие обработку персональных данных
Статья 30
Ассистент по работе с персональными данными, а также лицо или лица, работающие под руководством ассистента по работе с персональными данными либо контролера персональных данных, имеют право осуществлять обработку персональных данных лишь согласно инструкциям контролера персональных данных.
Обработка персональных данных осуществляется на основании письменного договора, согласно которому ассистент по работе с персональными данными действует от имени контролера персональных данных. В договоре специально предусматривается условие, согласно которому ассистент по работе с персональными данными имеет право осуществлять обработку персональных данных лишь согласно инструкциям контролера персональных данных, а также обязан принимать меры, указанные в первом абзаце статьи 31.
В случае, если обработка персональных данных регулируется специальными законодательными актами, и содержащиеся в них нормы противоречат положениям первого абзаца, применяются нормы специальных законодательных актов.
Меры безопасности
Статья 31
Контролер персональных данных обязан принимать необходимые меры технического и организационного характера для защиты персональных данных при их обработке. Эти меры должны обеспечивать необходимый уровень безопасности, который должен учитывать:
a) имеющиеся технические возможности;
b) стоимость соответствующих мероприятий;
c) особые риски, вызываемые обработкой персональных данных и
d) степень деликатности обрабатываемых персональных данных.
В случае, если контролер персональных данных привлекает к их обработке ассистента по работе с персональными данными, он должен убедиться в том, что последний может принимать необходимые меры безопасности, а также обеспечивать фактическое принятие мер со стороны ассистента по работе с персональными данными.
Право надзирающего органа власти принимать решение о мерах безопасности
Статья 32
Надзирающий орган власти имеет право в особых случаях принимать решение о принятии конкретных мер безопасности контролером персональных данных в соответствии со статьей 31.
Статья 45 регулирует полномочия надзирающих органов власти в части принятия решения, обеспеченного санкцией в виде фиксированного штрафа.
Передача персональных данных в третью страну
Запрет передачи персональных данных в третью страну
Статья 33
Запрещается передача в третью страну персональных данных, находящихся в процессе обработки, кроме случаев, когда третья страна обеспечивает адекватный уровень защиты персональных данных. Это правило также распространяется на передачу персональных данных с целью обработки в третьей стране.
Степень адекватности уровня защиты, обеспечиваемого третьей страной, оценивается в свете всех обстоятельств передачи. Особое внимание при этом уделяется природе данных, цели обработки, продолжительности обработки, стране происхождения, стране конечного назначения и правилам обработки, существующим в третьей стране.
Изъятия из запрета передачи персональных данных в третью страну
Статья 34
Несмотря на запрет, установленный статьей 33, разрешается передача персональных данных в третью страну, если зарегистрированное лицо выразило согласие на такую передачу, или если передача необходима для:
a) исполнения условий договора, заключенного между зарегистрированным лицом и контролером персональных данных, либо осуществления преддоговорных мероприятий в ответ на соответствующую просьбу зарегистрированного лица;
b) заключения или исполнения договора между контролером персональных данных и третьей стороной, в интересах зарегистрированного лица;
c) составления, предъявления или защиты юридических претензий, или
d) защиты жизненно важных интересов зарегистрированного лица.
Наряду с этим, разрешается передача персональных данных для использования только в том государстве, которое присоединилось к Конвенции Совета Европы о защите граждан при автоматической обработке персональных данных.
Статья 35
Правительство может принимать нормативно-правовые акты, содержащие изъятия из запрета, установленного статьей 33 относительно передачи персональных данных в определенные государства. Правительство также вправе принимать нормативно-правовые акты в отношении автоматической обработки персональных данных, разрешая передачу таких данных в третью страну, при условии, что такая передача основана на договоре, предусматривающем адекватные меры защиты прав зарегистрированного лица.
Кроме того, правительство или уполномоченный им орган власти могут устанавливать исключения из запрета, предусмотренного статьей 33, если это необходимо в интересах общества, или если существуют адекватные меры защиты прав зарегистрированного лица.
При условии соблюдения требований, указанных во втором абзаце, в отдельных случаях правительство может принимать решения, предусматривающие изъятия из запрета, установленного статьей 33. Это полномочие может быть делегировано правительством надзирающему органу власти.
Извещение надзирающего органа власти
Обязанность извещения
Статья 36
Частично или полностью автоматизированная обработка персональных данных должна осуществляться после соответствующего извещения. Контролер персональных данных обязан направить соответствующее извещение надзирающему органу власти перед началом такой обработки или совокупности операций по обработке с такой же или подобной целью.
Факт назначения контролером персональных данных представителя по работе с персональными данными должен быть доведен до сведения надзирающего органа власти. Снятие с должности представителя по работе с персональными данными также должно быть доведено до сведения надзирающего органа власти.
Правительство или орган власти, назначенный правительством, может принимать нормативно-правовые акты, предусматривающие изъятия из обязанности извещения, указанной в первом абзаце, в отношении таких видов обработки, которые потенциально не способны привести к ненадлежащему нарушению неприкосновенности частной жизни.
При наличии представителя по работе с персональными данными извещение необязательно
Статья 37
Соблюдение процедуры извещения, предусмотренной первым абзацем статьи 36, необязательно, если контролер персональных данных уведомил надзирающий орган власти о назначении представителя по работе с персональными данными и передал сведения об этом представителе.
Функции представителя по работе с персональными данными
Статья 38
В полномочия представителя по работе с персональными данными входит независимое обеспечение законности и правильности обработки персональных данных контролером персональных данных, обеспечение соответствия такой обработки сложившейся практике, а также указание контролеру на любые погрешности при обработке.
Если представитель по работе с персональными данными имеет основания подозревать, что контролер персональных данных нарушает правила, регулирующие обработку персональных данных, и допущенные нарушения не устраняются в разумный срок после соответствующего предупреждения, он обязан проинформировать об этом надзирающий орган власти.
Представитель по работе с персональными данными также обязан проконсультироваться с надзирающим органом власти в случае возникновения сомнений относительно порядка применения правил, регулирующих обработку персональных данных.
Статья 39
Представитель по работе с персональными данными ведет журнал обработки, выполняемой контролером персональных данных, и которая должна являться предметом информирования в отсутствие представителя. Журнал, как минимум, включает в себя такую информацию, которая должна доводиться до сведения согласно статьи 36.
Статья 40
Представитель по работе с персональными данными содействует зарегистрированным лицам в исправлении данных при наличии оснований полагать, что обработанные персональные данные не являются полными или исчерпывающими.
Обязательное извещение, касающееся особо деликатной обработки, затрагивающей неприкосновенность частной жизни
Статья 41
Правительство может принимать нормативно-правовые акты, предусматривающие обязательное предварительное доведение до сведения надзирающего органа власти информации об обработке персональных данных, влекущей особый риск ненадлежащего вторжения в частную жизнь. Такое извещение производится не позднее чем за три недели до начала обработки, в целях предварительного исследования согласно статьи 36. В случае принятия правительством таких актов исключение из обязанности извещения, предусмотренное статьей 37, не применяется.
Информация общественности об обработке, не являвшейся предметом извещения
Статья 42
Контролер персональных данных должен незамедлительно и надлежащим образом предоставлять каждому желающему информацию об автоматизированной или иной обработке персональных данных, которая не являлась предметом извещения надзирающего органа власти. Такая информация должна содержать сведения, которые должны присутствуют в уведомлении, предусмотренном абзацем первым статьи 36. В то же время в компетенцию контролера персональных данных не входит предоставление засекреченной информации относительно принятых мер по обеспечению безопасности. В этой связи контролер персональных данных, не являющийся официальным должностным лицом, может по аналогии с ситуацией, предусмотренной Законом о соблюдении тайны (1980:100), отказать в предоставлении информации.
Полномочия надзирающего органа власти
Статья 43
Надзирающий орган власти имеет право по соответствующему запросу получить:
a) доступ к обрабатываемым персональным данным;
b) информацию и соответствующую документацию, касающуюся обработки персональных данных, а также ее безопасности и
c) доступ в помещения, используемые при обработке персональных данных.
Статья 44
Если надзирающий орган власти не в состоянии, согласно статье 43, получить достаточную информацию для вывода о законности обработки персональных данных, он может запретить контролеру персональных данных, под угрозой санкции в виде штрафа, осуществлять обработку персональных данных любым способом, за исключением их сохранения.
Статья 45
Если надзирающий орган власти приходит к заключению, что обработка персональных данных может происходить незаконным образом, он должен предпринять меры для устранения нарушений закона путем напоминания или подобной процедуры. Если же устранить нарушения закона невозможно каким-либо иным способом, либо если ситуация не терпит промедления, орган власти вправе запретить контролеру персональных данных, под угрозой санкции в виде штрафа, осуществлять обработку персональных данных любым способом, за исключением их сохранения.
Если контролер персональных данных не исполняет добровольно вступившее в законную силу решение, касающееся мер безопасности, предусмотренных статьей 32, надзирающий орган власти вправе наложить на него штраф.
Статья 46
Перед принятием решения надзирающим органом власти о наложении штрафа согласно статьям 44 или 45, контролеру персональных данных должна быть предоставлена возможность дать объяснения. Однако если дело не терпит отлагательств, орган власти вправе вынести временное решение о наложении штрафа без заслушивания объяснений. Временное решение подлежит пересмотру по окончании срока для дачи объяснений.
Постановление о наложении штрафа вручается контролеру персональных данных. Согласно статьи 12 Закона об исполнительном производстве (1970:428), вручение постановления происходит в ситуации, если есть основания полагать, что контролер персональных данных скроется или иным образом будет уклоняться от исполнения постановления.
Статья 47
Надзирающий орган власти вправе, по месту своего нахождения, подать заявление в районный административный суд об уничтожении персональных данных, обработанных незаконным образом.
Решение об уничтожении не принимается в случае, если будет сделан вывод о недостаточности оснований.
Возмещение вреда
Статья 48
Контролер персональных данных обязан компенсировать вред, причиненный зарегистрированному лицу, в том числе за нарушение неприкосновенности его частной жизни, вызванный обработкой персональных данных с нарушением положений настоящего закона.
Размер суммы, подлежащей выплате в счет компенсации, может быть снижен в разумных пределах, если лицо, предоставившее персональные данные, докажет, что соответствующая ошибка не была допущена им.
Наказания
Статья 49
Лицо, которое умышленно или по неосторожности:
a) предоставляет недостоверные сведения при информировании зарегистрированных лиц согласно процедуре, предусмотренной настоящим законом, либо при извещении надзирающего органа власти согласно статье 36, или когда орган власти запрашивает информацию согласно статье 43;
b) осуществляет обработку персональных данных с нарушением статей 13-21;
c) осуществляет передачу персональных данных в третью страну в нарушение статей 33-35, или
d) не предоставляет информацию согласно первому абзацу статьи 36 или правилам, принятым в соответствие со статьей 41,
наказывается штрафом или лишением свободы на срок до шести месяцев, или, в случае особой тяжести правонарушения, лишением свободы на срок до двух лет.
Приговор не выносится в случае малозначительности деяния.
Лицо, нарушившее постановление, вынесенное под угрозой санкции в виде штрафа согласно статье 44 или первому абзацу статьи 45, не подлежит ответственности за деяние, запрещаемое указанным постановлением.
Специальные нормативно-правовые акты
Статья 50
Правительство или орган власти, назначенный Правительством, может принимать специальные нормативно-правовые акты, подробно регулирующие:
a) случаи, при которых разрешается обработка персональных данных;
b) требования, предъявляемые к контролеру персональных данных при обработке персональных данных;
c) случаи, при которых разрешается использование персонального идентификационного номера;
d) требования к содержанию извещения или заявления, направляемого контролеру персональных данных;
e) характер и порядок предоставления информации, передаваемой зарегистрированному лицу;
f) порядок извещения надзирающего органа власти и процедуру, следующую за изменением информации, которая была доведена до сведения.
Обжалование
Статья 51
Решение, принятое надзирающим органом власти в соответствии с настоящим законом, за исключением актов нормативного характера, может быть обжаловано в общий административный суд.
Апелляция в Административный апелляционный суд допускается на основании полученного разрешения на апелляцию.
Надзирающий орган власти вправе принять решение о том, что обжалуемое решение продолжает действовать и после обжалования.
Порядок вступления в действие и переходные положения
1. Настоящий закон вступает в действие 24 октября 1998 года, а Закон о данных (1973:289) прекращает свое действие. Однако положения предшествующего акта продолжают действовать в отношении жалоб на решения, принятые до 24 октября 1998 года.
2. В отношении обработки персональных данных, начатой до вступления в действие настоящего закона, или обработки, осуществляемой со специальной целью, если обработка для реализации этой цели была начата до вступления в действие настоящего закона, продолжает действовать предшествующий акт вместо вновь принятого по 30 сентября 2001 года включительно. Это правило также применяется в отношении норм предшествующего акта, касающихся обжалования.
3. Положения статей 9, 10, 13 и 21 вновь принятого акта не применяются до 1 октября 2007 года в отношении ручной обработки персональных данных, начатой до вступления в действие настоящего закона, а также в отношении ручной обработки, осуществляемой со специальной целью, если ручная обработка для реализации этой цели была начата до вступления в действие настоящего закона.
4. Что касается персональных данных, которые на момент вступления в действие настоящего закона хранились для исторических исследований, то положения статей 9, 10, 13 и 21 вновь принятого акта подлежат применению после того, как соответствующая информация будет обработана каким-либо иным образом. До этого момента применению подлежат соответствующие нормы предшествующего акта. Однако, указанные нормы вновь принятого акта не подлежат применению до наступления момента, указанного в пунктах 2 или 3 по указанной в них причине.
5. Извещение, предусмотренное статьей 36 настоящего закона, может быть сделано до его вступления в действие.
6. Согласие на обработку, выраженное до момента вступления в действие настоящего закона, остается действительным после вступления закона в действие, при условии, если оно соответствует требованиям, установленным настоящим законом.
7. В случае, если запрос о регистрации согласно статьи 10 предшествующего акта был получен для обработки перед вступлением в действие настоящего закона, но не был рассмотрен до этого момента, его следует рассматривать заявлением в смысле статьи 26 настоящего закона.
8. Положения настоящего закона о возмещении вреда применяются только в случае, если обстоятельства, на которые ссылается заявитель, произошли после вступления в силу настоящего закона. В других случаях применяются положения предшествующего акта.