23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/31
RICHTLINIE 95/46/EG DES EUROPAISCHEN PARLAMENTS UND DES RATES
vom 24. Oktober 1995
zum Schutz natiirlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
DAS EUROPAISCHE PARLAMENT UND DER RAT DER EUROPAISCHEN UNION-
gestutzt auf den Vertrag zur Grundung der Europaischen Gemeinschaft, insbesondere auf Artikel 100a,
auf Vorschlag der Kommission (1 ),
nach Stellungnahme des Wirtschafts- und Sozialausschus- ses (2),
gemaR dem Verfahren des Artikels 189b des Ver- trags (3),
in Erwagung nachstehender Grunde:
(1)
(2)
(3)
Die Ziele der Gemeinschaft, wie sie in dem durch den Vertrag uber die Europaische Union geander- ten Vertrag festgelegt sind, bestehen darin, einen immer engeren ZusammenschluR der europaischen V<)lker zu schaffen, engere Beziehungen zwischen den in der Gemeinschaft zusammengeschlossenen Staaten herzustellen, durch gemeinsames Handeln den wirtschaftlichen und sozialen Fortschritt zu sichern, indem die Europa trennenden Schranken beseitigt werden, die standige Besserung der Lebensbedingungen ihrer Volker zu fordern, Frie- den und Freiheit zu wahren und zu festigen und fur die Demokratie einzutreten und sich dabei auf die in den Verfassungen und Gesetzen der Mit- gliedstaaten sowie in der Europaischen Konvention zum Schutze der Menschenrechte und Grundfrei- heiten anerkannten Grundrechte zu stutzen.
Die Datenvcrarbeitungssysteme stehen im Dienste des Menschen; sie haben, ungeachtet der Staatsan- gehorigkeit oder des Wohnorts der naturlichen Personen, deren Grundrechte und -freiheiten und insbesondere deren Privatsphare zu achten und zum wirtschaftlichen und sozialen Fortschritt, zur Entwicklung des Handels sowie zum Wohlergehen der Menschen beizutragen.
Fur die Errichtung und das Funktionieren des Binnenmarktes, der gemaR Artikel 7a des Vertrags
e) ABI. Nr. C 277 vom 5. 11.1990, S. 3, und ABI. Nr. C 311 vom 27. 11. 1992, S. 30.
e) ABI. Nr. C 159 vom 17. 6. 1991, S. 38. ( 1) Stellungnahme des Europaischen Parlaments vom 11. Marz
1992 (ABI. Nr. C: 94 vom 13. 4. 1992, S. 198), bestatigt am 2. Dezembcr 1993 (ABI. Nr. C 342 vom 20. 12. 1993, S. 30). Gemeinsamer Standpunkt des Rates vom 20. Februar 1995 (ABI. Nr. C 93 vom 13. 4. 1995, S. 1) und BeschluR des Europaischen Parlaments vom 15. Juni 1995 (ABI. Nr. C 166 vom 3. 7. 1995).
(4)
(5)
(6)
(7)
den freien Verkehr von Waren, Personen, Dienstlei- stungen und Kapital gewahrleisten soli, ist es nicht nur erforderlich, daR personenbezogene Daten von einem Mitgliedstaat in einen anderen Mitgliedstaat iibermittelt werden konnen, sondern auch, daR die Grundrechte der Personen gewahrt werden.
Immer haufiger werden personenbezogene Daten in der Gemeinschaft in den verschiedenen Bereichen wirtschaftlicher und sozialer Tatigkeiten verarbei- tet. Die Fortschritte der lnformationstechnik erleichtern die Verarbeitung und den Austausch dieser Daten betrachtlich.
Die wirtschaftliche und soziale Integration, die sich aus der Errichtung und dem Fu~ktionieren des Binnenmarktes im Sinne von Arti kel 7a des Ver- trags ergibt, wird notwendigerweise zu einer spur- baren Zunahme der grenzuberschreitenden Strome personenbezogener Daten zwischen allen am wirt- schaftlichen und sozialen Leben cler Mitgliedstaa- ten Beteiligten im offentlichen wie im privaten Bereich fuhren. Der Austausch personenbezogener Daten zwischen in verschiedenen Mitgliedstaaten niedergelassenen Unternehmen wird zunehmen. Die Verwaltungen der Mitgliedstaaten sind aufgrund des Gemeinschaftsrechts gehalten, zusammenzuar- beiten und untereinander personenbezogene Daten auszutauschen, urn im Rahmen des Raums ohne Grenzen, wie er durch den Binnenmarkt hergestellt wird, ihren Auftrag erfullen oder Aufgaben anstelle der Behorden eines anderen Mitgliedstaats durch- fuhren zu konnen.
Die verstarkte wissenschaftliche und technische Zusammenarbeit sowie die koordinierte Einfuh- rung neuer Telekommunikationsnetze in der Ge- meinschaft erfordern und erleichtern den grenz- iiberschreitenden Verkehr personenbezogener Da- ten.
Das unterschiedliche Niveau des Schutzes der Rechte und Freiheiten von Personen, insbesondere der Privatsphare, bei der Verarbeitung personenbe- zogener Daten in den Mitgliedstaaten kann die Obermittlung dieser Daten aus dem Gebiet eines Mitgliedstaats in das Gebiet eines anderen Mit- gliedstaats verhindern. Dieses unterschiedliche Schutzniveau kann somit ein Hemmnis fur die Ausubung einer Reihe von Wirtschaftstatigkeiten auf Gemeinschaftsebene darstellen, den Wettbe- werb verfalschen und die Erfullung des Auftrags
Nr. L 281/32 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
dcr im Anwendungsbereich des Gemeinschafts- rcchts tatigen Behorden verhindern. Dieses unter- schiedliche Schutzniveau crgibt sich aus der Ver- schiedenartigkeit der einzelstaatlichen Rcchts- und Verwaltungsvorschriften.
(8) Zur Beseitigung der Hemmnisse fur den Verkehr pcrsonenbezogener Daten ist ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freihciten von Pcrsonen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlagJich. Insbesondere un- tcr Bcrucksichtigung der grof~cn Unterschicde, die gcgcnw~irtig zwischen den einschlagigen einzclstaat- lichcn Rechtsvorschriften bestehen, und der Not- wcndigkeit, die Rechtsvorschriften der Mitglied- staaten zu koordinieren, damit der grenzuberschrei- tende flug personenbezogener Daten koharent und in Obercinstimmung mit dem Zicl des Binncnmark- tcs im Sinne des Artikels 7a des Vcrtrags gercgclt wird, Lif~t sich diescs fur den Binnenmarkt grundle- gcnde Ziel nicht allein durch das Vorgehen der ~1itglicdstaaten verwirklichen. Dcshalb ist cine Magnahme dcr Gemeinschaft zur Angleichung der Rechtsvorschriften erforderlich.
(9) Die Mitgliedstaaten durfen aufgrund des gleichwer- tigen Schutzcs, der sich aus der Angleichung dcr einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Grunden behindern, die den Schutz der Rcchtc und Frciheiten naturlicher Perso- ncn und insbesondere das Recht auf die Privat- spharc bctrcffen. Die Mitgliedstaaten besitzen einen Spielraum, der im Rahmen der Durchfuhrung der Richtlinic von den Wirtschafts- und Sozialpartncrn gcnutzt werdcn kann. Sie k<)nnen somit in ihrem cinzelstaatlichen Recht allgemeine Bedingungen fllr die Rechtm~ifsigkeit dcr Verarbeitung fcstlegen. Hierbci strcben sie eine Verbesserung des gegen- w~:irtig durch ihre Rechtsvorschriften gewahrtcn Schutzes an. lnncrhalb (iieses Spielraums khnnen unter Beachtung des Gcmeinschaftsrcchts Unter- schiede bei dcr Durchfuhrung dcr Richtlinic auftrc- ten, was Auswirkungen flir den Datenverkehr sowohl innerhalb cines Mitgliedstaats als auch in dcr Gcmcinschaft habcn kann.
(10) Gegenstand der einzelstaatlichen Rechtsvorschrif- tcn uber die Vcrarbeitung personenbczogencr I)aten ist die Gewahrleistung der Achtung der Grundrechte und -frciheiten, insbesondere des auch in Artikel X der Europaischen Konvention zum Schutze dcr Menschenrechte und Grundfrciheitcn und in den allgcmeinen Grundsatzen des (~emein schaftsrechts ancrkannten Rechts auf die Privat- sph~irc. Die Angleichung diescr Rechtsvorschriftcn darf dcshalb nicht zu ciner Verringerung des durch (Iiese Rechtsvorschriften garantierten Schutzes fuh- ren, sondcrn mug im Gegcntcil darauf abzielen, in der Gcmeinschaft ein hohcs Schutzniveau sicherzu- stellen.
(I I ) Die in dieser Richtlinic enthaltenen Grundsatze zum Schutz der Rechte und Freiheiten der Perso- nen, insbesondere der Achtung der Privatsphare, konkrctisicrcn unci erweitern die in dem Oberein- kommen des Europarats vom 28. Januar 1981 zum Schutze der Pcrsoncn bci der automatischen Verar- beitung personcnbczogcncr Daten enthaltenen Grundsatze.
(12) Die Schutzprinzipicn mi.issen hir alle Vcrarbeitun- gen personcnbczogencr Daten gelten, sobald die Tatigkeitcn des fur die Vcrarbcitung Verantwortli- chen in den Anwendungsbereich des Gemein- schaftsrechts fallen. Auszunchmen ist die Datenver- arbeitung, die von cincr naturlichen Person in Ausubung ausschlief~lich pcrs<>nlicher oder familia- rer Tatigkciten - wic zum Beispiel Schriftvcrkehr oder Fuhrung von Anschriftenverzeichnissen - vorgenommen wi rd
(13) Die in den Titeln V und VI des Vertrags uber die Europaischc Union genannten Tatigkeiten, die die Mfcntlichc Sicherheit, die Landcsverteidigung, die Sicherheit des Staates oder die Tatigkeiten des Staates im Bereich des Strafrechts betreffen, fallen unbeschadet der Verpflichtungen der Mitgliedstaa- ten gemag Artikel 56 Absatz 2 sowie gemaR den Artikeln 57 und I OOa des Vertrags zur Grundung der Europaischen Gemeinschaft nicht m den Anwendungsbereich des Gcmeinschaftsrechts. Die Verarbeitung personcnbezogener Daten, die zum Schutz des wirtschaftlichen Wohls des Staatcs erforderlich ist, fallt nicht untcr diese Richtlinie, wcnn sic mit hagen dcr Sicherheit des Staates zusammenhiingt.
(14) In Anbetracht der Bedeutung der gegenwartigen Entwicklung im Zusammenhang mit der Informa- tionsgesellschaft bezuglich Techniken der Erfas- sung, Ohermittlung, Veranderung, Speicherung, Aufbewahrung oder Weitergabe von personenbezo- genen Ton- und Bilddatcn muR diese Richtlinie auch auf die Vcrarbeitung dieser Daten Anwen- dung findcn.
(15) Die Verarbeitung solcher Daten wird von dieser Richtlinie nur erfaRt, wenn sie automatisiert erfolgt oder wenn die Daten, auf die sich die Verarbeitung bczieht, in Dateicn enthalten oder fur solche bestimmt sind, die nach bestimmten personenbczo- genen Kritcrien strukturiert sind, urn einen leichtcn Zugriff auf die Daten zu enn()glichen.
(16) Die Vcrarbeitung von Ton- unci Bilddaten, wie bei der Videouberwachung, fallt nicht unter diese Richtlinic, wenn sie fiir Zwecke der <>ffentlichen Sicherheit, der Landesvertcidigung, der Sicherheit des Staates odcr der Tatigkeiten des Staates im Bereich des Strafrechts oder andercn Tatigkeiten crfolgt, die nicht untcr das Gemcinschaftsrecht fallen.
(17) Bezuglich der Verarbcitung von Ton- und Bild- daten fur journalistischc, literarische oder kunstle-
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/33
rische Zwecke, insbesondere im audiovisuellen Bereich, finden die Grundsatze dieser Richtlinie gemaR Artikel 9 eingeschrankt Anwendung.
(18) Urn zu vermeiden, daiS einer Person der gemafS dieser Richtlinie gewahrleistete Schutz vorenthalten winl, mussen auf jede in der Gemeinschaft erfolgte Verarbeitung personenbezogener Daten die Rechts- vorschriften cines Mitgliedstaats angewandt wer- den. Es ist angebracht, auf die Verarbeitung, die von eincr Person, die dem in dem Mitgliedstaat niedergelassenen fur die Verarbeitung Verantwort- lichen unterstellt ist, vorgenommen werden, die Rechtsvorschriften dieses Staates anzuwenden.
(19) Eine Nicderlassung im Hoheitsgebiet cines Mit- gliedstaats setzt die effektive und tatsachliche Aus- ubung eincr Tatigkeit mittels ciner festen Einrich- tung voraus. Die Rechtsform einer solchen Nieder- lassung, die eine Agentur oder cine Zweigstelle sein kann, ist in dieser Hinsicht nicht maRgeblich. Wenn der Verantwortliche im Hoheitsgebiet meh- rerer Mitglicdstaaten nicdergelassen ist, insbeson- dere mit einer filiale, muR cr vor a1lem zu Vermei- dung von Umgchungen sicherstellen, daR jede dic- ser Niederlassungcn die Verpflichtungen einhalt, die im jeweiligcn einzelstaatlichen Recht vorgese- hen sind, das auf ihre jeweiligen Tatigkeiten anwendbar ist.
(20) Die Niederlassung des fur die Verarbeitung Verant- wortlichen in einem Drittland darf dem Schutz der Personen gemaR dieser Richtlinie nicht entgegcnste- hen. In diesem Fall sind die Verarbeitungen dcm Recht des Mitgliedstaats zu unterwerfen, in dem sich die fiir die betreffenden Verarbeitungen ver- wcndeten Mittel hefinden, und Vorkehrungen zu trcffen, um sichcrzustellcn, daR die in dieser Richt- linie vorgesehenen Richte und Pflichten tatsachlich eingehalten wcrden.
(21) Diese Richtlinie beruhrt nicht die im Strafrecht gcltenden Tcrritorialitatsregeln.
(22) Die Mitgliedstaaten ke>nnen in ihren Rechtsvor- schriftcn oder bei der Durchfuhrung dcr Vorschrif- ten zur Umsetzung dieser Richtlinie die allgemeincn Bedingungcn prazisieren, unter denen die Verarbci- tungen rechtmafsig sind. Insbesondere nach Artikel 5 in Verbindung mit den Artikeln 7 und 8 k{)nncn die Mitglicdstaaten neben den allgemeincn Regeln besondere Bedingungen fur die Datenverarbeitung in spezifischen Bereichen und fur die verschiedenen Datenkategorien gemaf~ Artikel g vorschen.
(23) Die Mitgliedstaaten ke>nnen den Schutz von Perso- nen sowohl durch ein allgemeincs Gesetz zum Schutz von Personen bei der Verarbeitung perso- nenbczogener Daten als auch durch gesetzlichc
Regelungen fur bestimmte Bereiche, wie zum Bei- spiel die statistischen Arnter, sichcrstellen.
(24) Diesc Richtlinic bcriihrt nicht die Rechtsvorschrif- ten zum Schutz juristischer Personen bei der Verar- beitung von Daten, die sich auf sie beziehen.
(25) Die Schutzprinzipicn finden zum cinen ihren Nie- dcrschlag in den Pflichten, die den Personen, Beh()rden, Unternehmen, Gcschaft-sstellen oder an- deren fur die Verarbeitung verantwortlichen Stellen obliegcn; diesc Pflichtcn hetreffen insbesondere die Datenqualitat, die technischc Sichcrheit, die Mel- dung bei der Kontrollstelle und die Voraussetzun- gen, unter denen cine Vcrarbeitung vorgenommen wcrden kann. Zum andcrcn kommcn sic zum Aus- ciruck in den Rcchten der Pcrsoncn, deren Daten Gcgcnstand von Vcrarbcitungcn sind, uber diese informicrt zu wcrdcn, Zugang zu den Daten zu erhaltcn, ihrc Bcrichtigung verlangen bzw. unter gcwissen Voraussetzungcn Widcrspruch gegen die Vcrarbeitung einlegen zu k6nncn.
(26) Die Schutzprinzipicn miissen fur aile Informationen iibcr eine bestimmte odcr bestimmbare Person gel- ten. Bei der Entscheidung, oh eine Person bestimm- bar ist, sollten alle Mittel heri.icksichtigt werden, die vernunftigerwcise entweder von dem Verant- wortlichen fur die Verarheitung oder von einem Dritten eingesetzt werdcn kc)nnten, um die betref- fende Person zu bestimmcn. Die Schutzprinzipicn finden keine Anwcndung auf Daten, die derart anonymisiert sind, dag die betroHene Person nicht mehr identifizierbar ist. Die Verhaltensregeln im Sinnc des Artikcls 27 k6nnen ein nutzliches Instru- ment sein, mit dcm angegeben wird, wie sich die Daten in ciner Form anonymisiercn und aufbewah- ren lassen, die die Idcntifizierung der betroffenen Person unm()glich macht.
(27) Datenschutz muR sowohl fur automatisierte als auch fur nicht automat:isierte Verarbeitungen gel- ten. In der Tat darf dcr Schutz nicht von den vcrwendeten Technikcn abhangen, da andernfalls crnsthafte Risiken der Umgebung entstchcn wur- dcn. Bei manucllcn Verarbeitungen erfagt diese Richtlinie lediglich Datcien, nicht jedoch unstruk- turierte Aktcn. Insbesondere mul~: der Inhalt einer Datci nach bcstimmten personenbezogenen Krite- ricn strukturicrt scin, die cincn lcichten Zugriff auf die Daten erm()glichcn. Nach der Definition in Artikel 2 Buchstabe c) kc)nnen die Mitgliedstaaten die Kriterien zur Bestimmung dcr Elemente einer strukturierten Sammlung pcrsonenbezogener Daten sowie die vcrschiedenen Kriterien zur Regelung des
Nr. L 281/34 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
Zugriffs zu einer solchen Sammlung festlegen. Akten und Aktensammlungen sowie ihre Deckblat- ter, die nicht nach bestimmten Kriterien struktu- riert sind, fallen unter keinen Umstanden in den Anwendungsbereich dieser Richtlinie.
(28) Die Verarbeitung personenbezogener Daten mufS gegenuber den betroffenen Personen nach Treu und Glauben erfolgen. Sie hat den angestrebten Zweck zu entsprechen, dafur erheblich zu sein und nicht daruber hinauszugehen. Die Zwecke mussen eindeutig und rechtmafSig sein und bei der Datener- hebung festgelegt werden. Die Zweckbestimmun- gen der Weiterverarbeitung nach der Erhebung di.irfen nicht mit den ursprunglich festgelegten Zwecken unvereinbar sein.
(29) Die Weiterverarbeitung personenbezogener Daten fi.ir historische, statistische oder wissenschaftliche Zwecke ist im allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datener- hebung anzusehen, wenn der Mitgliedstaat geeig- nete Garanticn vorsieht. Diese Garantien mussen insbesondere ausschliefSen, daR die Daten fur MafS- nahmen oder Entscheidungen gegenuber einzelnen Betroffenen verwendet werden.
(30) Die Verarbeitung personenbezogener Daten ist nur dann rechtmafSig, wenn sie auf der Einwilligung der betroffenen Person beruht oder notwendig ist im Hinblick auf den AbschlufS oder die Erfullung eines fur die betroffene Person bindenden Vertrags, zur Erfullung einer gesetzlichen Verpflichtung, zur Wahrnehmung einer Aufgabe im offentlichen Inter- esse, in Ausubung hoheitlicher Gewalt oder wenn sie im Interesse einer anderen Person erforderlich ist, vorausgesetzt, daR die Interessen oder die Rechte und freiheiten der betroffenen Person nicht i.iberwiegen. Um den Ausgleich der in Frage stehen- den lnteressen unter Gewahrleistung eines effekti- ven Wettbewerbs sicherzustellen, konnen die Mit- gliedstaaten insbesondere die Bedingungen naher bestimmen, unter denen personenbezogene Daten bei rechtmafSigen Tatigkeiten im Rahmen laufender Geschafte von Unternehmen und anderen Einrich- tungen an Dritte weitergegeben werden konnen. Ebenso konnen sic die Bedingungen festlegen, unter denen personenbezogene Daten an Dritte zum Zweck der kommerziellen Werbung oder der Wer- bung von Wohltatigkeitsverbanden oder anderen Vereinigungen oder Stiftungen, z. B. mit politischer Ausrichtung, weitergegeben werden konnen, und zwar unter Berucksichtigung der Bestimmungen dieser Richtlinie, nach denen betroffene Personen ohne Angabe von Grunden und ohne Kosten Widerspruch gegen die Verarbeitung von Daten, die sie betreffen, erheben konnen.
(31) Die Verarbeitung personenbezogener Daten ist ebenfalls als rechtmafSig anzusehen, wenn sie erfolgt, um ein fur das Leben der betroffenen Person wesentliches Interesse zu schutzen.
(32) Es ist nach einzelstaatlichem Recht festzulegen, ob es sich bei dem fur die Verarbeitung Verantwortli- chen, der mit der Wahrnehmung einer Aufgabe betraut wurde, die im offentlichen Interesse liegt oder in Ausubung hoheitlicher Gewalt erfolgt, um eine Behorde oder um eine andere unter das offent- liche Recht oder das Privatrecht fallende Person, wie beispielsweise cine Berufsvereinigung, handeln soli.
(.33) Daten, die aufgrund ihrcr Art geeignet sind, die Grundfreiheiten oder die Privatsphare zu beein- trachtigen, durfen nicht ohne ausdruckliche Einwil- ligung der betroffenen Person verarbeitet werden. Ausnahmen von diesem Verbot mussen ausdruck- lich vorgesehen werden bei spezifischen -Notwen- digkeiten, insbesondere wenn die Verarbeitung die- ser Daten fi.ir gewisse auf das Gesundheitswesen bezogene Zwecke von Personen vorgenommen wird, die nach dem einzelstaatlichen Recht dem Berufsgeheimnis unterliegen, oder wenn die Verar- beitung fi.ir berechtigte Tatigkeiten bestimmter Ver- einigungen oder Stiftungen vorgenommen wird, deren Ziel es ist, die Ausi.ibung von Grundfreihei- ten zu erme>glichen.
(.34) Die Mitgliedstaaten konnen, wenn dies durch ein wichtiges offentliches Interesse gerechtfertigt ist, Ausnahmen vom Verbot der Verarbeitung sensibler Datenkategorien vorsehen in Bereichen wie dem C>ffentlichen Gesundheitswesen und der sozialen Sicherheit - insbesondere hinsichtlich der Siche- rung von Qualitat und Wirt:schaftlichkeit der Ver- fahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen -, der wissenschaftlichen Forschung und der offentlichen Statistik. Die Mit:gliedstaaten miissen jedoch geeig- nete besondere Garantien zum Schutz der Grund- rechte und der Privatsphare von Personen vorse- hen.
(35) Die Verarbeitung personenbezogener Daten durch staatliche Stellen fur verfassungsrechtlich oder im Vblkerrecht niedergelegt:e Zwecke von staatlich anerkannten Religionsgesellschaften erfolgt eben- falls im Hinblick auf cin wichtiges bffentliches Interesse.
(36) Wenn es in bestimmten Mitgliedstaaten zum Funk- tionieren des demokratischen Systems gehC>rt, daR die politischen Parteien im Zusammenhang mit Wahlen Daten i.iber die politische Einstellung von Personen sammeln, kann die Verarbeitung derarti- ger Daten aus Grunden cines wichtigen offentli- chen Interesses zugelassen werden, sofern angemes- sene Garantien vorgesehen werden.
(37) Fur die Verarbeitung personenbezogener Daten zu journalistischen, literarischen oder ki.instlerischen Zwecken, insbesondere im audiovisuellen Bereich, sind Ausnahmen von bestimmten Vorschriften die- ser Richtlinie vorzusehen, soweit sie erforderlich sind, um die Grundrechte der Person mit der
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/35
Freiheit der MeinungsauRerung und insbesondere der Freiheit, Informationen zu erhalten oder wei- terzugeben, die insbesondere in Artikel 10 der Europaischen Konvention zum Schutze der Men- schenrechte und der Grundfreiheiten garantiert ist, in Einklang zu bringen. Es obliegt deshalb den Mitgliedstaaten, unter Abwagung der Grundrechte Ausnahmen und Einschrankungen festzulegen, die bei den allgemeinen MaRnahmen zur RechtmaRig- keit der Verarbeitung von Daten, bei den MaRnah- men zur (Jbermittlung der Daten in Drittlander sowie hinsichtlich der Zustandigkeiten der Kon- trollstellen erforderlich sind, ohne daR jedoch Aus- nahmen bei den MaRnahmen zur Gewahrleistung der Sicherheit der Verarbeitung vorzusehen sind. remer sollte mindestens die in diesem Bereich zustandige Kontrollstelle bestimmte nachtragliche Zust~indigkeiten erhalten, beispiclsweise zur regel- magigen Vcrbffentlichung eines Berichts oder zur Bcfassung der Justizbehorden.
(38) Datenverarbeitung nach Treu und Glauben setzt voraus, dag die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemaR und umfassend tiber die Bedingungen der Erhebung informiert zu wer- den, wenn Daten bei ihnen erhoben werden.
(39) Bestimmte Verarbeitungen betreffen Daten, die der Verantwortliche nicht unmittelbar bei der betroffe- nen Person erhoben hat. Des weiteren konnen Daten rechtmaRig an Dritte weitergegeben werden, auch wenn die Weitergabe bei der Erhebung der Daten bei der betroffenen Person nicht vorgesehen war. In diesen Fallen muR die betroffene Person zum Zeitpunkt dcr Speicherung der Daten odcr spatestens bei der erstmaligen Weitergabe dcr Daten an Dritte unterrichtet werden.
(40) Diese Verpflichtung eriibrigt sich jedoch, wenn die betroffene Person bereits unterrichtet ist. Sie besteht auch nicht, wenn die Speicherung oder Weitergabe durch Gesetz ausdriicklich vorgesehen ist oder wenn die Unterrichtung der betroffenen Person unmoglich ist oder unverhaltnismaRigen Aufwand erfordert, was bei Verarbeitungen fiir historische, statistische oder wissenschaftliche Zwecke der Fall sein kann. Diesbeziiglich konnen die Zahl der betroffenen Personen, das Alter dcr Daten und etwaige AusgleichsmaRnahmen m Betracht gezogen werden.
(41) Jede Person muR ein Auskunftsrecht hinsichtlich der sie betreffenden Daten, die Gegenstand einer Verarbeitung sind, haben, damit sie sich insbeson- dere von der Richtigkeit dieser Daten und der Zulassigkeit ihrer Verarbeitung iiberzeugen kann. Aus denselben Grunden muR jede Person auRerdem das Recht auf Auskunft tiber den logischen Aufbau
der automatisierten Verarbeitung der sie betreffen- den Daten, zumindest im Fall auromatisierter Ent- scheidungen im Sinne des Artikels 15 Absatz 1, besitzen. Dieses Recht darf weder das Geschaftsge- heimnis noch das Recht an geistigem Eigentum, insbesondere das Urheberrecht zum Schutz von Software, beriihren. Dies darf allerdings nicht dazu fuhren, daR der betroffenen Person jegliche Aus- kunft verweigert wird.
(42) Die Mitgliedstaaten konnen die Auskunfts- und Informationsrechte im Interesse der betroffenen Person oder zum Schutz der Rcchte und Freiheiten Dritter einschranken. Zum Beispiel konnen sie vor- sehen, daR Auskunft tiber medizinische Daten nur iiber ~irztliches Personal erhalten \Verden kann.
(43) Die Mitgliedstaaten konnen Beschrankungen des Auskunfts- und Informationsrechts sowie bestimm- ter Pflichten des fur die Verarbeitung Verantwortli- chen vorsehen, soweit dies beispielsweise fur die Sicherheit des Staates, die Landesverteidigung, die Mfentliche Sicherheit, fur zwingende wirtschaftli- che oder finanzielle Interessen eines Mitgliedstaats oder der Union oder fur die Ermittlung und Verfol- gung von Straftaten oder von VerstoRen gegen Standesregeln bei reglementierten Berufen erforder- lich ist. Als Ausnahmen und Beschrankungen sind Kontroll-, Oberwachungs- und Ordnungsfunktio- nen zu nennen, die in den dre1 letztgenannten Bereichen in bezug auf offentliche Sicherheit, wirt- schaftliches oder finanzielles Interesse und Strafver- folgung erforderlich sind. Die Erwahnung der Auf- gaben in diesen drei Bereichen !aRt die Zulassigkeit von Ausnahmen und Einschrankungen aus Grun- den der Sicherheit des Staates und der Landesver- teidigung unberiihrt.
(44) Die Mitgliedstaaten konnen aufgrund gemem- schaftlicher Vorschriften gehalten sein, von den das Auskunftsrecht, die Information der Personen und die Qualitat der Daten betreffenden Bestimmungen dieser Richtlinie abzuweichen, urn bestimmte der obengenannten Zweckbestimmungen zu schiitzen.
(45) Auch wenn die Daten Gegenstand einer rechtmaRi- gen Verarbeitung aufgrund eines <>ffentlichen lnter- esses, der Ausiibung hoheitlicher Gewalt oder der Interessen eines einzelnen sein kbnnen, sollte doch jede betroffene Person das Recht besitzen, aus iiberwiegenden, schutzwiirdigen, sich aus ihrer besonderen Situation ergebenden Grunden Wider- spruch dagegen einzulegen, daR die sie betreffenden Daten verarbeitet werden. Die Mitgliedstaaten kon- nen allerdings innerstaatliche Bestimmungen vorse- hen, die dem entgegenstehen.
(46) Fur den Schutz der Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung perso- nenbezogener Daten miissen geeignete technische
Nr. L 281/36 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
und organisatorische MaRnahmen getroffen wer- den, und zwar sowohl zum Zeitpunkt der Planung des Verarbeitungssystems als auch zum Zeitpunkt der eigentlichen Verarbeitung, urn insbesondere deren Sicherheit zu gewahrleisten und somit jede unrechtmaf~ige Verarbeitung zu verhindern. Die Mitgliedstaaten haben dafur Sorge zu tragen, daR der fur die Verarbeitung Vcrantwortlichc diese MaRnahmen einhalt. Diese MaRnahmen mussen unter Beriicksichtigung des Standes der Tcchnik und der bei ihrer Durchfuhrung entstehcnden Kosten ein Schutzniveau gewahrleisten, das den von der Verarbeitung ausgehcnden Risiken und der Art der zu schutzenden Daten angemessen ist.
(47) Wird cine Nachricht, die personenbezogenc Daten enthalt, i.iber Telekommunikationsdienstc oder durch elektronische Post ubcrmittelt, deren einziger Zweck darin besteht, Nachrichten dieser Art zu i.ibermitteln, so gilt in der Regel die Person, von der die Nachricht stammt, und nicht die Person, die den Obermittlungsdienst anbietet, als Verant- wortlichcr fur die Verarbeitung der in der Nach- richt enthaltenen personenbezogenen Daten. Je- doch gelten die Personen, die diese Dicnste anbic- tcn, in dcr Regel als Verantwortliche fur die Verar- beitung der personenbezogenen Daten, die zusatz- lich fi.·tr den Betrieb des Dienstcs crforderlich sind.
(48) Die Meldcverfahren dienen der Offenlegung der Zweckbestimmungen der Verarbeitungen sowie ihrer wichtigsten Merkmalc mit dem Zweck der fJberprufung ihrer Vereinbarkcit mit den einzel- staatlichen Vorschriften zur Umsetzung dieser Richtlinie.
(49) Um unangemessene Verwaltungsformalitaten zu vermeiden, kbnnen die Mitgliedstaaten bei Verar- beitungen, bci denen cine Beeintrachtigung der Rcchte und Freiheiten der Betroffenen nicht zu erwarten ist, von der Meldepflicht absehen oder sic vcreinfachen, vorausgesetzt, daR diese Verarbeitun- gen den Bestimmungen entsprechen, mit denen der Mitgliedstaat die Grcnzen solcher Verarbcitungcn festgelegt hat. Eine Befrciung oder einc Vercinfa- chung kann ebenso vorgcschen werden, wenn cin vom fiir die Vcrarbeitung Vcrantwortlichen be- nannter Datenschutzbcauftragter sicherstellt, daR cine Beeintr~ichtigung der Rechte und Freiheiten der Betroffenen durch die Verarbeitung nicht zu erwarten ist. Ein solcher Bcauftragter, ob Ange- stelltcr des flir die Verarbeitung Vcrantwortlichcn oder externcr Beauftragter, muR seine Aufgaben in vollstiindiger Unabhangigkeit ausuben kbnnen.
(50) Die Befreiung oder Vereinfachung kann vorgesehen werdcn fur Verarbeitungen, deren einziger Zweck das Fuhren cines Registers ist, das gemaR einzel- staatlichem Recht zur Information der Offentlich- keit bestimmt ist und cntwcder dcr gcsamtcn Offentlichkeit odcr allen Personcn, die ein berech- tigtes Interesse nachweisen konnen, zur Einsicht- nahme offensteht.
(51) Die Vereinfachung oder Befreiung von der Melde- pflicht entbindet jedoch den fur die Verarbeitung Verantwortlichen von keiner der anderen sich aus dieser Richtlinie ergebenen Verpflichtungen.
(52) In diesem Zusammenhang ist die nachtragliche Kontrolle durch die zustandigen Stellen im allge- meinen als ausreichende MaRnahme anzusehen.
(53) Bestimmte Vcrarbeitungen kbnnen jedoch aufgrund ihrer Art, ihrer Tragweite oder ihrer Zweckbestim- mung - wie beispielsweise derjenigen, betroffene Personen von der Inanspruchnahme cines Rechts, ciner Leistung oder cines Vertrags auszuschlieRen - oder aufgrund der besonderen Verwendung einer neucn Technologic besondere Risiken im Hinblick auf die Rechte und Frciheiten der betrof- fenen Personen aufweisen. Es obliegt den Mitglied- staaten, derartige Risikcn in ihren Rechtsvorschrif- ten aufzufi.ihren, wcnn sic dtes wunschcn.
(54) Bei allen in der Gesellschaft durchgefuhrten Verar- beitungen sollte die Zahl der Verarbeitungen mit solchen besonderen Risiken sehr beschrankt sein. Die Mitgliedstaaten mussen fur diese Verarbeitun- gen vorsehen, daR vor ihrer Durchfuhrung eine Vorabprufung durch die Kontrollstelle oder in Zusammenarbeit mit ihr durch den Datenschutzbe- auftragten vorgenommen wird. Als Ergebnis dieser Vorabprufung kann die Kontrollstelle gemaR ein- zelstaatlichem Recht cine Stellungnahme abgeben oder die Verarbeitung genehmigen. Diese PrUfung kann auch bei dcr Ausarbeitung einer gesetzgeberi- schen MaRnahme des nationalen Parlaments oder eincr auf eine solche gcsetzgeberische MaRnahme gestutzten MaRnahme erfolgen, die die Art der Verarbeitung und gceignete Garantien festlegt.
(55) Fur den Fall der MifSachtung der Rechte der betroffenen Personcn durch den fur die Verarbei- tung Verantwortlichen ist im nationalen Recht eine gerichtliche OberprUfungsmbglichkeit vorzusehen. Mbglichc Schaden, die den Personen aufgrund einer unzulassigen Vcrarbeitung entstehen, sind von dem fur die Verarbeitung Verantwortlichen zu ersetzen, der von seiner Haftung befreit werden kann, wenn er nachweist, daR der Schaden ihm nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall hbherer Gewalt vorliegt. Unabhangig davon, ob es sich urn cine Person des Privatrechts oder des offentlichen Rechts handclt, mussen Sanktionen jede Person trcffen, die die einzelstaatlichen Vor- schriften zur Umsetzung dieser Richtlinie nicht einhalt.
(56) Grenzuberschreitender Verkehr von personenbezo- genen Daten ist fur die Entwicklung des internatio- nalen Handels notwendig. Der in der Gemeinschaft durch diese Richtlinie gewahrte Schutz von Perso- nen steht der Obermittlung personenbezogener
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281137
Daten in Drittlander, die ein angemessenes Schutz- niveau aufweisen, nicht entgegcn. Die Angemcsscn- heit des Schutznivcaus, das ein Drittland bietet, ist unter Bcrucksichtigung allcr Umstandc im Hinblick auf cine Obcrmittlung oder cine Kategoric von Obcrmittlungcn zu beurtcilen.
(57) Bietet hingcgen cin Drittland kcin angemessencs Schutzniveau, so ist die Obermittlung personenlw- zogencr Daten in dieses Land zu untcrsagen.
(58) Ausnahmen von diesem Verbot sind untcr bestimmten Voraussetzungen vorzusehen, wenn die betroffcnc Person ihre Einwilligung erteilt hat odcr die Obcrmittlung im Rahmen cines Vertrags odcr Gerichtsverfahrens odcr zur Wahrung eines wichti- gcn Mfentlichcn lnteresses erforderlich ist, wie zum Beispiel bei internationalem Datenaustausch zwi- schen ~tcucr- oder Zollverwaltungen oder zwischen Dicnstcn, die flir Angelegenheiten der sozialen Sichcrhcit zust~:indig sind. Ebenso kann cine Obcr- mittlung aus einem gesetzlich vorgcsehenen Regi- ster crfolgen, das der offentlichen Einsichtnahmc oder der Einsichtnahme durch Personen mit berechtigtem Interesse dient. In dicscm Fall solltc cine solchc Obermittlung nicht die Gcsamtheit odcr ganzc Katcgorien der im Register cnthaltencn Daten umfassen. Ist ein Register zur Einsichtnahme durch Personen mit berechtigtem Interesse be- stimmt, so sollte die Obermittlung nur auf Antrag dieser Person oder nur dann erfolgen, wenn dicsc Person die Adrcssaten der Obermittlung sind.
(59) Besondere MafSnahmen k<>nnen getroffen werden, um das unzureichende Schutzniveau in einem Dritt- land auszugleichen, wenn der fur die Vcrarbeitung Vcrantwortliche gceignetc Sicherheiten nachwcist. AufScrdem sind Verfahrcn fur die Verhandlungcn zwischen dcr Gemeinschaft und den betreffenden Drittlandcrn vorzusehen.
(60) Obermittlungen in Drittstaaten durfen auf jedcn rail nur unter voller Einhaltung der Rechtsvor- schriftcn erfolgen, die die Mitgliedstaaten gcmag dicser Richtlinie, insbesondere gem~ifS Artikcl g, crlassen hahen.
(61) Die Mitgliedstaaten und die Kommission mussen in ihren jewedigen Zustandigkeitsbereichen die bc- troffencn Wirtschaftskreise ermutigen, Verhaltens- regeln a uszuarbeiten, um unter Berucksichtigung der Besondcrheiten der Verarbeitung in bestimmtcn Bereichen die Durchfuhrung diescr Richtlinie im Einklang mit den hierfur vorgesehencn einzelstaat- lichen Bcstimmungen zu fbrdern.
(62) Die Einrichtung unabhangiger Kontrollstellen in den Mitglicdstaaten ist ein wcsentliches Element des Schutzes dcr Personen bei der Verarbeitung pcrsonenbezogener Daten.
(63) Diese Stcllen sind mit den notwendigen Mitteln fl"tr die Erfiillung dieser Aufgabe auszustatten, d. h. Untcrsuchungs- und Einwirkungsbefugnissen, ins- besondere bei Beschwcrden, sowic Klagerecht. Die Komrollstellen habcn zur Transparenz der Verar- bcitungen in dcm Mitgliedstaat hcizutragen, dcm sic untcrstehen.
(64) Die Bchbrden der verschiedcncn M itgliedstaaten wcrdcn einander bci der Wahrnchmung ihrer Auf- gabcn unterstutzcn mussen, um sidtcrzustcllcn, daG die Schutzrcgeln in der ganzen Eump~iischcn Union beachtct wcrdcn.
(65) Auf Gemeinschaftsebene ist cine Arbcitsgruppe fur den Schutz cler Rcchtc von Pcrsoncn bei der Verar- bcitung pcrsoncnhczogcner Daten cinzusetzen, die ihre Aufgabcn in v<>lligcr Unabhangigkeit wahrzu- nehmcn hat. Unter lkritcksichtigung dieses beson- dercn Charaktcrs hat sic die Komrnission zu hera- ten und insbesondere zur cinheitlichen Anwendung dcr zur Umsctzung dieser Richtlinie crlassenen ein- zelstaatlichen Vorschriftcn bcizutr.1gen.
(66) fur die Obermittlung von Daten in Drittlandern ist cs zur Anwendung dic:~er Richtlinic erforderlich, dcr Kommission Durchfuhrungsbefugnisse zu uber- tragen und cin Vcrfahren gcmi·if~ den Bestimmun- gcn des Beschlusscs 87/3 73/EWG des Rates (1) fest- zulcgcn.
(67) Am 20. Dezcmbcr 1994 wurdc zwischen dem Europiiischen Parlament, dem Rat unci der Kom- mission ein Modus vivendi bctreffcnd die Maf~nah men zur Durchfuhrung der nach dem Verfahrcn des Artikels I g9b des EC-Vcrtrag erlassenen Rcchtsakte vereinbart.
(68) Die in dieser Richtlinic cnthaltencn Grundsatze des Schutzcs dcr Rechtc und Freiheiten der Personen und insbesondere dcr Achtung der Privatspharc bei der Vcrarbeitung personcnbezogencr Daten k<>nnen - besonders flir bestimmtc Bcreiche - durch spezifische Regcln crgiinzt odcr p·razisiert werden, die mit diescn Grundsiitzcn in Einklang stehen.
(69) Den Mitgliedstaaten sollte cine Frist von langstens drei Jahren ab Inkrafttreten ihrer Vorschriften zur Umsetzung dicscr Richtlinic cingcraumt werden, damit sie die neuen cinzelstaatlichen Vorschriften fortschreitend auf aile hcreits laufcnden Verarbei- tungen anwenden k<>nnen. Um cine kosteneffiziente Durchfuhrung dieser Vorschriften zu erleichtcrn,
(I) ABI. Nr. L 197 vom 18. 7. 1987, S. 33.
Nr. L 281/38 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
wird den Mitgliedstaaten eine weitere Prist von zwolf Jahren nach Annahme dieser Richtlinie cin- geraumt, urn die Anpassung bestehender manueller Dateien an bcstimmte Vorschriften dieser Richtlinie sicherzustellen. Werden in solchen Dateien enthal- tene Daten wahrend dieser erweiterten Umset- zungsfrist manuell verarbcitet, so sollten die Datcien zum Zeitpunkt der Verarbeitung mit die- sen Vorschriften in Einklang gebracht werden.
(70) .Die hctroffene Person braucht nicht erneut ihre Einwilligung zu gehen, damit der Verantwortliche nach Inkrafttreten der einzelstaatlichen Vorschrif- ten zur Umsetzung dieser Richtlinie cine Verarbei- tung sensihler Daten fortfuhren kann, die fur die
Erfullung cines in freier Willenserklarung geschlos- senen Vertrags erforderlich ist und vor Inkrafttre- ten der genannten Vorschriften mitgeteilt wurde.
(71) Diese Richtlinic stcht den gcsetzlichen Regelungen eines Mitgliedstaats im Bereich der geschaftsmagi- gen Werhung gegenuher in seinem Hoheitsgehiet ansassigen Verbrauchern nicht entgegen, sofern sich diese gesetzlichen Regelungen nicht auf den Schutz der Person bei der Verarbeitung personen- bezogener Daten heziehen.
(72) Diese Richtlinie erlauht hei der Umsetzung der mit ihr festgelegten Grundsatze die Berucksichtigung des Grundsatzes des offentlichen Zugangs ZU amtli- chen Dokumenten -
HABEN FOLGENDE RICHTLINIE ERLASSEN:
KAPITEL I
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Gegenstand der Richtlinie
(1) Die Mitgliedstaaten gewahrleisten nach den Bestim- mungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privat- sphare naturlicher Personen bei der Verarbeitung perso- nenbezogener Daten.
(2) Die Mitgliedstaaten heschranken oder untersagen nicht den freien Verkehr personenbezogener Daten zwi- schen Mitgliedstaaten aus Grunden des gemag Ahsatz 1 gewahrleisteten Schutzes.
Artikel 2
Begriffsbestimmungen
Im Sinne dieser Richtlinie bezeichnet der Ausdruck
a) ,personenbezogene Daten" alle Informationen tiber cine bestimmte oder bestimmbare naturliche Person (, hctroffene Person"); als bestimmbar wird cine Per- son angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifi- schen Elementen, die Ausdruck ihrer physischen, phy- siologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitat sind;
b) ,Vcrarbcitung personenbezogener Daten" (,Vcrarbei- tung") jeden mit oder ohne Hilfe automatisierter Verfahrcn ausgefuhrten Vorgang oder jede Vorgangs-
reihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisa- tion, die Aufhewahrung, die Anpassung oder Veran- derung, das Auslesen, das Ahfragen, die Benutzung, die Weitergabe durch Dbermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknupfung sowie das Sperren, Loschen oder Vernichten;
c) ,Datei mit personenbezogenen Daten" (,Datei") jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zuganglich sind, gleichgul- tig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geographischen Gesichtspunk- ten aufgeteilt gefuhrt wird;
d) ,fur die Verarbeitung Verantwortlicher" die naturli- che oder juristische Person, Behorde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen tiber die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarheitung von personenbe- zogenen Daten in einzelstaatlichen oder gemeinschaft- lichen Rechts- und Verwaltungsvorschriften festgelegt, so k()nnen der fur die Verarbeitung Verantwortliche hzw. die spezifischen Kriterien fur seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechts- vorschriften hestimmt werden;
e) ,Auftragsverarbeiter" die naturliche oder juristische Person, Behc)rde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des fur die Verarbeitung Verantwortlichen verarbeitet;
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/39
f) ,Dritter" die naturliche oder juristische Person, Behorde, Einrichtung oder jede andere Stelle, aufSer der betroffenen Person, dem fur die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des fur die Verarbeitung Verantwortlichen oder des Auftragsverarbciters befugt sind, die Daten zu verar- beiten;
g) ,Empfanger" die naturliche oder juristische Person, Behorde, Einrichtung oder jede andere Stelle, die Daten erhalt, gleichgultig, ob es sich bei ihr urn einen Dritten handelt oder nicht. Behorden, die im Rahmen cines einzelnen Untersuchungsauftrags moglicherweise Daten erhalten, gelten jedoch nicht als Empfanger;
h) ,Einwilligung der betroffenen Person" jede Willensbe- kundung, die ohne Zwang, fur den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daR personenbezogene Daten, die sie betreffen, verarbeitet werden.
Artikel 3
Anwendungsbereich
(1) Diese Richtlinie gilt fur die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie fur die nicht automatisierte Verarbeitung personen- bezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.
(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,
die fur die Ausubung von Tatigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschafts- rechts fallen, beispielsweise Tatigkeiten gemafS den Titeln V und VI des Vertrags uber die Europaische Union, und auf keinen Fall auf Verarbeitungen betref- fend die offentliche Sicherheit, die Landesverteidi- gung, die Sicherheit des Staates (einschlieRlich seines
wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates beruhrt) und die Tatigkeiten des Staates im strafrechtlichen Bereich;
die von einer naturlichen Person zur Ausubung aus- schliefSlich personlicher oder familiiirer Tatigkeiten vorgenommen wird.
Artikel 4
Anwendbares einzelstaatliches Recht
(1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlafSt, auf aile Verarbei- tungen personenbezogener Daten an,
a) die im Rahmen der Tatigkeiten einer Niederlassung ausgefuhrt werden, die der fur die Verarbeitung Ver- antwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche cine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen MafSnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhalt;
b) die von einem fur die Verarbeitung Verantwortlichen ausgehlhrt werden, der nicht in seinem Hoheitsgebiet, aber an einem Ort niedergelassen ist, an dem das einzelstaatliche Recht dieses Mitgliedstaats gemafs dem internationalen <>ffentlichen Recht Anwendung findet;
c) die von einem fur die Verarbeitung Verantwortlichen ausgefuhrt werden, der nicht im Gebiet der Gemein- schaft niedergelassen ist und zum Zwecke der Verar- beitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurilckgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, es sci denn, daR diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europaischen Gemeinschaft verwendet werden.
(2) In dem in Absatz 1 Buchstabe c) genannten Fall hat der fur die Verarbeitung Verantwortliche einen im Hoheitsgebiet des genannten Mitgliedsraats ansassigen Vertretcr zu benennen, unbeschadet der Moglichkeit cines Vorgehens gegen den fur die Verarbeitung Verantwortli- chen selbst.
KAPITEL II
ALLGEMEINE BEDINGUNGEN FUR DIE RECHTMASSIGKEIT DER VERARBEITUNG PERSONENBEZOGENER DATEN
Artikel 5
Die Mitgliedstaaten bestimmen nach MafSgabe dieses Kapitels die Voraussetzungen naher, unter denen die Verarbeitung personenbezogener Daten rechtmafSig ist.
Nr. L 281/40 Amtsblatt der Europaischen Gcmcinschaften 23. 11. 95
ABSCHNITT I
GRUNDSATZE IN BEZUG AUF DIE QUALITAT DER DATEN
Artikel 6
(1) Die Mitgliedstaaten sehen vor, daR personcnbezo- gene Daten
a) nach Trcu und Glauben und auf rcchtmagigc Weise vcrarbeitct wcrden;
b) fi'tr fcstgclegtc cindeutige und rechtmaRige Zwecke erhoben und nicht in einer mit diesen Zweckbcstim- mungen nicht zu vcreinbarenden Weise weitcrvcrar- bcitct wcrdcn. Die Wcitervcrarbcitung von Daten zu historischcn, statistischen oder wisscnschaftlichcn Zwcckcn ist im allgcmeinen nicht als unvcrcinbar mit den Zwcckcn der vorausgcgangenen Datcncrhcbung anzusehcn, sofern die Mitglicdstaaten gccignete Garanticn vorschcn;
c) den Zwccken entsprechen, fur die sie erhobcn und/ odcr wciterverarbeitet wcrden, dafur erhcblich sind und nicht daruber hinausgehcn;
d) sachlich richtig und, wcnn ni:>tig, auf den neuesten Stand gcbracht sind; es sind allc angemessencn MaR- nahmcn zu treffen, damit im Hinblick auf die Zwccke, fur die sic erhobcn oder wcitcrverarbeitet werden, nichtzutreffende oder unvollstandigc Daten gel<ischt odcr berichtigt werdcn;
e) nicht Ianger, als es fur die Realisierung der Zwecke, fur die sic erhobcn oder weiterverarbeitet werden, crforderlich ist, in einer Form aufbewahrt werden, die die Idcntifizicrung der betroffcnen Personen crrn()g- licht. Die Mitgliedstaaten schcn geeignctc Garantien fiir personenbczogenc Daten vor, die tiber die vorge- nanntc Dauer hinaus fur historischc, statistischc oder wisscnschaftlichc Zwecke aufbcwahrt werden.
(2) Dcr fur die Vcrarbeitung Vcrantwortliche hat fur die Einhaltung des Absatzes 1 zu sorgcn.
ABSCHNITT II
GRUNDSATZE IN BEZUG AUF DIE ZULASSIGKEIT DER VERARBEITUNG VON DATEN
Artikel 7
Die Mitglicdstaatcn sehen vor, dag die Verarbeitung personcnbczogener Daten lediglich erfolgen darf, wenn einc dcr folgenden Voraussetzungen erfullt ist:
a) Die betroffene Person hat ohnc jeden Zweifel ihre Einwilligung gegeben;
b) die Verarbeitung ist erfordcrlich fur die Erfullung eines Vertrags, dessen Vertragspartei die bctroffene Person ist, oder fiir die Durchfuhrung vorvertraglicher Ma!Snahmen, die auf Antrag der betroffencn Person erfolgcn;
c) die Verarbeitung ist fur die Erfullung einer rechtlichen Verpflichtung erforderlich, der der fur die Vcrarbci- tung Vcrantwortliche unterliegt;
d) die Verarbeitung ist erforderlich fur die Wahrung lebenswichtiger Interessen der betroffenen Person;
c) die Verarbeitung ist erforderlich fur die Wahrneh- mung einer Aufgabc, die im offentlichen Interesse liegt oder in Ausubung offentlicher Gewalt erfolgt und dem fur die Vcrarbeitung Verantwortlichen oder dem Dritten, dem die Daten iibcrmittelt werden, ubertra- gen wurdc;
f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem fur die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten iibermittelt werden, sofern nicht das Interesse oder die Grundrechtc und Grundfrciheiten der betroffenen Per- son, die gemiif~ Artikcl 1 Ahsatz 1 geschutzt sind, iiberwiesen.
AIJSCHNITT III
BESONDERE KATEGORIEN DER VERARBEITUNG
Artikel 8
Verarbeitung besonderer Kategorien personenbezogencr Daten
(1) Die Mitgliedstaaten untersagen die Verarbeitung per- sonenbezogener Daten, aus denen die rassische und ethni- schc Herkunft, politischc Meinungen, religiose odcr phi- losophische Dberzeugungen odcr die Gewerkschaftszuge- hiirigkeit hervorgehen, sowie von Daten uber Gesundheit oder Sexuallcben.
(2) Absatz 1 finder in folgcnden Fiillen keine Anwen- dung:
a) Die betroffcnc Person hat ausdrucklich in die Verar- bcitung der genannten Daten eingewilligt, es sei denn, nach den Rechtsvorschriften des Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden;
oder
b) die Verarbeitung ist crforderlich, um den Rechten und Pflichtcn des flir die Verarbeitung Verantwortlichen auf dem Gebiet des Arbcitsrechts Rechnung zu tragen, sofcrn dies aufgrund von einzclstaatlichem Recht, das angemesscne Garantien vorsicht, zulassig ist;
oder
c) die Vcrarbeitung ist zum Schutz lebenswichtiger Inter- essen der betroffencn Person oder eines Dritten erfor- derlich, sofern die Person aus physischen oder rechtli- chen Griinden aufserstande ist, ihre Einwilligung zu geben;
oder
d) die Verarbeitung erfolgt auf der Grundlage angemes- scner Garantien durch cine politisch, philosophisch, religios oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck verfolgt, im Rahmen ihrer rechtmaRi- gen Tatigkeitcn und unter der Voraussetzung, dag sich die Verarbeitung nur auf die Mitglieder dcr Organisation oder auf Pcrsonen, die im Zusammen- hang mit deren Tatigkeitszweck regelmaRige Kontakte mit ihr unterhalten, bczieht und die Daten nicht ohne
23. 11. 95 Arntsblatt der Europaischen Gerneinschaften Nr. L 281/41
Einwilligung der betroffenen Personen an Dritte wei- tergegeben werden;
oder
e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig Mfentlich gernacht hat, oder ist zur Geltendrnachung, Ausubung oder Vertei- digung rechtlicher Anspriiche vor Gericht erforder- lich.
(3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zurn Zweck der Gesundheitsvorsorge, der rnedizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder fiir die Verwaltung von Gesundheitsdiensten erfor- derlich ist und die Verarbeitung dieser Daten durch arztliches Per~onal erfolgt, das nach dern einzelstaatlichen Recht, einschlieglid1 der von den zust~indigen einzelstaat- lichen Stellen erlassenen Regelungen, dern Berufsgeheirn- nis unterliegt, oder durch sonstige Personen, die emer entsprechendcn Gcheirnhaltungspflicht unterliegen.
(4) Die Mitgliedstaaten k<)nnen vorbchaltlich angerncsse- ner Gar2ntien am Griinden cines wichtigen Mfentlichen lnteresses entweder irn Wege einer nationalen Rechtsvor- schrift oder im Wege einer Entscheidung der Kontroll- stelle andere als die in Absatz 2 genannten Ausnahrnen vorsehen.
(5) Die Verarbeitung von Daten, die Straftaten, straf- rechtliche Verurteilungen oder Sicherungsrnagregeln bc- treffcn, darf nur unter hehordlicher Aufsicht oder auf- grund von cinzelstaatlichern Recht, das angernessene Garantien vorsicht, erfolgen, wobei ein Mitgliedstaat jedoch Ausnahmen aufgrund innerstaatlicher Rechtsvor- schriften, die geeignete besondere Garantien vorsehen, festlegcn kann. Ein vollstjndiges Register der strafrechtli- chen Verurtedungen darf allerdings nur unter behc)rdli- cher Aufsicht gefiihrt werden.
Die Mitgliedstaaten konnen vorsehen, daf~ Daten, die administrative Strafen oder zivilrechtliche Urteile betrcf- fen, ehenfalls unter hehc)rdlicher Aufsicht verarbeitet wer- den miissen.
(6) Die in den Absiitzcn 4 und 5 vorgesehenen Abwei- chungen von Absatz 1 sind der Komrnission mitzuteilen.
(7) Die Mitgliedstaaten bestimrnen, unter welchen Bedingungen cine nationale Kennziffer oder andere Kenn- zeichen allgerneiner Bedeutung Gegenstand einer Verar- beitung sein durfen.
Artikel 9
Verarbcitung personenbczogcner Daten und Meinungs- frciheit
Die Mitgliedstaatcn sehen hir die Verarbcitung personcn- bezogener Daten, die allein zu journalistischen, kunstleri- schen oder literarischen Zwecken erfolgt, Abweichungen und Ausnahmen von diesern Kapitel sowie von den Kapiteln IV und VI nur insofern vor, als sich dies als
notwendig erweist, urn das Recht auf Privatsphare mit den flir die Freiheit der Meinungsiiugerung geltenden Vorschriften in Einklang zu bringen.
ABSCHNITT IV
INFORMATION DER BETROFFENEN PERSON
Artikel 1()
Information bei der Erhebung pcrsoncnbezogener Daten bei der bctroffcncn Person
Die Mitglicdstaaten schen vor, dag die Person, bei der die sie bctreffenden Daten erhoben werdcn, vom fiir die Verarbeitung Verantwortlichen oder seinern Vertreter zurnindest die nachstehenden Informationen crhalt, sofern diese ihr noch nicht vorlicgen:
a) Identitat des hir die Verarbcitung Verantwortlichen und gegcbenenfalls seines Vcrtreters,
b) Zwcckbestirnrnungen der Verarbcitung, fur die die Daten hestimmt sind,
c) weiterc Informationen, beispielsweisc betreffend
die Ernpfiinger oder Kategorien der Empfanger der Daten,
die Fragc, ob die Beantwortung dcr Fragen obliga- torisch oder frciwillig ist, sowie m()gliche Folgen einer unterlasscnen Beantwortung,
das Bcstehen von Auskunfts- und Berichtigungs- rcchtcn beziiglich sic betreffcnder Daten,
sofern sie unter Beriicksichtigung der spezifischen Umstande, untcr dcnen die Daten erhoben werden, notwendig sind, urn gegeni.iber der betroffenen Person eine Verarheitung nach Treu und ( ~lauben zu gewahr- leisten.
Artikcl 11
Informationcn fiir den Fall, daf~ die Daten nicht bei der bctroffenen Person ~~rhoben wurden
(1) Fur den Fall, dag die Daten nicht lxi der bctroffenen Person erhoben wurden, sehcn die Mitgliedstaaten vor, dag die bctroffene Person bei Beginn der Speicherung der Daten hzw. im Fall einer beabsichtigten Weitergabe der Daten an Dritte spatestens bci dcr ersten Dbermittlung vom flir die Verarbeitung Vcrantwortlil hen oder seinern Vertreter zurnindest die nachstehendcn Inforrnationen erhalt, sofcrn diesc ihr noch nicht vorlicgen:
a) Identit~it des fiir die Verarheitung Verantwortlichen und gcgcbcnenfalls seines Vertreters,
b) Zweckbestimmungen der Vcrarbeitung,
Nr. L 281/42 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
c) weitere Informationen, beispielsweise betreffend
die Datenkategorien, die verarbeitet werden,
die Empfanger oder Kategorien der Empfanger der Daten,
das Bestehen von Auskunfts- und Berichtigungs- rechten bezuglich sie betreffender Daten,
sofern sie unter Berucksichtigung der spezifischen Umstande, unter denen die Daten erhoben werden, notwendig sind, urn gegenuber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewahr- leisten.
(2) Absatz 1 findet - insbesondere bei Verarbeitungen fur Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung - keine Anwendung, wenn die Information der betroffenen Person unmoglich ist, unverhaltnismaRigen Aufwand erfordert oder die Speiche- rung oder Weitergabe durch Gesetz ausdrucklich vorgese- hen ist. In diesen fallen sehen die Mitgliedstaaten geeig- nete Garantien vor.
ABSCHNITT V
AUSKUNFTSRECHT DER BETROFFENEN PERSON
Artikel 12
Auskunftsrecht
Die Mitgliedstaaten garantieren jeder betroffenen Person das Recht, vom fur die Verarbeitung Verantwortlichen folgendes zu erhalten:
a) frei und ungehindert in angemessenen Abstanden ohne unzumutbare Verzogerung oder ubermagige Kosten
die Bestatigung, daR es Verarbeitungen sic betref- fender Daten gibt oder nicht gibt, sowie zumindest Informationen uber die Zweckbestimmungen die- ser Verarbeitungen, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Emp- fanger oder Kategorien der Empfanger, an die die Daten ubermittelt werden;
eine Mitteilung in verstandlicher Form uber die Daten, die Gegenstand der Verarbeitung sind, sowie die verfugbaren Informationen uber die Herkunft der Daten;
Auskunft i.iber den logischen Aufbau der automa- tisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne von Artikel 15 Absatz 1;
b) je nach Fall die Berichtigung, Loschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmun- gen dieser Richtlinie entspricht, insbesondere wenn diese Daten unvollstandig oder unrichtig sind;
c) die Gewahr, dag jede Berichtigung, Loschung oder Sperrung, die entsprechend Buchstabe b) durchgefuhrt wurde, den Dritten, denen die Daten ubermittelt wurden, mitgeteilt wird, sofern sich dies nicht als unmoglich erweist oder kein unverhaltnismagiger Aufwand damit verbunden ist.
ABSCHNITT VI
AUSNAHMEN UNO EINSCHRANKUNGEN
Artikel 13
Ausnahmen und Einschrankungen
(1) Die Mitgliedstaaten konnen Rechtsvorschriften erlas- sen, die die Pflichten und Rechte gemaR Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschranken, sofern eine solche Beschrankung not- wendig ist fur
a) die Sicherheit des Staates;
h) die Landesverteidigung;
c) die offentliche Sicherheit;
d) die Verhutung, Ermittlung, Feststellung und Verfol- gung von Straftaten oder Verstogen gegen die berufs- standischen Regeln hei reglementierten Berufen;
e) ein wichtiges wirtschaftliches oder finanzielles Inter- esse cines Mitgliedstaats oder der Europaischen Union einschlieglich Wahrungs-, Haushalts- und Steuerange- legenheiten;
f) Kontroll-, Dberwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausubung offentli- cher Gewalt fur die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind;
g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.
(2) Vorbehaltlich angemessener rechtlicher Garantien, mit denen insbesondere ausgeschlossen wird, dag die Daten fur MaRnahmen oder Entscheidungen gegenuber bestimmten Personen verwendet werden, konnen die Mit- gliedstaaten in Fallen, in denen offensichtlich keinc Gefahr eines Eingriffs in die Privatsphare der betroffenen Person besteht, die in Artikel 12 vorgesehenen Rechte gesetzlich einschranken, wenn die Daten ausschlieRlich fur Zwecke der wissenschaftlichen Forschung verarbeitet werden oder personenbezogen nicht Ianger als erforder- lich lediglich zur Erstellung von Statistiken aufbewahrt werden.
ABSCHNITT VII
WIDERSPRUCHSRECHT DER BETROFFENEN PERSON
Artikel 14
Widerspruchsrecht der betroffenen Person
Die Mitgliedstaaten erkennen das Recht der betroffenen Person an,
a) zumindest in den Fallen von Artikel 7 Buchstaben e) und f) jederzeit aus uberwiegenden, schutzwurdigen, sich aus ihrer besonderen Situation ergebenden Grun- den dagegen Widerspruch einlegen zu konnen, daR sie
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/43
betreffende Daten verarbeitet werden; dies gilt nicht bei einer im einzelstaatlichen Recht vorgesehenen ent- gegenstehenden Bestimmung. Im Fall cines berechtig- ten Widerspruchs kann sich die vom fur die Verarbei- tung Verantwortlichen vorgenommene Verarbeitung nicht mehr auf diese Daten beziehen;
b) auf Antrag kostenfrei gegen eine vom fur die Verar- beitung Verantwortlichen beabsichtigte Verarbeitung sic betreffender Daten fur Zwecke der Direktwerbung Widerspruch cinzulegen oder vor der ersten Weiter- gabe personenbezogener Daten an Dritte oder vor deren crstmaliger N utzung im Auftrag Dritter zu Zwecken der Direktwerbung informiert zu werden und ausdrucklich auf das Recht hingewiesen zu wer- den, kostenfrei gegen eine solche Weitergabe oder Nutzung Widerspruch einlegen zu kbnnen.
Die Mitgliedstaaten ergreifen die erforderlichen MaRnah- men, urn sicherzustellen, daR die betroffenen Personen vom Bestehen des unter Buchstabe b) Unterabsatz 1 vorgesehenen Rechts Kenntnis haben.
Artikel 15
Automatisierte Einzelentscheidungen
(1) Die Mitgliedstaaten raumen jeder Person das Recht ein, keiner fur sie rechtliche Folgen nach sich ziehenden und keiner sic erheblich beeintrachtigenden Entscheidung unterworfen zu wcrden, die ausschlieRlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrcr beruflichen Leistungsfahigkeit, ihrer Krcditwurdigkeit, ihrer Zuverlassigkeit odcr ihres Verbal- tens.
(2) Die Mitgliedstaaten sehen unbeschadet der sonstigen Bestimmungen dieser Richtlinie vor, daR cine Person einer Entscheidung nach Absatz 1 unterworfen werden kann, sofern diese
a) im Rahmen des Abschlusses oder der Erfullung eines Vertrags ergeht und dem Ersuchen der betroffenen Person auf AbschluR oder Erfullung des Vertrags stattgegeben wurde oder die Wahrung ihrer berechtig- ten Interessen durch geeignete MaRnahmen - bei- spielsweise die Mbglichkeit, ihren Standpunkt geltend zu machen - garantiert wird oder
b) durch ein Gesetz zugelassen ist, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt.
ABSCHNITT VIII
VERTRAULICHKEIT UND SICHERHEIT DER VERARBEI- TUNG
Artikel 16
Vertraulichkeit der Verarbeitung
Personen, die dem fur die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang
zu personenbezogenen Daten haben, sowie der Auftrags- verarbeiter selbst durfen personenbezogene Daten nur auf Weisung des fur die Verarbeitung Verantwortlichen ver- arbeiten, es sei denn, es bestehen gesetzliche Verpflichtun- gen.
Artikel 17
Sicherheit der Verarbeitung
(1) Die Mitgliedstaaten sehen vor, daR der fur die Verar- beitung Verantwortliche die geeignetcn technischen und organisatorischen MaRnahmcn durchfuhren muR, die fur den Schutz gegen die zufallige oder unrechtmaRige Zer- storung, den zufalligen Verlust, die unherechtigte Ande- rung, die unberechtigte Weitergabe oder den unberechtig- ten Zugang - insbesondere wcnn im Rahmen der Verar- beitung Daten in einem Netz i.ibertragcn werden - und gegen jedc andere Form dcr unrechtmzd~igcn Verarbeitung personenbezogener Daten erforderlich sind.
Diesc MaRnahmen mussen unter Berucksichtigung des Standes der Technik und der bei ihrcr Durchfuhrung entstehenden Kosten ein Schutzniveau gewahrleisten, das den von der Verarbeitung ausgehenden Risiken und der Art dcr zu schutzendcn Daten angemessen ist.
(2) Die Mitgliedstaaten sehen vor, daR der fur die Verar- beitung Verantwortliche im Fall einer Verarbeitung in seinem Auftrag einen Auftragsverarbeitcr auszuwahlen hat, der hinsichtlich der fur die Verarbeitung zu treffen- den technischen Sicherheitsmagnahmen und organisatori- schen Vorkehrungen ausreichende Gewahr bietet; der fur die Verarbeitung Verantwortliche uberzeugt sich von der Einhaltung dieser MaRnahmen.
(3) Die Durchfuhrung einer Verarbeitung im Auftrag erfolgt auf der Grundlagc cines Vcrtrags odcr Rechtsakts, durch den der Auftragsverarbeiter an den flir die Verar- beitung Verantwortlichen gebunclen ist und in dem insbe- sondere folgcndes vorgesehen ist:
Der Auftragsverarbciter handelt nur auf Weisung des fur die Verarbeitung Vcrantwortlichen;
die in Absatz 1 genannten Verpflichtungen gelten auch fur den Auftragsverarbeiter, und zwar nach MaRgabe der Rechtsvorschriften des \1itgliedstaats, in dem cr seinen Sitz hat.
(4) Zum Zwecke der Beweissicherung sind die daten- schutzrelevanten Elemente des Vertrags oder Rechtsakts und die Anforderungen in bezug auf ~1aRnahmen nach Absatz 1 schriftlich oder in einer anderen Form zu dokumentieren.
ABSCHNITT IX
MELDUNG
Artikel 18
Pflicht zur Meldung bei der Kontrollstelle
(1) Die Mitgliedstaaten sehen cine Meldung durch den fur die Verarbeitung Verantwortlichen oder gegebenen-
Nr. L 2S 1/44 Amtsblatt dcr Europaischcn Gcmeinschaftcn 23. 11. 95
falls seinen Vertrcter bei der in Artikel 28 gcnannten Kontrollstellc vor, bevor cine vollstandig odcr tcilweisc automatisiertc Vcrarbeitung oder cine Mehrzahl von Ver- arbcitungen zur Realisierung einer oder mehrerer verbun- dencr Zwcckhestimmungcn durchgefi.ihrt wird.
(2) Die Mitgliedstaaten konnen cine Vereinfachung der Meldung odcr cine Ausnahmc von der Meldepflicht nur in den folgcnden Fallen und unter folgenden Bcdingungen vorschcn:
Sic lcgen fiir Vcrarbeitungskategoricn, bei denen unter BeriKksichtigung dcr zu verarheitcnden Daten eme Bccintrachtigung der Rechtc und Freiheitcn der bctroffcnen Pcrsonen unwahrscheinlich ist, die Zwcckbestimmungen der Vcrarbcitung, die Daten odcr Katcgorien der verarbeiteten Daten, die Katego- ric(n) der bctroffenen Personen, die Empfangcr oder Katcgoricn dcr Empfanger, denen die Daten weiterge- gcbcn wcrden, und die Dauer dcr Aufbewahrung fest, und/odcr
dcr hir die Vcrarbeitung Verantwortliche bestcllt cnt- sprcchend dem einzelstaatlichcn Recht, dem cr unter- liegt, eincn Datenschutzbeauftragten, dcm insbeson- dere folgendes obliegt:
die unabhangige Dhcrwachung der Anwendung der zur Umsctzung dieser Richtlinie erlasscncn cinzclstaatlichen Bestimmungcn,
die Fuhrung cines Verzeichnisses mit den in Arti- kel 21 Absatz 2 vorgesehenen Informationen tiber die durch den fur die Verarbeitung Verantwortli- chen vorgenommenc Verarbeitung,
um auf diesc Weise sicherzustcllen, daR die Rcchte und Frciheitcn der bctroffenen Pcrsonen durch die Vcrarbeitung nicht beeintrachtigt werden.
(3) Die Mitgliedstaaten k<>nnen vorsehen, dag Absatz 1 keine Anwcndung auf Verarbeitungen findet, deren einzi- gcr Zwcck das hihren cines Register ist, das gemag den Rechts- odcr Verwaltungsvorschriftcn zur Information der Offentlichkeit hestimmt ist und cntweder der gesam- ten Offentlichkeit oder allen Pcrsonen, die ein berechtig- tes Interesse nachweisen konnen, zur Einsichtnahme offenstcht.
(4) Die Mitgliedstaaten k<>nnen die in Artikel 8 Absatz 2 Buchstabe d) genannten Verarbeitungen von der Melde- pflicht ausnehmcn oder die Meldung vereinfachen.
(5) Die Mitglicdstaatcn konncn die Meldepflicht fur nicht automatisicrte Vcrarbeitungen von personcnbezoge- nen Daten gmercll oder in Einzelfallcn vorsehen odcr sic eincr vcrcinfachten Meldung unterwcrfen.
Artikel 19
Inhalt der Meldung
(1) Die Mitgliedstaaten legen fest, welche Angaben die Meldung zu enthalten hat. Hierzu gehort zumindest fol- gendes:
a) Name und Anschrift des fur die Verarbeitung Verant- wortlichen und gegebenenfalls seines Vertreters;
b) die Zweckbestimmung(en) der Verarbeitung;
c) cine Beschreibung der Kategorie(n) der betroffenen Personen und der dieshezuglichen Daten oder Daten- kategorien;
d) die Empfanger oder Kategoricn von Empfangern, dcnen die Daten mitgcteilt werden konnen;
e) cine geplante Datenubcrmittlung in Drittlander;
f) cine allgemeine Beschreibung, die es erme>glicht, vor- laufig zu beurteilen, ob die MaRnahmen nach Artikel 17 zur Gewiihrlcistung dcr Sichcrhcit der Vcrarbci- tung angemcssen sind.
(2) Die Mitgliedstaaten legen die Vcrfahren fest, nach dencn Anderungen der in Absatz 1 genannten Angaben dcr Kontrollstellc zu melden sind.
Artikel 20
Vorabkontrolle
(1) Die Mitgliedstaaten legen fest, welche Verarbeitun- gen spezifische Risiken hir die Rechte und Freiheiten der Personen beinhalten h>nnen, und tragen dafur Sorge, daR diese Verarbeitungcn vor ihrem Bcginn gepri.ift werden.
(2) Solche Vorabprufungen nimmt die Kontrollstelle nach Empfang der Meldung des fiir die Verarbeitung Verantwortlichen vor, oder sic erfolgcn durch den Daten- schutzbcauftragtcn, dcr im Zweifelsfall die Kontrollstellc konsultieren muf~.
(3) Die Mitgliedstaaten konnen cine solche Prufung auch im Zuge der Ausarbeitung einer Magnahme ihrcs Parla- ments oder einer auf cine solchc gesetzgeberische MaR- nahme gcstutztcn Mafsnahme durchfuhren, die die Art der Vcrarbcitung festlcgt und gccignete Garanticn vor- sieht.
Artikel 21
Offentlichkcit der Verarbeitungen
(1) Die Mitgliedstaaten erlassen Magnahmen, mit denen die Offentlichkcit der Verarbcitungen sichergestellt wird.
(2) Die Mitgliedstaaten sehen vor, daR die Kontrollstelle ein Register der gcmals Artikel 1S gemeldeten Verarbei- tungen fuhrt.
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/45
Das Register enthalt mindestens die Angaben nach Arti- kel 19 Absatz 1 Buchstaben a) bis e).
auf Antrag jedermann m geeigneter 'Xfeise verfugbar macht.
Das Register kann von jedermann eingesehen werden.
(3) Die Mitgliedstaaten sehen vor, daR fur Verarbeitun- gen, die von der Meldung ausgenommen sind, der fur die Verarbeitung Verantwortliche oder eine andere von den Mitgliedstaaten benannte Stelle zumindest die in Artikel 19 Absatz 1 Buchstaben a) bis e) vorgesehenen Angaben
Die Mitgliedstaaten konnen vorsehen, daR diese Bestim- mungen keine Anwendung auf Verarbeitungen findet, deren einziger Zweck das Fuhren von Registern ist, die gemaR den Rechts- unci Verwaltungsvorschriften zur Information der Offentlichkeit bestimmt sind unci die entweder der gesamten ()ffent:lichkeit oder allen Perso- nen, die ein berechtigtes Interesse nachweisen konnen, zur Einsichtnahme offenstehen.
KAPITEL III
RECHTSBEHELFE, HAFTUNG UND SANKTIONEN
Artikel 22
Rechtsbehelfe
Unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten des Rechts- weges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, sehen die Mitgliedstaaten vor, daR jede Person bei der Verletzung der Rechte, die ihr durch die fur die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann.
Artikel 23
Haftung
(1) Die Mitgliedstaaten sehen vor, daR jede Person, der wegen einer rechtswidrigen Verarbei- tung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem fur die Verarbeitung Verantwortlichen Schadenersatz zu verlangen.
(2) Der fur die Verarbeitung Verantwortliche kann teilweise oder vollstandig von seiner Haftung befreit werden, wenn er nachweist, daR der Umstand, durch den der Schaclen eingetreten ist, ihm nicht zur Last gelegt werden kann.
Artikel 24
Sanktionen
Die Mitgliedstaaten ergreifen geeignete MaRnahmen, urn die voile Anwendung der Bestimmun- gen dieser Richtlinie sicherzustellen, unci legen insbesondere die Sanktionen fest, die bei VerstbRen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind.
KAPITEL IV
UBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLANDER
Artikel 25
Grundsatze
(1) Die Mitgliedstaaten sehen vor, daR die Ubermittlung personenbezogener Daten, die Gegenstand einer Verarbei- tung sind oder nach der Ubermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie
erlassenen einzelstaatlichen Vorschriften zulassig ist, wenn dieses Drittland em angemessenes Schutzniveau gewahrleistet.
(2) Die Angemessenheit des Schutzniveaus, das ein Dritt- land bietet, wird unter Berucksichtigung aller Umstande beurteilt, die bei einer Datenubermittlung oder einer Kategorie von Datenubermittlungen eine Rolle spielen;
Nr. L 281/46 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
insbesondere werden die Art der Daten, die Zweckbe- stimmung sowie die Dauer der geplanten Verarbeitung , das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sekto- riellen Rechtsnormen sowie die dort geltenden Standesre- geln und SicherheitsmaRnahmen beriicksichtigt.
(3) Die Mitgliedstaaten und die Kommission unterrich- ten einander iiber die Falle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Ahsatzes 2 gewahrleistet.
(4) Stellt die Kommission nach dem Verfahren des Arti- kels 31 Absatz 2 fest, daR ein Drittland kein angemesse- nes Schutzniveau im Sinne des Absatzes 2 des vorliegen- den Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen MaRnahmen, damit keine glcichartigc Dateniibermittlung in das Drittland erfolgt.
(5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, urn Abhilfe fiir die gemaR Absatz 4 festgestcllte Lage zu schaffen.
(6) Die Kommission kann nach dem Verfahren des Arti- kels 31 Absatz 2 feststellen, daR ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder intcrnatio- naler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemaR Absatz 5 eingegangen ist, hinsicht- lich des Schutzes Jer Privatsphare sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutz- niveau im Sinne des Absatzes 2 gewahrleistet.
Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen MaRnahmen.
Artikel 26
Ausnahmen
(1) Ahweichend von Artikel 25 sehen die Mitgliedstaa- ten vorbehaltlich entgegenstehender Regelungen fiir bestimmte Falle im innerstaatlichen Recht vor, daR cine Dhermittlung oder einc Kategorie von Dbermittlungen personcnbezogener Daten in ein Drittland, das kein ange- messenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewahrleistet, vorgenommen werden kann, sofern
a) die hetroffene Person ohne jeden Zweifel ihre Einwil- ligung gegeben hat oder
b) die Dbermittlung fiir die Erfiillung eines Vertrags zwischen der betroffenen Person und dem fiir die Verarbeitung Verantwortlichen oder zur Durchfiih-
rung von vorvertraglichen MaRnahmen auf Antrag der hetroffenen Person erforderlich ist oder
c) die Dbermittlung zum AbschluR oder zur Erfiillung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person vom fur die Verarheitung Verant- wortlichen mit einem Dritten geschlossen wurde oder geschlossen werden soli, oder
d) die Dbermittlung cntweder fiir die Wahrung eines wichtigen offentlichen Intcresscs oder zur Geltendma- chung, Ausiihung oder Verteidigung von Rechtsan- spriichen vor Gericht erforderltch oder gesetzlich vor- geschrieben ist oder
e) die Dbermittlung fiir die Wahrung lebenswichtiger Interessen der hetroffenen Person erforderlich ist oder
f) die Dbermittlung aus einem Register erfolgt, das gemaR den Rechts- oder Vcrwaltungsvorschriften zur Information der Offentlichkeit bestimmt ist und ent- weder der gesamten Offentlichkeit oder allen Perso- nen, die ein berechtigtes Interesse nachweisen konnen, zur Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen fiir die Einsichtnahme im Einzelfall gegeben sind.
(2) Unbeschadet des Absatzes 1 kann ein Mitgliedstaat eine Dbermittlung oder eine Kategorie von Dbermittlun- gen personenbezogener Daten in ein Drittland genehmi- gen, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gcwahrleistet, wenn der fiir die Vcrarbeitung Vcrantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphare, der Grund- rechte und der Grundfreihciten dcr Personen sowie hin- sichtlich der Ausiibung der damit verbundenen Rechtc hietet; diese Garantien konncn sich insbesondere aus entsprechenden Vertragskla usein ergeben.
(3) Der Mitgliedstaat unterrichtet die Kommission und die anderen Mitgliedstaaten iiber die von ihm nach Absatz 2 erteilten Genehmigungen.
Legt cin anderer Mitgliedstaat oder die Kommission einen in bezug auf den Schutz der Privatsphare, der Grund- rechte und der Personen hinreichcnd begriindeten Wider- spruch ein, so erlaRt die Kommission die geeigneten MaRnahmen nach dem Verfahren des Artikels 31 Absatz 2.
Die Mitgliedstaaten treffen die aufgrund des Beschlusses der Kommission gebotenen MaRnahmen.
(4) Befindet dic Kommission nach dem Verfahren des Artikels 31 Absatz 2, daR hestimmtc Standardvertrags- klauseln ausreichende Garantien gemaR Absatz 2 bieten, so treffen die Mitgliedstaaten die aufgrund der Feststel- lung der Kommission gebotenen MaRnahmen.
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281147
KAPITEL V
VERHALTENSREGELN
Artikel 27
(1) Die Mitgliedstaaten und die Kommission fordern die Ausarbeitung von Verhaltensregeln, die nach MaRgabe der Besonderheiten der einzelnen Bereiche zur ordnungsgemiiRen Durchfiih- rung der einzelstaatlichen Vorschriften beitragen sollen, die die Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassen.
(2) Die Mitgliedstaaten sehen vor, daR die Berufsverbiinde und andere Vereinigungen, die andere Kategorien von fur die Verarbeitung Verantwortlichen vertreten, ihre Entwurfe fur einzelstaatliche Verhaltensregeln oder ihre Vorschliige zur Anderung oder Verliingerung beste- hender einzelstaatlicher Verhaltensregeln der zustiindigen einzelstaatlichen Stelle unterbreiten k<>nnen.
Die Mitgliedstaaten sehen vor, daR sich diese Stellen insbesondere davon uberzeugt, daR die ihr unterbreiteten Entwurfe mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in Einklang stehen. Die Stelle holt die Stellungnahmen der betroffenen Personen oder ihrer Vertreter ein, falls ihr dies angebracht erscheint.
(3) Die Entwurfe fur gemeinschaftliche Verhaltensregeln sowie Anderungen oder Verliingerun- gen bestehender gemeinschaftlicher Verhaltensregeln konnen der in Artikel 29 genannten Gruppe unterbreitet werden. Die Gruppe nimmt insbesondere dazu Stellung, ob die ihr unterbreiteten Entwurfe mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in Einklang stehen. Sie holt die Stellungnahmen der betroffenen Personen oder ihrer Vertreter ein, falls ihr dies angebracht erscheint. Die Kommission kann dafur Sorge tragen, daR die Verhaltensregeln, zu denen die Gruppe eine positive Stellungnahme abgegeben hat, m geeigneter Weise veroffentlicht werden.
KAPITEL VI
KONTROLLSTELLE UND GRUPPE FUR DEN SCHUTZ VON PERSONEN BEl DER VERARBEITUNG PERSONENBEZOGENER DATEN
Artikel 28
Kontrollstelle
und das Recht auf Einholung aller fitr die Erfullung ihres Kontrollauftrags erforderlichen Informationen;
(1) Die Mitgliedstaaten sehen vor, daR eine oder meh- rere offentliche Stellen beauftragt werden, die Anwen- dung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu uherwachen.
wirksame Einwirkungsbefugnisse, wie beispielsweise die Moglichkeit, im Einklang mit Artikel 20 vor der Durchfuhrung der Verarbeitungen Stellungnahmen abzugeben und fur eine geeignete Veroffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Loschung oder Vernichtung von Daten oder das vorliiufige oder endgultige Verbot einer Verarbei- tung anzuordnen, oder die Befugnis, e[ne Verwarnung oder eine Ermahnung an den fur die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;
Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in volliger Unabhiingigkeit wahr.
(2) Die Mitgliedstaaten sehen vor, daR die Kontrollstel- len bei der Ausarheitung von Rechtsverordnungen oder Verwaltungsvorschriften hezuglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten angehort werden.
(3) Jede Kontrollstelle verfugt insbesondere uber:
Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind,
das Klagerecht oder eine Anzeigebefugnis bei Versto- Ren gegen die einzelstaatl ichen Vorschriften zur Umsetzung dieser Richtlinie ..
Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.
Nr. L 281/48 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
(4) Jede Person oder ein sie vertretender Verband kann sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Die betroffene Person ist daruber zu informieren, wie mit der Eingabe verfahren wurde.
Jede Kontrollstelle kann insbesondere von jeder Person mit dem Antrag befaiSt werden, die RechtmaiSigkeit einer Verarbeitung zu uberprufen, wenn einzelstaatliche Vor- schriften gemaR Artikel 13 Anwendung finden. Die Per- son ist unter allen Umstanden daruber zu unterrichten, daR eine Oberprufung stattgefunden hat.
(5) Jede Kontrollstelle legt regelmaRig einen Bericht uber ihre Tatigkeit vor. Dieser Bericht wird veroffen~licht.
(6) Jede Kontrollstelle ist im Hoheitsgebiet ihres Mit- gliedstaats fur die Ausubung der ihr gemaR Absatz 3 ubertragenen Befugnisse zustandig, unabhangig vom ein- zelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kon- trollstelle eines anderen Mitgliedstaats urn die Ausi.1bung ihrer Befugnisse ersucht werden.
Die Kontrollstellen sorgen fur die zur Erfullung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenar- beit, insbesondere durch den Austausch sachdienlicher Informationen.
(7) Die Mitgliedstaaten sehen vor, daR die Mitglieder und Bediensteten der Kontrollstellen hinsichtlich der ver- traulichen Informationen, zu denen sie Zugang haben, dem Berufsgeheimnis, auch nach Ausscheiden aus dem Dienst, unterliegen.
Artikel 29
Datenschutzgruppe
(1) Es wird eine Gruppe fur den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt (nachstehend ,Gruppe" genannt).
Die Gruppe ist unabhangig und hat beratende Funktion.
(2) Die Gruppe besteht aus je einem Vertreter der von den einzelnen Mitgliedstaaten bestimmten Kontrollstellen und einem Vertreter der Stelle bzw. der Stellen, die fur die Institutionen und Organe der Gemeinschaft eingerich- tet sind, sowie einem Vertreter der Kommission.
Jedes Mitglied der Gruppe wird von der Institution, der Stelle oder den Stellen, die es vertritt, benannt. Hat ein Mitgliedstaat mehrere Kontrollstellen bestimmt, so ernen- nen diese einen gemeinsamen Vertreter. Gleiches gilt fur die Stellen, die fur die Institutionen und die Organe der Gemeinschaft eingerichtet sind.
(3) Die Gruppe beschlieRt mit der einfachen Mehrheit der Vertreter der Kontrollstellen.
(4) Die Gruppe wahlt ihren Vorsitzenden. Die Dauer der Amtszeit des Vorsitzenden betragt zwei Jahre. Wieder- wahl ist moglich.
(5) Die Sekretariatsgeschafte der Gruppe werden von der Kommission wahrgenommen.
(6) Die Gruppe gibt sich eine Geschaftsordnung.
(7) Die Gruppe pruft die Fragen, die der Vorsitzende von sich aus oder auf Antrag cines Vertreters der Kon- trollstellen oder auf Antrag der Kommission auf die Tagesordnung gesetzt hat.
Artikel 30
(1) Die Gruppe hat die Aufgabe,
a) aile Fragen im Zusammenhang mit den zur Umset- zung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zu prufen, urn zu einer einheitlichen Anwendung beizutragen;
b) zum Schutzniveau in der Gemeinschaft und in Dritt- landern gegenuber der Kommission Stellung zu neb- men;
c) die Kommission bei jeder Vorlage zur Anderung die- ser Richtlinie, zu allen Entwurfen zusatzlicher oder spezifischer MaiSnahmen zur Wahrung der Rechte und Freiheiten naturlicher Personen bei der Verarbei- tung personenbezogener Daten sowie zu allen anderen Entwurfen von GemeinschaftsmaRnahmen zu beraten, die sich auf diese Rechte und Freiheiten auswirken;
d) Stellungnahmen zu den auf Gemeinschaftsebene erar- beiteten Verhaltensregeln abzugeben.
(2) Stellt die Gruppe fest, daR sich im Bereich des Schutzes von Personen bei der Verarbeitung personenbe- zogener Daten zwischen den Rechtsvorschriften oder der Praxis der Mitgliedstaaten Unterschiede ergeben, die die Gleichwertigkeit des Schutzes in der Gemeinschaft beein- trachtigen konnten, so teilt sie dies der Kommission mit.
(3) Die Gruppe kann von sich aus Empfehlungen zu allen Fragen abgeben, die den Schutz von Personen bei der Verarbeitung personenbezogener Daten 111 der Gemeinschaft betreffen.
(4) Die Stellungnahmen und Empfehlungen der Gruppe werden der Kommission und dem in Artikel 31 genann- ten AusschuR ubermittelt.
(5) Die Kommission teilt der Gruppe mit, welche Konse- quenzen sie aus den Stellungnahmen und Empfehlungen gezogen hat. Sie erstellt hierzu einen Bericht, der auch
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/49
dem Europaischen Parlament und dem Rat i.ibermittelt wird. Dieser Bericht wird veroffentlicht.
tung personenbezogener Daten in der Gemeinschaft und in Drittlandern, den sie der Kommission, dem Europai- schen Parlament und dem Rat iibermittelt:. Dieser Bericht wird veroffentlicht.(6) Die Gruppe erstellt jahrlich einen Bericht i.iber den
Stand des Schutzes nati.irlicher Personen bei der Verarbei-
KAPITEL VII
GEMEINSCHAFTLICHE DURCHFUHRUNGSMASSNAHMEN
Artikel 31
Ausschuf:verfahren
(1) Die Kommission wird von einem AusschuR untersti.itzt, der sich aus Vertretern der Mitgliedstaaten zusammensetzt und in dem der Vertreter der Kommission den Vorsitz fi.ihrt.
(2) Der Vertreter der Kommission unterbreitet dem Ausschu!S einen Entwurf der zu treffenden Ma!Snahmen. Der Ausschu!S gibt seine Stellungnahme zu diesem Entwurf innerhalb einer Frist ah, die der Vorsitzende unter Beri.icksichtigung der Dringlichkeit der betreffenden Frage festsetzen kann.
Die Stellungnahme wird mit der Mehrheit abgegeben, die in Artikel 148 Absatz 2 des Vertrags vorgesehen ist. Bei der Abstimmung im Ausschuf: werden die Stimmen der Vertreter der Mitgliedstaaten gemaR dem vorgenannten Artikel gewogen. Der Vorsitzende nimmt an der Abstimmung nicht teil.
Die Kommission erlaRt MaRnahmen, die unmittelbar gelten. Stimmen sie jedoch mit der Stellungnahme des Ausschusses nicht iiberein, werden sie von der Kommission unverzi.iglich dem Rat mitgeteilt. In diesem Fall gilt folgendes:
Die Kommission verschiebt die Durchfi.ihrung der von ihr beschlossenen Ma!Snahmen urn drei Monate vom Zeitpunkt der Mitteilung an;
der Rat kann innerhalb des im ersten Gedankenstrich genannten Zeitraums mit qualifizierter Mehrheit einen anderslautenden BeschlufS fassen.
SCHLUSSBESTIMMUNGEN
Artikel 32
(1) Die Mitgliedstaaten erlassen die erforderlichen Rechts- und Verwaltungsvorschriften, urn dieser Richtli- nie binnen drei Jahren nach ihrer Annahme nachzukom- men.
Wenn die Mitgliedstaaten derartige Vorschriften erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veroffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelhei- ten der Bezugnahme.
(2) Die Mitgliedstaaten tragen dafi.ir Sorge, daR Verar- beitungen, die zum Zeitpunkt des Inkrafttretens der ein- zelstaatlichen Vorschriften zur Umsetzung dieser Richtli- nie bereits begonnen wurden, binnen drei Jahren nach diesem Zeitpunkt mit diesen Bestimmungen in Einklang gebracht werden.
Abweichend von Unterabsatz 1 konnen die Mitgliedstaa- ten vorsehen, daR die Verarbeitungen von Daten, die zum Zeitpunkt des Inkrafttretens der einzelstaatlichen Vor- schriften zur Umsetzung dieser Richtlinie bereits in manu- ellen Dateien enthalten sind, binnen zwolf Jahren nach Annahme dieser Richtlinie mit den Artikeln 6, 7 und 8 in Einklang zu bringen sind. Die Mitglied~.taaten gestatten jedoch, daR die betroffene Person auf Antrag und insbe- sondere bei Ausi.ibung des Zugangsrechts die Berichti- gung, Loschung oder Sperrung von Daten erreichen kann, die unvollstandig, unzutreffend oder auf eine Art und Weise aufbewahrt sind, die mit den vom fiir die Verarbei- tung Verantwortlichen verfolgten rechtma!Sigen Zwecken unvereinbar ist.
(3) Abweichend von Absatz 2 konnen die Mitgliedstaa- ten vorbehaltlich geeigneter Garantien vorsehen, daR Daten, die ausschlieRlich zum Zwecke der historischen
Nr. L 281150 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
Forschung aufbewahrt werden, nicht mit den Artikeln 6, 7 und 8 in Einklang gebracht werden mtissen.
(4) Die Mitgliedstaaten teilen der Kommission den Wortlaut der innerstaatlichen Vorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.
Artikel 33
Die Kommission legt dem Europaischen Parlament und dem Rat regelmaBig, und zwar erstmals drei Jahre nach dem in Artikel 32 Absatz 1 genannten Zeitpunkt, einen Bericht tiber die Durchftihrung dieser Richtlinie vor und ftigt ihm gegebenenfalls geeignete Anderungsvorschlage bei. Dieser Bericht wird veroffentlicht.
Die Kommission priift insbesondere die Anwendung die- ser Richtlinie auf die Verarbeitung personenbezogener
Bild- und Tondaten und unterbreitet geeignete Vor- schlage, die sich unter Berticksichtigung der Entwicklung der lnformationstechnologie und der Arbeiten tiber die Informationsgesellschaft als notwendig erweisen konn- ten.
Artikel 34
Diese Richtlinie ist an die Mitgliedstaaten gerichtet.
Geschehen zu Luxemburg am 24. Oktober 1995.
Im Namen des Europaischen Par/aments
Der Prasident
K. HANSCH
Im Namen des Rates
Der Prasident
L. ATIENZA SERNA
23. 11. 95 Official Journal of the European Communities No L 281131
DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
of 24 October 1995
on the protection of individuals with regard to the processing of personal data and on the free movement of such data
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,
Having regard to the Treaty establishing the European Community, and in particular Article 100a thereof,
Having regard to the proposal from the Commission (1),
Having regard to the opinion of the Economic and Social Committee e),
Acting in accordance with the procedure referred to m Article 189b of the Treaty (3 ),
(1) Whereas the objectives of the Community, as laid down in the Treaty, as amended by the Treaty on European Union, include creating an ever closer union among the peoples of Europe, fostering closer relations between the States belonging to the Community, ensuring economic and social progress by common action to eliminate the barriers which divide Europe, encouraging the constant improvement of the living conditions of its peoples, preserving and strengthening peace and liberty and promoting democracy on the basis of the fundamental rights recognized in the constitution and laws of the Member States and in the European Convention for the Protection of Human Rights and Fundamental Freedoms;
(2) Whereas data-processing systems are designed to serve man; whereas they must, whatever the nationality or residence of natural persons, respect their fundamental rights and freedoms, notably the right to privacy, and contribute to economic and social progress, trade expansion and the well-being of individuals;
(3) Whereas the establishment and functioning of an internal market in which, in accordance with
e) OJ No C 277, 5. 11. 1990, p. 3 and OJ No C 311,27. 11. 1992, p. 30.
e) OJ No C 159, 17. 6. 1991, p 38. (l) Opinion of the European Parliament of 11 March 1992 (OJ
No C 94, 13. 4. 1992, p. 198), confirmed on 2 December 1993 (OJ No C: 342, 20. 12. 1993, p. 30); Council common position of 20 February 1995 (OJ No C 93, 13. 4. 1995, p. 1) and Decision of the European Parliament of 15 June 1995 (OJ No C: 166, 3. 7. 1995).
(4)
Article 7a of the Treaty, the free movement of goods, persons, services and capital is ensured require not only that personal data should be able to flow freely from one Member State to another, but also that the fundamental rights of individuals should be safeguarded;
Whereas increasingly frequent recourse is being had in the Community to the processing of personal data in the various spheres of economic and social activity; whereas the progress made in information technology is making the processing and exchange of such data considerably easier;
(5) Whereas the economic and social integration resulting from the establishment and functioning of the internal market within the meaning of Article 7a of the Treaty will necessarily lead to a substantial increase in cross-border flows of personal data between all those involved in a private or public capacity in economic and social activity in the Member States; whereas the exchange of personal data between undertakings in different Member States is set to increase; whereas the national authorities in the various Member States are being called upon by virtue of Community law to collaborate and exchange personal data so as to be able to perform their duties or carry out tasks on behalf of an authority in another Member State within the context of the area without internal frontiers as constituted by the internal market;
(6) Whereas, furthermore, the increase in scientific and technical cooperation and the coordinated introduction of new telecommunications networks in the Community necessitate and facilitate cross-border flows of personal data;
(7) Whereas the difference in levels of protection of the rights and freedoms of individuals, notably the right to privacy, with regard to the processing of personal data afforded in the Member States may prevent the transmission of such data from the territory of one Member State to that of another Member State; whereas this difference may therefore constitute an obstacle to the pursuit of a number of economic activities at Community level,
No L 2Xl/32 Official Journal of the European Communities 23. 11. 9S
(R)
(9)
distort competition and impede authorities in the discharge of their responsibilities under Community law; whereas this difference in levels of protection is due to the existence of a wide variety of national laws, regulations and administrative provisions;
Whereas, in order to remove the obstacles to flows of personal data, the level of protection of the rights and freedoms of individuals with regard to the processing of such data must be equivalent in all Member States; whereas this objective is vital to the internal market but cannot be achieved by the Member States alone, especially in view of the scale of the divergences which currently exist between the relevant laws in the Member States and the need to coordinate the laws of the Member States so as to ensure that the cross-border flow of personal data is regulated in a consistent manner that is in keeping with the objective of the internal market as provided for in Article 7a of the Treaty; whereas Community action to approximate those laws is therefore needed;
Whereas, given the equivalent protection resulting from the approximation of national laws, the Member States will no longer be able to inhibit the free movement between them of personal data on grounds relating to protection of the rights and freedoms of individuals, and in particular the right to privacy; whereas Member States will be left a margin for manoeuvre, which may, in the context of implementation of the Directive, also be exercised by the business and social partners; whereas Member States will therefore be able to specify in their national law the general conditions governing the lawfulness of data processmg; whereas in doing so the Member States shall strive to improve the protection currently provided by their legislation; whereas, within the limits of this margin for manoeuvre and in accordance with Community law, disparities could arise in the implementation of the Directive, and this could have an effect on the movement of data within a Member State as well as within the Community;
(10) Whereas the object of the national laws on the proccssmg of personal data is to protect fundamental rights and freedoms, notably the right to privacy, which is recognized both in Article 8 of the European Convention for the Protection of Human Rights and Fundamental Freedoms and in the general principles of Community law; whereas, for that reason, the approximation of those laws must not result in any lessening of the protection they afford but must, on the contrary, seck to ensure a high level of protection 111 the Community;
(11) Whereas the principles of the protection of the rights and freedoms of individuals, notably the right to privacy, which are contained in this Directive, give substance to and amplify those contained in the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to Automatic Processing of Personal Data;
(12) Whereas the protection principles must apply to all processing of personal data by any person whose activities arc governed by Community law; whcrca~ there should be excluded the processing of data carried out by a natural person in the exercise of activities which arc exclusively personal or domestic, such as correspondence and the holding of records of addresses;
(13) Whereas the acitivitics referred to in Titles V and VI of the Treaty on European Union regarding public safety, defence, State security or the acitivities of the State in the area of criminal laws fall outside the scope of Community law, without prejudice to the obligations incumbent upon Member States under Article 56 (2), Article 57 or Article I OOa of the Treaty establishing the European Community; whereas the processing of personal data that is necessary to safeguard the economic well-being of the State does not fall within the scope of this Directive where such processing relates to State security matters;
(14) Whereas, gtven the importance of the developments under way, in the framework of the information society, of the techniques used to capture, transmit, manipulate, record, store or communicate sound and image data relating to natural persons, this Directive should be applicable to processing involving such data;
(1.5) Whereas the processing of such data is covered by this Directive only if it is automated or if the data processed are contained or arc intended to be contained in a filing system structured according to specific criteria relating to individuals, so as to permit easy access to the personal data m question;
(16) Whereas the processing of sound and image data, such as in cases of video surveillance, docs not come within the scope of this Directive if it is carried out for the purposes of public security, defence, national security or in the course of State activities relating to the area of criminal law or of other activities which do not come within the scope of Community law;
(17) Whereas, as far as the processing of sound and image data carried out for purposes of journalism
2.1. 11. 95 Official Journal of the European Communities No L 281/33
or the purposes of literary or artistic expression is concerned, in particular in the audiovisual field, the principles of the Directive are to apply in a restricted manner according to the provisions laid down in Article 9;
(18) Whereas, in order to ensure that individuals arc not deprived of the protection to which they arc entitled under this Directive, any processing of personal data in the Community must be carried out in accordance with the law of one of the Member States; whereas, m this connection, processing carried out under the responsibility of a controller who is established in a Member State should be governed by the law of that State;
(19) Whereas establishment on the territory of a Member State implies the effective and real exercise of activity through stable arrangements; whereas the legal form of such an establishment, whether simply branch or a subsidiary with a legal personality, is not the determining factor in this respect; whereas, when a single controller is established on the territory of several Member States, particularly by means of subsidiaries, he must ensure, in order to avoid any circumvention of national rules, that each of the establishments fulfils the obligations imposed by the national law applicable to its activities;
(20) Whereas the fact that the processing of data is carried out by a person established m a third country must not stand in the way of the protection of individuals provided for in this Directive; whereas in these cases, the processing should be governed by the law of the Member State in which the means used arc located, and there should he guarantees to ensure that the rights and obligations provided for in this Directive are respected in practice;
(21) Whereas this Directive is without prejudice to the rules of territoriality applicable m criminal matters;
(22) Whereas Member States shall more precisely define in the laws they enact or when bringing into force the measures taken under this Directive the general circumstances m which processmg IS lawful; whereas in particular Article 5, in conjunction with Articles 7 and 8, allows Member States, independently of general rules, to provide for special processing conditions for specific sectors and for the various categories of data covered by Article ~;
(23) Whereas Member States are empowered to ensure the implementation of the protection of individuals both by means of a general law on the protection of individuals as regards the processing of personal
data and by sectorial laws such as those relating, for example, to statistical institutes;
(24) Whereas the legislation concerning the protection of legal persons with regard to the processing data which concerns them is not affected by this Directive;
(25) Whereas the principles of protection must be reflected, on the one hand, in the obligations imposed on persons, public authorities, enterprises, agencies or other bodies responsible for processing, in particular regarding data quality, technic1l security, notification to the supervisory authority, and the circumstances under which processing can be carried out, and, on the other hand, in the right conferred on individuals, the data on whom are the subject of processing, to be informed that processing is taking place, to consult the data, to request corrections and even to object to processing in certain circumstance-;;
(26) Whereas the principles of protection must apply to any information concerning an identified or identifiable person; whereas, to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person; whereas the principles of protection shall not apply to data rendered anonymous in such a way that the data subject is no longer identifiable; whereas codes of conduct within the meaning of Article 27 may be a useful instrument for providing guidance as to the ways m which data may be rendered anonymous and retained in a form in which identification of the data subject is no longer possible;
(27) Whereas the protection of individuals must apply as much to automatic processing of data as to manual processing; whereas the scope of this protection must not in effect depend on the techniques used, otherwise this would create a senous risk of circumvention; whereas, nonetheless, as regards manual processmg, this Directive covers only filing systems, not unstructured files; whereas, 111 particular, the content of a filing system must be structured according to specific criteria relating to individuals allowing easy access to the personal data; whereas, in line with the definition in Article 2 (c), the different criteria for determining the constituents of a structured set of personal data, and the different criteria governing acce~s to such a set,
No L 281/34 Official Journal of the Europea.n Communities 23. 11. 95
may be laid down by each Member State; whereas files or sets of files as well as their cover pages, which are not structured according to specific criteria, shall under no circumstances fall within the scope of this Directive;
(28) Whereas any processing of personal data must be lawful and fair to the individuals concerned; whereas, in particular, the data must be adequate, relevant and not excessive in relation to the purposes for which they are processed; whereas such purposes must be explicit and legitimate and must be determined at the time of collection of the data; whereas the purposes of processing further to collection shall not be incompatible with the purposes as they were originally specified;
(29) Whereas the further processing of personal data for historical, statistical or scientific purposes is not generally to be considered incompatible with the purposes for which the data have previously been collected provided that Member States furnish suitable safeguards; whereas these safeguards must in particular rule out the use of the data in support of measures or decisions regarding any particular individual;
(30) Whereas, in order to be lawful, the processing of personal data must in addition be carried out with the consent of the data subject or be necessary for the conclusion or performance of a contract binding on the data subject, or as a legal requirement, or for the performance of a task carried out in the public interest or in the exercise of official authority, or in the legitimate interests of a natural or legal person, provided that the interests or the rights and freedoms of the data subject are not overriding; whereas, in particular, in order to maintain a balance between the interests involved while guaranteeing effective competition, Member States may determine the circumstances in which personal data may be used or disclosed to a third party in the context of the legitimate ordinary business activities of companies and other bodies; whereas Member States may similarly specify the conditions under which personal data may be disclosed to a third party for the purposes of marketing whether carried out commercially or by a charitable organization or by any other association or foundation, of a political nature for example, subject to the provisions allowing a data subject to object to the processing of data regarding him, at no cost and without having to state his reasons;
(31) Whereas the processing of personal data must equally be regarded as lawful where it is carried out in order to protect an interest which is essential for the data subject's life;
(32) Whereas it is for national legislation to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public administration or another natural or legal person governed by public law, or by private law such as a professional association;
(33) Whereas data which are capable by their nature of infringing fundamental freedoms or privacy should not be processed unless the data subject gives his explicit consent; whereas, however, derogations from this prohibition must be explicitly provided for in respect of specific needs, in particular where the processing of these data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy or in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms;
(34) Whereas Member States must also be authorized, when justified by grounds of important public interest, to derogate from the prohibition on processing sensitive categories of data where important reasons of public interest so justify in areas such as public health and social protection - especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system - scientific research and government statistics; whereas it is incumbent on them, however, to provide specific and suitable safeguards so as to protect the fundamental rights and the privacy of individuals;
(35) Whereas, moreover, the processing of personal data by official authorities for achieving aims, laid down in constitutional law or international public law, of officially recognized religious associations is carried out on important grounds of public interest;
(36) Whereas where, in the course of electoral activities, the operation of the democratic system requires in certain Member States that political parties compile data on people's political opinion, the processing of such data may be permitted for reasons of important public interest, provided that appropriate safeguards are established;
(37) Whereas the processing of personal data for purposes of journalism or for purposes of literary of artistic expressiOn, in particular in the audiovisual field, should qualify for exemption from the requirements of certain provisions of this Directive in so far as this is necessary to reconcile
23. 11. 95 Official Journal of the European Communities No L 281/35
the fundamental rights of individuals with freedom of information and notably the right to receive and impart information, as guaranteed in particular in Article 10 of the European Convention for the Protection of Human Rights and Fundamental Freedoms; whereas Member States should therefore lay down exemptions and derogations necessary for the purpose of balance between fundamental rights as regards general measures on the legitimacy of data processing, measures on the transfer of data to third countries and the power of the supervisory authority; whereas this should not, however, lead Member States to lay down exemptions from the measures to ensure security of processmg; whereas at least the supervisory authority responsible for this sector should also he provided with certain ex-post powers, e.g. to publish a regular report or to refer matters to the judicial authorities;
(38) Whereas, if the processing of data is to be fair, the data subject must he in a position to learn of the existence of a processing operation and, where data are collected from him, must be given accurate and full information, bearing in mind the circumstances of the collection;
(39) Whereas certain processing operations involve data which the controller has not collected directly from the data subject; whereas, furthermore, data can be legitimately disclosed to a third party, even if the disclosure was not anticipated at the time the data were collected from the data subject; whereas, in all these cases, the data subject should be informed when the data are recorded or at the latest when the data are first disclosed to a third party;
(40) Whereas, however, it is not necessary to impose this obligation of the data subject already has the information; whereas, moreover, there will be no such obligation if the recording or disclosure are expressly provided for by law or if the provision of information to the data subject proves impossible or would involve disproportionate efforts, which could be the case where processing is for historical, statistical or scientific purposes; whereas, in this regard, the number of data subjects, the age of the data, and any compensatory measures adopted may be taken into consideration;
(41) Whereas any person must be able to exercise the right of access to data relating to him which are being processed, in order to verify in particular the accuracy of the data and the lawfulness of the processing; whereas, for the same reasons, every data subject must also have the right to know the logic involved in the automatic processing of data
concerning him, at least in the case of the automated decisions referred to in Article 15 (1); whereas this right must not adversely affect trade secrets or intellectual property and in particular the copyright protecting the software; whereas these considerations must not, however, result in the data subject being refused all information;
(42) Whereas Member States may, in the interest of the data subject or so as to protect the rights and freedoms of others, restrict rights of access and information; whereas they may, for example, specify that access to medical data may be obtained only through a health professional;
(43) Whereas restrictions on the rights of access and information and on certain obligations of the controller may similarly be imposed by Member States in so far as they are necessary to safeguard, for example, national security, defence, public safety, or important economic or financial interests of a Member State or the Union, as well as criminal investigations and prosecutions anq action in respect of breaches of ethics in the regulated professions; whereas the list of exceptions and limitations should include the tasks of monitoring, inspection or regulation necessary in the three last-mentioned areas concerning public security, economic or financial interests and cnme prevention; whereas the listing of tasks in these three areas does not affect the legitimacy of exceptions or restrictions for reasons of State security or defence;
(44) Whereas Member States may also be led, by virtue of the provisions of Community law, to derogate from the provisions of this Directive concerning the right of access, the obligation to inform individuals, and the quality of data, in order to secure certain of the purposes referred to above;
(45) Whereas, in cases where data might lawfully be processed on grounds of public interest, official authority or the legitimate interests of a natural or legal person, any data subject should nevertheless be entitled, on legitimate and compelling grounds relating to his particular situation, to object to the processing of any data relating to himself; whereas Member States may nevertheless lay down national provisions to the contrary;
(46) Whereas the protection of the rights and freedoms of data subjects with regard to the processing of personal data requires that appropriate technical
No L 281/36 Official Journal of the European Communities 23. 11. 95
and organizational measures be taken, both at the time of the design of the processing system and at the time of the processing itself, particularly in order to maintain security and thereby to prevent any unauthorized processmg; whereas it Is incumbent on the Member States to ensure that controllers comply with these measures; whereas these measures must ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks inherent in the processing and the nature of the data to be protected;
(47) Whereas where a message containing personal data is transmitted by means of a telecommunications or electronic mail service, the sole purpose of which is the transmission of such messages, the controller in respect of the personal data contained in the message will normally be considered to be the person from whom the message originates, rather than the person offering the transmission services; whereas, nevertheless, those offering such services will normally be considered controllers in respect of the processing of the additional personal data necessary for the operation of the service;
(48) Whereas the procedures for notifying the supervisory authority are designed to ensure disclosure of the purposes and mam features of any processing operation for the purpose of verification that the operation is in accordance with the national measures taken under this Directive;
(49) Whereas, m order to avoid unsuitable administrative formalities, exemptions from the obligation to notify and simplification of the notification required may be provided for by Member States in cases where processing is unlikely adversely to affect the rights and freedoms of data subjects, provided that it is in accordance with a measure taken by a Member State specifying its limits; whereas exemption or simplification may similarly he provided for by Member States where a person appointed by the controller ensures that the processing carried out is not likely adversely to affect the rights and freedoms of data subjects; whereas such a data protection official, whether or not an employee of the controller, must be in a position to exercise his functions in complete independence;
(50) Whereas exemption or simplification could be provided for in cases of processing operations whose sole purpose is the keeping of a register intended, according to national law, to provide information to the public and open to consultation by the public or by any person demonstrating a legitimate interest;
(51) Whereas, nevertheless, simplification or exemption from the obligation to notify shall not release the controller from any of the other obligations resulting from this Directive;
(52) Whereas, in this context, ex post facto verification by the competent authorities must in general be considered a sufficient measure;
(53) Whereas, however, certain processing operation are likely to pose specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes, such as that of excluding individuals from a right, benefit or a contract, or by virtue of the specific use of new technologies; whereas it is for Member States, if they so wish, to specify such risks in their legislation;
(54) Whereas with regard to all the processmg undertaken in society, the amount posing such specific risks should be very limited; whereas Member States must provide that the supervisory authority, or the data protection official m cooperation with the authority, check such processing prior to it being carried out; whereas following this pnor check, the supervisory authority may, according to its national law, give an opinion or an authorization regarding the processing; whereas such checking may equally take place in the course of the preparation either of a measure of the national parliament or of a measure based on such a legislative measure, which defines the nature of the processing and lays down appropriate safeguards;
(55) Whereas, if the controller fails to respect the rights of data subjects, national legislation must provide for a judicial remedy; whereas any damage which a person may suffer as a result of unlawful processing must be compensated for by the controller, who may be exempted from liability if he proves that he is not responsible for the damage, in particular in cases where he establishes fault on the part of the data subject or in case of force majeure; whereas sanctions must be imposed on any person, whether governed by private of public law, who fails to comply with the national measures taken under this Directive;
(56) Whereas cross-border flows of personal data are necessary to the expansion of international trade; whereas the protection of individuals guaranteed in the Community by this Directive does not stand in the way of transfers of personal data to third
23. 11. 95 Official Journal of the European Communities No L 281/37
countries which ensure an adequate level of protection; whereas the adequacy of the level of protection afforded by a third country must be assessed in the light of all the circumstances surrounding the transfer operation or set of transfer operations;
(57) Whereas, on the other hand, the transfer of personal data to a third country which does not ensure an adequate level of protection must be prohibited;
(58) Whereas provisions should be made for exemptions from this prohibition m certain circumstances where the data subject has given his consent, where the transfer is necessary in relation to a contract or a legal claim, where protection of an important public interest so requires, for example in cases of international transfers of data between tax or customs administrations or between services competent for social security matters, or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest; whereas in this case such a transfer should not involve the entirety of the data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or if they arc to be the recipients;
(59) Whereas particular measures may be taken to compensate for the lack of protection in a third country in cases where the controller offers appropriate safeguards; whereas, moreover, proviSion must he made for procedures for negotiations between the Community and such third countries;
(60) Whereas, in any event, transfers to third countries may be effected only in full compliance with the provisions adopted by the Member States pursuant to this Directive, and in particular Article 8 thereof;
(61) Whereas Member States and the Commission, in their respective spheres of competence, must encourage the trade associations and other representative organizations concerned to draw up codes of conduct so as to facilitate the application of this Directive, taking account of the specific characteristics of the processing carried out in certain sectors, and respecting the national provisions adopted for its implementation;
(62) Whereas the establishment in Member States of supervisory authorities, exercising their functions with complete independence, is an essential component of the protection of individuals with regard to the processing of personal data;
(63) Whereas such authorities must have the necessary means to perform their duties, including powers of investigation and intervention, particularly in cases of complaints from individuals, and powers to engage m legal proceedings; whereas such authorities must help to ensure transparency of processing in the Member States within whose jurisdiction they fall;
(64) Whereas the authorities in the different Member States will need to assist one another in performing their duties so as to ensure that the rules of protection are properly respected throughout the European Union;
(65) Whereas, at Community level, a Working Party on the Protection of Individuals with regard to the Processing of Personal Data must be set up and be completely independent in the performance of its functions; whereas, having regard to its specific nature, it must advise the Commission and, in particular, contribute to the uniform application of the national rules adopted pursuant to this Directive;
(66) Whereas, with regard to the transfer of data to third countries, the application of this Directive calls for the conferment of powers of implementation on the Commission and the establishment of a procedure as laid down in Council Decision 871.)73/EEC (1};
(67) Whereas an agreement on a modus viuendi between the European Parliament, the Council and the Commission concerning the implementing measures for acts adopted in accordance with the procedure laid down in Article 189b of the EC: Treaty was reached on 20 December 1994;
(68) Whereas the principles set out in this Directive regarding the protection of the rights and freedoms of individuals, notably their right to privacy, with regard to the processing of personal data may be supplemented or clarified, in particular as far as certain sectors are concerned, by specific rules based on those principles;
(69) Whereas Member States should be allowed a period of not more than three years from the entry into force of the national measures transposing this Directive in which to apply such new national rules progressively to all processing operations already under way; whereas, in order to facilitate their cost-effective implementation, a further period
e) OJ No L 197, 1X. 7. 19X7, p. .13.
No L 281/38 Official Journal of the European Communities 23. 11. 95
expmng 12 years after the date on which this Directive is adopted will be allowed to Member States to ensure the conformity of existing manual filing systems with certain of the Directive's provisions; whereas, where data contained in such filing systems are manually processed during this extended transition period, those systems must be brought into conformity with these provisions at the time of such processing;
(70) Whereas it is not necessary for the data subject to give his consent again so as to allow the controller to continue to process, after the national provisions taken pursuant to this Directive enter into force, any sensitive data necessary for the
performance of a contract concluded on the basis of free and informed consent before the entry into force of these provisions;
(71) Whereas this Directive does not stand in the way of a Member State's regulating marketing activities aimed at consumers residing in territory in so far as such regulation does not concern the protection of individuals with regard to the processing of personal data;
(72) Whereas this Directive allows the principle of public access to official documents to be taken into account when implementing the principles set out in this Directive,
HAVE ADOPTED THIS DIRECTIVE:
CHAPTER I
GENERAL PROVISIONS
Article 1
Object of the Directive
1. In accordance with this Directive, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to pnvacy with respect to the processing of personal data.
2. Member States shall neither restrict nor prohibit the free flow of personal data between Member States for reasons connected with the protection afforded under paragraph 1.
Article 2
Definitions
For the purposes of this Directive:
(a) 'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;
(b) 'processing of personal data' ('processing') shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic
means, such as collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;
(c) 'personal data filing system' ('filing system') shall mean any structured set of personal data which are accessible according to specific criteria, whether centralized, decentralized or dispersed on a functional or geographical basis;
(d) 'controller' shall mean the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by national or Community laws or regulations, the controller or the specific criteria for his nomination may be designated by national or Community law;
(e) 'processor' shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;
23. 11. 95 Official Journal of the European Communities No L 281/39
(f) 'third party' shall mean any natural or legal person, public authority, agency or any other body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorized to process the data;
(g) 'recipient' shall mean a natural or legal person, public authority, agency or any other body to whom data are disclosed, whether a third party or not; however, authorities which may receive data in the framework of a particular inquiry shall not be regarded as reCipients;
(h) 'the data subject's consent' shall mean any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed.
Article 3
Scope
1. This Directive shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.
2. This Directive shall not apply to the processing of personal data:
in the course of an activity which falls outside the scope of Community law, such as those provided for by Titles V and VI of the Treaty on European Union and in any case to processing operations concerning public security, defence, State security (including the
economic well-being of the State when the processing operation relates to State security matters) and the activities of the State in areas of criminal law,
by a natural person in. the course of a purely personal or household activity.
Article 4
National law applicable
1. Each Member State shall apply the national provisions it adopts pursuant to this Directive to the processing of personal data where:
(a) the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; when the same controller is established on the territory of several Member States, he must take the necessary measures to ensure that each of these establishments complies with the obligations laid down by the national law applicable;
(b) the controller is not established on the Member State's territory, but in a place where its national law applies by virtue of international public law;
(c) the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equ.ipment is used only for purposes of transit through the territory of the Community.
2. In the circumstances referred to in paragraph 1 (c), the controller must designate a representative established in the territory of that Member State, without prejudice to legal actions which could be initiated against the controller himself.
CHAPTER II
GENERAL RULES ON THE LAWFULNESS OF THE PROCESSING OF PERSONAL DATA
Article 5
Member States shall, within the limits of the provisions of this Chapter, determine more precisely the conditions under which the processing of personal data is lawful.
No L 2g1140 Official Journal of the European Communities 23. 11. 95
SECTION I
PRINCIPLES RELATING TO DATA QUALITY
Article 6
1. Member States shall provide that personal data must be:
(a) processed fairly and lawfully;
(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes. Further processing of data for historical, statistical or scientific purposes shall not be considered as incompatible provided that Member States provide appropriate safeguards;
(c) adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed;
(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified;
(c) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the data were collected or for which they are further processed. Member States shall lay down appropriate safeguards for personal data stored for longer periods for historical, statistical or scientific use.
2. It shall be for the controller to ensure that paragraph 1 is complied with.
SECTION II
CRITERIA FOR MAKING DATA PROCESSING LEGITIMATE
Article 7
Member States shall provide that personal data may be processed only if:
(a) the data subject has unambiguously given his consent; or
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; or
(c) processing is necessary for compliance with a legal obligation to which the controller is subject; or
(d) processing is necessary in order to protect the vital interests of the data subject; or
(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller or in a third party to whom the data are disclosed; or
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests arc overridden by the interests for fundamental rights and freedoms of the data subject which require protection under Article 1 (1).
SECTION Ill
SPECIAL CATEGORIES OF PROCESSING
Article 8
The processing of special categories of data
1. Member States shall prohibit the processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of data concerning health or sex life.
2. Paragraph 1 shall not apply where:
(a) the data subject has given his explicit consent to the processing of those data, except where the laws of the Member State provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject's giving his consent; or
(b) processing is necessary for the purposes of carrying out the obligations and specific rights of the controller in the field of employment law in so far as it is authorized by national law providing for adequate safeguards; or
(c) processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving his consent; or
(d) processing is carried out in the course of its legitimate activities with appropriate guarantees by a foundation, association or any other non-profit-seeking body with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members of the body or to persons who have regular
23. 11. 95 Official Journal of the European Communities No L 281/41
contact with it in connection with its purposes and that the data are not disclosed to a third party without the consent of the data subjects; or
(e) the processing relates to data which are manifestly made public by the data subject or is necessary for the establishment, exerCise or defence of lega I claims.
3. Paragraph 1 shall not apply where processing of the data is required for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data arc processed by a health professional subject under national law or rules established by national competent bodies to the obligation of professional secrecy or by another person also subject to an equivalent obligation of secrecy.
4. Subject to the provision of suitable safeguards, Member States may, for reasons of substantial public interest, lay down exemptions in addition to those laid down in paragraph 2 either by national law or by decision of the supervisory authority.
5. Processing of data relating to offences, criminal convictions or security measures may be carried out only under the control of official authority, or if suitable specific safeguards are provided under national law, subject to derogations which may be granted by the Member State under national provisions providing suitable specific safeguards. However, a complete register of criminal convictions may be kept only under the control of official authority.
Member States may provide that data relating to administrative sanctions or judgements in civil cases shall also be processed under the control of official authority.
6. Derogations from paragraph 1 provided for in paragraphs 4 and 5 shall be notified to the Com- miSSion.
7. Member States shall determine the conditions under which a national identification number or any other identifier of general application may be processed.
Article 9
Processing of personal data and freedom of expression
Member States shall provide for exemptions or derogations from the provisions of this Chapter, Chapter IV and Chapter VI for the processing of personal data carried out solely for journalistic purposes or the purpose
of artistic or literary expression only if they are necessary to reconcile the right to privacy with the rules governing freedom of expression.
SECTION IV
INFORMATION TO BE GIVEN TO THE DATA SUBJECT
Article 10
Information m cases of collection of data from the data subject
Member States shall provide that the controller or his representative must provide a data subject from whom data relating to himself arc collected with at least the following information, except where he already has it:
(a) the identity of the controller and of his representative, if any;
(b) the purposes of the processing for which the data are intended;
(c) any further information such as
the recipients or categories of recipients of the data,
whether replies to the questions arc obligatory or voluntary, as well as the possible consequences of failure to reply,
the existence of the right of access to and the right to rectify the data concerning him
m so far as such further information Is necessary, having regard to the specific circumstances in which the data are collected, to guarantee fair processing in respect of the data subject.
Article 11
Information where the data have not been obtained from the data subject
1. Where the data have not been obtained from the data subject, Member States shall provide that the controller or his representative must at the time of undertaking the recording of personal data or if a disclosure to a third party is envisaged, no later than the time when the data arc first disclosed provide the data subject with at least the following information, except where he already has it:
(a) the identity of the controller and of his representative, if any;
(b) the purposes of the processing;
No L 281/42 Official Journal of the European Communities 23. 11. 95
(c) any further information such as
the categories of data concerned,
the recipients or categories of recipients,
the existence of the right of access to and the right to rectify the data concerning him
in so far as such further information is necessary, having regard to the specific circumstances in which the data are processed, to guarantee fair processing in respect of the data subject.
2. Paragraph 1 shall not apply where, in particular for processing for statistical purposes or for the purposes of historical or scientific research, the provision of such information proves impossible or would involve a disproportionate effort or if recording or disclosure is expressly laid down by law. In these cases Member States shall provide appropriate safeguards.
SECTION V
THE DATA SUBJECT'S RIGHT OF ACCESS TO DATA
Article 12
Right of access
Member States shall guarantee every data subject the right to obtain from the controller:
(a) without constraint at reasonable intervals and without excessive delay or expense:
confirmation as to whether or not data relating to him are being processed and information at least as to the purposes of the processing, the categories of data concerned, and the recipients or categories of recipients to whom the data are disclosed,
communication to him in an intelligible form of the data undergoing processing and of any available information as to their source,
knowledge of the logic involved in any automatic processing of data concerning him at least in the case of the automated decisions referred to in Article 15 (1);
(b) as appropriate the rectification, erasure or blocking of data the processing of which does not comply with the provisions of this Directive, in particular because of the incomplete or inaccurate nature of the data;
(c) notification to third parties to whom the data have been disclosed of any rectification, erasure or blocking carried out in compliance with (b), unless this proves impossible or involves a disproportionate effort.
SECTION VI
EXEMPTIONS AND RESTRICTIONS
Article 13
Exemptions and restrictions
1. Member States may adopt legislative measures to restrict the scope of the obligations and rights provided for in Articles 6 (1 ), 10, 11 (1), 12 and 21 when such a restriction constitutes a necessary measures to safeguard:
(a) national security;
(b) defence;
(c) public security;
(d) the prevention, investigation, detection and prosecution of criminal offences, or of breaches of ethics for regulated professions;
(e) an important economic or financial interest of a Member State or of the European Union, including monetary, budgetary and taxation matters;
(f) a monitoring, inspection or regulatory function connected, even occasionally, with the exercise of official authority in cases referred to in (c), (d) and (c);
(g) the protection of the data subject or of the rights and freedoms of others.
2. Subject to adequate legal safeguards, in particular that the data are not used for taking measures or decisions regarding any particular individual, Member States may, where there is clearly no risk of breaching the privacy of the data subject, restrict by a legislative measure the rights provided for in Article 12 when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of creating statistics.
SECTION VII
THE DATA SUBJECT'S RIGHT TO OBJECT
Article 14
The data subject's right to object
Member States shall grant the data subject the right:
(a) at least in the cases referred to in Article 7 (e) and (f), to object at any time on compelling legitimate grounds relating to his particular situation to the processing of data relating to him, save where
23. 11. 95 Official Journal of the European Communities No L 281/43
otherwise provided by national legislation. Where there is a justified objection, the processing instigated by the controller may no longer involve those data;
(b) to object, on request and free of charge, to the processing of personal data relating to him which the controller anticipates being processed for the purposes of direct marketing, or to be informed before personal data are disclosed for the first time to third parties or used on their behalf for the purposes of direct marketing, and to be expressly offered the right to object free of charge to such disclosures or uses.
Member States shall take the necessary measures to ensure that data subjects are aware of the existence of the right referred to in the first subparagraph of (b).
Article 15
Automated individual decisions
1. .Member States shall grant the right to every person not to be subject to a decision which produces legal effects concerning him or significantly affects him and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him, such as his performance at work, creditworthiness, reliability, conduct, etc.
'"'J Subject to the other Articles of this Directive, Member States shall provide that a person may be subjected to a decision of the kind referred to in paragraph 1 if that decision:
(a) is taken in the course of the entering into or performance of a contract, provided the request for the entering into or the performance of the contract, lodged by the data subject, has been satisfied or that there are suitable measures to safeguard his legitimate interests, such as arrangements allowing him to put his point of view; or
(b) is authorized by a law which also lays down measures to safeguard the data subject's legitimate interests.
SECTION VIII
CONFIDENTIALITY AND SECURITY OF PROCESSING
Article 16
Confidentiality of processing
Any person acting under the authority of the controller or of the processor, including the processor himself, who
has access to personal data must not process them except on instructions from the controller, unless he is required to do so by law.
Article 17
Security of processing
1. Member States shall provide that the controller must implement appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processmg.
Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.
2. The Member States shall provide that the controller must, where processing is carried out on his behalf, choose a processor providing sufficient guarantees in respect of the technical security measures and organizational measures governing the processing to be carried out, and must ensure compliance with those measures.
3. The carrying out of processing by way of a processor must be governed by a contract or legal act binding the processor to the controller and stipulating in particular that:
the processor shall act only on instructions from the controller,
the obligations set out in paragraph 1, as defined by the law of the Member State in which the processor is established, shall also be incumbent on the processor.
4. For the purposes of keeping proof, the parts of the contract or the legal act relating to data protection and the requirements relating to the measures referred to in paragraph 1 shall be in writing or in another equivalent form.
SECTION IX
NOTIFICATION
Article 1??
Obligation to notify the supervisory authority
1. Member States shall provide that the controller or his representative, if any, must notify the supervisory
No L 2R1/44 Official Journal of the European Communities 23. 11. 95 ---------------------------------------
authority referred to in Article 28 before carrying out any wholly or partly automatic processing operation or set of such operations intended to serve a single purpose or several related purposes.
2. Member States may provide for the simplification of or exemption from notification only in the following cases and under the following conditions:
where, for categories of processing operations which arc unlikely, taking account of the data to be processed, to affect adversely the rights and freedoms of data subjects, they specify the purposes of the processing, the data or categories of data undergoing processing, the category or categories of data subject, the recipients or categories of recipient to whom the data arc to be disclosed and the length of time the data arc to be stored, and/or
where the controller, in compliance with the national law which governs him, appoints a personal data protection official, responsible in particular:
for ensuring in an independent manner the internal application of the national provts1ons taken pursuant to this Directive
for keeping the register of processing operations carried out by the controller, containing the items of information referred to in Article 21 (2),
thereby ensuring that the rights and freedoms of the data subjects arc unlikely to be adversely affected by the processing operations.
3. Member States may provide that paragraph 1 docs not apply to processing whose sole purpose is the keeping of a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person demonstrating a legitimate interest.
4. Member States may provide for an exemption from the obligation to notify or a simplification of the notification in the case of processing operations referred to in Article R (2) (d).
5. Member States may stipulate that certain or all non-automatic processing operations involving personal data shall be notified, or provide for these processing operations to be subject to simplified notification.
Article 19
Contents of notification
1. Member States shall specify the information to be given in the notification. It shall include at least:
(a) the name and address of the controller and of his representative, if any;
(b) the purpose or purposes of the .processing;
(c) a description of the category or categories of data subject and of the data or categories of data relating to them;
(d) the recipients or categories of recipient to whom the data might be disclosed;
(e) proposed transfers of data to third countries;
(f) a general description allowing a preliminary assessment to be made of the appropriateness of the measures taken pursuant to Article 17 to ensure security of processing.
2. Member States shall specify the procedures under which any change affecting the information referred to in paragraph 1 must be notified to the supervisory authority.
Article 20
Prior checking
I. Member States shall determine the processing operations likely to present specific risks to the rights and freedoms of data subjects and shall check that these processmg operations are examined prior to the start thereof.
2. Such prior checks shall be carried out by the supervisory authority following receipt of a notification from the controller or by the data protection official, who, in cases of doubt, must consult the supervisory authority.
3. Member States may also carry out such checks in the context of preparation either of a measure of the national parliament or of a measure based on such a legislative measure, which define the nature of the processing and lay down appropriate safeguards.
Article 21
Publicizing of processing operations
1. Member States shall take measures to ensure that processing operations are publicized.
2. Member States shall provide that a register of processing operations notified in accordance with Article 18 shall be kept by the supervisory authority.
23. 11. 95 Official Journal of the European Communities No L 281/45
The register shall contain at least the information listed in Article 19 (1) (a) to (e).
(1) (a) to (c) in an appropriate form to any person on request.
The register may be inspected by any person.
3. ~!lember States shall provide, in relation to processing operations not subject to notification, that controllers or another body appointed by the Member States make available at least the information referred to in Article 19
Member States may provide that this provision docs not apply to processing whose sole purpose is the keeping of a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can provide proof of a legitimate interest.
CHAPTER III
JUDICIAL REMEDIES, LIABILITY AND SANCTIONS
Article 22
Remedies
Without prejudice to any administrative remedy for which provision may be made, inter alia before the supervisory authority referred to in Article 28, prior to referral to the judicial authority, Member States shall provide for the right of every person to a judicial remedy for any breach of the rights guaranteed him by the national law applicable to the processing in question.
Article 23
Liability
1. Member States shall provide that any person who has suffered damage as a result of an unlawful processing operation or of any act incompatible with the national provisions adopted pursuant to this Directive is entitled to receive compensation from the controller for the damage suffered.
2. The controller may be exempted from this liability, in whole or in part, if he proves that he is not responsible for the event giving rise to the damage.
Article 24
Sanctions
The Member States shall adopt suitable measures to ensure the full implementation of the provisions of this Directive and shall in particular lay down the sanctions to be imposed in case of infringement of the provisions adopted pursuant to this Directive.
CHAPTER IV
TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES
Article 25
Principles
1. The Member States shall provide that the transfer to a third country of personal data which are undergoing processing or are intended for processing after transfer may take place only if, without prejudice to compliance
with the national provisions adopted pursuant to the other provisions of this Directiw, the third country in question ensures an adequate level of protection.
2. The adequacy of the level of protection afforded by a third country shall he assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration
No L 2X1/46 Official Journal of the European Communities 23. 11. 95
shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the country of origin and country of final destination, the rules of law, both general and sectoral, in force m the third country in question and the professional rules and security measures which are complied with in that country.
3. The Member States and the Commission shall inform each other of cases where they consider that a third country does not ensure an adequate level of protection within the meaning of paragraph 2.
4. Where the Commission finds, under the procedure provided for in Article 31 (2), that a third country does not ensure an adequate level of protection within the meaning of paragraph 2 of this Article, Member States shall take the measures necessary to prevent any transfer of data of the same type to the third country in question.
5. At the appropriate time, the Commission shall enter into negotiations with a view to remedying the situation resulting from the finding made pursuant to paragraph 4.
6. The Commission may find, in accordance with the procedure referred to in Article 31 (2), that a third country ensures an adequate level of protection within the meaning of paragraph 2 of this Article, by reason of its domestic law or of the international commitments it has entered into, particularly upon conclusion of the negotiations referred to in paragraph 5, for the protection of the private lives and basic freedoms and rights of individuals.
Member States shall take the measures necessary to comply with the Commission's decision.
Article 26
Derogations
1. By way of derogation from Article 25 and save where otherwise provided by domestic law governing particular cases, Member States shall provide that a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2) may take place on condition that:
(a) the data subject has given his consent unambiguously to the proposed transfer; or
(b) the transfer is necessary for the performance of a contract between the data subject and the controller
or the implementation of precontractual measures taken in response to the data subject's request; or
(c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and a third party; or
(d) the transfer is necessary or legally required on important public interest grounds, or for the establishment, exercise or defence of legal claims; or
(e) the transfer is necessary in order to protect the vital interests of the data subject; or
(f) the transfer is made from a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate legitimate interest, to the extent that the conditions laid down in law for consultation are fulfilled in the particular case.
2. Without prejudice to paragraph 1, a Member State may authorize a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2), where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual cia uses.
3. The Member State shall inform the Commission and the other Member States of the authorizations it grants pursuant to paragraph 2.
If a Member State or the Commission objects on justified grounds involving the protection of the privacy and fundamental rights and freedoms of individuals, the Commission shall take appropriate measures m accordance with the procedure laid down in Article 31 (2).
Member States shall take the necessary measures to comply with the Commission's decision.
4. Where the Commission decides, in accordance with the procedure referred to in Article 31 (2), that certain standard contractual clauses offer sufficient safeguards as required by paragraph 2, Member States shall take the necessary measures to comply with the Commission's decision.
23. 11. 95 Official Journal of the European Communities No L 281147
CHAPTER V
CODES OF CONDUCT
Article 27
1. The Member States and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper implementation of the national provisions adopted by the Member States pursuant to this Directive, taking account of the specific features of the various sectors.
2. Member States shall make provision for trade associations and other bodies representing other categories of controllers which have drawn up draft national codes or which have the intention of amending or extending existing national codes to be able to submit them to the opinion of the national authority.
Member States shall make provision for this authority to ascertain, among other things, whether the drafts submitted to it are in accordance with the national provisions adopted pursuant to this Directive. If it sees fit, the authority shall seek the views of data subjects or their representatives.
3. Draft Community codes, and amendments or extensions to existing Community codes, may be submitted to the Working Party referred to in Article 29. This Working Party shall determine, among other things, whether the drafts submitted to it are in accordance with the national provisions adopted pursuant to this Directive. If it sees fit, the authority shall seek the views of data subjects or their representatives. The Commission may ensure appropriate publicity for the codes which have been approved by the Working Party.
CHAPTER VI
SUPERVISORY AUTHORITY AND WORKING PARTY ON THE PROTECTION OF INDIVIDUALS WITH REGARD TO THE PROCESSING OF PERSONAL DATA
Article 28
Supervisory authority
and powers to collect all the information necessary for the performance of its supervisory duties,
1. Each Member State shall provide that one or more public authorities are responsible for monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Directive.
effective powers of intervention, such as, for example, that of delivering opmwns before processing operations are carried out, in accordance with Article 20, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processmg, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions,
These authorities shall act with complete independence in exercising the functions entrusted to them.
2. Each Member State shall provide that the supervisory authorities are consulted when drawing up administrative measures or regulations relating to the protection of individuals' rights and freedoms with regard to the processing of personal data.
3. Each authority shall in particular be endowed with:
investigative powers, such as powers of access to data forming the subject-matter of processing operations
the power to engage in legal proceedings where the national provisions adopted pursuant to this Directive have been violated or to bring these violations to the attention of the judicial authorities.
Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.
No L 281/48 Official Journal of the European Communities 23. 11. 95
4. Each supervisory authority shall hear claims lodged by any person, or by an association representing that person, concerning the protection of his rights and freedoms in regard to the processing of personal data. 1 he person concerned shall be informed of the outcome of the claim.
Each supervisory authority shall, in particular, hear claims for checks on the lawfulness of data processing lodged by any person when the national provisions adopted pursuant to Article 13 of this Directive apply. The person shall at any rate be informed that a check has taken place.
5. Each supervisory authority shall draw up a report on its activities at regular intervals. The report shall be made public.
6. Each supervisory authority is competent, whatever the national law applicable to the processing in question, to exercise, on the territory of its own Member State, the powers conferred on it in accordance with paragraph 3. Each authority may be requested to exercise its powers by an authority of another Member State.
The supervisory authorities shall cooperate with one another to the extent necessary for the performance of their duties, in particular by exchanging all useful information.
7. Member States shall provide that the members and staff of the supervisory authority, even after their employment has ended, arc to be subject to a duty of professional secrecy with regard to confidential information to which they have access.
Article 29
Working Party on the Protection of Individuals with regard to the Processing of Personal Data
I. A Working Party on the Protection of Individuals with regard to the Processing of Personal Data, hereinafter referred to as 'the Working Party', is hereby set up.
lt shall have advisory status and act independently.
2. The Working Party shall be composed of a representative of the supervisory authority or authorities designated by each Member State and of a representative of the authority or authorities established for the Community institutions and bodies, and of a representative of the Commission.
Each member of the Working Party shall be designated by the institution, authority or authorities which he represents. Where a Member State has designated more than one supervisory authority, they shall nominate a joint representative. The same shall apply to the authorities established for Community institutions and bodies.
3. The Working Party shall take decisions by a simple majority of the representatives of the supervisory authorities.
4. The Working Party shall elect its chairman. The chairman's term of office shall be two years. His appointment shall be renewable.
S. The Working Party's secretariat shall be provided by the Commission.
6. The Working Party shall adopt its own rules of procedure.
7. The Working Party shall consider items placed on its agenda by its chairman, either on his own initiative or at the request of a representative of the supervisory authorities or at the Commission's request.
Article 30
1. The Working Party shall:
(a) examine any question covering the application of the national measures adopted under this Directive in order to contribute to the uniform application of such measures;
(b) give the Commission an opimon on the level of protection in the Community and in third countries;
(c) advise the Commission on any proposed amendment of this Directive, on any additional or specific measures to safeguard the rights and freedoms of natural persons with regard to the processing of personal data and on any other proposed Community measures affecting such rights and freedoms;
(d) give an opinion on codes of conduct drawn up at Community level.
2. If the Working Party finds that divergences likely to affect the equivalence of protection for persons with regard to the processing of personal data in the ( :ommunity arc arising between the laws or practices of Member States, it shall inform the Commission accordingly.
3. 'fhc Working Party may, on its own mltlative, make recommendations on all matters relating to the protection of persons with regard to the processing of personal data 111 the Community.
4. The Working Party's opinions and recommendations shall be forwarded to the Commission and to the committee referred to in Article 31.
S. The Commission shall inform the Working Party of the action it has taken in response to its opinions and recommendations. It shall do so in a report which shall
23. 11. 95 Official Journal of the European Communities No L 281/49
also be forwarded to the European Parliament and the Council. The report shall he made public.
persons with regard to the processing of personal data in the Community and in third countries, which it shall transmit to the Commission, the European Parliament and the Council. The report shall be made public.6. The Working Party shall draw up an annual report
on the situation regarding the protection of natural
CHAPTER VII
COMMUNITY IMPLEMENTING MEASURES
Article 31
The Committee
1. The Commission shall be assisted by a committee composed of the representatives of the Member States and chaired by the representative of the Commission.
2. The representative of the Commission shall submit to the committee a draft of the measures to be taken. The committee shall deliver its opinion <~1 the ~lraft within a time limit vvhich the chairman may lay down according to the urgency of the matter.
The opinion shall be delivered by the majority laid down in Article 148 (2) of the Treaty. The votes of the representatives of the Member States within the committee shall be weighted in the manner set out in that Article. The chairman shall not vote.
The Commission shall adopt measures which shall apply immediately. However, if these measures arc not in accordance with the opinion of the committee, they shall be communicated by the Commission to the Council forthwith. [t that event:
the Commission shall defer application of the measures which it has decided for a period of three months from the date of communication,
the Council, acting by a qualified majority, may take a different decision within the time limit referred to in the first indent.
FINAL PROVISIONS
Article 32
1. Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with this Directive at the latest at the end of a period of three years from the date of its adoption.
When Member States adopt these measures, they shall contain a reference to this Directive or be accompanied by such reference on the occasion of their official publication. The methods of making such reference shall be laid down by the Member States.
2. J\1ember States shall ensure that processing already under way on the date the national provisions adopted pursuant to this Directive enter into force, is brought into conformity with these provisions within three years of this date.
By way of derogation from the preceding subparagraph, Member States may provide that the processing of data already held in manual filing systems on the date of entry into force of the national provisions adopted 111 implementation of this Directive shall be brought into conformity with Articles 6, 7 and 8 of this Directive within 12 years of the date on which it is adopted. Member States shall, however, grant the data subject the right to obtain, at his request and in particular at the time of exercising his right of access, the rectification, erasure or blocking of data which are incomplete, inaccurate or stored in a way incompatible with the legitimate purposes pursued by the controller.
3. By way of derogation from paragraph 2, Member States may provide, subject to suitable safeguards, that data kept for the sole purpose of historical research need
No L 281/50 Official Journal of the European Communities 23. 11. 95
not be brought into conformity with Articles 6, 7 and 8 of this Directive.
4. Member States shall communicate to the Commission the text of the provisions of domestic law which they adopt in the field covered by this Directive.
Article 33
The Commission shall report to the Council and the European Parliament at regular intervals, starting not later than three years after the date referred to in Article 32 (1), on the implementation of this Directive, attaching to its report, if necessary, suitable proposals for amendments. The report shall be made public.
The Commission shall examine, in particular, the application of this Directive to the data processing of
sound and image data relating to natural persons and shall submit any appropriate proposals which prove to be necessary, taking account of developments in information technology and in the light of the state of progress in the information society.
Article 34
This Directive is addressed to the Member States.
Done at Luxembourg, 24 October 1995.
For the European Parliament
The President
K. HANSCH
For the Council
The President
L. ATIENZA SERNA
23. 11. 95 Diario Oficial de las Comunidades Furopeas !\'" L 281/31
DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 24 de octuhrc de 1995
rdativa a la protecc10n de las personas fisicas en lo que rcspecta al tratamicnto de datos pcrsonalcs y a Ia !ibn.' circulaci6n de estos datos
EL PARL\.\1E'JTO EUROPEO Y EL CONSEJO DE LA UNIC)N FlJROPEA,
Visto el Tratado consitutivo de Ia Comunidad Europea, y, en particuLu, su articulo 100 A,
Vista Ia propuesta de Ia C:omisi6n (1),
Visto el dictamen del Comite Econ6mico y Social (-'-),
De conformidad con el procedimiento establecido en el articulo 1~9 P. del Tratado (1),
(1)
(2)
C:onsiderando que los objetivos de Ia Comunidad dcfinidos en el Tratado, tal y como qued6 modifi- cado por el Tratado de Ia Unicm Furopea, consis- ten en lograr una uni6n cada \TZ mas estrecha entre los pueblos europeos, establccer relaciones m;1s estrechas emre los Estados miembros de Ia Comunidad, asegurar, mediante una acci6n comtm, el progreso econ6mico y social, climinando las barrcra~ que diviclen Europa, fementar Ia continua mejora de las condiciones de vida de sus pueblos, prescrv;1 r y consolidar la paz y la lihertad y promo- \Cr Ia democracia, basandose en los dcrechos fun- danwnulcs reconocidos en las constituciones y lcyes dl los Estados miembros y en cl Convenio Furopeo para la Proteccion de los lkrechos Huma- nos ,. d,_. las Libertades Fundamentales;
C:onsidcrando que los sistemas de tratamiento de datos estan al servicio del hombre; que deben, cualquicra que se.1 Ia nacionalidad o Ia residcncia de las personas ffsicas, respetar las libertadcs y derechos fundamentales de las personas fisicas y, en particular, Ia intimidad, y contrihuir al progreso econ6mico v social, a! desarrollo de los intercam- bios, asl como al bienestar de los mdiviuos;
(3) Conside rando qw~ el esta blecimiento y funciona- miento del mercado interior, dentro del cual est;l
( 1) DOn"( 277de5.11.1990,p.3yDOn''C:311 de27.11.
1992, p ..)0. (2 ) DO n" I S9 de 17. 6. 1991, p. 3H. (
1 ) Dictamen dL·l Parlamcnto Europeo de II de marzo de 1992
(DOn" C c.'4 de 13. 4. 1992, p. 1n), confirmado cl 2 de diciembrc dt~ 1993 (DO n" C: 342 de 20. 12. 199.1, p. 30); posici<.lll cornCm del Consejo de 20 de fehrcro de 1995 (D\) n" ( 9) de 13. 4. 1995, p. I) y Decisi<'lll del Parlamcnto Europco de 15 de junio de 1995 (D<) n" C: 166 de .1. - 199S).
(4)
(5)
(6)
(7)
garantizada, con arreglo al articulo 7 A del Tra- t;ldo, Ia libre circulaci6n de mcrcancias, personas, sen 1cios y capitales, hacen necesaria no solo Ia lihre circulacicm de datos personales de un Estado m1cmhro a otro, sino tambien Ia protcccicm de los dncchos fundamentalcs de Ia-. personas;
( on'iiderando que se recurrc ca(Ll \TI mas en Ia ( omunidad al tratamiento de datos pcrsonales en los diferentes scctores de actiYidad ccon6mica y sociaL que el avance de Ia-; tL'Cnologlas de Ia informacion facilita considnablcmentc cl trata- llliL'llto y el intcrcamhio de di....-ho-. datm;
( onsiderando que Ia integraci{m econtm11ca y social resultantc del establec1miento y funciona- micnto del mercado interior, definido en el articulo -: :\ del Tratado, va a implicu necesariamente un au!llL'llto notable de los flujm transfronterizos de d;Hm personales entre todo-; los agentes de Ia vida cconr'm1ica y social de lo-. Estados micmhros, ya se tLHe de agentes pC1blicos o priYados; que el inter- camhio de datos personales emrc l'mpresas establc- Lidas en los difcrentcs Fsudos micmhros experi- lllL'llUra un desarrollo; que las administraciones ll<lcionales de los diferentes L-;tados miembros, en aplic1cicm del Dcrccho comunitano, cst;l.n destina- tb'-> a colaborar y a intercamhi<lr datos personales a tin de cumplir su cometiclo o cjernT funciones por cuent;l de las administracioncs de otros Estados micmhros, en cl marco del espaCio sin fronteras que constituye cl mercado intlTior;
( :onsiderando, por lo dem;l.s, que el fortalecimiento de L1 cooperaci6n cientifica \ tecnica, asi como cl c-.uhlccimicnto coordinado de nm·,·a-. redes de tckomunicacione'> en Ia Comunidad cxigen y facili- Lln L1 circulaci6n transfrontcnza de datos persona- Jc..,;
< onsiderando que las difercncias entre los niveles de protecci6n de los dercchos y libcrtades de las pnsonas y, en particular, de Ia intimidad, garanti- ;adm en los Estados micmbro-; por lo que respccta al tratamiento de datos personalcs, pucden impcdir Ia rransmision de dichos dato" del tcrritorio de un Lstado miembro al de otro; que, por lo tanto, cstas dikrcncias pueden constinm Llll ohst;1culo para el l'JCrci....-io de una seric de actindadcs economicas a c-;cala comunitaria, falscar Ia competencia e impc- dir que las admimstracionc'-> cumplan los
No L 281/32 [}0 Diario Oficial de las Comunidades Europeas 23. 11. 95
cometidos que les incumben en virtue! del Derecho comunitario; que estas diferencias en los nivclcs de protecci6n se deben a Ia disparidad existentc entre Ia\ disposiciones legales, reglamentarias y adminis- tr:o.tivas de los Estados miembros;
(8) Considerando que, para eliminar los obst:1culos a la circulacic•n de datos pcrsonales, c1 nivcl de protccci6n de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos clato~;, debe ser equivalente en todos los Esrados miembros; que esc objetivo, esencial para cl mercado interior, no puedc lograrse mediante Ia mcra actuac16n de los Estados m1embros, tenicndo en cuenta, en particular, las grandes difercncias ex istentes en Ia actualidad entre las legislaci()ncs n<1Cionales aplicables en Ia materia y Ia necesichd de coordinar las legislaciones de los Estados micm- bros para que el flujo transfrontcrizo de datos personales s•~a regulado de forma cohcrente v de conformidad con el objetivo del mercado interior dcfinido en el articulo 7 A del Tratado; que, por tanto, es ne•.:esario que Ia Comunidad intcrvcnga para a proximar las legislacioncs;
(9) Considerando que, a causa de Ia protecci(m equJ- va lente que resulta de Ia aproximaci{m de las legislaciones nacionales, los Estados miem bro~ \a no podr;in nbstaculizar b libre circulaci6n entre ellos de datos personales por motivos de protcc- ci<.lll de los derechos y libertades de las per~onas fis1cas, y, en particular, del derecho a Ia intimidad; que los Estados miembros dispondran de un mar- gen de maniobra del cual podr:1n servirse, en el contexto de Ia aplicaci6n de Ia presente Directiva, lm, interlocutores econ6mico~ y sociales; que los Estados mienbros podran, por lo tanto, precisar en su derecho nacional las condiciones generales de lie ttud del tratamiento de datos; que, a! actuar a..;!, lm. Estados miembros procurzm1n mejorar Ia pro- tecci6n que proporciona su lcgislacic'>n en Ia acl-ua- lidad; que, clentro de los llm1tes de dicho margen de maniobra y de conformidad con el Derccho comunitario, podr~in surg1r disparidadcs en Ia ;1pli- caci(m de Ia presente Directiva, y que clio poc!L-i tener repercusioncs en Ia circulaci6n de datos tanto en el interior de un Estado miembro como en la ( :omunidad;
(I 0) Considerando que las legislaCJones nacionales rela- tivas al tratamiento de datos personales tienen por objcto garantizar el respeto de los derecho-; v libertades fu1damentales, particularmente del dcre- cho al respelo de Ia vida privada reconocido n cl anlculo 8 dd Convenio Europeo para Ia Protcc- ci<-111 de los Derechos Humanos y de las LibcrL':de;; Fundamentales, asf como en los principios genc.'ra- le~ del Dcrecho comunitario; que, por lo tanto, Ia aproximaci(n de dichas lcgislaciones no debe -.on- ducir a un<l disminuci6n de Ia protecci6n que ga rantizan s1 no que, por cl contratrio, debe tener por objeto ;lsegurar un alto nivcl de proten·i<)n dentro de Ia Comunidad;
(I I l Considerando que los principios de Ia protecci6n de los derechos y libertades de las personas y, en particular, del respeto ck Ia intimidad, contenidos en Ia presente Directiva, precisan y amplfan los del Convenio de 28 de enero de 1981 del Consejo de Europa para Ia prote(ci{m de las personas en lo que respecta al tratamic·nto automatizado de los datos personales;
(12) Considerando que los principios de Ia protecci6n deben aplicarse a todos los tratamientos de datos personales cuando las actividades del responsablc -.lei tratamiento entren en el ;'\mbito de aplicaci(m del Derecho comunitario; que debe excluirse el tratamiento de datos cfectuado por una persona flsica en el cjcrcicio de actividadt·s exclusivamente personales o dom(·sricJs, como Ia correspondencia \' Ia llevanza de un ITJlertorio de direcciones;
( 1)) Considerando que las actividades a que se refieren los tftulos V y VI del T rata do de Ia Uni6n Europea relativos a Ia scguridad pt.iblica, Ia defensa, Ia seguridad del Estado y las acti,·idades del Estado en el ambito penal no est<'in comprendidas en el ,imbito de aplicaci<)n del Derecho comunitario, sin pcrjuicio ck las ohligacioncs que JJKumhen <1 los Estados micmbro~ con ;ureglo al apartado 2 del articulo 56 y a lo~ artlculos 57 y 100 A del Tratado; que el tratamicnto de los datos de car;1c- ter per~.;onal que sea ncccsario para Ia salvaguardia del bicnestar econ6mico del Estado no est<l com- prendido en el ;-imhlto de aplicacitm de Ia presente Directiva en los caso.; ~..·n que dicho traumiento cste relacionado con Ia segundad del Estado;
(14) Considerando que, habida cucnta de Ia importan- cia que, en cl marco de b sociedad de Ia informa- -.,i6n, reviste el actu;11 desarrollo de las tecnicas para captar, transmitir, mancjar, registrar, conser- ,·~u o comunicar los datos relativos a las personas flsicas constituidm por -,onido e imagen, Ia pre- '>Cnte Directiva hahL1 de apl1carsc a los tratamien- tos que afectan a dicho-, datos;
(IS) Considerando que los tratam1entos que afectan a dichos datos s<'>lo qm·dan amparados por Ia pre- sente Directiva cuando est:-in automat1zados o cuando los datos a que ~c rcfieren se encuentran contenidos o se destman a encontrarse contenidos en un archivo estructurado segCm criterios especifi- cos relati\'l>~ a las pcsonas, ,1 fin de que se pucda c~cceder facilmente a lo~ dato.., de car:1cter personal de que se tL1ta;
( 16) Considerando que los rratamientos de datos consti- tuidos por sonido e 1magen, como los de Ia vigilan- cia por videoc1mara, no cst;1n comprendiclos en el ;imbito de aplicacH'm de Ia presente Directiva cuando se aplican con fmes de seguridad publica, defcnsa, seguricbd del Estado o para el ejerciCJo de las actividadcs del Estado rclacionadas con <-imbitos del derecho penal o p~1r<1 cl cjcrcicio de otra~ actividades que no est<in comprendidos en el ;-imbi- to de aplicacitln del l krccho comunitario;
1 I_,) C:onsiderando que en lo que respecta al trata- miento del sonido v de Ia 1magen aplicado~ con
23. 11. 95 Diario OfiClal de las Comunidades Europeas N° L 281/33 ---------------------------------------------
fines periodisticos o de expresi{m literaria o artisti- ca, en particular en el sector audiovisual, los prin- cipios de Ia Directiva se aplican de forma restrm- gida segtm lo dispuesto en a! articulo 9;
(1~n C:onsiderando que, para evitar que una persona sea cxcluida de Ia prntecci6n garantizada por Ia pre- sentc D1rectiva, e~. necesario que todo tratamiento de datos personales efectuado en Ia Comunidad respetc a legislaci6n de uno de sus Estados miem- bros; que, a este respecto, resulta conveniente sonwter el tratamiento de datos dectuados por cualquicr persona que acttie bajo b autoridad del responsa ble del tratamiento esta hlecido en un Fstado miembro a Ia aplicaci6n de L1 kgislaci(m de tal 1\tado;
(19) C:onsiderando que el establecimiento en el territo- rio de un Estado miembro llnplica el cjercicio efectivo y real de una actividad mediante una instalaci{m estable; que Ia forma jurldica de dicho cstahlecmicnto, sea una simple sucursal o una cmprcsa filial con personalidad jurldica, no es un factor determinante a! respecw; que cuando un mismo responsable este establecido en e1 territorio de \ arius Estados miembros, en particular por med1o de una empresa filial, debe garanttzar, en particular para evitar que se eluda Ia normativa apl1cabk, que cada uno de los cstahlecimientos cumpla las obliga.;.::iones impuestas por el Derecho naCJona! aplicable a estas activHhdcs;
(20) ( :onsidcrando qm el hecho de que el responsablc del tratamiento de datos este estahlccido en un pais tcrcero no debe obstaculizar Ia protecci6n de Ia-. persona:.; contemp ada en Ia prescntc Direcnva; que en esto-. casos el tratamiento de datos debe regirse por Ia lcgislaci6n del Estado miemhro en el que Sl' ubiqucn los medios utilizados y debcn adoptarse garantlas para que se respeten en Ia pr<1ctica lo-. dcrn:ho:.; v oblig<Kioncs contemplada-. en Ia pre- sen tc n irecti va;
(21) C:onsiderando que Ia presente Directiva no afecta a las normas de territorialidad aplicable-; en materia penal;
(22) C:onsidcrando que los Estados miembros precisa- r:1n en su legislaci6n o en la aplicaci6n de las disposiciones adoptadas en virtud de Ia prc-.ente Directiva las condiciones generalc-. de licitud del tratamicnto de daros; que, en particular, el articulo S en rebci6n con los articulos 7 y g, ofrece a los Estados miembro~; Ia posibilidad de prcver, inde- pendicn tcmcnte de las normas generales, condiCio- nes L'spcciales de tratamiento de datos en sectorcs especifico:>, as! como para las di\'cr-,as categorias de datu-; contemplad;ls en el articulo g;
(23) C:onsidcrando que los Estados miembros cstan facultados para garantizar la protecci6n de las personas tanto mediante una Icy general relativa a Ia protccci6n de las personas respccto del trata- micnto de los datos de caractcr personal como
mediante leyes sectorialcs, como las relativas a los institutos esradisricos;
(24) ( :ons1derando que las legislaciones relativas a Ia protccci6n de las personas jurldicas respecto del tratamiento de los dato-. que bs conciernan no son objcto de la presente Directi\'a;
(25) C:onsiderando que los principios de Ia protecci6n tienen su expresi{m, por una parte, en las distintas obligaciones que incumbcn a Ia-, personas, autori- dadL·s publicas, empresas, agencias u otros organis- mo\ que efectuen tratamicmos-- obligaciones rcla- tl\'a-., en particular, a Ia calidad de lo-, datos, Ia -.cguridad tecnica, Ia notificaci{m a las autoridades de control y las circunstancia-. en Ia-. que se puede dcctuar el tratamiento-- \', por otra parte, en los dncchos otorgados a las pnsonas cuYos datos scan ohJl'to de tratamiento de ser informadas acerca de dicho tratamiento, de podcr accedcr <l los datos, de podn solicitar su rectificaci{>n o inclu-.o de opo- 11LT\L' ,l su tratamiento en dcterminadas circunstan- ll,l\;
(26) C:onsiderando que los principios de Ia protecci6n dcbcr<1n aplicarsc a cualquicr mformaci{m relatiYa a una persona identificada o idcntificable; que, para determinar si una persona e-. Jdentificable, hay q m· considerar el con junto de 1os med ios que pm·dan ser razonablemcnte utilizados por el rcs- pon...,able del tratamicnto o por cualquier otra persona, para idcntificar a dicha persona; que los priJKipios de Ia protecci6n no sc aplicaran a aque- llm datos hechos an<'mimos de mancra tal que ya no sea posiblc 1dcntificar al intcresado; que los u'Jdigos de conducta con arrcglo al articulo 27 pttcLkn constituir un clemento t'ttil para proporcJo- nar 111dicaciones sohre los medio'> gracias a los Lualcs los datos pueden hacer-.c an6nimos y con- '>l'n,arse de forma tal que impida idcntificar a! intL'I'L'sado;
(27) Considerando que Ia protecci<'m de las personas debe aplicarse tanto al tratamicnto automatico de datos como a su tratamiento manual; que el alcancc de esta protccci<'m no debe dcpender, en ekcro, de las tecnicas util1zad.l-., pues Ia contrario daria Iugar a ricsgos graves de clusic\n; que, no obstante, por lo que re-;pecta al tratamicnto manual, Ia presentc Directi\'<l -J>lo abarca los fiche- ro-.., \ no se aplica a las carpcu-. que no est:ln l'Structuradas; que, en particular, cl contenido de un f1chero debe estructurarse conformc a criterios esrwcificos relati\·m a las per\onas, que permitan ~1ccedcr facilmentc a los datm personales; que, de conformidad con Ia definici<')Jl que recoge 1a letra c I del articulo 2, los dist111tm critnios que permi- ten determinar los elementos de un conjunto L'<.,tructurado de datos de car.1cter personal y los d1stintos criterios que regulan cl acceso a dicho LOilJUnto de datos pm·den SLT ddinidos por cada
N" L 281/34 [Es I Diario Oficial de las Comunidades Europeas 23. 11. 9S
Estado miem bro; que, las carpetas y conj untos de carpetas, asi como sus portadas, que no c'-.tt;n estructuradas conforme a criterios especlfico-. no cst<-in comprcndidas en ningLm caso en cl <imbito de apl icaci6n d( Ia presente Directiva;
(28) C:onsiderando que todo tratamiento de datos pn- sonales debe efectuarse de forma llcira y leal (on respecto al interesado; que debe referirse, en parti- cular, a dates adecuados, pertinentes y no exccsi- \'Ch en relaci6n con los objetivos perseguidos; que estos objetivos han de ser cxplicitos y lcgftimos, ~· dchen estar dcterminados en el momento de ohte- ner los datos; que los objetivo'i de los tratami~.:ntm p<hteriores a Ia obtenci6n no pucden ser incompJ- tibles con los objetivos originalmente especi{Ju- do.;;
(29) C:onsiderando que el tratamiento ulterior de datos personales, c:m fines hist6ricos, cstadfsticos o cicn- tfficos no deJe por lo general considerarse incorn- parible con los objetivos para los que se recogieron los datos, siempre y cuando los Fstados miembros establezcan as garantias adecuadas; que dichas garantias deheran impedir que dichos datos 'ican uti lizados para tomar medidas o decisiones c< >ntr;1 nulquier persona;
(30) Considerando que para ser licito el tratamiento de daros personales debe basarse ademas en el comen- tillliento del intercsado o ser m·cesario con visus a Ia celebracic·n o ejecucic)n dL· un contrato qm· obiigue a! imeresado, o para Ia ohservancia de una ob .igaci(m kgal o para el cumplimiento dc una mi:.;i<)n de interes pLiblico o para cl ejercicio de Ia aw-oridad pu hlica o incluso para Ia realizacic>m dc un intercs lq;ftimo de una persona, siempre que no pn·valezcan los intereses o Jo., den:chos y libertadL'" del interesad.:); que, en particular, para ascgurar cl equilibrio de los intereses en juego, garantizando a Ia vcz una cc,mpetencia efccti\·a, los Estados micm- hros pueden precisar las condiciones en las quL· -;e podr<in utilizar y comumcar a terceros datos de cuacter personal, en el descmpei"io de actividalk'l lcgftimas de gestic)n ordinaria de empresa" y orn-. cntidades; que los Estados micmbros pueden Jsi- mi·.;mo establecer previamentc las condiciones en qw: pueden cfectuarse comunicacione" de d;Hos personalcs a terceros con fines de prospn.:ci<)ll comercial o de prospeccion realizada por una insn- tul i6n benefica u otras asociaciones o fundaciones, p(H cjcmplo Je car:icter politico, dentro del re-;r·eto de las disposiciones que permiten a los interes;!dm oponerse, sin alegar los motivos y sin gastos .. al tratamicnto de los datos que lcs conciernan;
(31) Considerando que un tratamiento de datos pcrso- nales debe estimarse lfcito cuando se efectLla con el fin de proteger un interes csencial para Ia vida del in teresado;
(32) Considerando que corresponde a las legislacwnes nacionales detenmnar si el responsable del trata- miento que tiene conterida una misicm de interes pLiblico o inhercnte al cjcrcicio del poder pt1blico, debe ser una admjni-;tractc'ln pLtbliL·a u otra persona de derecho pLtblico o pnvado, como por cjemplo una asociaci{m profc-.i' HLd;
In) Considerando, por lo demclS, que los datos que por su naturaleza pucdan atcntar contra las libcrtadcs tundamentaks o Ia intimidad no dcben scr objcto de tratamiento alguno, ->;1lvo cn caso de que el mteresado haya dado su consentimicnto cxplicito; que deber<in constar de torma explicita las cxcep- ciones a esta prohihicic>m para lll'CL'sidades especifi- cas, en particular cuanlo el rratamiento de dichos datos se realice con fmcs relacionados con Ia salud, por parte de personas flsicas -.ometidas a una obligacion legal de -.ccreto profcsional, o para actividades lcgftimas P' >r parte de ciertas asociacio- nes o fundaciones cuyD oh]l'tivo sea hacer posiblc L'l cjercicio de lihcrtadcs lundamentales;
( )4) C:onsiderando que tambii·n se deberc1 autorizar a los Estados micmbros, cuando cste justificado por razones de interes pt~tblico importante, a hacer cxcepciones a Ia prohih1ci6n de tratar categorfas scnsibles de datos en sectore-. como Ia salud pLtbli- ca y Ia protecci6n soci;ll, particularmente en lo rclativo a Ia garann'a de Ia calidad y Ia rentabili- dad, asi como los procedim1entos utilizados para resolver las reclamaciOJlL's de prestaciones \' de scrvicios en el regimen dcl seguro cnfermedad, Ia mvestigaci6n cientif1c1 y las cstadisticas publicas; que a ellos corre.,ponde. no obstante, prever las garantias apropiada-. I' cspecifica-. a los fines de proteger los derccho'-. fundamentales y Ia vida privada de las personas;
USl C:onsiderando, adem;l'i., que cl tratamiento de datos personales por parte de Ia-. autoridades publicas con fines, establccidos en el Derecho constitucional o en el Derecho internacion,d pCtblico, dc asocia- L'iones rclig1osas tTL'OilOL'ida-. oficialmente, se rca- liza por motivos imporuntes de intcres pLtblico;
()h) Considerando que, si en el marco de actividades relacionadas con Ia-. clcccioncs, el funcionamiento del sistema democr<-itico L'n algunos Estados miem- hros exige que los par·:ido-. pollttcos recaben datos -.obre Ia ideologla politic1 de los ciudadanos, podr<l autorizarsc cl tratamicnto de cstos datos por moti- \ os importante-. de intcrL·s ptiblico, siempre que se L'Stablezcan las garanti.1-. adecu;Hhs;
() "") C:onsiderando que para cl tratamiento de datos personales con fines penodisticos o de expresi6n ;utfstica o literaria, en particular en el sector audio- \'isual, debcn preversc cxcepciones o restriccioncs de determinadas di-.po~,ic1oncs dc Ia presente Direc- tiva siemprc que rcsul ten nccL·.,arias para conciliar
23. 11. 95 Diario Oficial de las Comunidades Furopeas ~o L 281/.35 ----------------------------------------- --------------------
los dere·:.:hos fundamentales de la persona con la libertad de expresi6n y, en particular, la libertad de recihir o cumunicar informaciones, tal y como se garantiza en el an:iculo 10 del Convenio Europeo para Ia l)rotecci6n de los Derechos Humanos y de las Libertades Fundamentales; que por lo tanto, para ponderar estos derechos fundamentalcs, corn:sponde a los Estados miembros prevcr las excepciones y las restricciones necesarias en lo relativo a las medidas generales sohre Ia legalidad del tratamiento de datos, las medidas sobre Ia transferL·ncia de datos a terceros paises y las com- petencia.; de las autoridades de control sin que csto deba inducir, sin embargo, a los Estaclos miembros a prever excepciones a las medidas que garanticen Ia seguridad del tratamiento: que, igualmcntc, deberia concederse a Ia autoridad de control rcs- ponsablc en la materia al menos una seric de competcncias a posteriori como por ejemplo publi- car pcri6dicamentc un informe al respecto o bien iniciar procedimientos legales ante bs autoridades judiciale~;
(3~) Considerando que el tratamiento leal de datos supone que los interesados deben estar en condi- ciones de conocer la existencia de los tratamientos y, cuanclo los datos sc obtengan de ellos mismos, contar con una informacion precisa y completa respecto a las circunstancias de dicha ohtenci6n;
(39) Considerando que determinados tratamientos se reficren a datos que el responsable no ha recogido directamente del interesado; que, por otra parte, pueden comunicarse legitimamente datos a un ter- ccro aun cuando dicha comunicaci<'m no estuviera prevista en el momento de la recogida de los datos del propio interesado; que, en todos estos supues- tos, delx: informarse al interesado en el momento del registro de los datos o, a mas tardar, a! comumcarse los datos por primera \'l'Z a un ter- cero;
(40) Considerando, no obstante, que no cs necesario imponer esta obligaci6n si el interesado ya esta informado, si el registro o la comunicaci6n est~1n exprcsamente pre vistos por la ley o si resulta imposible informarle, o ello implica esfuerzos des- proporcionados, como puede ser el caso para trata- mientos con fines hist6ricos, estadisticos o cientifi- cos; que a este respecto pueden tomarse en consi- deraci6n el n{tmero de interesados, Ia antiguedad de los datos, y las posibles medidas compensato- nas;
(41) Considerando que cualquier persona debe disfrutar del derecho de acceso a los datos que le conciernan y sean objeto de tratamiento, para cerciorarse, en particular, de su exactitud y de Ia licitud de su tratamiento; que por las mismas razones cualquier persona debe tener ademas el derecho de conoccr la lt)gica que subyace al tratamiento automatizado
de los datos que Ia conciernan, al menos en el caso de las decisiones automatizadas a que se refiere el apartado 1 del articulo 15; que cstc derecho no debe menoscabar cl scCJTto de los negocios ni la prop1cdad intelectual y en particular el derecho de autor que proteja el programa informatico; que no obstante esto no debe suponcr que se denieguc cualquier informaci<)n al intercsado;
(42) C:onsiderando que, en interes del intcrcsado de que ~c tr<Hc y para protegcr los derechos y libertades de tcrccros, los Estados miem bros podr,1n limitar los dcn·chos de acceso y de informaci(m; que podr;1n, por L·jemplo, precisar que el aCL'C<.,o a los datos de C,1Llcter medico {micamente pueda obtenerse a tr;n (·s de un profesional de Ia medicina:
(43) C:onsiderando que los Estados miembros pod ran imponer restricciones a los dercchos de acceso c informacion y a determinadas obligaciones del res- pon-.ahlc del tratamicnto, en Ia medida en que sean e-.,trictamente necesarias para, por ejemplo, salva- guardar la seguridad del Estado, Ia defensa, Ia scguridad publica, los intereses econbmicos o financicros importantes de un Estado miembro o Lk Ia Union, asi como para realizar investigaciones y L'ntablar procedimientm penales y perseguir vio- lauoncs de normas dcontolc)gicls en las profesio- m·s reguladas; que conviene enumerar, a cfcctos de exccpciones y limitacioncs, las tareas de control, inspeccion o reglamentaci{m nccesarias en los tres tiltimos sectores mencionados rclativos a Ia seguri- dad pt1blica, los intereses ecun<'m1icos o financieros \. Ia represi6n penal; que c<.,ta enumeraci6n de tarea-. relativas a los tres scctores citados no afecta J Ia lcgitimidad de las cxLepcione-., v rcstriccioncs L'stabkcidas por razones de ~cguridad del Estado o de ddensa;
(44) C:onsiderando que los Estados miembros pod ran vt.T'>C obligados, en virtue! de las disposiciones del lkrecho comunitario, a establecer cxccpcioncs a Ia-; disposiciones de Ia presentc Dircctiva relativas ,1! dcrccho de acceso, a Ia informaci<)n de personas y ;l Ia calidad de los datos para garantizar algunas de las finalidades contempladas m;1s arriba;
(45) C:onsiderando que cuando se pudiera cfectuar lici- tanwnte un tratamiento de datos por razones de intcn;.., publico o del eJercicio de Ia autoridad ptihlica, o en intcres legftimo de una persona fisica, cu;1lquier persona deberc1, sin embargo, tencr dcrc- cho a oponcrse a que los datos que lc COI1Ciernan ">L';lll objeto de un tratamiento, en virtud de moti- \'O'> fundados y legltimos relati\'(l>, a '>U situaci{m concrcta; que los Estados Imemhros tienen, no oh-.,tante, la posibiliclad de cst;tblccer disposiciones ILlcionalcs contrarias;
(46) Considerando que la protecci(m de los derechos y libertades de los interesados en lo que respecta a lm tL1tamientos de datos personalcs exige la adop-
No L 281/36 [KJ Diario Oficial de las Comunidades Europeas 23.11.95 ----------------------------------------------
ci<'m de medidas tecnicas y de orgamzaci6n apro- piadas, tanto en el momento de Ia concepci{m del sistema de tratamiento como en cl de Ia aplicaci<)n de los tratamientos mismos, sobre todo con ohjeto de garantizar Ia seguridad e impedir, por tanto, todo tratamiento no autorizado; que corresponde a lo~. Estados miembros velar por que los responsa- bks del tratlmiento respeten dichas medidas; que esas medidas deberan garantizar un nivcl de seguri- dad adecuaJo teniendo en cuenta el estado de Ia tel nica y cl ·::oste de su aplicaci6n en relacihn con lm. riesgos que presente el rratamiento y con Ia naturaleza d: los datos que deban protegersc;
(4 7) Consideranclo que cuanclo un mensaje con datos pe rsonales sea transmitido a tra vcs de un servicio de telecomunicaciones o de correo eletdmico cuyo {mico objetivo sea transmitir mensajes de esc npo, sera considerada normalmente rcsponsable del tra- tamiento de los datos personates presentcs en el n1l'nsaje aqu·:lla persona de quien proceda el mcn- saje y no Ia que ofrezca el sen icio de transmisH'm; que, no obstante, las personas que ofrezcan cstos servicios nor malmente seran consideradas respon- sahles del trctamiento de los datos personates corn- pkmentarios y necesarios para cl funcionamicnto de I servicio;
(48) Considerando que los procedimientos de notifica- ci<'m a la autoridad de control tienen por ohjcto ascgurar la publicidad de los fines de los tratamien- tO'i y de sus principales caracterlsticas a fm de co ntrolarlos a la Iuz de las disposiciones nacionalcs adoptadas en aplicaci6n de Ia prcsente Directi\·a.;
(49) Considerando que para evitar tramites administra- rivos improcedentes, los Estados miembros pucdcn establecer exenciones o simplificaciones de Ia noti- ficacion pare-. los tratamiento<. que no atenten lOI1- tr<l los derechos y las libertades de los interesados, -;iempre y cuando sean conformes a un acto adop- tado por el Estado miembro en cl que se prectscn sw; limites; que los Estados miembros pueLkn igualmente disponer la exenci6n o la simplificaci<'m cu,mdo un encargado, nombrado por cl responsa- blc del tratamiento, se cerciore de que los trJta- mientos efectuados no puedcn atentar contra los derechos y libertades de los interesados; qul· Ia persona encargada de la protcccion de los datos, se~t o no emJleado del responsable del tratanlil·nto de datos, debera ejercer sus funciones con toul independenCJ a;
(SO) Considerando que podran establecersc exenciones o ~;implificaciones para los tratamientos cuya tmica finalidad sea el mantenimiento de registros desrina- dos, de conf:)fmidad con el Dcrecho nacional, a Ia informacion del pttblico y que sean accesiblcs para Ia consulta del publico o de toda persona q uc ju<;tifique un intert~s legitimo;
(51) Considerando, no obstante, que el beneficio de Ia simplificaci6n o de Ia exencion de Ia obligacion de notificaci6n no dispensa al responsable del trata- miento de ninguna de las demas obligaciones deri- ,·adas de Ia prescntc Directiva;
(S2) Considerando que, en cste contexto, el control a posteriori por parte de las autoridades competentes debe considerarse, en general, una medida sufi- ciente;
(5)) Considerando, no obstante, que determinados tra- tamientos pueden presentar riesgos particulares desde el punto de vista de los derechos y las libertades de los intercsados, ya sea por su natura- lcza, su alcance o su finalidad, como los de excluir a los intercsados del bencficio de un derecho, de una prestaci6n o de un contrato, o por el uso particular de una tecnologia nueva; que es compe- tencia de los Estados micmbros, si asi lo desean, precisar tales riesgos en -.us legislaciones;
(54) Considerando que, a Ia vista de todos los trata- mientos llevados a cabo en Ia sociedad, el numero de los que presentan tale-. riesgos particulares debe- ria ser muy limitaclo; que los Estados miembros deben prever, para dicho-. tratamientos, un examen previo a su realizaci{m por parte de Ia autoridad de control o del encargado de Ia protecci6n de datos en cooperacion con aqu(·lla; que, tras dicho control previo, la autoridad de control, en virtud de lo que disponga su Derecho nacional, podra emitir un dictamen o autorizar ~..·1 tratamiento de datos; que cste examen previo podrj realizarse tambien en el curso de Ia claboraci{,n de una rnedida legislativa aprobada por el Parlamento nacional o de una medida basada en dicha medida legislativa, que defina la naturaleza del rratamiento y precise las garantias adecuadas;
(SS) C:onsiderando que las legislaciones nacionales deben prevcr un recurso judical para los casos en los que el responsahle del tratamiento de datos no respete los derechos de los interesados; que los daiios que puedcn sufrir las personas a ralz de un tratamiento ilicito han de ser reparados por el responsable del tratamiento de datos, el cual solo podra ser eximido de rc-.ponsabilidad si demuestra que no le es imputable el hecho perjudicial, princi- palmente si demuestra Ia responsabilidad del inte- resado o un caso de funza mayor; que deben imponerse sanciones a toda persona, tanto de derecho privado como de derecho pttblico, que no respete las disposiciones nacionales adoptadas en aplicacion de Ia presente Directi\'a;
(56) Considerando que los flujos transfronterizos de datos personales son necesarios para Ia desarrollo del comercio internacional; que Ia proteccion de las personas garantizada en Ia Comunidad por Ia presente Directiva no <.c oponc a Ia transferencia de
23. 11. 95 Diario Oficial de las Comunidades Europeas N° L 281/37
datos personates a terceros paises que garanticen un nivel de prote:.:ci6n adecuado; que el caracter adecuado del nivel de protecci6n ofrecido por un pais tercero debe apreciarse teniendo en cuenta todas Ia~; circunstancias relacionadas con la transfe- rencia o Ia categoria de transferencias;
(57) Considerando, por otra parte, que cuando un pais tercero no ofrezca un nivel de protecci6n adecuado debe prohibirse la transferencia al mismo de datos personales;
(58) C:onsiderando que han de establecerse excepciones a esta prohibici6n en determinadas circunstancias, cuando cl interesado haya dado su conscntimiento, cuando la transferencia sea necesaria en relaci6n con un ..:ontrato o una acci6n judicial, cuando asi lo exija Ia protecci6n de un interes publico impor- tantc, por ejemplo en casos de transferencia inter- nacional de datos entre las administraciones fisca- les o aduaneras o entre los servicios competentes en materia de seguridad social, o cuando la transfe- rencia se haga desde un registro previsto en Ia legislaci6n con fines de consulta por cl publico o por per~;onas con un interes legitimo; que en tal caso die ha transferencia no debe afectar a la totali- dad de los datos o las categorias de datos que contenga el menc10nado registro; que, cuando Ia finalidad de un ngistro sea la consulta por parte de personas que tengan un interes legitimo, la transferencia s6lo deberia poder ef.ectuarse a peti- ci6n de dichas personas o cuando estas sean las desti na tarias;
(59) C:onsiderando que pueden adoptarse medidas par- ticulares para paliar la insuficiencia del nivel de protecci()n en un tercer pais, en caso de que el responsable del tratamiento ofrezca garantias ade- cuadas; que, por lo dem;is, deben preverse procedi- mientos de negociaci6n entre la Comunidad y los paises tcrceros de que se trate;
(60) Considerando que, en cualquier caso, las transfe- rencias hacia paises terceros solo podran efectuarse si se respetan plenamente las disposiciones adopta- das por los Estados miembros en aplicaci6n de Ia presentc Directiva., y, en particular, de su articulo 8;
(61) Considerando que los Estados miembros y Ia Comisi6n, dentro de sus respectivas competencias, deben alentar a los sectores preofesionales para que claboren c6digos de conducta a fin de facilitar, habida cuenta del caracter especifico del trata- miento de datos efectuado en determinados secto- res, Ia aplicaci6n de la presente Directiva respe- tando las disposiciones nacionalcs adoptadas para su aplicaci6n;
(62) C:onside1rando que Ia creaci6n de una autoridad de control que ejerza sus funciones con plena indepen- dencia en cada uno de los Estados miembros constituve un elemento esencial de Ia protecci{m de las pers;)nas en lo que respecta al tratamiento de datos personates;
(63) C:onsiderando que dicha autoridad debe disponer de lm medios necesarios para cumplir su funci6n, ya se trate de poderes de investigaci6n o de inter- venci{m, en particular en casos de redamaciones presentadas a la autoridad o de poder comparecer en 1uicio; que tal autoridad ha de contribuir a Ia transparencia de los tratamientos de datos efectua- dos en el Estaclo miembro del que dependa;
(64) Considerando que las autoridades de los distintos Fstados miembros habr~1n de prestarse ayuda mutua en el ejercicio de sus funciones, de forma que se garantice el pleno respeto de las normas de protecci6n en tenia Ia Uni6n F.uropea;
(65) C:onsiderando que se debe crear, en el ambito comunitario, un grupo de protecci6n de las perso- nas en lo que respecta al tratamiento de datos personates, el cual habra de ejcrcer sus funciones con plena independencia; que, habida cuenta de cste caracter especifico, el grupo deber<1 asesorar a Ia C:omisi6n y contrihuir, en particular, a Ia aplica- ci{m uniforme de las normas nacionales adoptadas en aplicacion de Ia presentc Dircctiva;
(66) C:onsiderando que, por lo que respecta a Ia transfe- rencia de datos hacia paiscs tcrceros, Ia aplicaci6n de Ia presente Directiva requierc que se atribuya a Ia ( :omision competcncias de ejecuci6n y que se crce un procedimiento con arrcglo a las modalida- des establecidas en Ia Decisi6n ~7/3 73/CEE del Consejo (1);
(67) C:onsiderando que el 20 de diciembre de 1994 se alcanz6 un acuerdo sobre un modus uiuendi entre cl Parlamento Europeo, cl C:onscjo y la Comisi6n concerniente a las medidas de aplicacic'>n de los actos adoptados de conformidad con el procedi- miento establecido en el articulo I W1 B del Tratado CT;
(68) C:onsiderando que los principios de protecci6n de los derechos y libertades de las personas y, en particular, del respeto de Ia intimidad en lo que se refierc al tratamiento de los datos personates objeto de la presente Directiva podran completarse o prccisarse, sobre todo en determinados sectores, mediante normas especificas conformes a estos prmuptos;
(69) C:onsiderando que resulta oportuno conceder a los Fstados miembros un plazo que no podra ser superior a tres ai'ios a partir de Ia entrada en vigor de las medidas nacionales de transposici{m de Ia
( 1) DOn" l 197 de 1H.- 1n7, p..B.
N" I. 2~ 1/3~ [ ES I Diario Oficial de las Comunidades Europeas 23. 11. <)5 -------- -----------------
pn:sente Dir•:ctiva, a fin de que puedan aplicar de mancra pro~.resiva las nuevas disposiciones nacio- nales mencionadas a todos los tratamiento" ~lc datos ya exi~;tentes; que, con cl fin de facilitar una aplicaci6n q Je presente una buena relaci6n cmtc- dicacia, se concedera a los Estados miembro" 11n pcrlodo suplementario que cxpirar;:1 a lo" don· af1os de Ia fecha en que sc adoptc Ia pn:st·ntL' Directiva, p:na garantizar que lo-. fichcro-. manua- les l'Xistentc~; en dicha fecha sc hayan ajustado a Ia~ disposiciones de Ia Din:ctiva; que si los datm contenidos e:1 dichos ficheros 'ion tratados cfe._.-ri\a- nwnte de forma manual en e'>L' periodo transitorio ampliado de berc1n, sin embargo, ser aju-.tadm .1 di~.:has dispc·siciones cuando 'IC realice tal tr.Ha- mtcnto;
(70) Considerando que no es proccdcnte que el int~·rc '\ado tenga que dar de nuevo su consentimiL·nto :1
fin de que cl responsabk pueda scguir efectuando, tras Ia entrada en vigor de las disposiciones nacio- nales adoptadas en virtud de Ia presente Directiva, el tratamienro de datos -.cnsibles neccsario para Ia cjecuci6n de contratm cl'lebrados prcvio conscnti- miento librc c informado antes de Ia entrada en \igor de Ia-. di'ipmiciom·" nwncionadas;
(71) Considerando que Ia prescnte Directiva no se opone a que un Fstado micmbro regule las activi- dades de prospccci{m comcrcd destinadas a los LOnsumidorcs que residan L'll su territorio, en Ia medida en que dicha rq:,ulaci<'m no afecte <1 Ia protecci6n de las pcr'ionas en lo que rt''ipecta a tratamiento'> de dato-., pcr'!onalcs;
( "'72) Considcrando que b prcscntc Directiva autoriza que se tenga en cuenta el principio de acccso ptiblico a los docunwntos oficialcs a Ia bora de aplicar los principios expuestos en Ia presente Directiva,
I L\" .-\DOPTADO LA PRF~~t'~TF DIRFC:TIV:\:
CAPfTUU) I
DISPOSICIONES CE:--.JERALES
Articulo I
Objeto de la Directiva
I. l.os Estados micmbros garantizar;in, con arreglo a las disposiciones de Ia presente Directi \a, Ia proteccit'm de las lihertade:.; ~· de los dercchos fundamentales de las pc--so- nas fisic1s, y, en particular, del derecho a Ia intimidad, ,_·n lo que rcspecta a\ rratamiento de los datos personalc'i.
1 I .o'i Estados miembros no poLk1n restringir ni pmlll- bir Ia ld1tT circulaci6n de datos pcrsonales entre los Fsradm 11icmbros por motivos rcbcionados con Ia pro- tecct<.lll garantizacb en virtud del apartado 1.
Articulo 2
Definicioncs
A efcctos de Ia prcsente Directiva, -.e entender<l por:
a) "datos pcrsonales>>: toda informacic'm sobrc una per- sona fisica idicnti ficada o idcnti ficable (cl "intL'tT- S;ldo, ); sc cons derara identific1hk toda persona ,_·uya idcnt dad puec;a determinarsc, dirccta o indin\.:t<l- Illl'tltt.', en particular mediante un nCunero de idcmift- uci(m o uno c varios elementm especfficos, C1L1LlL'- risticos de su identidad ffsica, fisiol6gica, psiquie;1, econ<)mica, cultural o social:
b\ ,. tr;ltamiento de datos per-.onalcs ,, (<<tratamientt l ,, ): utalquier oper<1ci6n o conjunto de opcracione-., cfcc- tuadJ s o no mediante procedimtcntos automatizado'>,
\ ;1plicadas a datos pcrsonalc'i, como Ia recogida, registro, organizaci(m, LOnscn·acic'm, daboracic'm o modificaci6n, extracclim, consulta, utilizaci6n, comu- nicaci6n por transmi-.H'm, difu..,i6n o cualquier otra torma que faulitc el acccso a los mismos, cotcjo o 1ntLTconexi6n, asl comu "u hloqueo, suprcsi<'m o Lk-.rrucci<)n;
c) ··fichero de d;ltos pcrsonaks,, («fichero>>): todo con- JUnto estructurado de datm per-.onales, accesibles con .nrcglo a critcrios determin,HJo-., va -.ea centralizado, dL''>centralizado o repanido de forma funcional o gL·ogrMica;
d l "rcsponsable del tratamicnto,: Ia persona fisica o )uridica, autoridad pt'thlica, sen·icio o cualquier otro organismo que s<'Jlo o conjuntamentc con otros deter- mine los fines y los medio-. del tratamicnto de datos pnsonales; en caso de q11C los fines y los medio'i del tratamicnto esten detcrmin~1dos por disposiciones kgislativas o reglanwntari~h nacionalcs o comunita- ri;1<.,, el responsable del tratamiento o los critcrios L·-,pccificos para su nomhramtcnto podran scr fi1ados por cl Derecho nacion,ll o Lomunitario;
l' 1 "L'ncargado del tratamicnto": Ia pcr-.ona fisica o J urf- d1ca, autoridad pC1blica. servicio o cualquier otro organismo l}UL', solo o con]untamentc con otros, tratc d~nos person;1lcs por cuenta del responsable del trata- tlliL·nto;
23. 11. 95 Diario Oficial de las Comunidades Luropeas ~() I. 281/39
f) <<tercero»: Ia persona fisica o Juridica, auroridad ptibiica, servicio o cualquier otro organismo distinto del intcresado, del r,:_-sponsable del tratamiento, del encargado del tratam:ento y de las personas autoriza- das para tratar los datos bajo Ia auroridad directa del responsahle del tratamiento o del encargado del trata- mienro;
g) ''destinatario»: Ia persona fisica o juridica, autoridad ptlblica, servicio o cualquier otro organismo que reciha comunicaci6n de datos, se tratc o no de un tercero. ~o obstante, las autoridade'i que puedan recibir una comunicaci6n de datos en el marco de una investig;lci(m especifica no seran considnados destina- ta nos;
h) ,,consentimiento del interesado,,: toda 111<lnifestaci<'m de voluntad, libre, espedfica e informada, mediante Ia que el 1nteresado consienta el tratamicnto de dato"i personalcs ':]ue le coiKiernan.
Articulo 3
Ambito de aplicaci6n
1. Las disposi1.:iones de Ia presente Direct!\ a se aplicar;1n al tratamineto total o parcialmente automatizado de datos personaks, asi como al tratamiento no automati- zado de datos personale~ contenidos o destinados a scr incluidos c11 Uti fichero.
2. Las disposiciones de Ia presente Directiva no se apli- caL1n al tr;Hamiento de datos personalcs:
cfectuado en el ejercicio de actividades no comprendi- das l'l1 L'l ;1mhito de aplicao6n del Derecho comunita- rio, como las previstas por las disposiciones de lm, titulos V y VI del Tratado de Ia Unir'm Europca y, en cualquicr caso, al traramiento de dato.., que tcnga por objeto b s1:guridad pt:iblica, Ia defcnsa, Ia seguridad del Fsudc (incluido el bicnestar L'~_·on<'>mico del
Estado ntando dicho tratamicnro csti· relacionado con Ia seguridad del Estado) v las acti,·idadc., del Estado en matnia penal;
cfcctuado por una persona fi-.iu en cl cjercicio de activiLbdcs exclusivamcntc personalc" o domesticas.
Art/eztln 4
Derecho nacional aplicabk
I. Lo-, E..,tados miembros aplic~n;1n L1s c.hsposicioncs nacionall·.., que haya aprobado para Ia <lplicaci6n de Ia presentl' D1rectiva a todo tratamicmo de datos personale'i cuando:
a) cl trat<1miento sea cfectuado en el marco de las act!\ id,HJes de un establccimiL·nto del responsable del traLllllll'nto en el terntorio del F....udo miembro. Cuando cl mismo responsahk del tratamicnto estc cstahlcudo en cl territorio de varios htados miem- bro" dched adopt;H las nwdicbs ncccsarias para garantt;ar que cada uno de dichos L'stablecimientos cumpk las obligacioncs prnJ"iLls por cl Derecho nacion;ll ;lplicable;
b) el l'l''-~pon.,able del tratamicnro no c·ste e-;tablecido en el tcrntorio del Estado miemhro, sino en un Iugar en lJLIL' '-~t ,1plica su kgisbci<'m tuuon;ll L'n ,-irrud del DciTI.ho mternacional rn'd)lico;
c) cl l'l''-~ponsable del tratamicnro no l'sti· establecido en el rnnwrio de Ia Comunidad \ recurra, para el traLlmJento de datos personalcs, ,\ medios, automati- zado-. o no, situados en cl tcrritono de dicho Estado mil'lllhro, salvo en caso de que dichos medios sc utdt'-L'll ..,oJamente con fmcs ck tr;mstto por cl territo- no d(' L1 Comunidad Europc;l.
2. En cl l.a<.,o mencionado en Ia letrcl c) del apartado I, el rcspoll'-~<lhlc del tratamiento ddwra dcsignar un repre- sentanrc L''-tablecido en cl terrirori11 ck dicho Estado miemhro. ..,111 perjuicio de las acetones que pudieran cmpt-clllln"L' contra el prop1o J-cspom;1hk del trata- micnto.
CAPITUlO II
CONDICIONES GENERALES PARA LA LICITUD DEL TRATAMIENTO DE DATOS PERSON ALES
Los Estado~; miembros precJsar;1n, dcntro d(' los limite.., de las clisposicioncs del prcsL·ntc capitulo, las condiciones en que son licitos lo" traramicnto-, de datos personaks.
No L 2R 1/40 [::![] Diario Oficial de las Comunidades Europeas 23. 11. 95
SECCION I
PRINCIPIOS RELATIVOS A LA CAUDAD DE LOS DATOS
Articulo 6
1. Los Estados miembros dispondran que los daws personales sean:
a) tratados de manera leal y lfcita;
b) recogidos con fines determinados, explicitos y legiti- mos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerara incompatible el tratamiento posterior de datos con fines historicos, estadisticos o cientificos, s1emprc y cuando los Estados miembros cstablezcan las garan- tlas oportunas;
c) adccuados, pertinentes y no excesivos con relaci6n a los fines para los que se recabcn y para los que se trate n posterio ~mente;
d) cxactos y, cuando sea necesario, actualizados; deb1:r~in tom~1 rse todas las medidas razonables para que los dato~; inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fucrun tratadcs posteriormcntc, scan suprimidns o recti ficados;
e) const~rvados en una forma que permita Ia identifica- ci(m de los interesados durante un periodo no supe- rior al necesario para los fines para los que fueron rccogidos o para los que se traten ulteriormentc. Los Estados miembros estableceran las garantlas apropia- das para los datos personales archivados por un periodo m;is largo del mencionado, con fines hi-.t(Jri- cos, estadisticos o cientificos.
2. Correspondera a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el aparrado 1.
SECCION II
PRINCIPIOS RELATIVOS A LA LEGITIMACION DEL TRA- T AMIENTO DE DATOS
Articulo 7
Los Estados miembros dispondran que el tratamiento de datos personales s·:)lo pueda efectuarse si:
a) c1 interesado ha dado su conscnt1miento de forma mcqllivoca, o
b) cs nt:cesario p.ua Ia eJecuci{m de un contrato en el que el interes<Jdo sea parte o para Ia aplicaci<)n de medidas preccntractuales adoptadas a pctici(lll del interesado, o
c) e-; necesano para el cumplimiento de una obligaci<'m juridica a Ia que este sujeto el responsable del trata- miento, o
d) es necesario para proteger el interes vital del intere- sado, o
L') es necesano para el cumplimiento de una mJsi(m de interes publico o inherente al ejercicio del poder pt!hlico conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o
f) cs necesario para Ia satisbccion del inten§s lcgitimo perseguido por el responsable del tratamiento o por el tcrcero o terccros a los que se comuniquen los datos, -.iempre que no prevalezca el intercs o los derechos v libertades fundamentales del interesado que requiera~ proteccion con arreglo al apartado 1 del articulo 1 de Ia presente D1rectiva.
SFCCI()"J III
CATEGORIAS ESPECIALES DE TRATAMIENTOS
Art/culo R
Tratamiento de categorias especiales de datos
I. Los Estados miembros prohibJr<1n el tratamiento de datos personales que revelcn el origen racial o etnico, las opmiones politicas, las cOJwicciones rcligiosas o filosMi- c,1s, Ia pertenencia a sindicatos, a-,1 como el tratamiento de los datos relativos a Ia salud o a la sexualidad.
2. Lo dispuesto en el apartado cuando:
no se aplicara
,1) cl interesado haya dado su consentimiento explicito a dicho tratamiento, salvo en los casos en los que Ia legislacion del Estado micmbro disponga que Ia prohi- hici{m establecida en cl apartado 1 no pueda levan- tarse con el consentimicnto del interesado, o
b) cl tratamiento sea necesario para respetar las obliga- cJones y derechos especificos del responsable del trata- micnto en materia de Derecho !aboral en Ia medida en que este autorizado por Ia lcgislaci(m y esta prevea garantias adecuadas, o
c) el tratamiento sea ncccs<Hio para salvaguardar el interes vital del intercsado o de otra persona, en el supuesto de que cl intercsado cste fisica o jurldica- mcnte incapacitado para dar su consentimiento, o
d) el tratamiento sea cfcctuado en cl curso de sus activi- dades legitimas y con las dchidas garantfas por una fundacion, una asociaci<'m o cualquier otro organismo -.in fin de lucro, cuya finalidad sea politica, filosMica, rcligiosa o sindical, siempre que se rcfiera exclusiva- mcnte a sus miembros o a las personas que manten- gan contactos regulares con Ia fundaci6n, Ia asocia-
23. 11. 95 Diario Oficial de las Comunidades Europeas No L 281141
ci6n o cl organismo por raz6n de su finalidad y con tal de que los datos no se comuniquen a terceros sin cl conscntimiento de los interesados, o
c) cl tratamiento se refiera a datos que el intercsado haya hecho manifiestamente publicos o sea neccsario para cl rcconocimiento, eJercicio o defensa de un derecho en un procedimiento judicial.
3. El apartado 1 no se aplicara cuando cl tratamiento de datos resulte necesario para la prevcnci<'m o para el diagn6stico medicos, la prestaci6n de asistencia sanitaria () tratamientos medicos 0 la gesti6n de servicios sanita- rios, siempn: que dicho tratamiento de datos sea rcali- zado por un profcsional sanitaria sujeto al secreto profc- sional sea en virtud de Ia legislacion nacional, o de las normas establccidas por las autoridades nacionales com- petentes, o por otra p·:?rsona sujeta asimismo a una obligaci6n cqUJvalente de secrcto.
4. Siempre que clispongan las garantias aclecuadas, los Estados miembros podran, por motivos de intcres publico importantes, e~.tablecer otras excepciones, adcmas de las previstas en cl apartado 2, bien mediante su legislaci6n nacional, bien por decisi6n de Ia autoridad de control.
5. El tratamiento de datos relativos a infracciones, con- denas pen~1lcs o medidas de seguridad, sl'>lo podra cfec- tuarse hajo cl control de Ia autoridad ptiblica o si hay previstas garantias especlficas en el Derecho nacional, sin perjuicio de las excepciones que podr~1 cstablecer cl Estado miemb,~o basandose en disposiciones nacionales que prevcan garantfas apropiadas y especlficas. Sin embargo, s6lo podr~1 llevarse un registro completo de condenas penalcs bajo el control de los poderes publi- cos.
Los Estados miembros podran establecer que el trata- miento de datos relativos a sanciones administrativas o procesos civile·~ sc realicen asimismo bajo cl control de los podereo..; publicos.
6. Las cxcepciones a las disposiciones del apartado 1 que establccen los apartados 4 y S sc notificaran a Ia C:omisi<'m.
7. Los Estados miembros determinar~1n las condiciones en las que un numero nacional de identificacibn o cual- quier otro medio de iclentificaci6n de caracter general podr<l ser objc·:o de tratamiento.
Articulo 9
Tratamiento de datos pnsonales y lihertad de expresion
En lo referent~~~ al tratamiento de datos personales con fines exclusivamentc periodisticos o de expresion artlstica o literaria, los Estados miembros establecer~1n, respecto de las disposiCJones del presente capitulo, del capitulo IV y del capitulo VI, exenciones y excepcioncs solo en Ia
medida en que resulten necesarias para conciliar el dere- cho a Ia intirnidad con las normas que rigen Ia libertad de expresi6n.
SECC!()N IV
INFORMACIC)N DEL INTERESADO
Articulo 1()
Informacion en caso de ohtencion de datos recabados del propio interesado
Los Estados miembros dispondr;1n que el responsable del tratamiento o su representante debcr~1n comunicar a Ia persona de quien se recaben los datos que le conciernan, por lo menos Ia informaci(m que se cnumera a continua- cion, salvo si Ia persona ya hubicra sido informada de clio:
a) Ia identidad del responsable del tratamiento y, en su caso, de su representante;
b) los fin eo.; del tratamiento de que van a ser objeto los datos;
c) cualquier otra informaci{m tal como:
los destinatarios o las catcgorlas de destinatarios de los datos,
cl car<icter obligatorio o no de Ia respuesta y las con-.ccuencias que tendria para Ia persona intere- sada una negativa a responder,
Ia cxistencia de derechos de acceso y rectificaci6n de los datos que Ia conciernen,
en Ia medida en que, habida cucnta de las circunstan- cias espccificas en que sc obtengan los datos, dicha inforrnaci(m suplementaria rcsultc necesana para garantii<H un tratamiento de datm leal respecto del intcresado.
Articulo 11
Informacion cuando los datos no han sido rccahados del propio intercsado
1. Cuando los datos no hayan sido recabadm del intere- sado, lo-. Fstados miembros dispondr~1n que el responsa- hle del traumiento o su representante deber;1n, desde cl momemo del registro de los datos o, en caso de que se piense com unicar datos a un tercero, a m<is tardar, en cl momento de Ia primera comunicaci{m de datos, comuni- car al 1nteresado por lo menos Ia informacion que se enumera a continuaci6n, salvo si cl mtcresado va hubiera sido informado de ello:
a) Ia Idcntidad del responsablc del tratamiento y, en su c1so, de su representante;
b) los fine-. del tratamiento de que van a ser objeto los daro-,;
No L 2S 1/42 [~ Diario Oficial de Ia-; Comunidades Europeas 2.1. 11. 95
c) cualquier otra informacion tal como:
IJs categorias de los datos de que se trate,
los destinararios o las categorlas de destinacuio-; de los datos,
IJ existencia de derechos de acceso y rectific<Kt<'m de los datc•s que Ia concierncn,
en b medida en que, habida cucnta de las circunstan- cia-; cspcclfica~; en que se hayan obtcnido los d.ltm, diclu inform<·,ci6n suplementaria resulte 11l'l'C:,;uia para garantizar un tratamicnto de datos leal re-,pcdo del mteresado.
2. Las disposiciones del apartado I no sc aplicarc1n, en particular para el tratamiento con fines estadlstico-., o de invcstigaci6n hist6rica o cicntifica, cuando Ia infornLKJ<'m al intcn·sado resulte imposible o cxija esfucrzos dc..,pro- porcion<ldos o el registro o Ia comunicaci6n <1 un tcrccro estC·n expresamente prescritos por In·. En tales casos, los htados miembros estableccr<1n las garantlas apropi;da-;.
SEC:CIC)N V
DERECHO DE ACCESO DEL INTERESADO A LOS DATOS
Articulo 12
Derecho de acccso
Los Fstados miembros garantizar<1n a todos los int-cre-.;1- dos cl derecho cle obtener del responsablc del trat<1- micnto:
a) libremente, sir restricciones y con una pcriodicilbd ra;onable y sin retrasos ni gastm exccsivos:
b confirmztci6n de Ia existencia o inexistcnci<t del tratamient(l de datos que lc conciernen, asi como i ·1formaci6:1 por lo menos de los fines de dtchos tratamientos, las categorlas de datos a lJliL' 'il' refieran y los destinatarios o las catcgona•; de c'estinatarios a qUienes se comuniquen dJChos
' a tos;
l.1 comuniuci6n, en forma inteligihle, de los datm c'bjeto de los tratamiento-., as! como tod;l Ia i·1formaci6n disponible sohre el origen lk lm catos;
cl conocim ento de Ia l6gica utilizada en los traU·- nientos automatizados de los datos rderidc '" al i 1teresado, al menos en los casos de las decisJOilL''i ;H!tomatizadas a que se rdicrL· el apartado I ckl ;1 rtlculo IS;
h) en su caso, Ia rectificaci6n, Ia suprcsi6n o el hloqueo de Ios datos cuyo tratamiento no se a juste a las disposiciones ce Ia presente Directiva, en particular a L'<lUS.l del car;1cter incomplcto o inexacto de lm daro-;;
c) Ia notificaci6n a los terccros a quienes sc ha\<111 L'omunicado los datos de toda rectificaci(m, suprc-.i<)Jt o bloqueo efenuado de conformidad con Ia let-ra h), si no resulta imposible o supone un esfuerzo dcspro- porcionado.
SEUJ():\ VI
EXCEPCIONF~ Y LL\1ITACIONES
Art/m/() U
Excepcioncs y limitaciones
I. Los Estados miembros podr;l.n adoptar medidas lcga- k-. para limitar el alcance de las ohligaciones \' los dcrL·chos previstos en cl apart;Hio I del articulo 6, en el artiL'ulo I 0, en cl apartado I del articulo 11, y en los <Hticulos 12 y 21 cuando ral limitaci<'m constituva una nwdida ncccsaria p;lLl Ia -,aiYaguardJa de:
<11 Ia -.eguridad del Fstado;
hi h defensa;
L'l Ia -;cguridad pC1hlica:
d I Ia prevenci6n, Ia imcstigaci<m, Ia detecci(m y Ia represi6n de infracciones pcnalcs o de las infracciones de Ia deontologla en las profesiones reglamcntadas;
e) un interes econcm1ico \' fma nciero importante de un htado miemhro o de Ia llni<~)n Furopea, incluidos los ,J'>untos monl'tarios, prL''iLifllie-,rario.., \- fiscalcs;
fl una funci6n de control, de impccci(m o reglamentaria relacionada, aunque s6lo -,ea ocasionalmente, con el cjercicio de Ia autoridad pt~ihlica en los casos a que hacen referencia las krras c), dl \ L'):
g I Ia protecci(m del inrnesado o de los dncchos y lihertades de otras pn-,ona..,.
1 Sm perjuicio de las garantla-. legales apropiadas, que l'XL'Imcn, en particular, que lm datos puedan ser utili;a- dm l'l1 rclaci6n con ITlnli •.Ja.., o Lkci..,Ioncs relativas a pn-.,onas concretas, los Estado-., m1emhros podr<1n, en los ca-.o:-. en que manifiestamente no exista ningCm riesgo de atc11tado contra Ia intimilbd del interesado, limitar Im·dJante una disposici(m legal lm dnechos contemplado-. en L'l articulo 12 cuando lo-, datos -,e vayan a tratar exciu-,JYamente con fine-, de inH''itigacitm cicntlfica o sc gu;Hden en forma de arch inls dL· car;ictcr personal durante un perfodo que no supcrc cl tiempo nccesario p;lLl Ll exclusiva finalidad de L1 elahoraci<~m de cstadisti- L'<l".
DERECHO DE OPOSIC I()t\ DEL INTERESADO
Art/cui<! 1-/-
Derccho de opmici<'m dd intcresado
I .m Fstados miembros reconoLer;1n al interesado el dere- L'ho ,l:
a I oponerse, al menos en los casos contemplados en las lt:tras e) y f) del articulo -. en cualquier momento y por razones legirima'i prop1as de -,u situaci6n particu- br, a que lo-. datos que k concinnan scan ohjeto de
23. 1I. 95 Diario Oficial de las Comunidades Luropeas :-:(' L 281/43 ----- ---------
tratamicnto, salvo cuando Ia legislacion nacional dis- ponga otra cosa. En caso de oposicion justificada, el tratamicntc que efectue el responsahle no podr~1 rcfe- nrse y~1 a esos datos;
b) oponerse, previa peti•:ion y sin gastos, al tratamiento de los datos de caracter personal que le conciernan respecto de los cuales el responsable prevea un trata- miento desrinado a Ia prospeccion; o scr informado antes de que los datos se comuniquen por primera vcz a teru:ros () sc usen en nombre de estos a efectos de prospccci<'m, y a que se le ofrezca cxprcsamcntc cl derecho de oponerse, sin gastos, a dicha comunica- cion o tttili raci<'m.
Los Estados m1emhros adoptaran todas las medidas nece- sarias para garantizar que los intercsados conozcan Ia existencia del derccho a que se refiere el p;1rrafo primero de Ia letra b).
Articulo lS
Dccisiones individuates automatizadas
1. Los Estados miembros reconoceran a las personas el derccho a no verse sometidas a una clecisitm con efectos juridicos sobrc elias o que les afecte de manera significa- tiva, que sc ba~;e tmicamcnte en un tratamiento automati- zado de datos dcstinado a evaluar determinados aspectos de su personalidad, como su rcndimiento Llboral, crc·dito, fiabilidad, conducta, etc.
2. Los Estados miembros permitiran, sin pcrjuicio de lo dispucsto en los dcm<1s articulos de Ia presentc Directiva, que una persona pueda verse sometida a una de las decisiones comempladas en el apartado I cuando dich;1 decisi<'m:
a) se haya adoptado en el marco de Ia celebraci(m o ejecuci<'m de un contra to, siempre que Ia petici<'m de cclcbraci(m o ejecuci<'m del contrato presentada por el interesado sc haya satisfccho o que cxistan medidas apropiadas. como Ia posibilidad de defender su punto de vista, para Ia salvaguardia de su mtercs legitimo; 0
b) este autorizada por una ley que estahlezca medidas que garanticen el intcres legitimo del intcresado.
SECC:l():'\l VIII
CONFIDENCIALIDAD Y SEGURIDAD DEL TRATAMIENTO
Articulo 16
Confidencialidad del tratamicnto
Las personas que actuen bajo Ia autoridad del responsa- blc 0 del encargado del tratamiento, incluido este ultimo,
solo podr~1n tratar datos pcrsona\e.., a los que tengan acceso, cuando se lo encarguc el re-.;ponsahle del trata- miento o "~1lvo en virtud de un impcratinJ legal.
1\rtiwlo 17
Seguridad del tratamiento
1. Lo" Fstados miembros cstablccer;1n Ia obligaci(m del respons.1hlL· del tratamiento de aplicu las medidas tecni- cas y Lk organizacion adccuadas, p;1ra Ia protecci6n de los datos pcrsonales contra Ia destrucci<'m, acudcntal o iliciu, Ia pc·rdida accidental y contra Ia alteraci<ln, Ia difusi<'lll o cl acceso no autorizados, en particular cuando el tratamiL·nto incluya Ia transmisH'm de datos dcntro de una red, \ L·ontra cualquicr otro tL1tamicnto illcito de datos pvrsonales.
Dichas mcdidas deber;in garantizar, habida cuenta de los conocimientos tecnicos cxistentes Y Lkl coste de su aplica- ci(m, un ni\'(:1 de scguridad apropiado en rclaci(m con los riesgos que prescnte el tratamiento y con Ia naturaleza de los datos quL· dcban protegersL·.
2. Los Fstados miembros estableccL1n que el responsa- ble del tratamicnto, en c1so de traumiento por cuenta del mismo, dchera elegir un encargado del tratamicnto que reuna garantias suficientes en rclaci6n con las mcdidas de seguridad tc·cnica y de organizaci<)n de los tratamientos que lkh.1n dectuarse, ~- sc ~lsegurc de que '>l' cumplcn dichas 1m·didas.
3. la rcalizacion de tratamientos por L'ncargo deber~1 cstar reguLlda por un contrato u otro acto jurldico que \·incuk ~11 L·ncargado del tratamicnto L~on el responsahle del tratamicnto, y que disponga, en particular:
que L'l cncargado del tratamiL·nto -i>lo acttta siguiendo instrl!LLiones del rcsponsahlc del tLlL1miento;
que las obligaciones del apartado I, tal como las define L1 legislaci6n del F'itado micmhro en el que este cst~1hkudo el cncargado, incumlwn tamhic·n a este.
4. A ekctos de conscrvacitm de Ia prueha, las partes del contrato o del acto juridico relati\a'> a Ia protecci6n de datos ,. ;1 los rcquisitos relativos ~1 Ia" mcdidas a que hace rderenci~1 L·l apartado I cm1SLlLlll por C'>crito o en otra forma l'ljtll\·alente.
SFC:Cf():'\l IX
NOTIFICACI<)N
Articulo 18
Obligaci6n de notificaci6n a Ia autoridad de control
I. lo" hrados miembros dispondr;1n que d responsable del tLlL1Illlcnto o, en -.,u caso, '>ll n·pn·-.,cntantc, cfccttle
N° L 281144 []I] Diario Oficial de las Comunidades Europeas 23. 11. 95
una not1ficacicm a la autoridad de control contemplada en el articulo 28, con anterioridad a la realizaci{m de un tratamiento o de un conjunto de tratamientos, total o parcialmente autornatizados, destinados a la consecu,.:i<'m de un fin o de varios fines conexos.
2. Los Estados miembros podran disponer la simplifica- ci{m () la omision de la notificaci{m, solo en los siguicntes casos y con las siguientes condiciones:
cuando, para las categorias de tratamientos que no pucdan afectar a los derechos y libertades de los intercsados habida cuenta de los datos a que se reficre cl tratamiento. los Estados miembros precisen los fines de los tntamientos, los datos o categorias de datm tratados, la categoria o categorias de los intere- sado~;, los dcstinatarios o categorlas de destinatanos a los que se comuniquen los datos y cl periodo de conscrvacion d~ los datos y/o
cuando el responsable del tratamiento designe, con arreglo al Derecho nacional al que esta sujeto, un encargado de protcccion de los datos personalcs que tcng;' por comctido, en particular:
hacer aplicar en el ambito interno, de mancra independiertte, las disposiciones nacionales adop- t;tdas en virtud de la presente Directiva,
ll evar un n~gistro de los tratamientos efectuados por el resp,msable del tratamiento, que contcnga L-: informacion enumerada en cl apartado 2 del a rtfculo 21,
garantizanclo asi que el tratamiento de los clato~ no pued a ocasionar una merma de los derechos y libcrta- des cle los interesados.
3. Los Estados miemhros podd.n disponer que no se apliquc cl apartado 1 a aquellos tratamientos cuya tmica finalidad sea la de llevar un registro que, en virtud de disposici ones legales o reglamentari;ls, estc destinado a facilitar informaci:'m al pttblico y esten ahiertos a Ia consulta por cl publico en general o por toda persona que pueda dcmostrar un interes legitimo.
4. Los Estados miembros podran eximir de la ohligaci6n de notifi,.:acion o disponer una simplificacion de Ia mi-;ma respecto de los tratamientos a que se refiere Ia letra d) del apartado 2 del articulo 8.
5. Los Fstados miemhros podran disponer que los trata- mientos no autom.ltizados de datos de caracter personal o algunos de ellos sean notificados eventualmente de una forma simplificada.
Articulo 19
Contenido de la notificaci6n
1. Los Estados nr.iembros determinaran Ia informaci<'m que debe figurar en Ia notificaci<)n, que ser<l corno 111l1111110:
a) el nombre y Ia direcci6n del responsable del trata- miento y, en su caso, de su representante;
b) el o los objetivos del tratamiento;
c l una descripcion de Ia categoria o categorias de intere- sados y de los datos o categorias de datos a los que se 1-cfiere el tratamiento;
d) los destinatarios o categorias de destinatarios a los que se pueden comunicar los datos;
e I las transferencias de datos prcvistas a paises terce- ros;
f) una descripci{m general que permita evaluar de modo preliminar si las medidas adoptadas en aplicacion del articulo 17 resultan adecuadas para garantizar Ia seguridad del tratamicnto.
2. Los Estados miembros preusaran los procedimientos por los que se notificaran a Ia autoridacl de control las modificaciones que afecten a Ia informacion contemplada en cl apartado 1.
Articulo 20
Controles prcvios
l. Los Estados miembrm preusaran los tratamientos que puedan suponer riesgos espccificos para los dercchos y lihertades de los interesados y velaran por que sean examinados antes del comienzo del tratamiento.
2. Estas comprobaciones previas seran realizadas por la autoridad de control una vez que haya recibido Ia notifi- caci<'m del responsahle del tratamiento o por el cncargado de Ia proteccion de dato-. quien, en caso de duda, debera consultar a Ia autoridad de ·:ontrol.
3. Los Estados miemhro<., podr;in tamhien llevar a cabo dich,1 comprohaci{m en el marco de Ia elahoraci6n de una norma aprobada por el Parlamento o basada en Ia misma norma, que defina el carc1cter del tratamiento y establczca Ia-. oportunas garantias.
Articulo 21
Publicidad de los tratamientos
l. Los Estados miembros adoptar<1n las medidas necesa- rias para garantizar Ia publi.:idad de los tratamientos.
2. Los Estados miembros establecer<in que Ia autoridad de control lleve un registro de los tratamientos notifica- dos con arreglo al articulo 18.
23. 11. 95 Diario Oficial de las Comunidades Europeas N° L 281/45 ----------------------·------------------------------ ---------------------------------------------------
En el registro se haran con;tar, como mlnimo, las infor- maciones a las que se refieren las letras a) a e) del apartado 1 del articulo 19.
El registro podra ser con:mltado por cualquier persona.
3. Los Estadm. miembro~ dispondran, en lo que respecta a los tratamientos no sometidos a notificaci{m, que los responsablcs del tratamiento u otro 6rgano designado por los Estados miembros comuniquen, en Ia forma ade- cuada, a toda persona que lo solicitc, a! menos las
informaciones a que se refieren las letras a) a e) del apartado I del articulo I 9.
Los Estados miembros podr<l.n cstablcccr que esta disposi- ci6n no se aplique a los tratamicntos cuyo fin unico sea llevar un rcgistro, que, en virtud de disposiciones legales o reglamcntarias, este conccbido para facilitar informa- cion al pt1hlico y que estc abierto a Ia consulta por el pC1blico en general o por cualquicr persona que pueda demostra r un interes legitimo.
CAPITULO III
RECURSOS JUDICIALES, RESPONSABILIDAD Y SANCIONES
Artimlo 22
Recursos
Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante Ia auroridad de control mencionada en el articulo 2l-S, y antes de acudir a Ia autoridad judicial, los Estados miembros esrableceran que roda persona disponga de un rccurso judicial en caso de viobci6n de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamicnto de que se trate.
Artimlo 23
Responsabilidad
1. Los Estados miembros dispondran que toda persona que sufra un perjuicio como con'l·.:cuen- cia de un tratamiento illcito o de una acci<'m incompatible con las disposiciones nacionales adoptadas en aplicaci6n de Ia presente Directiva, tenga detTL·ho a obtener del respons<1hle del tratamiento Ia reparaci6n del perjuicio sufrido.
2. El responsable del tratamiento podr<'i scr eximido parcial o totalmente de dicha responsahi- lidad si demuestra que no se le puede imputar el hecho que ha provocado el daiio.
Articulo 24
Sancioncs
Los Estados miembros adoptaran las medidas adccuadas para garantizar Ia plena aphcaci6n de las disposiciones de la presentc Directiva y determinaran, en particular, las sancioncs que dehen aplicarse en caso de incumplimicnto de las <.hsposicioncs adoptadas en ejccuci6n de h prcscntc Directiva.
CAPITULO IV
TRANSFERENCIA DE DATOS PERSONALES A PAISES TERCEROS
Ai'ticulo 25
Principios
1. Los Estados miembros dispondran que Ia transferen- cia a un pais tcrcero de datos personates que sean objeto de tratamicnto o destinados a ser objeto de tratamiento con posterioridad a su transferencia, unicamente pucda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo
a las dem;is disposiciones de Ia prescnte Directiva, el pais tcrcero de que se trate garanticc un nivel de protccci(m adecuado.
2. El e<ujcrer adecuaclo del mvel de protecci6n que ofrece un pais tercero se evaluar;1 atcndicndo a todas las circunstatKias que concurran en una transfercncia o en una catcgoria de transfcrencias de datos; en particular, se
No [_ 2S1/46 [=:I[] Diario Oficial de las Comunidades Europeas 23.11.95
tomara en consid:raci6n Ia naturaleza de los datos, Ia finalidad y Ia duracion del tratamienro o de los trata- mientos previstos, el pals de origcn y cl pais de dcstino final, las normas de Derecho, generales o scctoriales, vigcntes en el pal~; tcrcero de que sc trate, asi como las norma-. profesionales y las medidas de -;cguridad en 1 1gor en dichos paises.
3. l.os Estados rniembros y Ia Comision se inform._u;1n rcciproc.1mente de los casos en que considcren qut· un tercer p,lis no garantiza un nivcl de protecci<'m adecuado con arreglo a! apartado 2.
4. Cuando Ia Conisi6n compruebe, con arreglo a! pro- cedimiento establecido en el apartado 2 del articulo J 1, que un tercer pai:> no garantiza un nivel de protecci<'lll adecu<ldo con arreglo al apartado 2 del presente artkulo. los Fstado miemhos adoptaran las medidas nece-.anas para impedir cualquier transferencia de datos personalc-. al tercer pals de que se trate.
5. I .a Comisi6n iniciara en el momento oportuno las negociaciones destinadas a remediar Ia situaci6n que se produzca cuando :;e compruebe cste hecho en aplicaci<'m del apartado 4.
6. Ia Comisi6n podr:i hacer constar, de confonn1dad con cl procedimi;?nto previsto en el apartado 2 del articulo 31, que un pais tercero garantiza un nivcl de protccci6n adecuado de conformidad con el aparrado 2 del presl'nte articu o, a Ia vista de su legislaci<'m interna o de -.us compromi~;os internacionaks, suscritos espl....:ial- mcntc al tcrmino de las negociacioncs mencionadas en el apartado 5, a efcctos de protecci6n de Ia vida priYad~l o de b" li hertades o de los clerechos fundamentak-; de las persona-..
J,os Fstaclos miembros adoptar,1n Ia-. meclidas neccs:.Hlas para ajustarse a Ia decision de b C:om1si6n.
Articulo 2o
Excepcioncs
1. No obstante lo dispuesto en el articulo 25 y -.:1h·o disposicH)n contraria del Dcrecho nacional que rcguk los caso~o, particulares, los Estados miembros dispondr~1n que pueda efectuarse una transferencia de datos pcrsona]e..., a un pais tercero que no garantice un nivel de protcc(i(m aden1ado con arnglo a lo establecido en el apartado 2 del artie .do 25, sit:mpre y cuando:
a) cl inreresado haya dado su conscntimiento mequlvo- Clmcnte a Ia t1 ansferencia prevista, o
b) h transferencia sea necesari~1 para Ia ejccuci6n de un contrato entre el interesado \ el responsahlc del
tratamiento o para la eJecuci6n de medidas precon- tractuales tomadas a perici(m del intercsado, o
c) b transfercncia sea necesaria para la celebraci6n o cjecuci6n de un contrato celebrado o por celcbrar en mtcres del interesado, entre el responsable del trata- miento y un tcrcero, o
d) La transferencia sea ne..::esaria o legalmente exigida para Ia salvaguardia de un mtcrcs pC1blico importante, < > para cl reconocimiento, cjercicio o defen sa de un dcrecho en un proccdimiento judicial, o
c) Ia transferencia sea necesaria para Ia salvaguardia del mteres vital del interesado, o
f\ Ia transferencia tenga Iugar desde un registro publico que, en virtud de disposiciones legales o reglamenta- nas, este concebido para facilitar informaci6n al pC1hlico y estc abierto a Ia comulta por el publico en general o por cualqlller persona que pueda demostrar un interes legltimo, sicmprL· que se cumplan, en cada caso particular, las condicionL''- que establece Ia ley para Ia consulta.
2. Sin perjlllc!O de lo dispuesro en el apartado 1, los Fstados miembros podr,1n autorizar una transferencia o una scrie de transferencias de datos personales a un tercer pai" que no garantice un nivcl de protecci6n adecuado con arreglo al apartado 2 del articulo 25, cuando el rcsponsable del tratamiento ofrezca garantias suficientes respccto de Ia proteccion de la Yida privada, de los dcrcchos y libertacles fundamentalcs de las personas, as! como respecto al ejercicio de los rcspectivos derechos; dichas garantias podr;:1n denvarse, en particular, de d1u- sula" contractuales apropiadas.
). Los Estados miembros informar<in a la Comisi6n y a los dernas Estados micmbros acerca de las autorizaciones que concedan con arrcglo al apartado 2.
En L'l 'iupuesto de que otro E~tado miembro o Ia Comi- si<'m cxpresaren su oposicitm ~· Ia justificaren debida- mcntc por motivos derivados de Ia protecci6n de Ia vida pri\·<H.b y de los derechos y lihertades fundamentales de Ia" personas, Ia Comisic'm acloptaL1 las medidas adecua- Lh-. con arreglo al proccdimicnto cstablecido en cl apar- tado 2 del articulo ) I.
Los Estados miembros adoptar<in las medidas necesanas para aJustarse a Ia decisic'm de Ia ( :omisi6n.
4. ( :uando Ia Comisi6n de1.:ida, segCm el procedimiento C'itablccido en el apartado 2 del articulo 31, que determi- nada-. clausulas contractualcs tipo ofrecen las garantlas suficientes establccidas en cl apartado 2, los Estados nncmhros adoptaran las m~'d1das nccesarias para ajus- tar-.c <1 Ia decision de Ia C:omi-,i6n.
23. 11. 95 Diario Oficial de las ( :omunidades Furopeas No L 281/47
CAPITULO V
CODIGOS DE CONDUCTA
Artiotfo 2 7
1. Los Estados miembros y Ia Comisi6n alentaran Ia claboraci6n de c6digos de conducta destinados a contribuir, en funci6n de las particularidades de cada sector, a Ia corrccta aplicaci6n de las disposiciones nacionales adoptadas por los Estados miembros en aplicaci6n de Ia presente Directiva.
2. Los Estados miembros estableceran que las asociaciones profesionales, y las dem<l.s organiza- ciones representantes de otras categorias de responsables de tratamientos, que hayan elahorado prnyectos de c6digos nacionales o que tengan Ia intenci<'m de modificar o prorrogar c6digos nacionales existentes puedan someterlos a examen de las autoridades nacionales.
Los Estados miembros estableceran que dicha autoridad vele, entre otras cosas, por Ia conformidad de los proyectos que le sean somctidos con las disposiciones nacionales adoptadas en aplicaci6n de Ia presente Directiva. Si lo considera convcniente, Ia autoridad recogcr;l. las obscrvaciones de los interesados o de sus represcntantes.
3. Los proyectos de c6digos comunitarios, as! como las modificaciones o pr6rrogas de c6digos comunitarios existentes, podran ser sometidos a cxamen del grupo contemplado en el articulo 29 .. tste se pronunicara, entre otras cosas, sobrc Ia conformidad de los proycctos que lc sean sometidos con las disposiciones nacionales adoptadas en aplicaci6n de Ia prcscnte Directi\'a. Si lo considera conveniente, el Crupo recoger~1 las observacioncs de los interesados o de sus representantes. La Comisi6n podra efectuar una puhlicidad adecuada de los c6digos que hayan rccibido un dictamen favorable del grupo.
CAPITULO VI
AUTORIDAD DE CONTROL Y GRUPO DE PROTECCION DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES
Articulo 28
Autoridad de control
recabar toda la informacibn necesaria para el cumpli- miento de su misi6n de control;
1. Los Estados miembros dispondran que una o mas autoridades publicas se encarguen de vigilar Ia aplicacion en su territorio de las disposiciones adoptadas por ellos en aplicacion de Ia presente Directiva.
poderes efectivos de intervenci6n, como, por ejemplo, el de formular dictamenes antes de realizar los trata- miento'i, con arreglo al articulo 20, y garantizar una puhlicaci<'m adecuada de dichos dictamenes, o el de ordenar cl bloqueo, Ia supresi<'m o Ia destrucci6n de datos, o incluso prohibir provisional o definitiva- mentc un tratamiento, o cl de dingir una advertencia o amoncstaci6n al responsable del tratamiento o el de sonwtcr Ia cuesti6n a los parlamentos u otras institu- cioncs poltticas nacionales;
Estas autoridades ejerceran las funciones que les son atribuidas con total independencia.
2. Los Estado~;; miembros dispondran que se consulte a las autoridadcs de control en el momento de la elabora- cibn de las medidas reglamentarias o administrativas relativas a Ia proteccion de los derechos y libertades de las personas en lo que se refiere al tratamiento de datos de ca r;icter personal.
3. La autoridad de control dispondra, en particular, de:
poderes de investigao6n, como el derecho de acceder a los datos que sean objeto de un tratamicnto y el de
capacidad procesal en caso de infraccioncs a las disposiciones nacionales adoptadas en aplicaci6n de Ia prescnrc Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.
Las decisioncs de la autoridad de control lesivas de derecho-; podran ser objeto de recurso jurisdiccional.
N° L 281/48 I=:KJ Diario Oficial de las Comunidades Europeas 23. 11. 9S
4. Toda autoridad de control cntcndera de las solicitu- des que cualquier persona, o cualquicr asociaci6n que Ia reprcscnte, le presente en relaci6n con Ia protecci6n de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona scrj informada del .:ursu dado a su solicitud.
Toda a utoridad de control entendera, en particular, de las solicitudes de verificacion de Ia licitud de un trata- micnto que le pre~ente cualquier persona cuando sean de aplicaci(m las disposiciones nacionales tomadas en virtud del arti<.:ulo 13 d;:- Ia presente Directiva. Dicha persona scr;'i infnrmada en todos los casos de que ha tcnido Iugar una verificaci6n.
5. Toda autoridad de control prcsentara peri{)(licamente un informe sobrc sus actividadcs. Dicho informc scr<i publicado.
6. Toda autoridad de control sera competentc, sean cualc!-> scan las di~;posiciones de Derecho nacional aplica- bles al tratamiemo de que se trate, para ejercer en cl territorio de su p:·opio Estado miemhro los poderes que sc le at-rihuyen en virtud del apartado 3 del prcscntc articulo. Dicha aLtoridad podr;'i ser instada a cjcrcn sLh podcrcs por una ~lutoridad de otro Estado miembro
La!-> autoridades Je control cooperar<in entre si en Ia medida necesaria para el cumplimiento de sus funcione~, en parti,_:ular mediante el intercamhio de informaci<)n que cstimcn tltil.
7. Los Estados miembros dispondr<in que los micmbros y agcntes de las autoridades de control estaran su]etos, incluso despues de haber cesado en sus funcioncs, al deher de secreto profesional sobre informaciones confi- dcncialcs a las qw~ hayan tenido acceso.
Articulo 2<J
Grupo de proteccion de las personas en lo que respecta al tratamiento de datos pcrsonalcs.
1. Se crea un grupo de proteccion de las personas L·n lo que respecta a! tratamiento de datos personales, en lo sucesivo denominddo << Grupo >>.
Dicho c;rupo tendra caracter consultivo e independtcntc.
2. Fl (~rupo estar~i compuesto por un representante de Ia autoricbd o de las autoridades de control designadas por cacb Estado miembro, por un rcpresentantc de Ia autori- dad o autoridadcs creadas por las instituciones y orgarm- 1110!-> comumtarios, y por un reprcsentante de Ia ( onll- ston.
Cada miembro del Grupo sera designado por Ia institu- ci6n, autoridad o autoridades a que represente. C:uando un Fstado miembro haya designado varias autoridadc!-> de control, estas nombraran a un representante comt'm. I.o mismo haran las autoridades crcadas por las institucione-. y organismos comunitarios.
.3. El Grupo tomara sus decisiones por mayoria simple de los representantes de las autoridades de control.
4. El Grupo elegira a su presidente. El mandat<> del presidente tendr<1 una duraci{m de dos aiios. El mandato ser<i renovable.
5. La Comision desempe£1ara las funciones de secretaria del Grupo.
6. Fl Grupo aprobara su reglamento interno.
7 El Grupo examinara los asuntos incluidos en el orden del dia por su prcsidcnte, bJen por iniciativa de este, bien pn·via solicitud de un reprcsentante de las autoridades de tontrol, bien a sDiicitud de Ia C:omisi{m.
Articulo 30
I. El Grupo tendra por comctido:
a) L'Studiar toda cuesti{m relativa a Ia aplicacion de las disposiciones nacionales tomadas para Ia aplicacion de Ia presente Dircctiva con vistas a contribuir a su <1plicaci6n homogenca;
h) cmitir un dictamen destinado a Ia C:omisi6n sohre cl nivel de protecci6n cxistente dcntro de Ia Comunidad ' en los paise-. terccrm;
c I asesorar a Ia Comisi{m sohre cualquier proyecto de modificacion de Ia prcscnte Directiva, cual4uier pro- ~Tcto de medidas adiciorules o e"pecificas que deban adoptarse para salvaguardar los derechos y libertades de las personas ffsicas en lo que respecta a! trata- miento de datos personales, asi como sobre cuall}uier otro proyecto de medidas comunitarias que afcctc a drchos derechos y libertade!->;
d I cmitir un dictamen sobre los d>digos de conducta elaborados a cscala comunitana.
2. Si cl Grupo comprobare Ia existencia de divergcncias entre Ia legislaci6n y Ia pr<ictica de los Estados miembros que pudieren afectar a Ia cquivalencia de Ia protecci6n de las personas en lo que se refttTl' a! tratamiento de datos pcr-.onales en Ia Comunidad, informarj de clio a Ia Comision.
3. Fl Grupo podra, por mi..:iativa propia, formular reco- mendaciones sobrc cualquin asunto relacionado con Ia proteccion de las personas en lo que respecta a! trata- miento de datos personalcs en Ia Comunidad.
4. Los dictamenes y recomendaciones del Grupo se transmitiran a Ia Comisi<in y ,1! ( omitc contemplado en el articulo 31.
S. La Comision informar<1 al Grupo del curso que haya dado a los dict<1menes y recornendaciones. A tal efecto, elaborara un informe, que scr<i transmitido asimismo al
23. 11. 95 Diario Oficial de las Comunidades Europeas No L 281/49
Parlamento Europeo y al Consejo. Dicho informe sera puhlicado.
respecta al tratamiento de datos personales en Ia Comu- nidad y en los paises terceros, y lo transmitira al Parla- mcnto Luropeo, al Consejo y a Ia Comision. Dicho informc ser;1 puhlicado.6. El Grupo elahorani un informe anual sohre Ia situa-
cion de Ia proteccion de las personas flsicas en lo que
CAPfTl ru) VII
MEDIDAS DE EJECUCIC)N COMUNITARIAS
Articulo ) 1
El Comite
1. La Comisi6n estara asistida por un Comit(; compuesto por representantes de lo-, Fstados miembros y presidido por cl representante de Ia Comision.
2. El representante de la Comision presentar;i al ComitL' un proyecto de las medidas que sc hayan de adoptar. El Comitc emitira su dictamen sobre dicho proyecto en un plazo que: cl prt"sidente podra determinar en funcion de Ia urgcncia de L1 cuesti6n de que sc tratt·.
El d~ctamcn ~;e emitira segLm Ia mayoria prcvista m cl apartado 2 del articulo 148 del Tratado. Lo.; votos de los representantes de los Estado-, miemhros en cl seno del Comite se ponderar~1n del modo establecido en el articulo anteriormente cirado. Fl prcsidente no tomara parte en Ia votaci(m.
La Comisi6n adoptara las medidas que seran de aplicaci('m 111mcdiata. Sin embargo, si dichas medidas no fueren conformes al dictamen del Comite, habr:in de ser comunicadas .-;in dcmora por Ia Comisi6n al ConseJo. En este caso:
Ia C:omis;6n aplazara Ia aplicacion de las medidas que ha decidido por un periodo de tn:s meses a partir de la fecha de dicha comunicaci(m;
cl C:onsejo, actuando por mayoria cualificada, podr<1 adoptar una decisi(m diferente dentro del plazo de tiempo mencionado en el primer guibn.
DISPOSICIONES FINALES
Articulo 32
1. Los Estados miembros adoptaran las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimicnto a lo establecido en Ia presente Dircc- tiva, a mas tardar al final de un periodo de tres afios a partir de su adopci<'m.
C:uando los Estados miembros adopten dichas disposicio- nes, estas haran referencia a Ia presente Directiva o ir<in acomp;u1adas de dicha rderencia en su publicaci()n ofi- cial. Los Estadm miembros establecer;in las modalidades de Ia mencionada refcrencia.
2. Los Estado~ miemhros velaran por que todo trata- miento ya iniciado en Ia fecha de entrada en vigor de las disposiciones de Derecho nacional adoptadas en virtud de Ia prescnte Directiva se ajuste a dichas disposiciones dentro de un plazo de tres afios a partir de dicha fecha.
No obstante lo dispuesto en el p<1rrafo primero, los Estado-, miembros pock1n establecer que el tratamiento de datos que ya se cncuentren incluidos en ficheros manualcs en Ia fecha de entrada en 'igor de las disposi- ciones nac10nales adoptadas en aplicaci<,H1 de Ia presentc Directiva, deha ajustarsc a lo dispuesto en los articulos 6, 7 y 8 en un plazo de docc at1os a partir de L1 adopcion de b mism,1. :\o obstante, los Estadm micmhros otorgaran al intncsado, previa solicitud y, en particular, en el ejercicio de -,u derecho de acceso, cl dcrecho a que se rectifiqucn, supriman o bloqueen lm datos mcompletos, mexactm o que hayan sido conscrvadm de forma incom- patible con los fines legitimos perseguido.., por d respon- sablc del tratamiento.
). No obstante lo dispuesto en cl apartado 2, los Esta- Llos micmhros podran disponer, con "ujeci<)n a las garan- tias aLkcuadas, que los datos con-,cn·ado-, Lmicamentc a
N° L 281/50 I=:KJ Diario Oficial de las Comunidades Europeas 23. 11. 95
efectos de investigacion historica no deban ajustarse a lo dispuesm en los articulos 6, 7 y 8 de la presente Dircctiva.
4. Los Estados miembros comunicar<in a Ia Comisi1:m cl texto de las disposiciones de Dcrccho interno que ~ldop ten en d ambito regulado por Ia prcsente Directiva.
Articulo 33
La Cornision presentara a! Conscjo y al Parlan1ento Europeo peri{)dicamentc y por primera vez en un pbzo de tres aiios a Jartir de la fecha mencionada en cl apartado 1 del articulo .32 un informe sobre Ia aplicaci6n de Ia presente Directiva, acompailado, en su caso. de las oportunas propucstas de modificaci6n. Dicho informe scr<1 publicado.
La Comision estu::liara, en particular, Ia aplicaci6n de Ia prescntt Directiva al tratamiento de datos que consistan
en sonidos e imagenes relativos a personas ffsicas y prcsentara las propuestas pertincntcs que puedan resultar ncccsarias en funci6n de los a vanccs de Ia tecnologfa de Ia informacion, y a Ia luz de los trahajos de la sociedad de Ia informacion.
Articulo 34
Los destinatarios de Ia presente Directiva seran los Esta- dos miembros.
I1echo en Luxemburgo, el 24 de octuhre de 1995.
Por el Parlamento Europcn
El Presidente
K. HA;'\JSCH
Por el Ccmsejo
El Presidcnte
L ATIENZA SERNA
23. 11. 95 Journal officiel des Communautes europeennes N° L 281/31
DIRECTIVE 95/46/CE DU PARLEMENT EUROPEEN ET DU CONSEIL
du 24 octobre 1995
relative a la protection des personnes physiques a l'egard du traitement des donnees a caractere personnel et a la libre circulation de ces donnees
LE PARLEMENT EUROPEEN ET LE CONSEIL DE L'UNION EUROPEENNE,
vu le traite instituant la Communaute europeenne, et notamment son article 100 A,
vu la proposition de la Commission (1 ),
vu l'avis du Comite economique et social (2),
statuant conformement a la procedure visee a !'article 189 B du traite eJ,
(1)
(2)
considerant que les objectifs de la Communaute, enonces dans le traite, tel que modifie par le traitc sur !'Union europeenne, consistent a realiser une union sans cesse plus etroite entre les peuples europeens, a etablir des relations plus etroites entre les Etats que la Communaute reunit, a assurer par une action commune le progres economique et social en eliminant les barrieres qui divisent !'Eu- rope, a promouvoir l'am6lioration constante des conditions de vie de ses peuples, a preserver et conforter la paix et la liberte, et a promouvoir la democratie en se fondant sur les droits fondamen- taux reconnus dans les constitutions et les lois des Etats membres, ainsi que dans la convention euro- peenne de sauvegarde des droits de l'homme et des libertes fondamentales;
considerant que les systemes de traitement de don- nees sont au service de l'homme; qu'ils doivent, queUe que soit la nationalite ou la residence des personnes physiques, respecter les libertes et droits fondamentaux de ces personnes, notamment la vie privee, et contribuer au progres economique et social, au developpement des echanges ainsi qu'au bien-etre des individus;
(3) considerant que l'etablissement et le fonctionne- ment du marche interieur dans lequel, conforme-
e) JO n° C 277 du 5. 11.1990, p. 3. JO n° C 311 du 27. 11. 1992, p. 30.
e) JO n° C 159 du 17. 6. 1991, p. 38. e) Avis du Parlement europeen du 11 mars 1992 (JO n° C 94
du 13. 4. 1992, p. 198), confirme le 2 decembre 1993 (JOn" C 342 du 20. 12. 1993, p. 30); position commune du Conseil du 20 fevrier 1995 (JO n° C 93 du 13. 4. 1995, p. 1) et decision du Parlement europeen du 15 juin 1995 (JO n° C 166 du 3. 7. 1995).
(4)
(5)
(6)
(7)
ment a !'article 7 A du traite, la libre circulation des marchandises, des personnes, des services et des capitaux est assuree, necessitent non seulement que des donnees a caractere personnel puissent circuler librement d'un Etat membre a l'autre, mais egalement que les droits fondamentaux des person- nes soient sauvegardes;
considerant que, dans la Communaute, il est fait de plus en plus frequemment appel au traitement de donnees a caractere personnel dans les divers domaines de l'activite economique et sociale; que les progres des technologies de !'information facili- tent considerablement le traitement et l'echange de ces donnees;
considerant que !'integration cconomique et sociale resultant de l'etablissement et du fonctionnement du marche interieur au sens de !'article 7 A du traite va necessairement entrainer une augmenta- tion sensible des flux transfrontaliers de donnees a caractere personnel entre tous les acteurs de Ia vie economique et sociale des Etats membres, que ces acteurs soient prives ou publics; que l'echange de donnees a caractere personnel entre des entreprises etablies dans des Etats membres differents est appele a se developper; que les administrations des f~tats membres sont appelees, en application du droit communautaire, a collaborer et a echanger entre elles des donnees a caractere personnel afin de pouvoir accomplir leur mission ou executer des taches pour le compte d'une administration d'un autre f~tat membre, dans le cadre de l'espace sans frontieres que constitue le marchc interieur;
considerant, en outre, que le renforcement de Ia cooperation scientifique et technique ainsi que. la mise en place coordonnee de nouveaux reseaux de telecommunications dans la Communaute necessi- tent et facilitent Ia circulation transfrontaliere de donnees a caractere personnel;
considerant que les differences entre Etats membres quant au niveau de protection des droits et libertes des personnes, notamment du droit a Ia vie privee, a l'egard des traitements de donnees a caractere personnel peuvent empecher la transmission de ces donnees du territoire d'un Etat membre a celui d'un autre Etat membre; que ces differences pen- vent des lors constituer un obstacle a l'exercice d'une serie d'activites economiques a l'echelle com- munautaire, fausser la concurrence et empecher les administrations de s'acquitter des responsabilites qui leur incombent en vertu du droit communau-
No L 281/32 Journal officiel des Communautes europeennes 23. 11. 95
taire; que ces differences de niveau de protection resultent de la disparite des dispositions nationales legislatives, reglementaires et administratives;
(8) considerant que, pour eliminer les obstacles <l la circulation des donnees a caractere personnel, le niveau de protection des droits et libertes des personnes a l'egard du traitement de ces donnees doit etre equivalent dans taus les :Etats membres; que cet objectif, fondamental pour le marche inte- rieur, ne peut pas etre atteint par la seule action des f~tats membres, compte tenu en particulier de l'ampleur des divergences qui existent actuellement entre les legislations nationales applicable<> en la matiere et de la necessite de coordonner lcs legisla- tions des Etats membres pour que le flux trans- frontalier de donnees a caractere personnel soit rcglcmente d'une maniere coherente et conforme a l'objectif du marche interieur au sens de !'article 7 A du traite; qu'une intervention de Ia Commu- naute visant a un rapprochement des legislations est done necessaire;
(9) considerant que, du fait de Ia protection equivalen- te resultant du rapprochement des legislations nationales, les Etats membres ne pourront plus faire obstacle a la libre circulation entre eux de donnees a caractere personnel pour des raisons relatives a la protection des droits et libertes des personnes, notamment du droit a Ia vie privee; que les hats membres disposeront d'une marge de manceuvre qui, dans le contexte de Ia mise en (euvre de Ia directive, pourra etre utilisee par les partenaires economiques et sociaux; qu'ils pour- rom done preciser, dans leur legislation nationale, Ies conditions generales de liceite du traitement des donnees; que, ce faisant, les hats membres s'effor- ceront d'ameliorer Ia protection assuree actuelle- ment par leur legislation; que, dans les limites de cette marge de manceuvre et conformement au droit communautaire, des disparites pourront se produire dans la mise en ceuvre de la directive et que cela pourra avoir des incidences sur Ia circula- tion des donnees tant a l'interieur d'un Etat mem- hre que dans Ia Communaute;
(10) considerant que l'objet des legislations nationales relatives au traitement des donnees a caractere personnel est d'assurer le respect des droits et libertes fondamentaux, notamment du droit a la vie privee reconnu egalement dans !'article 8 de la convention curopeenne de sauvegarde des droits de l'homme et des libertes fondamentales et dans les principes generaux du droit communautaire; que, pour cette raison, le rapprochement de ces lt~gisla tions ne doit pas conduire a affaiblir Ia protection qu'elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau eleve de protection dans Ia Communaute;
(11) considerant que les principes de Ia protection des droits et des libertes des personnes, notamment du droit a Ia vie privee, contenus dans Ia presente directive precisent et amplifient ceux qui sont contenus dans Ia convention, du 28 janvier 1981, du Conseil de !'Europe pour Ia protection des personnes a l'egard du traitement automatise des donnees a caractcrc personnel;
(12) considerant que les principes de la protection doi- vent s'appliquer a tout traitement de donnees a caractere personnel des lors que les activites du responsable du traitement relevent du champ d'ap- plication du droit communautaire; que doit etre exclu le traitement de donnees effectue par une personne physique dans l'exercice d'activites exclu- sivement personnelles ou domestiques, telles Ia correspondance et Ia tenue de repertoires d'adres- ses;
(13) considerant que les activites v1sees aux titres V et VI du traite sur ]'Union europeenne concernant Ia securite publique, Ia defense, la surete de l'Etat ou les activites de l'I~tat dans le domaine penal ne relevent pas du champ d'application du droit com- munautaire, sans prejudice des obligations incom- bant aux Etats membres au titre de !'article 56 paragraphe 2 et des articles 57 et 100 A du traite; que le traitement de donnees a caractere personnel qui est necessaire a Ia sauvegarde du bien-etre economique de I'E,tat ne relcve pas de Ia presente directive lorsque ce traitement est lie a des ques- tions de surete de l'Etat;
(14) considerant que, compte tenu de ]'importance du developpement en cours, dans le cadre de Ia societe de ]'information, des techniques pour capter, trans- mettre, manipuler, enregistrer, conserver ou com- muniquer les donnees constituees par des sons et des images, relatives aux personnes physiques, Ia presente directive est appelee a s'appliquer aux traitements portant sur ces donnees;
(15) considerant que les traitements portant sur de telles donnees ne sont couverts par Ia presente directive que s'ils sont automatises ou si les donnees sur lesquelles ils portent sont contenues ou sont desti- nees a etre contenues dans un fichier structure selon des criteres specifiques relatifs aux personnes, afin de permettre un acces aisc aux donnees a caractere personnel en cause;
(16) considerant que les traitements des donnees consti- tuees par des sons et des images, tels que ceux de video-surveillance, ne relevent pas du champ d'ap- plication de la presente directive s'ils sont mis en ceuvre a des fins de securite publique, de defense, de surete de l'Etat ou pour l'exercice des activites de l'Etat relatives a des domaines du droit penal ou pour l'exercice d'autres activitcs qui ne relcvent pas du champ d'application du droit communautaire;
(17) considerant que, pour ce qui est des traitements de sons et d'images mis en ceuvre a des fins de
23. 11. 95 Journal officiel des Communautes europeennes N° L 281133
journalisme ou d'expression liw§raire ou artistique, notamment dans le domaine audiovisuel, les princi- pes de Ia directive s'appliquent d'une maniere res- treinte selon les dispositions prevues a !'article 9;
(18) considerant qu'il est necessaire, afin d'eviter qu'une personne soit exclue de la protection qui lui est garantic en vertu de la presente directive, que tout traitemcnt de donnees a caractere personnel effec- tue dans la Communaute respecte la legislation de l'un des Etats membres; que, a cet egard, il est opportun de soumcttre les traitements de donnees effectues par toute personne operant sous l'autoritc du responsable du traitement etabli dans un Etat membrc a !'application de la legislation de cet Etat;
(19) considerant que l'etablissement sur le territoire d'un Etat membre suppose l'exercice effectif et reel d'une activite au moyen d'une installation stable; que la forme juridique retenue pour un tel etablis- sement, qu'il s'agisse d'une simple succursale ou d'une filiale ayant la personnalite juridique, n'est pas determinante a cet egard; que, lorsqu'un meme responsable est ctabli sur le territoire de plusieurs Etats membres, en particulier par le biais d'une filiale, il doit s'assurer, notamment en vue d'eviter tout contournement, que chacun des etablissements remplit les obligations prevues par le droit national applicable aux activites de chacun d'eux;
(20) considerant que l'etablissement, dans un pays tiers, du responsable du traitement de donnees ne doit pas fairc obstacle a la protection des personnes prevue par Ia presente directive; que, dans ce cas, il convient de soumettre les traitements de donnees effectucs a la loi de l'Etat membre dans lequel des moyens utilises pour le traitement de donnees en cause sont localises et de prendre des garanties pour que les droits et obligations prevus par la presente directive soient effectivement respectes;
(21) considerant que la presente directive ne prejuge pas des regles de territorialite applicables en matiere de droit penal;
(22) considerant que les Etats membres preciseront dans leur legislation ou lors de la mise en <ruvre des dispositions prises en application de la presente directive les conditions generales dans lesquelles le traitement de donnees est licite; que, en particulier, ]'article 5, en liaison avec les articles 7 et 8, permet aux Etats membres de prevoir, independamment des regles generales, des conditions particuliercs pour les traitements de donnees dans des secteurs specifiques et pour les differentes categories de donnees visees a !'article 8;
(23) considi-rant que les Etats membres sont habilites a assurer Ia mise en <ruvre de Ia protection des personnes, tant par une loi generale relative a Ia protection des personnes a l'egard du traitement des donnees a caractere personnel que par des lois
sectorielles telles que celles relatives par exemple aux instituts de statistiques;
(24) considerant que les legislations relatives a Ia pro- tection des personnes morales a l'egard du traite- ment des donnees qui les concernent ne sont pas affectees par Ia presente directive;
(25) considerant que les principes de la protection doi- vent trouver leur expression, d'une part, dans les obligations mises a la charge des personnes, autori- tes publiques, entreprises, agences ou autres orga- nismes qui traitent des donnees, ces obligations concernant en particulier la qualit{; des donnees, Ia securite technique, Ia notification a l'autorite de controle, les circonstances dans lesquelles le traite- ment peut etre effectue, et, d'autre part, dans les droits donnes aux personnes dont les donnees font )'objet d'un traitement d'etre informees sur celui-ci, de pouvoir acceder aux dotmees, de pouvoir demander leur rectification, voire de s'opposer au traitement dans certaines circonstances;
(26) considerant que les principes de Ia protection doi- vent s'appliquer a toute information concernant une personne identifiee ou identifiable; que, pour determiner si une personne est identifiable, il convient de considerer ]'ensemble des moyens sus- ceptibles d'erre raisonnablement mis en <ruvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne; que les principes de Ia protection ne s'appliquent pas aux donnees rendues anonymcs d'une maniere telle que Ia personne concernee n'est plus identifiable; que les codes de conduite au sens de \'article 27 peu- vent etre un instrument utile pour fournir des indications sur les moyens par lesquels les donnees peuvent etre rendues anonymes et conservees SOliS une forme ne permettant plus )'identification de la personne concernee;
(27) considerant que la protection des personnes doit s'appliquer aussi bien au traitement de donnees automatise qu'au traitement manuel; que le champ de cette protection ne doit pas en effet dependre des techniques utilisees, sauf a creer de graves risques de detournement; que, toutefois, s'agissant du traitement manuel, Ia presente directive ne couvrc que les fichiers et ne s'applique pas aux dossiers non structures; que, en particulier, le contenu d'un fichier doit etre structure selon des criteres determines relatifs aux personnes permet- tant un acces facile aux donnees a caractere per- sonnel; que, conformcment a Ia definition figurant a !'article 2 point c), les diffcrents criteres permet- tant de determiner les elements d'un ensemble structure de donnees a caractere personnel et les differents criteres regissant l'acces a cet ensemble de donnees peuvem ctre definis par chaq ue Etat
N° L 281/34 Journal officiel des Communautes europeennes 23. 11. 95
membre; que les dossiers ou ensembles de dossiers, de meme que leurs couvertures, qui ne sont pas structures selon des criteres determines n'entrent en aucun cas dans le champ d'application de la pre- sente directive;
(28) considerant que tout traitement de donnees a caractere personnel doit etre effectue licitement et loyalement a l'egard des personnes concernees; qu'il doit, en particulier, porter sur des donnees adequates, pertinentes et non excessives au regard des finalites poursuivies; que ces finalites doivent ctre explicites et legitimes et doivent etre determi- nees lors de Ia collecte des donnees; que les finali- tes des traitements ulterieurs a Ia collecte ne peu- vent pas etre incompatibles avec les finalites telles que specifiees a l'origine;
(29) considerant que le traitement ulterieur de donnees acaractere personnel ades fins historiques, statisti- ques ou scientifiques n'est pas considere en general comme incompatible avec les finalites pour lesquel- les les donnees ont ete auparavant collectecs, dans Ia mesure ou les Etats membres prevoient des garanties appropriees; que ces garanties doivent notamment empecher ]'utilisation des donnees a l'appui de mesures ou de decisions prises a l'encon- tre d'une personne;
(30) considerant que, pour etre licite, un traitement de donnees a caractere personnel doit en outre etre fonde sur le consentement de la personne cancer- nee ou etre necessaire a la conclusion ou a ['execu- tion d'un contrat liant la personne concernee, ou au respect d'une obligation legale, ou a !'execution d'une mission d'interet public ou relevant de l'exer- cice de l'autorite publique, ou encore a la realisa- tion d'un interet legitime d'une personne a condi- tion que ne prevalent pas ['interet ou les droits et libertes de la personne concernee; que, en particu- lier, en vue d'assurer l'equilibre des interets en cause, tout en garantissant une concurrence effec- tive, les Etats membres peuvent preciser les condi- tions dans lesquelles des donnees a caractere per- sonnel peuvent etre utilisees et communiquees a des tiers dans le cadre d'activites legitimes de gestion courante des entreprises et autres organis- mes; que, de meme, ils peuvent preciser les condi- tions dans lesquelles la communication a des tiers de donnees a caractere personnel peut etre effec- tuee a des fins de prospection commercialc, ou de prospection faite par une association a but caritatif ou par d'autres associations ou fondations, par cxemple a caractere politique, dans le respect de dispositions visant a permettre aux personnes concernees de s'opposer sans devoir indiquer leurs motifs et sans frais au traitement des donnees les concernant;
(31) considerant qu'un traitement de donnees acaractere personnel doit etre egalement considere comme licite lorsqu'il est effectue en vue de proteger un interet essentiel a la vie de la personne concernee;
(32) considerant qu'il appartient aux legislations natio- nales de determiner si le responsable du traitement investi d'une mission d'interet public ou d'une mission relevant de l'exercice de l'autorite publique doit etre une administration publique ou une autre personne soumise au droit public ou au droit prive, telle qu'une association professionnelle;
(33) considerant que les donnees qui sont susceptibles par leur nature de porter atteinte aux libertes fondamentales ou a la vie privee ne devraient pas faire l'objet d'un traitement, sauf consentement explicite de la personne concernee; que, cependant, des derogations a cette interdiction doivent etre expressement prevues pour repondre a des besoins specifiques, en particulier lorsque le traitement de ces donnees est mis en reuvre a certaines fins relatives a la sante par des personnes soumises a une obligation de secret professionnel ou pour la realisation d'activites legitimes par certaines asso- ciations ou fondations dont l'objet est de permettrc l'exercice de libertes fondamentales;
(34) considerant que les :Etats membres doivent egale- ment etre autorises a deroger a ]'interdiction de traiter des categories de donnees sensibles lorsqu'un motif d'interet public important le justi- fie dans des domaines tels que la sante publique et la protection sociale - particulierement afin d'as- surer la qualite et la rentabilite en ce qui concerne les procedures utilisees pour regler les demandes de prestations et de services dans le regime d'assu- rance maladie - et tels que la recherche scientifi- que et les statistiques publiques; qu'illeur incombe, toutefois, de prevoir les garanties appropriees et specifiques aux fins de proteger les droits fonda- mentaux et la vie privee des personnes;
(35) considerant, en outre, que le traitement de donnees a caractere personnel par des autorites publiques pour la realisation de fins prevues par le droit constitutionnel ou le droit international public, au profit d'associations a caractere religieux officielle- ment reconnues, est mis en reuvre pour un motif d'interet public important;
(36) considerant que, si, dans le cadre d'activites liees a des elections, le fonctionnement du systeme demo- cratique suppose, dans certains Etats membres, que les partis politiques collectent des donnees relatives aux opinions politiques des personnes, le traite- ment de telles donnees peut etre autorise en raison de ]'interet public important, a condition que des garanties appropriees soient prevues;
(37) considerant que le traitement de donnees acaractere personnel a des fins de journalisme ou d'expression artistique ou litteraire, notamment dans le domaine audiovisuel, doit beneficier de derogations ou de limitations de certaines dispositions de la presente directive dans la mesure ou elles sont necessaires
23. 11. 95 Journal officiel des Communautes europeennes N° L 281/35
a Ia conciliation des droits fondamentaux de Ia personne avec Ia liberte d'expression, et notam- ment Ia liberte de recevoir ou de communiquer des informations, telle que garantie notamment a }'arti- cle 10 de Ia convention europeenne de sauvegarde des droits de l'homme et des libertes fondamenta- les; qu'il incombe done aux Etats membres, aux fins de Ia ponderation entre les droits fondamen- taux, de prevoir les derogations et limitations necessaires en ce qui concerne les mesures generales relatives a la legalite du traitement des donnees, les mesures relatives au transfert des donnees vers des pays tiers ainsi que les competences des autorites de controle, sans qu'il y ait lieu toutefois de prevoir des derogations aux mesures visant a garantir Ia securite du traitement; qu'il convien- drait egalement de conferer au moins a l'autorite de controle competente en Ia matiere certaines competences a posteriori, consistant par exemple a publier periodiquement un rapport ou a saisir les autorites judiciaires;
(38) considerant que le traitement loyal des donnees suppose que les personnes concernees puissent connaitre !'existence des traitements et beneficier, lorsque des donnees sont collectees aupres d'elles, d'une information effective et complete au regard des circonstances de cette collecte;
(39) considerant que certains traitements portent sur des donnees que le responsable n'a pas collectees directement aupres de Ia personne concernee; que, par ailleurs, des donnees peuvent etre legitimement communiquees a un tiers, alors meme que cette communication n'avait pas ete prevue lors de la collecte des donnees aupres de la personne cancer- nee; que, dans toutes ces hypotheses, !'information de la personne concernee doit se faire au moment de !'enregistrement des donnees ou, au plus tard, lorsque les donnees sont communiquees pour la premiere fois a un tiers;
(40) considerant que, cependant, il n'est pas necessaire d'imposer cette obligation si la persoime concernee est deja informee; que, en outre, cette obligation n'est pas prevue si cet enregistrement ou cette communication sont expressement prevus par Ia loi ou si }'information de la personne concernee se revele impossible ou implique des efforts dispro- portionnes, ce qui peut etre le cas pour des traite- ments a des fins historiques, statistiques ou scienti- fiques; que, a cet egard, peuvent etre pris en consideration le nombre de personnes concernees, l'anciennete des donnees, ainsi que les mesures compensatrices qui peuvent etre prises;
(41) considerant que toute personne doit pouvoir bene- ficier du droit d'acces aux donnees la concernant qui font }'objet d'un traitement, afin de s'assurer notamment de leur exactitude et de Ia liceite de leur traitement; que, pour les memes raisons, toute personne doit en outre avoir le droit de connaitre la logique qui sous-tend le traitement automatise
des donnees la concernant, au moins dans le cas des decisions automatisees visees a l'article 15 paragraphe 1; que ce droit ne doit pas porter atteinte au secret des affaires ni a la propriete intellectuelle, notamment au droit d'auteur prote- geant le logiciel; que cela ne doit toutefois pas aboutir au refus de toute information de Ia per- sonne concernee;
(42) considerant que les Etats membres peuvent, dans !'interet de la personne concernee ou en vue de proteger les droits et libertes d'autrui, limiter les droits d'acces et d'information; qu'ils peuvent, par exemple, preciser que l'acces aux donnees a carac- tere medical ne peut etre obtenu que par l'interme- diaire d'un professionnel de la sante;
(43) considerant que des restrictions aux droits d'acces et d'information, ainsi qu'a certaines obligations mises a la charge du responsable du traitement de donnees, peuvent egalement etre prevues par les Etats membres dans la mesure ou elles sont neces- saires a la sauvegarde, par exemple, de Ia surete de l'Etat, de Ia defense, de la securite publique, d'un interet economique ou financier important d'un f~tat membre ou de l'Union europt~enne, ainsi qu'a la recherche et a la poursuite d'infractions penales ou de manquements a Ia deontologie des profes- sions reglementees; qu'il convient d'enumerer, au titre des exceptions et limitations, les missions de controle, d'inspection ou de reglementation neces- saires dans les trois derniers domaines precites concernant Ia securite publique, l'interet economi- que ou financier et la repression penale; que cette enumeration de missions concernant ces trois domaines n'affecte pas la U~gitimite d'exceptions et de restrictions pour des raisons de surete de l'"Etat et de defense;
(44) considerant que les :Etats membres peuvent etre amenes, en vertu de dispositions du droit commu- nautaire, a deroger aux dispositions de Ia presente directive concernant le droit d'acces, }'information des personnes et la qualite des donnees, afin de sauvegarder certaines finalites parmi celles visees ci-dessus;
(45) considerant que, dans le cas ou des donnees pour- raient faire l'objet d'un traitement licite sur le fondement d'un interet public, de l'exercice de l'autorite publique ou de )'interet legitime d'une personne, toute personne concern(~e devrait, toute- fois, avoir le droit de s'opposer, pour des raisons preponderantes et legitimes tenant a sa situation particuliere, a ce que les donnees la concernant fassent l'objet d'un traitement; que les Etats mem- bres ont, neanmoins, Ia possibilite de prevoir des dispositions nationales contraires;
(46) considerant que la protection des droits et libertes des personnes concernees a l'egard du traitement de donnees a caractere personnel exige que des
N° L 281/36 Journal officiel des Communautes europeennes 23. 11. 95
mesures techniques et d'organisation appropriees soient prises tant au moment de la conception qu'a celui de la mise en ~uvre du traitement, en vue d'assurer en particulier Ia securite et d'empecher ainsi tout traitement non autorise; qu'il incombe aux Etats membres de veiller au respect de ces mesures par les responsables du traitement; que ces mesures doivent assurer un niveau de securite approprie tenant compte de l'etat de l'art et du cout de leur mise en ~uvre au regard des risques presentes par les traitements et de la nature des donnees a proteger;
(47) considerant que, lorsqu'un message contenant des donnees a caractere personnel est transmis via un service de telecommunications ou de courrier elec- tronique dotH le seul objet est de transmettre des messages de ce type, c'est la personne dont emane le message, et non celle qui offre le service de transmission, qui sera normalement consideree comme responsable du traitement de donnees a caractere personnel contenues dans le message; que, toutefois, les personnes qui offrent ces services seront normalement considerees comme responsa- bles du traitement des donnees a caractere person- nel supplementaires necessaires au fonctionnement du serviCe;
(48) considerant que Ia notification a l'autorite de controle a pour objet d'organiser la publicite des finalites du traitement, ainsi que de ses principales caracteristiques, en vue de son controle au regard des dispositions nationales prises en application de la prcsente directive;
(49) considerant que, afin d'eviter des formalites admi- nistratives inadequates, des exonerations ou des simplifications de Ia notification peuvent etre pre- vues par les Etats membres pour les traitements de donnees qui ne sont pas susceptibles de porter atteinte aux droits et libertes des personnes concer- nees, a condition qu'ils soient conformes a un acte pris par l'Etat membre qui en precise les limites; que des exonerations ou simplifications peuvent pareillemem etre prevues par les Etats memhres des lors qu'une personne designee par le responsable du traitement de donnees s'assure que lcs traite- ments effectues ne sont pas susceptibles de porter atteinte aux droits et libertes des personnes conccr- nces; que Ia personne ainsi detachee a la protection des donnees, employee ou non du responsable du traitement de donnees, doit etre en mesure d'exer- cer ses fonctions en toute independance;
(50) considerant que des exonerations ou simplifica- tions peuvent etre prevues pour le traitement de donnees dont le seul but est de tenir un registre destine, dans le respect du droit national, a )'infor- mation du public ct qui est ouvcrt a la consultation du public ou de toute personne justifiant d'un interet legitime;
(51) considerant que, neanmoins, le benefice de la sim- plification ou de )'exoneration de )'obligation de notification ne dispense le responsable du traite- ment de donnees d'aucune des autres obligations decoulant de la presente directive;
(52) considerant que, dans ce contexte, le controle a posteriori par les autorites competentes doit etre en general considere comme une mesure suffisante;
(53) considerant que, cependant, certains traitements sont susceptibles de presenter des risques particu- liers au regard des droits et des libertes des person- nes concernees, du fait de leur nature, de leur portee ou de leurs finalites telles que celle d'exclure des personnes du benefice d'un droit, d'une presta- tion ou d'un contrat, ou du fait de l'usage particu- lier d'une technologic nouvelle; qu'il appartient aux Etats membres, s'ils le souhaitent, de preciser dans leur legislation de tels risques;
(54) considerant que, au regard de tous les traitements mis en ceuvre dans la societe, le nombre de ceux presentant de tels risques particuliers devrait etre tres restreint; que les Etats membres doivent pre- voir, pour ces traitements, un examen prealable a leur mise en ceuvre, effectue par l'autorite de controle ou par le detache a la protection des donnees en cooperation avec celle-ci; que, a la suite de cet examen prealable, l'autorite de controle peut, selon le droit national dont elle releve, emet- tre un avis ou autoriser le traitement des donnees; qu'un tel examen peut egalement etre effectue au cours de !'elaboration soit d'une mesure legislative du Parlement national, soit d'une mesure fondee sur une telle mesure legislative, qui definisse la nature du traitement et precise les garanties appro- prices;
(55) considerant que, en cas de non-respect des droits des personnes concernees par le responsable du traitement de donnees, un recours juridictionnel doit etre prevu par les legislations nationales; que les dommages que peuvent subir les personnes du fait d'un traitement illicite doivent etre repares par le responsable du traitement de donnees, lequel peut etre exonere de sa responsabilite s'il prouve que le fait dommageable nc lui est pas imputable, notamment lorsqu'il etablit )'existence d'une faute de la personne concernee ou d'un cas de force majeure; que des sanctions doivent etre appliquees a toute personne, tant de droit prive que de droit public, qui ne respecte pas les dispositions nationa- les prises en application de la presente directive;
(56) considerant que des flux transfrontaliers de don- nees a caractere personnel sont necessaires au deve- loppement du commerce international; que la pro- tection des personnes garantie dans la Communau- te par la presente directive ne s'oppose pas aux
23. 11. 95 Journal officiel des Communautes europeennes N° L 281/37
transferts de donnees acaractere personnel vers des pays tiers assurant un niveau de protection ade- quat; que le caractere adequat du niveau de protec- tion offert par un pays tiers doit s'apprecier au regard de toutes les circonstances relatives a un transfert ou a une categoric de transferts;
(57) considerant, en revanche, que, lorsqu'un pays tiers n'offre pas un niveau de protection adequat, le transfert de donnees a caractere personnel vers ce pays doit etre interdit;
(58) considerant que des exceptions a cette interdiction doivent pouvoir etre prevues dans certaines cir- constances lorsque Ia personne concernee a donne son consentement, lorsque le transfert est necessai- re dans le contexte d'un contrat ou d'une action en justice, lorsque Ia sauvegarde d'un interet public important l'exige, par exemple en cas d'echanges internationaux de donnees entre les administra- tions fiscales ou douanieres ou entre les services competents en matiere de securite sociale, ou lors- que le transfert est effectue <l partir d'un registre etabli par Ia loi et destine a etrc consulte par lc public ou par des personnes ayant un interet legiti- me; que, dans ce cas, un tel transfert ne devrait pas porter sur Ia totalite des donnees ni sur des catego- ries de donnees contenues dans ce registre; que, lorsqu'un registre est destine a etre consulte par des personnes qui ont un interet legitime, le trans- fert ne devrait pouvoir etre effectue qu'a Ia demande de ces personnes ou lorsqu'elles en sont les destinataires;
(59) considerant que des mesures particulieres peuvent etre prises pour pallier l'insuffisance du niveau de protection dans un pays tiers lorsque le responsa- blc du traitement presente des garanties appro- prices; que, en outre, des procedures de negocia- tion entre Ia C:ommunaute ct les pays tiers en cause doivent etre prevues;
(60) considerant que, en tout etat de cause, les trans- fens vcrs les pays tiers ne peuvent etre effectues que dans le plein respect des dispositions prises par les Etats membres en application de Ia presentc directive, et notamment de son article 8;
(61) considerant que les Etats membres et Ia Commis- sion, dans leurs domaines de competence respectifs, doivent encourager les milieux professionncls concernes a claborer des codes de conduite en vue de favoriser, compte tenu des specificites du traite- ment de donnees effectue dans certains secteurs, Ia mise en o=uvre de Ia presente directive dans lc respect des dispositions nationales priscs pour son application;
(62) considerant que !'institution, dans les Etats mem- bres, d'autorites de controle exen;ant en toute independance leurs fonctions est un element essen- tiel de la protection des personnes a l'egard du traitemcnt des donnees a caractere personnel;
(63) considerant que ces autontes doivent etre dotees des moyens necessaires a !'execution de leurs taches, qu'il s'agisse des pouvoirs d'investigation et d'intervention, en particulier lorsque les autorites sont saisies de reclamations, ou du pouvoir d'ester en justice; qu'elles doivent contribuer a Ia transpa- rence du traitement de donnees effectue dans l'Etat membre dont elles relevent;
(64) considerant que lcs autorites des differents Etats membres seront appelees a sc prcter mutuellement assistance dans Ia realisation de leurs taches afin d'assurer le plein respect des regles de protection dans !'Union europeenne;
(65) considerant que, au niveau communautaire, un groupe de travail sur Ia protection des personnes a l'egard du traitement des donnees a caractere per- sonnel doit etrc instaure et qu'il doit exercer ses fonctions en toute indepcndance; que, compte tenu de cette specificitt\ il doit conseiller Ia Commission et contribuer notammcnt a !'application homogene des regles nationales adoptees en application de Ia presente directive;
(66) considerant que, pour ce qui est du transfert de domH~es vers les pays tiers, !'application de Ia prescnte directive necessite !'attribution de compc- tences d'execution a Ia Commission et l'etablissc- ment d'une procedure scion les modalites fixees dans Ia decision 87/373/C:EE du C:onseil (1);
(67) considerant qu'un accord sur un modus uiuendi concernant les mesures d'execution des actes arrc- tes scion Ia procedure vist'C a !'article 189 B du traite est intervenu, le 20 decembre 1994, entre le Parlement europeen, lc Consci! et Ia ( :ommission;
(68) considerant que lcs pnnc1pes enonces dans Ia pre- sente directive ct regissant Ia protection des droits t"t des libertes des personnes, notamment du droit a Ia vic privee, a l'egard du traitement des donnees a caracterc personnel pourront ctre completes ou prccises, notamment pour certains secteurs, par des rcglcs specifiques conformes ;1 ces principes;
(69) considerant qu'il convient de laisscr aux Etats rnembres un delai ne pouvant pas cxceder trois ans a compter de !'entree en vigucur des mesures nationales de transposition de Ia presente directive, pour leur permcttre d'appliquer progressivement a tout traitement de donnees deja mis en '(ruvre lcs nouvelles dispositions nationales susv1sces; que,
( 1) JO n" L 197 du 18. 7. 1987, p. 33.
N° L 281/38 Journal officiel des Communautes europeennes 23. 11. 95
afin de permettre un bon rapport cout-efficacite lors de la mise en reuvre de ces dispositions, les Etats membres sont autorises a prevoir une pcriode supplementaire, expirant douze ans apres Ia date d'adoption de Ia presente directive, pour la mise en conformitc des fichiers manuels existants avec cer- taines dispositions de la directive; que, lorsque des donnees contenues dans de tels fichiers font l'objet d'un traitement manuel effectif pendant cettc pcrio- de transitoirc supplementaire, la mise en conformi- tc avec ces dispositions doit etre effectuce au moment de Ia realisation de ce traitement;
(70) considerant qu'il n'y a pas lieu que la personne concernee donne a nouveau son consentement pour permettre au responsable de continuer a effectuer, apres l'entree en vigueur des dispositions nationales prises en application de la presente
directive, un traitement de donnees sensibles neces- saire a !'execution d'un contrat conclu sur la base d'un consentement libre et informe avant !'entree en vigueur des dispositions precitees;
(71) considerant que la presente directive ne s'oppose pas ace qu'un Etat membre reglemente Ies activites de prospection commerciale visant les consomma- teurs qui resident sur son territoire, dans la mesure ou cette reglementation ne concerne pas la protec- tion des personnes a l'egard du traitement de donnees a caractcre personnel;
(72) considerant que la presente directive permet de prendre en compte, dans la mise en reuvre des regles qu'elle pose, le principe du droit d'acces du public aux documents administratifs,
ONT ARRETE LA PRESENTE DIRECTIVE:
C:I-IAPITRE PREMIER
DISPOSITIONS GENERALES
Article premier
Objet de la directive
1. Les Etats membres assurent, conformement a la pre- sente directive, Ia protection des libertes et droits fonda~ mentaux des personnes physiques, notamment de leur vie privee, a l'egard du traitement des donnees a caractere personnel.
2. Les f~tats membres ne peuvent restreindre ni interdire Ia libre circulation des donnees a caractere personnel entre !~tats membres pour des raisons relatives a la protection assurce en vertu du paragraphe 1.
Article 2
Definitions
Aux fins de la presente directive, on entend par:
a) «donnees a caractere personnel»: toute information concernant une personne physique identifiee ou iden- tifiable (personne concernee); est reputee identifiable une personne qui peut etre identifiee, directemcnt ou indirectement, notamment par reference a un numero d'identification ou a un ou plusieurs elements spccifi- ques, propres a son identite physique, physiologique, psychique, economique, culturelle ou sociale;
b) «traitement de donnees a caractere personnel» (traite- ment): toute operation ou ensemble d'operations effectuees ou non a l'aide de procedes automatises et
appliquees a des donnees a caractere personnel, telles que Ia collecte, !'enregistrement, !'organisation, Ia conservation, !'adaptation ou Ia modification, !'ex- traction, Ia consultation, !'utilisation, la communica- tion par transmission, diffusion ou toute autre forme de mise a disposition, le rapprochement ou l'intercon- nexion, air1si que le verrotiillage, !'effacement ou la destruction;
c) «fichier de donnees a caractere personnel» (fichier): tout ensemble structure de donnees a caractere per- sonnel accessibles selon des criteres determines, que cet ensemble soit centralise, decentralise ou reparti de maniere fonctionnelle ou geographique;
d) <<responsable du traitement>>: la personne physique ou morale, l'autorite publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, determine les finalites et les moyens du traitement de donnees a caractere personnel; lorsque les finalites et les moyens du traitement sont determines par des dispositions legislatives ou reglementaires nationales ou communautaires, lc responsable du traitement ou les criteres specifiques pour le designer peuvent etre fixes par le droit national ou communautaire;
e) <<sous-traitement»: la personne physique ou morale, l'autorite publique, le service ou tout autre organisme qui traite des donnees a caractere personnel pour le compte du responsable du traitement;
23. 11. 95 Journal officiel des Communautes europeennes No L 281/39
f) «tiers»: Ia personne physique ou morale, l'autorite publique, le service ou tout autre organisme autre que Ia personne concernee, le responsable du traitement, le sous-traitant et les personnes qui, placees sous l'autorite directe du responsable du traitement ou du sous-traitant, sont habilitees a traiter les donnees;
g) «destinataire»: la personne physique ou morale, l'au- torite publique, le service ou tout autre organisme qui re~oit communication de donnees, qu'il s'agisse ou non d'un tiers; les autorites qui sont susceptibles de recevoir communication de donnees dans le cadre d''une mission d'enquere particuliere ne sont toutefois pas considerees comme des destinataires;
h) «COnsentement de la personne concernee»: toute manifestation de volonte, libre, specifique et informee par laquelle la personne concernee accepte que des donnees a caractere personnel la concernant fassent l'objet d'un traitement.
Article 3
Champ d'application
1. La presente directive s'applique au traitement de donnees a caractere personnel, automatise en tout ou en partie, ainsi qu'au traitement non automatise de donnees a caractere personnel contenues ou appelees a figurer dans un fichier.
2. La presente directive ne s'applique pas au traitement de donnees a caractere personnel:
mis en reuvre pour l'exercice d'activites qui ne rele- vent pas du champ d'application du droit communau- taire, telles que celles prevues aux titres V et VI du traite sur l'Union europeenne, et, en tout etat de cause, aux traitements ayant pour objet la securite publique, Ia defense, la surete de l'Etat (y compris le bien-etre economique de l'Etat lorsque ces traitements
sont lies a des questions de surete de I'Etat) et les activites de l'Etat relatives a des domaines du droit penal,
effectue par une personne physique pour l'exercice d'activites exclusivement personnelks ou domesti- ques.
Article 4
Droit national applicable
1. Chaque Etat membre applique les dispositions natio- nales qu'il arrete en vertu de la presente directive aux traitements de donnees a caractere personnel lorsque:
a) le traitement est effectue dans le cadre des activites d'un etablissement du responsable du traitement sur le territoire de l'Etat membre; si un meme responsablc du traitement est ctabli sur le tcrritoirc de plusieurs Etats membres, il doit prendre les mesures necessaires pour assurer le respect, par chacun de ses etablisse- ments, des obligations prevucs par le droit national applicable;
b) le responsable du traitcmcnt n'est pas etabli sur le territoire de l'Etat membre mais en un lieu ou sa loi nationale s'applique en vcrtu du droit international public;
c) le responsable du traitement n'est pas etabli sur le territoire de la Communaute et recourt, a des fins de traitement de donnees a caractere personnel, a des moyens, automatises ou non, situes sur le territoire dudit Etat membre, sauf si ces moyens ne sont utilises qu'a des fins de transit sur le tcrritoire de la Commu- naute.
2. Dans le cas vise au paragraphe 1 point c), le respon- sablc du traitement doit designer un representant etabli sur le territoire dudit hat mcmbre, sans prejudice d'ac- tions qui pourraient etre introduites contre le responsable du traitement lui-meme.
CHAPITRE II
CONDITIONS GENERALES DE LICEITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL
Article 5
Les Etats membres precisent, dans les limites des dispositions du present chapitre, lcs conditions dans lesquelles les traitements de donnees a caractere personnel sont licitcs.
No L 281140 Journal officiel des Communautes europeennes 23. 11. 95
SECTION I
PRINCIPES RELATIFS A LA. QUALITE DES DONNEES
Article 6
1. Les Etats membres prevoient que les donnees a carac- tcre personnel doivent etre:
a) traitees loyalement et licitement;
b) collectecs pour des finalites determinees, explicites et legitimes, et ne pas etre traitees ulterieurement de maniere incompatible avec ces finalites. Un traitement ulterieur a des fins historiques, statistiques ou scienti- fiques n'cst pas repute incompatible pour autant que les f~tats membres prevoient des garanties appro- pri(-es;
c) adequates, pertinentes et non excessives au regard des finalites pour lesquelles elles sont collectees et pour lesqucllcs elles sont traitees ulterieurement;
d) cxactes ct, si necessaire, mises a jour; toutes les mesures raisonnables doivent etre prises pour que les donnees inexactes ou incompletes, au regard des fina- lites pour lesquelles elles sont collectees ou pour lesquelles elles sont traitees ultcrieurement, soient effacees ou rectifiees;
c) conservecs sous une forme permettant I'identification des personncs concernees pendanr une duree n'exce- dant pas cclle neccssaire a Ia realisation des finalites pour lesquelles elles sont collectees ou pour lesquelles elks sont traitees ulterieurement. Les Etats membres pr(·voient des garanties appropriees pour les donnees a caractere personnel qui sont conservers au-dela de Ia periode precitee, a des fins historiques, statistiqucs ou scientifiques.
2. II incombe au responsable du traitement d'assurer lc respect du paragraphe 1.
SECTION II
PRINCIPES RELATIFS A LA LEGITIMATION DES TRAITE- MENTS DE DONNEES
Article 7
Les Etats membres prevoient que le traitemcnt de don- nees a caractere personnel ne peut etre effectue que si: a) Ia personne conccrnee a indubitablement donne son
consentemcnt
ou
b) il est necessatre a !'execution d'un contrat auqucl Ia pcrsonne concernee est partie ou a !'execution de mesures precontractuelles prises a Ia demande de cclle-ci
ou
c) il est necessatre au respect d'une obligation legale a laquellc le responsable du traitement est soumis
ou
d) il est necessaire a Ia sauvegarde de !'interet vital de Ia personne concernee
ou
e) il est necessaire a !'execution d'une missiOn d'interet public ou relevant de l'exercice de l'autorite publique, dont est investi le responsable du traitement ou le tiers auquel les donnees sont communiquees
ou
f) il est necessa1re a Ia realisation de !'interet legitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les donnees sont communiquees, a condition que ne prevalent pas ]'interet ou les droits et libertes fondamentaux de Ia personnc concernee, qui appellent une protection au titre de !'article 1'r paragraphe 1.
SECTION III
CATEGORIES PARTICULIERES DE TRAITEMENTS
Article 8
Traitements portant sur des categories particulicres de donnees
1. Les E.tats membres interdisent le traitement des don- nees acaracterc personnel qui revclent l'origine raciale ou ethnique, lcs opinions politiques, les convictions reli- gieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des donnees relatives a Ia sante et a L1 vic sexuclle.
2. Le paragraphe 1 ne s'applique pas lorsque:
a) Ia personne concernee a donne son consentement explicite a un tel traitement, sauf dans le cas ou Ia legislation de l'Etat membre prevoit que !'interdiction visee au paragraphe l ne peut ctre levee par k consentement de Ia personne concernee
ou
b) le traitement est necessa1re aux fins de respecter les obligations et les droits spt~cifiqucs du responsable du traitement en matiere de droit du travail, dans la mesure ou il est autorise par une legislation narionalc prcvoyant des garanties adequates
ou
c) le traitement est necessa1re a Ia defense des mterets vitaux de Ia personne concernee ou d'une autre per- sonne dans le cas ou Ia personne concernee se trouve dans l'incapacite physique ou juridique de donner son consentement
OU
d) le traitement est effectue dans le cadre de leurs activites legitimes et avec des garanties appropriees par une fondation, une association ou tout autre organisme a but non lucratif et a finalite politique, philosophique, religieusc ou syndicalc, a condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personncs entretenant avec lui des contacts reguliers lies a sa finalite et que les
23. 11. 95 Journal officiel des Communautes europeennes N° L 281/41
donnees ne soient pas communiquees a des tiers sans le consentement des pcrsonnes concernees
Oil
e) le traitement porte sur des donnees manifestement rendues publiques par Ia personne concernee ou est necessaire a Ia constatation, a l'exercice ou a Ia ddense d'un droit en justice.
3. Le paragraphe 1 nc s'applique pas lorsque le traite- ment des donnees est neccssaire aux fins de Ia medecine preventive, des diagnostics medicaux, de ]'administration de soins ou dt> traitements ou de Ia gestion de services de sante et que k traitement de ces donnees est effectue par un praticien de la sante soumis par le droit national ou par des reglementations arretees par les autorites nationa- les competcntcs au secret professionnel, ou par une autre personne cgalement soumise a une obligation de secret equivalente.
4. Sous reserve de garanties appropriees, les f~tats mem- bres peuvent prevoir, pour un motif d'interet public important, des derogations autres que celles prevues au paragraphe 2, soit par leur legislation nationale, soit sur decis10n de l'autorite de controle.
S. Le traitement de donnees relatives aux infractions, aux condamnations penales ou aux mesures de surete ne peut ctre effl~Ctue que SOU5 Je contro)e de ]'autorite publique ou si des garanties appropriees et specifiques sont prevues par le droit national, sous reserve des derogations qui peuvent etre accordees par l'f~tat membrc sur la base de dispositions nationales prevoyant des garanties approprices et specifiques. Toutefois, un recueil exhaustif des condamnations penales ne peut ern:: tenu que sous le contrble de l'autorite publique.
Les Etats membres peuvent prev01r que les donnees relatives aux sanctions administratives ou aux jugements civils sont egalement traitees sous le controle de l'autoritc publique.
6. Les derogations au paragraphe 1 prevues aux para- graphes 4 et S sont notifiees a Ia Commission.
7. Les Etats membres determinent les conditions dans lesquelles un numero national d'identification ou tout autre identifiant de portee generale peut faire ]'objet d'un traitcment.
Article 9
Traitements de donnees a caractere personnel et libertc d'expression
Les Etats membres prevoient, pour les traitements de donnees a caractere personnel effectues aux seules fins de journalisme ou d'expression artistique ou litteraire, des exemptions et derogations au present chapitre, au chap1-
tre IV et au chapitre VI dans la seule mesure ou elles s'averent necessaires pour concilier It droit a la vie privee avec les regles rcgissant Ia liherte d'expression.
SECTION IV
INFORMATION DE LA PERSONNE CONCERNE£
Article 10
Informations en cas de collecte de donnees aupres de la personnc concernee
Les Etats membres prevoient que le responsable du traitement ou son representant doit fournir a la personne aupres de laquelle il collecre des donnees Ia concernant au moins les informations enumerees ci-dessous, sauf si Ia personne en est deja informee:
a) l'identite du responsable du traitement et, le cas echcant, de son representant;
b) les finalites du traitement auquel les donnees sont destinees;
c) route information supplementaire telle que:
lcs dcstinataires ou lts categories de destinataires des donnees,
Ie fait de savoir si la reponse aux questions est obligatoire ou facultative ainsi que les consequen- ces eventuelles d'un defaut de reponse,
l'existence d'un droit d'acccs aux donnees Ia concernant et de rectification de ces donnees,
dans la mesure ou, compte tenu des circonstances particulieres dans lesquellcs les donnees sont collec- tees, ces informations supplementaircs sont necessai- res pour assurer a l'c~gard de la personne concernce un traitement loyal des donnees.
Article 11
Informations lorsque lcs donnees n'ont pas ete collectees aupres de la pcrsonnc concernee
1. Lorsque lcs donnees n'ont pas ete collcctees aupres de la personne concernee, les trats memhrcs prevoient que le responsable du traitement ou son representant doit, des ]'enregistrement des donnees ou, si une communication de donnees a un tiers est envisagee, au plus tard lors de Ia premiere communication de donnees, fournir a la per- sonne concernee au moins les informations enumerees ci-dessous, sauf si Ia personne en est dej.a informee:
a) l'identitc du responsable du traitement et, le cas echeant, de son representant;
b) les finalites du traitement;
No L 281/42 Journal officiel des Communautes europeennes 23. 11. 95
c) route information supplementaire telle que:
les categories de donnees concernees,
les dcstinataires ou les categories de destinataires des donnees,
!'existence d'un droit d'acces aux donnees Ia concernant ct de rectification de ces donnees,
dans Ia mesure ou, compte tenu des circonstances particulieres dans lesquelles les donnees sont collec- tees, ces informations supplementaircs sont necessai- rcs pour assurer a l'egard de Ia personne conccrnee un traitement loyal des donnees.
2. Le paragraphc 1 ne s'applique pas lorsque, en parti- culicr pour un traitcment a finalite statistique ou de recherche historique ou scientifique, !'information de Ia personne concernee se revele impossible ou implique des efforts disproportionnes ou si Ia legislation prevoit cxpressement !'enregistrement ou Ia communication des donnees. Dans ces cas, les Etats membres prevoient des garanties approprices.
SECTION V
DROIT D'ACCES DE LA PERSONNE CONCERNEE AUX DONNEES
Article 12
Droit d'acces
Les Etats membres garantissent a route personne cancer- nee le droit d'obtenir du responsable du traitement:
a) sans contrainte, a des intervalles raisonnables et sans delais ou frais excessifs:
Ia confirmation que des donnees la concernant sont ou ne sont pas traitees, ainsi que des infor- mations portant au moins sur les finalites du traitcment, les categories de donnees sur lesquelles il porte et les destinataires ou les categories de destinataires auxquels lcs donnees sont communi- quees,
Ia communication, sous une forme intelligible, des donnees faisant !'objet des traitements, ainsi que de route information disponible sur l'origine des donnees,
Ia connaissance de Ia logique qui sous-tend tout traitement automatise des donnees la concernant, au moins dans le cas des decisions automatisees visecs a !'article 15 paragraphe 1;
b) selon le cas, Ia rectification, 1'effacement ou le ver- rouillage des donnees dont le traitement n'est pas conforme a la presente directive, notamment en raison du caractere incomplet ou inexact des donnees;
c) la notification aux tiers auxquels les donnees ont ere communiquees de route rectification, tout effacement ou tout verrouillagc effectue conformement au point b), si cela ne s'avere pas impossible ou ne suppose pas un effort disproportionne.
SECTION VI
EXCEPTIONS ET LIMITATIONS
Article 13
Exceptions et limitations
1. Les Etats membres peuvent prendre des mesures legis- latives visant a limiter Ia portee des obligations et des droits prevus a !'article 6 paragraphe 1' a !'article 10, a !'article 11 paragraphe 1 et aux articles 12 et 21, lorsqu'une telle limitation constitue une mesure necessaire pour sauvegarder:
a) Ia surete de l'Etat;
b) Ia defense;
c) la securite publiqu~;
d) Ia prevention, Ia recherche, la detection et la poursuite d'infractions penales ou de manquements a la deonto- logie dans le cas des professions reglementees;
e) un interet economique ou financier important d'un Etat membre ou de !'Union europeenne, y compris dans les domaines monetaire, budgetaire et fiscal;
f) une mission de contr()Je, d'inspection ou de reglemen- tation relevant, meme a titre occasionnel, de l'exercice de l'autorite publique, dans les cas vises aux points c), d) et e);
g) Ia protection de la personne concernee ou des droits et libertes d'autrui.
2. Sous reserve de garanties legales appropriees, excluant notamment que les donnees puissent etre utilisees aux fins de mesures ou de decisions se rapportant a des personnes precises, les F~tats membres peuvent, dans lc cas ou il n'existe manifestement aucun risque d'atteinte a Ia vie privee de Ia personne concernee, limiter par une mesure legislative les droits prevus a !'article 12 lorsque les donnees sont traitees exclusivement aux fins de la recherche scientifique ou sont stockees sous la forme de donnees a caractere personnel pendant une duree n'exce- dar1t pas celle necessaire a la seule finalite d'etablissement de statistiques.
SECTION VII
DROIT D'OPPOSITION DE LA PERSONNE CONCERNEE
Article 14
Droit d'opposition de la personne concernee
Les Etats membres reconnaissent a la personne concernee le droit:
a) au moins dans les cas vises a!'article 7 points e) et f), de s'opposer a tout moment, pour des raisons prepon- derantes et legitimes tenant a sa situation particuliere, a ce que des donnees la concernant fassent !'objet
23. 11. 95 Journal officiel des Communautes europeennes No L 281/43
d'un traitement, sauf en cas de disposition contraire du droit national. En cas d'opposition justifiee, le traitement mis en ~uvre par le responsable du traite- ment ne peut plus porter sur ces donnees;
b) de s'opposer, sur demande et gratuitement, au traite- ment des donnees a caractere personnel la concernant envisage par le responsable du traitement ades fins de prospection
ou
d'etre informee avant que des donnees a caractere personnel ne soient pour la premiere fois communi- quees a des tiers ou utilisees pour le compte de tiers a des fins de prospection et de se voir expressement offrir le droit de s'opposer, gratuitement, a ladite communication ou utilisation.
Les Etats membres prennent les mesures necessaires pour garantir que les personnes concernees ont connaissance de !'existence du droit vise au point b) premier alinea.
Article 15
Decisions individuelles automatisees
1. Les Etats rnembres reconnaissent a toute personne le droit de ne pas etre soumise a une decision produisant des effets juridiques a son egard ou l'affectant de maniere significative, prise sur le seul fondement d'un traitement automatise de donnees destine a evaluer certains aspects de sa personnalite, tels que son rendement professionnel, son credit, sa fiabilite, son comportement, etc.
2. Les Etats membres prevoient, sous reserve des autres dispositions de la presente directive, qu'une personne peut etre soumise a une decision telle que celle visee au paragraphe 1 si une telle decision:
a) est prise dans le cadre de la conclusion ou de !'execu- tion d'un contrat, a condition que la demande de conclusion ou d'execution du contrat, introduite par Ia personne concernee, ait ete satisfaite ou que des mesures appropriees, telles que la possibilite de faire valoir son point de vue, garantissent la sauvegarde de son interet legitime
ou
b) est autorisee par une loi qui preose les mesures garantissant la sauvegarde de !'interet legitime de Ia personne concernee.
SECTION VIII
CONFIDENTIALITE ET SECURITE DES TRAITEMENTS
Article 16
Confidentialite des traitements
Toute personne agissant sous l'autorite du responsable du traitement ou celle du sous-traitant, ainsi que le sous-
traitant lui-meme, qui accede a des donnees a caractere personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d'obligations legales.
Article 17
Securite des traitements
1. Les Etats membres prcvoient que le responsable du traitement doit mettre en ~uvre les mesures techniques et d'organisation appropriees pour proteger les donnees a caractere personnel contre la destruction accidentelle ou illicite, Ia perte accidentelle, !'alteration, la diffusion ou l'acces non autorises, notamment lorsque le traitement comporte des transmissions de donnees dans un reseau, ams1 que contre toute autre forme de traitement illicite.
Ces mesures doivent assurer, compte tenu de l'etat de l'art et des COUtS lies a leur mise en ~uvre, un niveau de securite approprie au regard des risques presentes par le traitement et de la nature des donnees a proteger.
2. Les Etats membres prcvoient que le responsable du traitement, lorsque le traitement est effectue pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de securite technique et d'organisation relatives aux traitements a effectuer et qu'il doit veiller au respect de ces mesures.
3. La realisation de traitements en sous-traitance doit etre regie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prevoit notamment que:
le sous-traitant n'agit que sur Ia seule instruction du responsable du traitement,
les obligations visees au paragraphe 1, telles que definies par la legislation de l'Etat membre dans lequel le sous-traitant est etabli, incombent egalement a celui-ci.
4. Aux fins de la conservation des preuves, les elements du contrat ou de l'acte juridique relatifs a la protection des donnees et les exigences portant sur les mesures visees au paragraphe 1 sont consignes par ecrit ou sous une autre forme equivalente.
SECTION IX
NOTIFICATION
Article 18
Obligation de notification a1'autorite de controle
1. Les Etats membres prevoient que le responsable du traitement, ou le cas echeant son representant, doit
N° L 281/44 Journal officiel des Communautes europeennes 23. 11. 95
adresser une notification a )'autorite de contro)e VlSee a l'artide 28 prealablement a Ia mise en ceuvre d'un traite- ment entierement ou partiellement automatise ou d'un ensemble de tels traitements ayant une meme finalite ou des finalites liees.
2. Les hats membres ne peuvent prevoir de simplifica- tion de Ia notification ou de derogation a cette obligation que dans les cas et aux conditions suivants:
lorsque, pour lcs categories de traitement qui, compte tenu des donnees a traiter, ne sont pas susceptibles de porter atteinte aux droits et libertes des personnes conccrnccs, ils precisent les finalites des traitements, les donnees ou categories de donnees traitees, Ia ou les categories de personnes concernees, les dcstinatai- res ou categories de destinataires auxquels les donnees sont communiquces et Ia duree de conservation des donnees
et/ou
lorsque lc responsable du traitement designe, confor- mement au droit national auquel il est soumis, un detache a la protection des donnees a caractere per- sonnel charge notamment:
d'assurer, d'une maniere independante, )'applica- tion interne des dispositions nationalcs pnses en application de Ia presente directive,
de tenir un registre des traitements effectues par le rcsponsable du traitement, contenant les informa- tions visces a l'article 21 paragraphe 2,
et garantissant de Ia sorte que les traitements ne sont pas susceptibles de porter atteinte faux droits et libertes des pcrsonnes concernees.
3. Lcs E~tats membres peuvent prevcm que le para- graphe 1 nc s'applique pas aux traitements ayant pour seul objet la tenuc d'un registre qui, en vertu de disposi- tions lcgislatives ou reglementaires, est destine a )'infor- mation du public et est ouvert a Ia consultation du public ou de toute personne justifiant d'un interet legitime.
4. Les Etats membres peuvent prevoir une derogation a )'obligation de notification ou une simplification de Ia notification pour les traitements vises a !'article 8 para- graphe 2 point d).
5. Les Etats membres peuvent prevmr que les traite- ments non automatises de donnees a caractere personnel, ou certains d'cntrc eux, font )'objet d'une notification, cventuellemcnt simplifiee.
Article 19
Contenu de Ia notification
1. Les f~tats membres precisent les informations qw doivent figurer dans Ia notification. Ellcs comprenncnt au mmllTIUm:
a) le nom et l'adresse du responsable du traitement et, le cas echeant, de son representant;
b) Ia ou les finalites du traitement;
c) une description de Ia ou des categories de personnes concernees et des donnees ou des categories de don- nees s'y rapportant;
d) les destinataires ou les categories de destinataires auxquels les donnees sont susceptibles d'etre commu- mquees;
e) les transferts de donnees envisages a destination de pays tiers;
f) une description generale permettant d'apprecier de fa~on preliminaire le caractere approprie des mesures prises pour assurer Ia securite du traitement en appli- cation de l'artide 17.
2. Les f~tats membres precisent les modalites de notifica- tion a l'autorite de contr6le des changements affectant les informations visecs au paragraphe 1.
Article 20
Controlcs prealables
l. Les Etats membres preciscnt les traitements suscepti- bles de presenter des risques particuliers au regard des droits et libertcs des pcrsonnes concernees et veillent a cc que ces traitements soient examines avant leur mise en <ruvre.
2. De tels examens prealables sont effectues par l'autori- te de controle aprcs reception de Ia notification du responsable du traitement ou par le detache a Ia protec- tion des donnees, qui, en cas de doute, doit consulter l'autorite de controle.
3. Les hats membres peuvent aussi proceder a un tel cxamen dans le cadre de )'elaboration soit d'une mesurc du Parlement national, soit d'une mesure fondee sur unc telle mesure legislative, qui definisse Ia nature du traite- ment et fixe des garanties appropriees.
Article 21
Publicite des traitements
1. Les Etats membres prennent des mesures pour assurer Ia publicite des traitements.
2. Les f~tats membres prevoient que l'autorite de contro- le tient un registre des traitements notifies en vertu de !'article 18.
23. 11. 95 Journal officiel des Communautes europeennes No L 281/45
Le registre contient au minimum les informations enume- rees a l'article 19 paragraphe 1 points a) a e).
qui en fait la demande au moins les informations visees a !'article 19 paragraphe 1 points a) a e).
Le registre peut etre consulte par route personne.
3. En ce qui concerne les traitements non soumis a notification, les Etats membres prevoient que le responsa- ble du traitement ou une autre instance qu'ils designent communique sous une forme appropriee a route personne
Les Etats membres peuvent prevoir que la presente dispo- sition ne s'applique pas aux traitements ayant pour seul objet Ia tenue d'un registre qui, en vertu de dispositions legislatives ou reglementaires, est destine a !'information du public et est ouvert a Ia consultation du public ou de toute personne justifiant d'un interet legitime.
CHAPITRE III
RECOURS JURIDICTIONNELS, RESPONSABILITE ET SANCTIONS
Article 22
Recours
Sans prejudice du recours administratif qui peut etre organise, notamment devant l'autorite de controle visee a l'article 28, anterieurement a Ia saisine de l'autorite judiciaire, les Etats membres prevoient que toute personne dispose d'un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question.
Article 23
Responsabilite
1. Les Etats membres prevoient que toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la presente directive a le droit d'obtenir du responsable du traitement reparation du prejudice subi.
2. Le responsable du traitement peut etre exonere partiellement ou totalement de cette rcsponsabilite s'il prouve que le fait qui a provoque le dommage ne lui est pas imputable.
Article 24
Sanctions
Les Etats membres prennent les mesures appropnees pour assurer la pleine application des dispositions de la presente directive et determinent notamment les sanctions a appliquer en cas de violation des dispositions prises en application de la presente directive.
CHAPITRE IV
TRANSFERT DE DONNEES A CARACTERE PERSONNEL VERS DES PAYS TIERS
Article 25
Principcs
1. Les Etats membres prevoient que Je transfert vers un pays tiers de donnees a caractere personnel faisant l'objet d'un traitement, ou destinees a faire l'objet d'un traite- ment apres leur transfert, ne peut avoir lieu que si, sous reserve du respect des dispositions nationales prises en
application des autres dispositions de la presente direc- tive, le pays tiers en question assure un niveau de protection adequat.
2. Le caractere adequat du niveau de protection offert par un pays tiers s'apprecie au regard de routes les circonstances relatives a un transfert ou a une categorie
N° L 281/46 Journal officiel des Communautes europeennes 23. 11. 95
de transferts de donnees; en particulier, sont prises en consideration la nature des donnees, la finalite et la duree du ou des traitements envisages, les pays d'origine et de destination finale, les regles de droit, generales ou secto- rielles, en vigueur dans le pays tiers en cause, ainsi que les regles professionnelles et les mesures de securite qui y sont respectees.
3. Les Etats membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adequat au sens du paragraphe 2.
4. Lorsque la Commission constate, conformement a la procedure prevue a !'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adequat au sens du paragraphe 2 du present article, les Etats mem- bres prennent les mesures necessaires en vue d'empecher tout transfert de meme nature vers le pays tiers en cause.
5. La Commission engage, au moment opportun, des negociations en vue de remedier a la situation resultant de Ia constatation faite en application du paragraphe 4.
6. La Commission peut constater, conformemcnt a la procedure prevue a !'article 31 paragraphe 2, qu'un pays tiers assure un niveau de protection adequat au sens du paragraphe 2 du present article, en raison de sa legisla- tion interne ou de ses engagements internationaux, sous- crits notamment a l'issue des negociations visees au paragraphe 5, en vue de la protection de la vie privee et des libertes et droits fondamentaux des personnes.
Les Etats membres prennent les mesures necessaires pour se conformer a la decision de la Commission.
Article 26
Derogations
1. Par derogation a !'article 25 et sous reserve de dispo- sitions contraires de leur droit national regissant des cas particuliers, les Etats membres prevoient qu'un transfert de donnees a caractere personnel vers un pays tiers n'assurant pas un niveau de protection adequat au sens de l'article 25 paragraphe 2 peut etre effectue, <l condi- tion que:
a) la personne concernee ait indubitablement donne son consentement au transfert envisage
ou
b) le transfert soit necessalre a !'execution d'un contrat entre la personne concernee et le responsable du
traitement ou a !'execution de mesures precontrac- tuelles prises a la demande de la personne concernee
ou
c) le transfert soit necessaire a la conclusion ou a !'execution d'un contrat conclu ou a conclure, dans }'interet de la personne concernee, entre le responsable du traitement et un tiers
ou
d) le transfert soit necessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un interet public important, ou pour la constatation, l'exercice ou la defense d'un droit en justice
ou
e) le transfert soit necessaire a la sauvegarde de }'interet vital de la personne concernee
ou
f) le transfert intervienne au depart d'un registre public qui, en vertu de dispositions legislatives ou reglemen- taires, est destine a !'information du public et est ouvert a la consultation du public ou de toute per- sonne justifiant d'un interet legitime, dans la mesure ou les conditions legales pour la consultation sont remplies dans le cas particulier.
2. Sans prejudice du paragraphe 1, un Etat membre peut autoriser un transfert, ou un ensemble de transferts, de donnees a caractere personnel vers un pays tiers n'assu- rant pas un niveau de protection adequat au sens de !'article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de Ia vie privee et des libertes et droits fondamentaux des personnes, ainsi qu'a l'egard de l'exer- cicc des droits correspondants; ces garanties peuvent notamment resulter de clauses contractuelles appro- prices.
3. L'f~tat membre informe la Commission et les autres f~tats membres des autorisations qu'il accorde en applica- tion du paragraphe 2.
En cas d'opposition exprimee par un autre Etat membre ou par la Commission et dument justifiee au regard de la protection de la vie privee et des libertes et droits fondamentaux des personnes, la Commission arrete les mesures appropriees, conformement a Ia procedure pre- vue a !'article 31 paragraphe 2.
Les Etats membres prennent les mesures necessaires pour se conformer a la decision de la Commission.
4. Lorsque Ia Commission decide, conformement a Ia procedure prevue a !'article 31 paragraphe 2, que certai- nes clauses contractuelles types presentent les garanties suffisantes visees au paragraphe 2, les Etats membres prennent les mesures necessaires pour se conformer a la decision de la Commission.
23. 11. 95 Journal officiel des Communautes europeennes N° L 281/47
CHAPITRE V
CODES DE CONDUITE
Article 27
1. Les Etats membres et Ia Commission encouragent !'elaboration de codes de conduite destines a contribuer, en fonction de Ia specificite des secteurs, a Ia bonne application des dispositions nationales prises par les Etats membres en application de Ia presente directive.
2. Les Etats membres prevoient que les associations professionnelles et les autres organisations representant d'autres categories de responsables du traitement qui ont elabore des projets de codes nationaux ou qui ont !'intention de modifier ou de proroger des codes nationaux existants peuvent les soumettre a l'examen de l'autorite nationale.
Les Etats membres prevoient que cette autorite s'assure, entre autres, de Ia conformite des projets qui lui sont soumis avec les dispositions nationales prises en application de Ia presente directive. Si elle l'estime opportun, l'autorite recueille les observations des personnes concernees ou de leurs representants.
3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de codes communautaires existants, peuvent etre Soumis au groupe vise a !'article 29. Celui-ci se prononce, entre autres, sur Ia conformite des projets qui lui sont soumis avec les dispositions nationales prises en application de Ia presente directive. S'il l'estime opportun, il recueille les observations des personnes concernees ou de leurs representants. La Commission peut assurer une publicite appropriee aux codes qui ont ete approuves par le groupe.
CHAPITRE VI
AUTORITE DE CONTROLE ET GROUPE DE PROTECTION DES PERSONNES A L'EGARD DU TRAITEMENT DES DONNEES A CARACTERE PERSONNEL
Article 28
Autorite de controle
recueillir routes les informations necessaires a l'ac- complissement de sa mission de controle,
1. Chaque Etat membre prevoit qu'une ou plusieurs autorites publiques sont chargees de surveiller !'applica- tion, sur son territoire, des dispositions adoptees par les Etats membres en application de Ia presente directive.
de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis prealablement a Ia mise en ~uvre des traitements, conformement a !'arti- cle 20, et d'assurer une publication appropriee de ces avis ou celui d'ordonner le verrouillage, !'effacement ou Ia destruction de donnees, ou d'interdire temporai- rement ou definitivernent un traiternent, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parle- ments nationaux ou d'autres institutions politiques,
Ces autorites exercent en toute independance les missions dont elles sont investies.
2. Chaque Etat membre prevoit que les autontes de controle sont consultees lors de !'elaboration des mesures reglementaires ou administratives relatives a Ia protection des droits et libertes des personnes a l'egard du traite- ment de donnees a caractere personnel.
3. Chaque autorite de controle dispose notamment:
de pouvoirs d'investigation, tels que le pouvoir d'acce- der aux donnees faisant !'objet d'un traitement et de
du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de Ia presente directive ou du pouvoir de porter ces viola- tions a la connaissance de l'autorite judiciaire.
Les decisions de l'autorite de controle faisant grief peu- vent faire !'objet d'un recours juridictionnel.
No L 281148 Journal officiel des Communautes europeennes 23. 11. 95
4. Chaque autorite de controle peut etre saisie par toute personne, ou par une association Ia representant, d'une demande relative a Ia protection de ses droits et libertes a l'egard du traitement de donnees a caractere personnel. La personne concernee est informee des suites donnees a sa demande.
Chaque autorite de controle peut, en particulier, etre saisie par toute personne d'une demande de verification de Ia liceite d'un traitement lorsque les dispositions nationales prises en vertu de !'article 13 de Ia presente directive sont d'application. La personne est a tout le moins informee de ce qu'une verification a eu lieu.
5. Chaque autorite de controle etablit a intervalles regu- liers un rapport sur son activite. Ce rapport est publie.
6. Independamment du droit national applicable au trai- tement en cause, chaque autorite de controle a competen- ce pour exercer, sur le territoire de l'Etat membre dont elle releve, les pouvoirs dont elle est investie conforme- ment au paragraphe 3. Chaque autorite peut etre appelee a exercer ses pouvoirs sur demande d'une autorite d'un autre Fotat membre.
Les autorites de controle cooperent entre elles dans Ia mesure necessaire a l'accomplissement de leurs missions, notamment en echangeant toute information utile.
7. Les Etats membres prevoient que les membres et agents des autorites de controle sont soumis, y compris apres cessation de leurs activites, a !'obligation du secret professionnel a l'egard des informations confidentielles auxquelles ils ont acces.
Article 29
Groupe de protection des personnes a l'egard du traite- ment des donnees a caractere personnel
1. II est institue un groupe de protection des personnes a l'egard du traitement des donnees a caractere personnel, ci-apres denomme «groupe».
Le groupe a un caractere consultatif et independant.
2. Le groupe se compose d'un representant de l'autorite ou des autorites de controle designees par chaque Etat membre, d'un representant de l'autorite ou des autorites creees pour les institutions et organismes communautaires et d'un representant de la Commission.
Chaque membre du groupe est designe par !'institution, l'autorite ou les autorites qu'il represente. Lorsqu'un Etat membre a designe plusieurs autorites de controle, celles-ci procedent a la nomination d'un representant commun. II en va de meme pour les autorites creees pour les institu- tions et organismes communautaires.
3. Le groupe prend ses decisions a Ia majorite simple des representants des autorites de controle.
4. Le groupe elit son president. La duree du mandat du president est de deux ans. Le mandat est renouvelable.
5. Le secretariat du groupe est assure par la Commis- sion.
6. Le groupe etablit son reglement interieur.
7. Le groupe examine les questions mises a l'ordre du jour par son president, soit a !'initiative de celui-ci, soit a Ia demande d'un representant des autorites de controle ou de Ia Commission.
Article 30
1. Le groupe a pour miSSion:
a) d'examiner toute question portant sur la mise en ~uvre des dispositions nationales prises en applica- tion de Ia presente directive, en vue de contribuer a leur mise en ~uvre homogene;
b) de donner a Ia Commission un avis sur le niveau de protection dans Ia Communaute et dans les pays tiers;
c) de conseiller Ia Commission sur tout projet de modifi- cation de la presente directive, sur tout projet de mesures additionnelles ou specifiques a prendre pour sauvegarder les droits et libertes des personnes physi- ques a l'egard du traitement des donnees a caractere personnel, ainsi que sur tout autre projet de mesures communautaires ayant une incidence sur ces droits et libertes;
d) de donner un avis sur les codes de conduite elabores au niveau communautaire.
2. Si le groupe constate que des divergences, susceptibles de porter atteinte a !'equivalence de la protection des personnes a l'egard du traitement des donnees a caractere personnel dans Ia Communaute, s'etablissent entre les legislations et pratiques des Etats membres, il en informe Ia Commission.
3. Le groupe peut emettre de sa propre initiative des recommandations sur toute question concernant Ia pro- tection des personnes a l'egard du traitement de donnees a caractere personnel dans la Communaute.
4. Les avis et recommandations du groupe sont transmis a la Commission et au comite vise a l'article 31.
5. La Commission informe le groupe des suites qu'elle a donnees a ses avis et recommandations. Elle redige a cet
23. 11. 95 Journal officiel des Communautes europeennes No L 281/49
effet un rapport qui est transmis egalement au Parlement europeen et au Conseil. Ce rapport est publie.
ment des donnees a caractere personnel dans la Commu- naute et dans les pays tiers, qu'il communique a la Commission, au Parlement europeen et au Conseil. Ce rapport est publie.6. Le groupe etablit un rapport annuel sur l'etat de la
protection des personnes physiques a l'egard du traite-
CHAPITRE VII
MESURES D'EXECUTION COMMUNAUTAIRES
Article 31
Comite
1. La Commission est assistee par un comite compose des representants des Etats membres et preside par le representant de la Commission.
2. Le representant de Ia Commission soumet au comite un projet des mesures a prendre. Le comite emet son avis sur ce projet, dans un delai que le president peut fixer en fonction de l'urgence de la question en cause.
L'avis est emis a la majorite prevue a !'article 148 paragraphe 2 du traite. Lors des votes au sein du comite, les voix des representants des Etats membres sont affectees de la ponderation definie a !'article precite. Le president ne prend pas part au vote.
La Commission arrete des mesures qui sont immediatement applicables. Toutefois, si elles ne sont pas conformes a l'avis emis par le comite, ces mesures sont aussitot communiquees par la Commission au Conseil. Dans ce cas:
Ia Commission differe !'application des mesures decidees par elle d'un delai de trois mois a compter de Ia date de la communication,
le Conseil, statuant a Ia majorite qualifiee, peut prendre une decision differente dans le dt~lai prevu au premier tiret.
DISPOSITIONS FINALES
Article 32
1. Les Etats membres mettent en vigueur les dispositions legislatives, reglementaires et administratives necessaires pour se conformer a la presente directive au plus tard a l'issue d'une periode de trois ans a compter de son adoption.
Lorsque les Etats membres adoptent ces dispositions, celles-ci contiennent une reference a Ia presente directive ou sont accompagnees d'une telle reference lors de leur publication officielle. Les modalites de cette reference sont arretees par les :Etats membres.
2. Les Etats membres veillent a ce que les traitements dont Ia mise en o:uvre est anterieure a Ia date d'entree en vigueur des dispositions nationales prises en application de Ia presente directive soient rendus conformes a ces dispositions au plus tard trois ans apres cette date.
Par derogation a l'alinea precedent, les Etats membres peuvent prevoir que les traitements de donnees deja contenues dans des fichiers manuels a Ia date d'entree en vigueur des dispositions nationales prises en application de la presente directive seront rendus conformes aux articles 6, 7 et 8 de la presente directive dans un delai de douze ans a compter de Ia date d'adoption de celle-ci. Les Etats membres permettent toutefois a la personne cancer- nee d'obtenir, a sa demande et notamment lors de l'exercice du droit d'acces, la rectification, !'effacement ou le verrouillage des donnees incompletes, inexactes ou conservees d'une maniere qui est incompatible avec les fins legitimes poursuivies par le responsable du traite- ment.
3. Par derogation au paragraphe 2, les Etats membres peuvent prevoir, sous reserve des garanties appropriees, que les donnees conservees dans le seul but de la recher-
N° L 281/50 Journal officiel des Communautes europeennes 23. 11. 95
che historique ne soient pas rendues conformes aux articles 6, 7 et 8 de la presente directive.
4. Les Etats membres communiquent ala Commission le texte des dispositions de droit interne qu'ils adoptent dans le domaine regi par la presente directive.
Article 33
Periodiquement, et pour la premiere fois au plus tard trois ans apres la date prevue a !'article 32 paragraphe 1, la Commission fait un rapport au Parlement europeen et au Conseil sur !'application de la presente directive et l'assortit, le cas echeant, des propositions de modification appropriees. Ce rapport est publie.
La Commission examine, en particulier, !'application de Ia presente directive aux traitements de donnees consti-
tuees par des sons et des images, relatives aux personnes physiques, et elle presente les propositions appropriees qui pourraient s'averer necessaires en tenant compte des developpements de la technologic de }'information et a la lumiere de l'etat des travaux sur Ia societe. de }'informa- tion.
Article 34
Les Etats membres sont destinataires de la presente directive.
Fait a Luxembourg, le 24 octobre 1995.
Par le Parlement europeen
Le president
K. HANSCH
Par le Conseil
Le president
L. ATIENZA SERNA
23. 11. 9S Gazzetta ufficiale delle C:omunita europee N. L 281131
DIRETTIVA 95/46/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 24 ottobre 1995
rclativa alia tutela delle personc fisiche con riguardo al trattamento dei dati pcrsonali, nonchc alia Iibera circolazione di tali dati
IL PARLAMENTO EUROPEO E IL CONSICLIO DELL'UNIONE EUROPEA,
visto il trattato che istituisce Ia Comunita europea, in particolare l'articolo 100 A,
vista la proposta della Commissione (1),
visto il parere del C:omitato economico e sociale e),
deliberando conformemente alia procedura di cui all'arti- colo 189 B del trattato (~),
(1)
(2)
considerando che gli obiettivi della Comunid, enunciati nel trattato, come e stato modificato dal trattato sull'Unione europea, consistono nel realiz- zarc un'unione sempre piu stretta tra i popoli curopci, nell'istituire relazioni piu strettc tra gli Stati che Ia Comunit;1 riuniscc, nell'assicurarc mediante un'azione comune il progresso economico e sociale eliminando le barriere chc dividono !'Eu- ropa, nel promuovcrc il miglioramento costante delle condizioni di vita delle sue popolazioni, nel preservare e rafforzare Ia pace e Ia liberta e nel promuovere Ia democrazia basandosi sui diritti fondamentali sanciti dalle costituzioni c dalle leggi degli Stati mcmbri nonche dalla convenzione euro- pea eli salvaguardia dci diritti dell'uomo e delle Iibert;'! fondamcntali;
considerando che i sistemi di trattarnento dei dati sono al servizio dell'uomo; che essi, indipendente- mente dalla nazionalid o dalla rcsidenza delle persone fisichc, debbono rispettare le liberta e i diritti fondamentali delle stesse, in particolare la vita privata, c debbono contribuire al progresso economico c sociale, allo sviluppo clegli scambi nonchc al benessere clegli inclividui;
(3) consideranclo chc l'instaurazionc e il funziona- mento del mercato interno, nel qualc, conforme-
e) GUn. C 277 del S. 11. 1990, pag. 3, e GUn. C .311 del27. 1 I. 1992, pag. 30.
(2 ) c;u 11. C I59 del 17. 6. 1991, pag. 38. (') Parere del Parbmento curopeo dell'11 marzo 1992 (GU 11. C:
94 del \3. 4. I 992, pag. 198), co11fcrmato il 2 dicemhrc 1993 (GU n. C: .342 del 20. 12. 1993, pag. 30); posizione comune del Consiglio del 20 febbraio 1995 (GU n. C 93 del 13. 4. 1995, pag. 1) e decisione del Parlamento europco del 1S giugno 1995 (GU n. C 166 del 3. 7. 1995).
(4)
(5)
(6)
(7)
mente all'articolo 7 A del trattaro, e assicurata Ia Iibera circolazionc delle merci, delle persone, dei servizi e dei capitali, esigono non solo che i dati personali possano circolare libcramente cia uno Stato membro all'altro, ma chc siano altres] salva- guarclati i diritti fonclamentali della persona;
considerando che nella Comunita si ricorre sempre piu frequentemente al trattamento di dati personali nei vari settori delle attivira economiche e sociali; chc i progressi registrati dallc tccnologie dell'infor- mazionc facilitano notevolmcntc il trattamento c lo scambio di tali dati;
considerando che l'integrazione econom1ca e sociale derivante dall'instaurazionc c dal funziona- mento del mcrcato interno ai sensi dell'articolo 7 A del trattato comportcra necessan amente un sensi- bile aumento dei flussi transfrontalieri di dati per- sonali tra tutti i soggctti della vita cconomica e sociale degli Stati membri, siano cssi privati o pubblici; che lo scambio di dati personali tra impresc stabilite in Stati membri differenti c clesti- nato ad aumentare; che le amministrazioni nazio- nali dei vari Stati membri debbono collaborare, in applicazione del diritto comunitario, e scambiarsi i dati personali per poter svolgere la loro funzione o esercitare compiti per conto di un'amministrazione di un altro Stato memhro, nell'arnbito dello spazio senza frontiere costituito dal mercato interno;
considerando, inoltre, chc il ra fforzamento della cooperazione scientifica e tecnica e Ia messa in opera coordinata di nuove rcti di telecomunica- zioni nella C:omunit;1 richiedono e facilitano Ia circolazionc transfrontaliera di dati personali;
considerando che il divario nei livelli di tutela dei diritti e delle liberta personali, in particolare della vita privata, garantiti ncgli Stati membri relativa- mcnte al trattamento di dati personali puo impe- dirc la trasmissionc dei dati stessi fra territori clcgli Stati membri c che talc divario puo pertanto costi- tuirc un ostacolo all'escrcizio eli una serie eli attivi- ta economiche su scala comunitaria, falsare Ia concorrenza e ostacolare, ncll'adcmpimcnto dei loro compiti, le amministrazioni chc intervengono
N. L 281/32 Gazzetta ufficiale delle Comunira europee 23. 11. 95
nell'applicazione del diritto comunitario; che detto divario nel grado eli tutela deriva dalla diversira disposizioni legislative, regolamentari eel ammini- strative nazionali;
(8) considerando che, per eliminare gli ostacoli alia circolazione dei dati personali, il livello eli tutela dei diritti e delle liberta delle persone relativarnente al trattarnento eli tali dati deve essere equivalente in tutti gli Stati membri; che tale obiettivo, fondamen- tale per il mercato interno, non puo essere conse- guito esclusivamente attraverso l'azione degli Stati membri, tenuto conto in particolare dell'ampia divergcnza esistente attualmente tra le normative nazionali in materia e della necessira eli coordinarle affinche il flusso transfrontaliero eli dati personali sia disciplinato in maniera coerente e conforme all'obiettivo del mercato interno ai sensi dell'arti- colo 7 A del trattato; che risulta pertanto necessa- ria un intervento della Comunita ai fini di un ravvicinamento delle legislazioni;
(9) considerando che, data la protezione equivalente derivante dal ravvicinamento delle legislazioni nazionali, gli Stati rnembri non potranno piu osta- colare Ia Iibera circolazione tra loro eli dati perso- nali per ragioni inerenti alla tutela dei diritti e delle liberra delle persone fisiche, segnatamente del diritto alla vita privata; che gli Stati membri disporranno eli un margine eli manovra eli cui potranno valersi, nell'applicazione della direttiva, i partner economici e sociali; che potranno quindi precisare nella loro legislazione nazionale le condi- zioni generali eli liceita dei trattarnenti; che cos! facendo gli Stati mernbri si adopereranno per migliorare Ia protezione attualmente prevista dalle \oro leggi; che, nei limiti di tale margine eli mano- vra e conformemente al diritto comunitario, potranno verificarsi divergenze nell'applicazione della direttiva e che queste potranno ripercuotersi sulla circolazione dei dati sia all'interno dello Stato membro che nelle Comunita;
(10) considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle liberra fonda- mentali, in particolare del diritto alia vita privata, riconosciuto anche dall'articolo 8 della Conven- zionc europea per Ia salvaguardia dei diritti dell'uomo e delle liberta fondamentali e dai prin- cipi generali del diritto comunitario; che pertanto il ravvicinarnento eli dette legislazioni non deve avcre per cffetto un indebolimento della tutela cia esse assicurata ma deve anzi mirare a garantire un clevato grado di tutela nella Comunita;
(11) considerando che i principi della tutela dei diritti e delle liberra delle persone, in particolare del rispetto della vita privata, contenuti dalla presente direttiva precisano ed arnpliano quelli enunciati dalla convenzione del 28 gennaio 1981 del Consi- glio ci'Europa sulla protezione delle persone con riferimento al trattamento automatizzato dei dati eli carattere pcrsonalc;
(12) consiclerando che i principi eli tutela si devono applicare a tutti i trattamenti eli dati personali quando le attivira del rcsponsabile del trattamento rientrano nel campo d'applicazione del cliritto comunitario; che deve essere escluso il trattamento eli dati effcttuato da una persona fisica ncll'eserci- zio eli attivira a carattere esclusivamente pcrsonalc o domestico quali la corrispondenza e la compila- zione eli elenchi eli indirizzi;
(13) considerando che le attiVIta previste dai titoli V c VI del trattato sull'Unione europea attinenti alia pubblica sicurezza, alia clifesa, alla sicurezza dello Stato o aile attivira dcllo Stato in materia eli diritto penale non rientrano nel campo d'applicazione del diritto comunitario, fatti salvi gli obblighi chc incombono agli Stati membri a norma dell'articolo 56, paragrafo 2, dell'articolo 57 e 100 A del trattato; che il trattamento eli dati personali chc (? necessario alia salvaguardia del benessere econo- mico dello Stato non rientra nell'ambito della pre- sente dircttiva qualora il trattamento sia legato a questioni di sicurezza dello Stato;
(14) considerando che la presente direttiva dovrebbe applicarsi al trattamento dei dati in forma eli suoni e immagini relativi a persone fisiche, vista la note- vole evoluzione in corso nella societa dell'informa- zione delle tecniche per captare, trasmettere, mani- polare, registrare, conservare o comunicare siffatti dati;
(15) considerando che il trattamento de suddetti dati rientra nella prcscnte direttiva soltanto se e auto- matizzato o se riguarcla dati contenuti, o destinati ad essere contenuti, in un archivio strutturato secondo criteri spccifici relativi aile persone, in modo da consentire un facile accesso ai dati perso- nali di cui trattasi;
(16) considerando che nel campo d'applicazione della presente direttiva non rientra il trattamento eli dati in forma eli suoni e immagini, quali i dati eli controllo video, finalizzato alia pubblica sicurezza, alia difesa, alia sicurezza dello Stato o all'esercizio eli attivid dello Stato nella sfera del diritto penale o eli altre attivita che esulano dal campo d'applica- zione del diritto comunitario;
(17) considerando che, per quanto attiene al tratta- mento eli suoni e immagini finalizzato all'attivira
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281133
giornalistica o all'espressione letter,aria o artistica, in particolare del settore audiovisivo, i principi della direttiva hanno un'applicazione limitata, con- formemente a quanto dispone l'articolo 9;
(18) considcrando che, onde evitare che una persona venga privata della tutela cui ha diritto in forza della presente direttiva, e necessario che qualsiasi trattamento di dati personali effettuato nella Comunira rispetti Ia legislazione di uno degli Stati membri; che, a questo proposito, e opportuno assoggcttare i trattamenti effettuati da una persona che opera sotto l'autorita del responsabile del trat- tamento stabilito in uno Stato membro alia Iegge di tale Stato;
(19) considcrando che lo stabilimento nel territorio eli uno Stato membro implica l'esercizio effettivo e realc dell'attivira mediante un'organizzazionc sta- bile; chc la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalira giuridica, non e il fattore determinantc a questo riguardo; chc quando . un unico rcsponsabile del trattamento e stabilito nd tcrritorio di divcrsi Stati membri, in particolare per mezzo di filiali, esso deve assicurare, scgnatamente per evitarc che le disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli obblighi prc- visti dalla Iegge nazionale applicabile aile attivira di ciascuno eli essi;
(20) considcrando che Ia tutela delle persone prevista dalla presente direttiva non deve essere impedita dal fatto che il responsabile del trattamento sia stabilito in un paese terzo; che, in tal caso, e opportuno che i trattamenti effettuati siano disci- plinati dalla Iegge dello Stato membro nel quale sono ubicati i mezzi utilizzati per il trattamento in oggetto e che siano prese le garanzie necessarie per consentire l'effettivo rispetto dei diritti e degli obblighi previsti dalla presente direttiva;
(21) considcrando chc Ia presente direttiva lascia impre- giudicatc lc norme di territorialira applicabili in materia penale;
(22) considerando che gli Stati membri preciseranno, nella !oro legislazione o in sede di applicazione delle norme di attuazione della presente direttiva, i rcquisiti gencrali di liceita del trattamento dei dati; che in particolare l'articolo 5, in combinato dispo- sto con gli articoli 7 e 8, consente agli Stati membri di prevedere, indipendentemente dalle norme gene- rali, condizioni particolari per il trattamento dei dati in settori specifici e per le varic categoric di dati di cui all'articolo 8;
(23) considerando che gli Stati membri sono autorizzati ad assicurare la messa in opera della tutela delle persone sia mediante una Iegge generale relativa alia tutela delle persone contro il trattamento dci
dati personali, sia mediante leggi settoriali, quali quelle relative ad esempio agli istituti di statistica;
(24) considerando che Ia prescnte direttiva lascia impre- giudicatc le normative relative alia tutela delle persone giuridiche riguardo al trattamento dei dati che le riguardano;
(25) considerando che i principi di tutela si esprimono, da un Jato, nei vari obblighi a carico delle persone, autorita pubbliche, imprese, agenzie o altri organi- smi responsabili del trattamento, obblighi relativi in particolare alia qualita dei dati, alla sicurezza tecnica, alia notificazionc all'autorid di controllo, aile circostanze in cui il trattamento puo essere cffettuato e, dall'altro, nel diritto delle persone, i cui dati sono oggetto di trattamento, di esserne informate, di poter accedere ai dati, e chiederne Ia rettifica, o di opporsi a\ trattamento in talune circostanze;
(26) considerando che i pnnopt della tutela si devono applicare ad ogni informazione concernente una persona identificata o identificabile; che, per deter- minare se una persona e identificabile, eopportuno prcndere in considerazione l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identifi- care detta persona; che i principi della tutela non si applicano a dati resi anonimi in modo tale che Ia persona interessata non e piu idcntificabile; che i codici di condotta ai sensi del1'articolo 27 possono costituire uno strumento utile di orientamento sui mezzi grazie ai quali dati possano essere resi ano- nimi e registrati in modo da rendere impossibile l'identificazione della persona interessata;
(27) considerando che Ia tutela delle persone fisiche dcve essere applicata al trattamento dei dati sia automatizzato sia manuale; che Ia portata della tutela non deve infatti dipendere dalle tecniche impiegate poich<.;, in caso contrario, sussisterebbero gravi rischi di elusione delle disposizioni; che non- dimeno, riguardo al trattamento manuale, Ia pre- sente direttiva si applica soltanto agli archivi e non ai fascicoli non strutturati; che, in particolare, il contenuto di un archivio deve essere strutturato secondo criteri specifici relativi alle persone che consentano un facile accesso ai dati personali; che, in conformita alla definizionc dell 'articolo 2, lettera c), i diversi criteri che determinano gli elementi che costituiscono un insieme strutturato di dati perso- nali, nonche i diversi criten in virtu dei quali un siffatto insieme e accessibile, possono essere preci-
N. L 281/34 Gazzetta ufficiale delle Comunira europee 23. 11. 95
sati dai singoli Stati membri; che i fascicoli o le serie di fascicoli, nonche le rispettive copertine, non strutturati secondo criteri specifici, non rientrano in nessun caso nel campo di applicazione della prescnte direttiva;
(28) considerando che qualsivoglia trattamento di dati pcrsonali deve essere eseguito lealmente e lecita- mente nei confronti delle persone interessate; chc csso dcve in particolare avere per oggctto dati adcguati, pertincnti e non eccedenti rispetto alle finalita perseguite; che tali finalira devono essere esplicite c lcgittime e specificate al momento della raccolta dei dati; chc le finalira dei trattamenti succcssivi alia raccolta non possono essen· incom- patihili con quelle originariamente specificate;
(29) considerando che l'ulteriore trattamento di dati personali per scopi storici, statistici o scientifici non c generalmente considerato incompatibile con le finalita per le quali i dati erano stati prcventiva- mente raccolti, purche gli Stati membri forniscano adeguate garanzie; che tali garanzie devono soprat- tutto impedire l'uso dci dati per l'adozione di m1surc o decisioni nei confronti di singole per- sone;
(30) considerando che, per essere lecito, il trattamento di dati personali deve essere inoltre basato sui consenso della persona interessata oppure devc essere necessario ai fini della conclusionc o dell'ese- cuzione di un contratto vincolante per Ia persona interessata, oppurc deve essere previsto dalla Iegge, per l'esecuzione di un compito nell'interesse pub- blico o per l'esercizio dell'autorira pubblica, o nell'interessc legittimo di un singolo individuo, a condizione che gli interessi o i diritti e le liberta della persona interessata non abbiano Ia preva- lei1Za; che, segnatamente, per garantire un equili- brio degli interessi in causa, pur assicurando una concorrenza effettiva, gli Stati membri possono prccisare lc condizioni aile quali dati personali possono essere usati e comunicati a terzi nell'am- bito di attivita lecite di gestione corrente delle imprese o di altri organismi; che essi possono parimenti precisare le condizioni aile quali puo essere effettuata la comunicazione a terzi di dati personali a fini di prospezionc, sia che si tratti di invio di materiale pubblicitario che di invio di materiale promosso da un'associazione a scopo bendico o da altre associazioni o fondazioni, ad esempio a carattere politico, nel rispetto delle disposizioni volte a consentire aile persom· interes- sate di opporsi senza dover fornire una motiva- zrone e senza spese a! trattamento dei dati che le riguardano;
(31) considerando che un trattamento di dati personali devc cssere ugualmente considerato lecito quando e effettuato per tutelare un interesse essenziale alia vita della persona interessata;
(32) considerando che spetta aile legislazioni nazionali stabilire se il responsabile del trattamento investito di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri debba essere una pubblica amministrazione o un altro soggetto di diritto pubblico o di diritto privato, quale un'asso- ciazione professionalc;
(33) considerando chc i dati che possono per Ioro natura ledere le libertil fondamentali o Ia vita privata non dovrebbero essere oggetto di tratta- mento, salvo esplicito consenso della persona inte- ressata; che tuttavia le deroghe ·a questo divieto devono essere cspressamente previste nci casi di necessitil specifiche, segnatamente laddove il tratta- mento di tali dati vienc eseguito da persone assog- gettate per Iegge all'obbligo del segreto professio- nale per taluni fini connessi alia sanita o per le legittime attivira di talune associazioni o fondazioni il cui scopo consista nel permettere I'escrcizio delle libcrra fondamcntali;
(34) considerando che gli Stati membri devono anche essere autorizzati, quando un motivo di interesse pubblico rilevante lo giustifichi, a derogare al divieto di trattamento di categoric di dati di natura dclicata in settori quali Ia pubblica sanira e Ia protezione sociale - soprattutto a! fine di assicu- rare Ia qualita e Ia redditivira per quanto riguarda le procedure per rispondere alle richiestc di presta- zioni c servizi nell'ambito del regime di assicura- zione sanitaria -, Ia ricerca scientifica nonche le statistiche pubbliche; che spetta loro tuttavia preve- dere le garanzie appropriate e specifiche per tute- lare i diritti fondamentali e Ia vita privata delle personc;
(35) considerando inoltre che il trattamento di dati personali da parte di pubbliche autorira per Ia realizzazione degli scopi, previsti dal diritto costitu- zionalc o dal diritto internazionale pubblico, di assoCiaziom religiose ufficialmcnte riconosciute viene effettuato per motivi di rilevante interesse pubblico;
(36) considerando che, se nelle attivira connesse con le elezioni il funzionamento del sistema democratico rende necessaria, in alcuni Stati membri, la raccolta da parte di partiti politici di dati sulle opinioni politiche delle persone, pw) essere consentito il trattamento di siffatti dati per motivi di interesse pubblico rilevante, purche siano stabilite garanzie appropriate;
(37) considerando che il trattamento di dati personali a scopi giornalistici o di espressione artistica o lette- raria, in particolare nel scttore audiovisivo deve beneficiare di deroghc o di limitazioni a determi- nate disposizioni della presente direttiva ove sia necessario per conciliarc i diritti fondamentali della
23. 11. 95 Gazzetta ufficiale delle Comunira europee N. L 281/35
persona con la liberta di espressione ed in partico- lare la liberra di ricevere o di comunicare informa- zioni, quale garantita in particolare dall'articolo 10 della Convenzione europea per la salvaguardia dci diritti dell'uomo c delle liberta fondamentali; chc pertanto, al fine di stabilire un equilibrio fra i diritti fondamentali, gli Stati mcmbri devono prc- vcdere le deroghe e le limitazioni necessarie in materia di misure generali concernenti la legittimita del trattamcnto di dati, di misurc relative al trasfe- rimento di dati nei paesi terzi nonchc di compe- tenze dcgli uffici preposti al controllo; che tuttavia cio non dovrebbe permettere agli Stati membri di prevcdere deroghe aile misurc di garanzia della sicurezza del trattamento; che agli uffici preposti al controllo in tale settore dovrebbero essere pari- menti conferite almeno determinate competenze a posteriori, ad esempio Ia competenza di pubblicarc periodicamente una relazione o di adire l'autorit<l giudiziaria;
(38) considerando che il trattamento leale dei dati pre- supponc che le persone interessate possano cono- scere l'esistenza del trattamento e disporre, quando i dati che le riguardano sono forniti direttamentc da !oro, di un'informazione effcttiva e completa 111 merito aile circostanze della raccolta;
(39) considerando che alcuni trattamenti riguardano dati che il responsabile non ha raccolto diretta- mente presso Ia persona interessata; che c peraltro possibile che taluni dati Siano legittimamente comunicati a terzi anche se tale comunicazione non era stata prevista all'atto della raccolta dei dati presso Ia persona interessata; che, in tutti questi casi, Ia persona interessata deve essere informata al momento della rcgistrazione dei dati o al massimo quando essi sono comunicati per Ia prima volta a terzi;
(40) considerando che non etuttavia necessario imporre tale obbligo se la persona interessata e gia infor- mata; che, inoltre, tale obbligo non eprcvisto se la registrazione o la comunicazione sono espressa- mente previste dalla Iegge ovvero se informare la persona interessata risulta impossibile o implica uno sforzo eccessivo, come puo verificarsi per i trattamenti a fini storici, statistici o scientifici; che in questo caso si puo tener conto del numero di personc intcressate, dell'antichita dei dati e delle eventuali misure di compensazione;
(41) considerando che una persona deve godere del diritto d'accesso ai dati che la riguardano e che sono oggetto di trattamento, per poter verificarc, in particolare, Ia loro esattezza e la liceita del trattamento; che, per le stesse ragioni, lc personc devono avere inoltre il diritto di conoscere la logica su cui si basa il trattamento automatizzato dei dati
che le riguardano, perlomeno ~el caso delle deci- sioni automatizzate di cui all'articolo 15, paragrafo 1; che tale diritto deve lasciare tmpregiudicati il segrcto industrialc c azicndalc e L1 proprieta intel- lettuale, segnatamente i diritti d';wtore che tutc- lano il software; che cio non dovrcbbe comunque tradursi nel rifiuto di fornire qualsiasi informa- zione alla persona interessata;
(42) considcrando che gli Stati membri possono, a bene- ficio della persona interessata o a tutela dei diritti e delle liberra altrui, limitare il diritto d'accesso e d'informazione; che possono, ad escmpio, precisare che l'accesso ai dati medici e possibile soltanto per- il tramite del personale sanitario;
(43) considerando che gli Stati membn possono altresi imporre analoghe restrizioni al diritto di accesso e di informazione e ad alcuni obblighi del responsa- bilc del trattamento nella misura in cui tali restri- zioni siano necessarie per salvaguardarc, ad esem- pio, Ia sicurezza nazionalc, Ia difesa, la pubblica sicurezza, importanti interessi economici o finan- ziari di uno Stato mcmbro o deii'Unione, nonche per indagini c procedimenti penali c in caso di violazioni dell'etica delle professioni rcgolamentate; chc occorre elencare, a titolo di deroghe e restri- zioni, i compiti di controllo, d1 indagine o di regolamentazionc necessari negli ultimi tre settori suindicati relativamcntc alia puhblica sicurezza, agli interessi economici o finanziari e alla repres- sione penale; che l'elenco dei compiti relativi a questi tre settori lascia impregiudicata la legittimita delle deroghe e rcstrizioni giustificatc da ragioni di sicurezza di Stato e di difesa;
(44) considerando che gli Stati membri possono esscrc indotti, in forza di disposizioni di diritto comunita- rio, a derogare aile disposizioni della presentc direttiva in materia di diritto d'accesso, di informa- zione delle persone e di qualita dci dati, onde salvaguardare alcune delle finalita di cui sopra;
(45) considerando che, in caso di dat1 che potrcbbero essere oggetto di un trattamento lecito per ragioni di interesse pubblico, di esercizio dcll'autorira pub- blica o di interesse legittimo di un singolo, qual- siasi persona intcressata dovrebbc comunque avere il diritto, per ragioni premincnti e legittime con- nesse alia sua situazionc particolare, di opporsi al trattamento dci dati che la riguardano; che gli Stati membri hanno tuttavia Ia facolta di prevedere disposizioni nazionali contrarie;
(46) considerando che Ia tutela dei dintti e delle liberta delle persone interessatc relativamente al tratta- mcnto di dati personali richiedc I'adozione di ade-
N. L 281/36 Gazzetta ufficiale delle Comunita europee 23. 11. 95
guate misure tecniche ed organizzative sia al momento della progettazione che a quello dell'ese- cuzione del trattamento, in particolare per garan- tirne Ia sicurezza ed impedire in tal modo qualsiasi trattamento non autorizzato; che spetta agli Stati membri accertarsi che il responsabile del tratta- mento osservi tali misure; che queste devono assi- curare un adeguato livello di sicurezza, tenuto conto delle conoscenze tecniche e dei costi dell'ese- cuzione rispetto ai rischi chc i trattamenti presen- tano e alla natura dei dati da proteggere;
(47) considerando che, laddove un messaggio conte- nente dati personali sia trasmesso tramite un servi- zio di telecomunicazioni o di posta elettronica, finalizzato unicamente alla trasmissione di siffatti messaggi, si considera, di norma, responsabile del trattamento dei dati personali contenuti del mes- saggio la persona che lo ha emanato e non Ia persona che presta il servizio di trasmissiOne; che tuttavia le persone che prestano tali servizi sono di norma considerate responsabili del trattamento dei dati personali supplementari necessari per il funzio- namcnto del servizio;
(4~) considerando che la notificazione all'autorita di controllo ha lo scopo di dare pubblicita alle finalita del trattamento ed alle sui principali caratteristiche, per consentirne il controllo secondo le norme nazionali di attuazione della presente direttiva;
(49) considerando che, al fine di evitare formalita amministrative improprie, possono essere previste dagli Stati membri misure di esenzione dall'obbligo di notificazione o di semplificazione di quest'ultima per i trattamenti che non sono tali da recue pregiudizio ai diritti e alle liberta delle persone interessate, purche siano conformi ad un atto adot- tato c.iallo Stato membro che ne precisi i limiti; che gli Stati membri possono analogamente prevedere esenzioni o semplificazioni qualora una persona incaricata dal responsabilc del trattamento si accerti che i trattamenti effettuati non sono tali da Ieclere i diritti e le liberta delle persone interessate; che detto incaricato della protezione dei dati, dipendente o meno del responsabile del tratta- mento, deve essere in grado di esercitare le sue funzioni in modo del tutto indipendente;
(SO) considerando che potrebbero essere previste esen- zioni o semplificazioni per i trattamenti il cui unico scopo sia la tenuta di registri finalizzati, ai sensi del diritto nazionale, all'informazione del pubblico c aperti alla consultazione del pubblico o di chiun- que dimostri un interesse legittimo;
(51) considerando che il responsabile del trattamento beneficiario della semplificazione o dell'esenzione dall'obbligo di notificazione non e tuttavia dispen- sato da nessuno degli altri obblighi che gli mcom- bono a norma della presente direttiva;
(52) considerando che, in questo contesto, il controllo a posteriori da parte delle autorita competenti deve essere ritenuto di norma sufficiente;
(53) considerando che, tuttavia, alcuni trattamenti pos- sono presentare rischi particolari per i diritti e le Iiberti delle persone interessate, per natura, portata o finalita, quali quello di esdudere una persona dal beneficio di un diritto, di una prestazione o di un contratto, ovvero a causa dell'uso particolare di una tecnologia nuova; che spetta agli Stati membri, se lo vorranno, precisare tali rischi nella legisla- zione nazionale;
(54) considerando che il numero dei trattamenti che presentano tali rischi particolari dovrebbe essere molto esiguo rispetto al totale dei trattamenti effet- tuati nella socicta; che, per siffatti trattamenti, gli Stati membri devono prevedere, prima che inizi il trattamento, un esame da parte dell'autorita di controllo, o dell'incaricato della protezione dei dati in collaborazione con essa; che a seguito di tale esame preliminare l'autorita di controllo puo, in base al diritto nazionale d'applicazione, formulare un parere o autorizzare il trattamento dei dati; che detto esame puo aver luogo anche durante il pro- cesso di elaborazione di un provvedimento del Parlamento nazionale ovvero di un provvedimento basato su tale provvedimento legislativo, in cui si definisca Ia natura del trattamento e si precisino le garanzie appropriate;
(55) considerando che, in caso di violazione dei diritti delle persone interessate da parte del responsabile del trattamento, le legislazioni nazionali devono prevedere vie di ricorso giurisdizionale; che i danni cagionati aile persone per effetto di un trattamento illecito devono essere riparati dal responsabile del trattamento, il quale puc> essere esonerato dalla propria responsabilita se prova che l'evento dan- noso non gli c imputabile, segnatamente quando dimostra l'esistenza di un errore della persona intercssata o un caso di forza maggiore; chc san- zioni debbono essere applicate nei confronti di qualsiasi soggetto di diritto privato o di diritto pubblico che non rispett1 le norme nazionali di attuazione della presente clirettiva;
(56) considerando che lo sviluppo degli scambi interna- zionali comporta necessariamente il trasferimento oltre frontiera di dati personali; che Ia tutela delle persone garantita nella Comunira dalla presente direttiva non osta a! trasfcrimento di dati pcrsonali
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281/37
verso paesi terzi che garantiscano un livello di protezione adeguato; che l'adeguatezza della tutela offerta da un paese terzo deve essere valutata in funzione di tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti:
(57) considerando, per contro, che deve essere vietato il trasferimento di dati personali verso un paese terzo che non offre un livello di protezione adeguato;
(58) considerando che devono essere previste, in talune circostanze, deroghe a tale divieto a condizione che Ia persona interessata vi abbia consentito, che il trasferimento sia necessario in relazione ad un contratto o da un'azione legale, oppure qualora il trasferimento sia necessario per Ia salvaguardia di un interesse pubblico rilevante, per esempio in casi di scambi internazionali di dati tra le amministra- zioni fiscali o doganali oppure tra i servizi compe- tenti per Ia sicurezza sociale, o qualora il trasferi- mento avvenga da un registro previsto dalla Iegge e destinato ad essere consultato dal pubblico o dalle persone aventi un interesse legittimo; che tale tra- sferimento non deve riguardare Ia totalira dei dati o delle categoric di dati contenuti nel registro suddetto; che il trasferimento di un registro desti- nato ad essere consultato dalle persone aventi un interesse legittimo dovrebbe essere possibile sol- tanto su richiesta di tali persone o qualora esse ne siano i destinatari;
(59) considerando che possono essere adottate misure particolari per rimediare al livello di protezione insufficiente di un paese terzo, qualora il responsa- bile del trattamento offra le opportune garanzie; che inoltre debbono essere previste procedure di negoziato fra Ia Comunira e i paesi terzi in que- stione;
(60) considerando che comunque i trasferimenti di dati verso i paesi terzi possono aver luogo soltanto nel pieno rispetto delle disposizioni prese dagli Stati membri in applicazione della presente direttiva, in particolare dell'articolo 8;
(61) considerando che gli Stati membri e Ia Commis- sione, nei rispettivi settori di competenza, devono incoraggiare gli ambienti professionali interessati a elaborare codici di condotta destinati a favorire, secondo le caratteristiche specifiche dei trattamenti effettuati in taluni settori, l'attuazione della pre- sente direttiva nel rispetto delle disposizioni nazio- nali di applicazione della stessa;
(62) considerando che Ia designazione di autorita di controllo che agiscano in modo indipendente in ciascuno Stato membro e un elemento essenziale per la tutela delle persone con riguardo al tratta- mento di dati personali;
(63) considerando che tali autorira devono disporre dei mezzi necessari all'adempimento dei loro compiti, siano essi poteri investigativi o di intervento, segna- tamente in caso di reclami di singoli individui, nonche poteri di avviare azioni legali; che esse debbono contribuire alia trasparenza dei tratta- menti effettuati nello Stato membro da cui dipen- dono;
(64) considerando che le aut:orira dei vari Stati membri wno tenure a collaborare nello svolgimento dei propri compiti in modo talc da assicurare che le norme relative alia tutela vengano pienamente rispettate in tutta l'Unione europca;
(65) considerando che, a livello comunitario, deve essere istituito un gruppo per Ia tutela delle persone con riguardo al trattamento dei dati personali e che esso dcve esercitare le sue funzioni in piena indi- pendenza; che, tenuto conto di talc carattere speci- fico, csso deve consigliare Ia Commissione e contri- buirc in particolare all'applicazionc omogenea delle norme nazionali di attuazionc della presente diret- tiva;
(66) considerando che, in ordine al trasferimento di dati verso i paesi terzi, l'applicazione della presente direttiva richiede l'attribuzione alia Commissione di competenze d'esecuzione nonche l'istituzione di una procedura secondo le modalita fissate nella decisione 87/373/CEE del Consiglio (1);
(67) considerando che il 20 dicembre 1994 e stato raggiunto un accordo su un <<modus vivendi» tra Parlamento curopeo, Consiglio e Commissione sulle misure di attuazione degli atti adottati in base alia procedura stabilita all'articollo 189 B del trat- tato CE;
(68) considerando che i principi della tutela dei diritti e delle liberra delle persone, in particolare del rispetto della vita privata, con riguardo al tratta- mento di dati personali, oggetto della presente direttiva, potranno esserc completati o precisati, soprattutto per taluni settori, da norme specifiche ad essi conformi;
(69) considerando che e opportuno concedere agli Stati membrl un termine non sup~riore a tre anni a decorrere dall'entrata in vigore delle disposizioni nazionali eli recepimento della presente direttiva, per consentire loro di applicare progressivamente a tutti i trattamenti gia rcalizzati dette nuove disposi- zioni nazionali; che per agevolare un'applicazione
( 1) GUn. L 197 del1H. 7. 19H7, pag. 33.
N. L 281/38 Gazzetta ufficiale delle Comunita europee 23. 11. 95
cfficicnte in termini di costi sara concesso agli Stati membri un ulteriore periodo che si concludcra dodici anni dopo la data di adozione della presente direttiva, in modo tale che venga assicurata Ia conformita degli archivi manuali esistenti con alcune disposizioni della direttiva; che i dati conte- nuti in detti archivi e oggetto di un trattamento manuale cffcttivo nel corso di questo periodo di transizione supplemcntare devono cssere resi con- formi con le prcsenti disposizioni all'atto di tale trattamento attivo;
(70) considerando che non occorrc che la persona intc- ressata dia nuovamente il suo consenso affinche il responsabile possa proseguire, dopo l'entrata in vigore delle disposizioni nazionali di attuazione della prescnte direttiva, i trattamenti dci dati di
natura delicata necessari all'esecuzione di un con- tratto concluso in base ad un consenso libero e con cognizione di causa prima dell'entrata in vigore delle suddette disposizioni;
(71) considerando che Ia presente direttiva non osta alia disciplina da parte uno Stato membro delle attivira di invio di materiale pubblicitario destinato ai consumatori residenti nel proprio territorio, purche detta disciplina non riguardi la tutela delle persone relativamente al trattamento dei dati personali;
(72) considerando chc la presente direttiva consente che nell'applicazione dei principi in essa stabiliti si tenga conto del principio dell'accesso del pubblico ai documcnti ufficiali,
HANNO ADOTTATO LA PRESENTE DIRETTIVA:
CAPO r
DISPOSIZIONI GENERAL!
Articolo 1
Oggetto della direttiva
I. Gli Stati mcmbri garantiscono, conformemcnte aile disposizioni della presente direttiva, la tutela dei diritti e delle liberta fondamentali delle persone fisiche e partico- larmente del diritto alla vita privata, con riguardo a! trattamento dei dati personali.
2. Gli Stati membri non possono restringere o vietare la Iibera circolazione dei dati personali tra Stati mcmbri, per motivi connessi alia tutela garantita a norma del para- grafo 1.
Articolo 2
Definizioni
Ai fini della presente direttiva si intcnde per:
a) <<dati pcrsonali>>: qualsiasi informazione concernente una persona fisica identificata o identificabile (<<per- sona interessata» ); si considera identificabile la per- sona che puo essere identificata, direttamente o incli- rettamentc, in particolare mediante riferimento ad un numcro di identificazione o ad uno o piu clementi spccifici carattcristici della sua identita fisica, fisiolo- gica, psichica, cconomica, culturale o sociale;
b) <<trattamento di dati personali>> (<<trattamento>> ): qual- siasi opcrazione o insieme di operazioni compiute con o scnza l'ausilio di processi automatizzati e applicate
a dati personali, come Ia raccolta, Ia registrazione, l'organizzazione, Ia conservazionc, l'elaborazione o Ia modifica, l'estrazione, la consultazione, l'impiego, Ia comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raf- fronto o l'interconnessione, nonche il congelamento, Ia cancellazione o Ia distruzione;
c) «archivio di dati personali>> (<<archivio» ): qualsiasi ms1eme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
d) «responsabile del trattamento>>: Ia persona fisica o giuridica, l'autorira pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina lc finalita e gli strumenti del trattamento di dati personali. Quando le finalira e i mezzi del tratta- mento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per al sua designa- zJone possono essere fissati dal diritto nazionalc o comunitario;
e) <<incaricato del trattamento>>: Ia persona fisica o giuri- dica, l'autorira pubblica, il servizio o qualsiasi altro organismo chc elabora dati personali per conto del responsabile del trattamento;
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281/39
f) «terzi»: la persona fisica o giuridica, l'autorita pub- blica, il servizio o qualsiasi altro organismo che non sia la persona interessata, il responsabile del tratta- mento, l'incaricato del trattamento e le persone auto- rizzate all'elaborazione dei dati sotto la loro autorit;! diretta;
g) «destinatario»: la persona fisica o giuridica, l'autorit<l pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di un terzo. Tuttavia, le autorira che possono ricevere comunicazione di dati nell'ambito di una missione d'inchicsta spccifica non sono considerate destina- tari;
h) «consenso della persona interessata»: qualsiasi mani- festazione eli volonta Iibera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto eli un tratta- mento.
Articolo 3
Campo d'applicazione
1. Le disposizioni della presente direttiva si applicano al trattamento eli dati personali interamente o parzialmente automatizzato nonche al trattamento non automatizzato eli dati personali contenuti o destinati a figurare negli archivi.
2. Le disposizioni della presente direttiva non s1 appli- cano ai trattamenti eli dati personali;
effettuati per l'esercizio eli attivita che non rientrano nel campo eli applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull'Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, Ia sicurezza dello Stato (compreso il benessere econo-
mico dello Stato, laddove tali trattamenti siano con- nessi a questioni eli sicurezza dello Stato) e le attivita dello Stato in materia eli diritto penale;
effettuati da una persona fisica per l'esercizio di attivita a carattere esclusivamcnte personale o dome- stico.
Articulo 4
Diritto nazionah: applicabitlc
1. Ciascuno Stato membro applica le disposizioni nazio- nali adottate per l'attuazione della presentc direttiva al trattamento di dati personali:
a) effettuato nel contesto delle attivita eli uno stabili- mento del responsabile del trattamento nel territorio dcllo Stato membn;; qualora uno stesso responsabile del trattamento sia stabilito nel terriwrio eli piu Stati membri, esso deve adottare le misure necessarie per assicurare l'osservanza, cia parte di ciascuno di detti stabilimenti, clegli obblighi stabiliti dal diritto nazio- nale applicabile;
b) il cui responsabile non e stabilito m·l territorio dello Stato membro, rna in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazio- nale pubblico;
c) il cui rcsponsabilc, non stabilito nel territorio della Comunita, ricorre, ai fini del trattamento eli dati personali, a strumenti, automatizzati o non automa- tizzati, situati nel territorio eli detto Stato membro, a mcno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunit~t europea.
2. Nella fattispecie eli cui al paragrafo 1, lettera c), il responsabile del trattamento deve dcsignare un rappresen- tante stabilito nel territorio di detto Staro mcmbro, fatte salve le azioni che potrcbbero esscre promosse contro lo stesso responsabile del trattamento.
CAPO II
CONDIZIONI GENERAL! DI LICEITA DEl TRATTAMENT! DI DATI PERSONAU
Articolo 5
Gli Stati membri precisano, nei limiti delle disposizioni del prcsente capo, le condizioni aile quali i trattamenti di dati personali sono leciti.
N. L 281/40 Gazzetta ufficiale delle Comunita europee 23. 11. 9S
SEZIONE I
PRINCIPI RELATIVI ALLA QUALITA DEI DATI
Articolo 6
1. Gli Stati membri dispongono che i dati personali devono essere:
a) trattati lealmente e lecitamente;
b) rilcvati per finalita determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalita. II trattamento successivo dei dati per scopi storici, statistici o scientifici non c ritenuto incompatibile, purche gli Stati membri forniscano garanzic appropriate;
c) adcguati, pcrtinenti e non eccedenti rispetto aile finali- ta per le quali vengono rilevati e/o per le quali vengono successivamente trattati;
d) esatti e, se necessario, aggiornati; devono esscre prese tuttc le misurc ragionevoli per cancellare o rettificare i dati incsatti o incompleti rispetto alle finalita per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati;
e) conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessaria al conseguimcnto delle finalira per le quali sono rilevati o sono successiva- mente trattati. Gli Stati membri prevedono garanzie adcguate per i dati personali conservati oltrc il sud- dctto arco di tempo per motivi storici, statistici o scienti fici.
2. II responsabile del trattamento e tenuto a garantire il rispetto delle disposizioni del paragrafo 1.
SEZIONE II
PRINCIPI RELATIVI ALLA LEGITTIMAZIONE DEL TRATTAMENTO DEI DATI
Articolo 7
Gli Stati memhri dispongono che il trattamento di dati pcrsonali puo esscre effettuato soltanto quando:
a) Ia persona interessata ha manifestato il proprio con- senso in maniera inequivocahile, oppure
b) e necessaria all'esecuzione del contratto concluso con Ia persona interessata o all'esecuzione di misure pre- contrattuali prese su richiesta di tale persona, oppure
c) e necessario per adempiere un ohbligo legale al quale e soggetto il responsabile del trattamento, oppure
d) e necessario per Ia salvaguardia dell'interesse vitale della persona interessata, oppure
e) e necessaria per l'esecuzione di un compito di inte- resse pubblico o connesso all'esercizio di pubhlici poteri di cui einvestito il responsabile del trattamento o il terzo a cui vengono comunicati i dati, oppure
f) e necessario per il perseguimento dell'interesse legit- timo del responsahile del trattamcnto oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano )'interesse o i diritti e le liherra fondamentali della persona interessata, che richiedono tutela ai sensi dell'articolo 1, paragrafo 1.
SEZlONE Ill
CATEGORIE PARTICOLARI DI TRATTAMENTI
Articolo 8
Trattamcnti riguardanti categoric particolari di dati
1. Gli Stati membri vietano il trattamento di dati perso- nali chc rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartc- nenza sindacale, nonche il trattamento di dati relativi alia salute e alia vita sessuale.
2. Il paragrafo 1 non si applica qualora:
a) Ia persona interessata abbia dato il proprio consenso csplicito a tale trattamento, salvo nei casi in cui Ia legislazione dello Stato membro preveda che il con- senso della persona interessata non sia sufficiente per dcrogare al divicto di cui al paragrafo 1, oppure
b) il trattamento sia nccessario, per assolvere gli obblighi c i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui il trattamento stesso sia autorizzato da norme nazionali che prevedono adeguate garanzie, oppure
c) il trattamento sia necessario per salvaguardare un interesse vitale della persona interessata o di un terzo nel caso in cui Ia persona interessata e nell'incapacira fisica o giuridica di dare il proprio consenso; o
d) il trattamento sia effettuato, con garanzie adeguate, da una fondazione, un'associazione o qualsiasi altro organismo chc non persegua scopi di lucro e rivesta carattere politico, filosofico, religioso o sindacale, nell'amhito del suo scopo lecito e a condizione che riguardi unicamente i suoi memhri o le persone chc ahhiano contatti regolari con Ia fondazione, l'associa-
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281/41
zione o l'organismo a motivo del suo oggetto e che i dati non vengano comunicati a terzi senza il consenso delle persone interessate; o
e) il trattamento riguardi dati resi manifestamente pub- blici dalla persona interessata o s1a necessaria per costituire, esercitare o difendere un diritto per via giudiziaria.
3. II paragrafo 1 non si applica quando il trattamento dei dati e necessaria alla prevenzione o alla diagnostica medica, alia somministrazione di cure o alla gestione di centri di cura e quando il trattamento dei medesimi dati viene effettuato da un professionista in campo sanitario soggetto al segreto professionale sancito dalla legislazione nazionale, comprese le norme stabilite dagli organi nazio- nali competenti, o da un'altra persona egualmente sog- getta a un obbligo di segreto equivalente.
4. Purche siano previste le opportune garanzie, gli Stati membri possono, per motivi di interesse pubblico rile- vante, stabilirc ulteriori deroghe oltre a quelle previste dal paragrafo 2 sulla base della legislazione nazionale o di una decisione dell'autorita di controllo.
5. I trattamenti riguardanti i dati relativi alle infrazioni, alle condanne penali o aile misure di sicurezza possono essere effettuati solo sotto controllo dell'autorita pub- blica, o se vengono fornite opportune garanzie specifichc, sulla base del diritto nazionale, fatte salve le deroghe che possono essere fissate dallo Stato membro in base ad una disposizione nazionale che preveda garanzie appropriate e specifiche. Tuttavia un registro completo delle condanne penali puo essere tenuto solo sotto il controllo dell'auto- rira pubblica.
Gli Stati membri possono prevedere che i trattamenti di dati riguardanti sanzioni amministrative o procedimenti civili siano ugualmente effettuati sotto controllo dell'au- torita pubblica.
6. Le deroghe al paragrafo 1 di cui at paragrafi 4 e S sono notificate alia C:ommissione.
7. Gli Stati membri determinano a quali condizioni un numero nazionale di identificazione o qualsiasi altro mezzo identificativo di portata generale puo essere oggetto di trattamento.
Articolo 9
Trattamento di dati personali e liberta d'espressione
Gli Stati membri prevedono, per il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe aile disposizioni del presente capo e dei capi IV e
VI solo qualora s1 rivelino necessarie per conciliare il diritto alla vita privata con le norme sulla liberta d'espressione.
SEZIONE IV
INFORMAZIONE DELLA PERSONA INTERESSAT A
Articolo 10
Informazione in caso di raccolta dei dati presso la persona inH~ressata
Gli Stati membri dispongono che il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua Ia raccolta dei dati che Ia riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia gia informata:
a) l'identira del responsabile del trattamento ed eventual- mente del suo rappresentante;
b) le finalita del trattamento cui sono destinati i dati;
c) ulteriori informazioni riguardanti quanto segue:
i destinatari o le categoric di destinatari dei dati,
se risponderc aile domande e obbligatorio 0 volontario, nonche le possibili conseguenze di una mancata risposta,
se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano
nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informa- zioni siano necessarie per effettuare un trattamento leale nei confronto della persona interessata.
Articulo 11
Informazione m caso di dati non raccolti presso ]a persona interessata
1. In caso di dati non raccolti presso la persona interes- sata, gli Stati membri dispongono che, al momento della registrazione dei dati o qualora sia prevista una comuni- cazione dei dati a un terzo, al piu tardi all'atto della prima comunicazionc dei medesimi, il responsabile del trattamento o il suo rappresentante debba fornire alla persona interessata almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia gia informata:
a) l'identita del responsabilc del trattamento ed eventual- mente del suo rappresentante,
b) le finalita del trattamento,
N. L 281142 Gazzetta ufficiale delle Comunita europee 23. 11. 95
c) ulteriori informazioni riguardanti quanto segue:
le categoric di dati interessate,
i destinatari o le categoric di destinatari dei dati,
se csistc un diritto di accesso ai dati e di rcttifica in merito ai dati che la riguardano,
nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informa- zioni siano necessarie per effettuare un trattamento leale nci confronti della persona interessata.
2. Le disposizioni del paragrafo 1 non si applicano quando, in particolare nel trattamento di dati a scopi statistici, o di ricerca storica o scientifica, l'informazione della persona intcressata si rivela impossibile o richiede sforzi sproporzionati o la registrazione o la comunica- zione eprescritta per Iegge. In questi casi gli Stati membri prevedono garanzie appropriate.
SEZIONE V
DIRITTO DI ACCESSO AI DATI DA PARTE DELLA PERSONA INTERESSATA
Articolo 12
Diritto di accesso
Gli Stati membri garantiscono a qualsiasi persona interes- sata il diritto di ottenere dal responsabile del tratta- mento:
a) liberamente e ~enza costrizione, ad intervalli ragiOne- voli e senza ritardi o spese eccessivi:
la conferma dell'esistenza o meno di trattamenti di dati che la riguardano, e l'informazione almeno sullc finalita dei trattamenti, sulle categoric di dati trattati, sui destinatari o sulle categoric di destina- tari cui sono comunicati i dati;
Ia comunicazione in forma intelligibile dei dati che sono oggetto dei trattamenti, nonche di tutte le informazioni disponibili sull'origine dei dati;
Ia conoscenza della logica applicata nei tratta- menti automatizzati dei dati che lo interessano, per lo meno nel caso delle decisioni automatizzate di cui all'articolo 15, paragrafo 1;
b) a seconda dei casi, la rettifica, Ia cancellazione o il congelamento dei dati il cui trattamento non e con- forme aile disposizioni della presente dircttiva, in particolare a causa del carattere incompleto o inesatto dci dati;
c) Ia notificazione ai terzi, ai quali sono stati comunicati i dati, di qualsiasi rettifica, cancellazione o congela- mento, effettuati conformemente alla lettera b), se non si dimostra che e impossibile 0 implica uno sforzo sproporzionato.
SEZIONE VI
DEROGHE E RESTRIZIONI
Articolo 13
Deroghe e restrizioni
1. Gli Stati membri possono adottare disposizioni legi- slative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell'articolo 6, paragrafo 1, dell'articolo 10, dcll'articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia:
a) della sicurezza dello Stato;
b) della difesa;
c) della pubblica sicurezza;
d) della prevenzione, della ricerca, dell'accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate;
e) di un rilevante interesse cconornico o finanziario di uno Stato membro o dell'lJnione europea, anche 111 materia monetaria, di bilancio e tributaria;
f) di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l'esercizio dei pubblici poteri nei casi di cui aile lettere c), d) ed e);
g) della protezione della persona interessata o dei diritti e delle liberra altrui.
2. Fatte salve garanzie legali appropriate, che escludano in particolare che i dati possano essere utilizzati a fini di misure o di specifiche decisioni che si riferiscono a pcrsonc, gli Stati membri possono, nel caso in cui non sussista manifestamente alcun rischio di pregiudizio alla vita privata della persona interessata, limitare con un provvedimento legislativo i diritti di cui all'articolo 13 qualora i dati siano trattati esclusivamente ai fini della ricerca scientifica o siano memorizzati sott-o forma di dati personali per un periodo chc non superi quello necessario alia sola finalita di elaborazione delle statistiche.
SEZIONE VII
DIRITTO DI OPPOSIZIONE DELLA PERSONA INTERESSATA
Articolo 14
Diritto di opposizione della persona interessata
Gli Stati membri riconoscono alia persona interessata il diritto:
a) almeno nei casi di cui all'articolo 7, lettere e) e f), di opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281/43
trattamento di dati che la riguardano, salvo disposi- zione contraria prevista dalla normativa nazionale. In caso di opposizione giustificata il trattamento effet- tuato dal responsabile non puo piu riguardare tali dati;
b) di opporsi, su richicsta e gratuitamcnte, al tratta- mento dei dati personali che Ia riguardano previsto dal responsabile del trattamento a fini di invio di materiale pubblicitario ovvero di essere informata prima chc i dati personali siano, per Ia prima volta, comunicati a terzi o utilizzati per conto di terzi, a fini di invio di materiale pubblicitario; la persona interes- sata devc essere informata in modo csplicito del diritto di cui gode di opporsi gratuitamente alia comunicazionc o all'utilizzo di cui sopra.
Gli Stati mcmbri prendono le misure necessarie per garantire che le persone interessate siano a conoscenza che esistc il diritto di cui al primo comma della lettera b).
Articolo 15
Decisioni individuali automatizzate
1. Gli Stati membri riconoscono a qualsiasi persona il diritto di non essere sottoposta ad una decisione che produca effetti giuridici o abbia effetti significativi nei suoi confronti fondata esclusivamente su un trattamento automatizzato di dati dcstinati a valutare taluni aspetti della sua personalita, quali il rendimento professionale, il credito, l'affidabilita, il comportamento, ecc.
2. Gli Stati membri dispongono, salve le altrc disposi- zioni della presente direttiva, che una persona puo essere sottoposta a una decisione di cui al paragrafo 1, qualora una tale decisione:
a) sia presa nel contesto della conclusione o dell'esecu- zione di un contratto, a condizione che la domanda relativa alia conclusione o all'esecuzione del contratto, presentata dalla persona interessata sia stata accolta, oppure che misure adeguate, fra le quali la possibilira di far valere il proprio punto di vista garantiscano Ia salvaguardia del suo interesse legittimo, oppure
b) sia autorizzata da una Iegge che precisi i provvedi- menti atti a salvaguardare un interesse legittimo della persona interessata.
SEZIONE VIII
RISERVATEZZA E SICUREZZA DEI TRATTAMENTI
Articolo 16
Riservatezza dei trattamenti
L'incaricato del trattamento o chiunque agisca sotto Ia sua autorita o sotto quella del rcsponsabile del tratta-
mento non deve elaborare i dati personali ai quali ha accesso, se non dietro istruzione del responsabile del trattamento oppure in virtu di obblighi legali.
Articolo 17
Sicurezza dei trattamenti
l. Gli Stati membri dispongono chc il responsabile del trattamento deve attuare misure· tecnichc cd organizzative appropriate al fine di garantire Ia protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamentc quando il trat- tamento comporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma illccita di trattamento di dati personali.
Tali misure devono garantire, tenuto conto delle attuali conoscenzc in materia c dci costi dell'applicazione, un livello di sicurezza appropriato rispetto ai rischi presen- tati dal trattamento e alia natura dei dati da proteggere.
2. Gli Stati membri dispongono chc il responsabile del trattamento, quando quest'ultimo sia cseguito per suo conto, devc scegliere un incaricato del trattamento chc presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti cia effettuare c cleve assicurarsi del rispetto di tali m1sure.
3. L'esecuzione dei trattamenti su commisswne deve essere disciplinata da un contratto o da un atto giuridico che vincoli l'incaricato del trattamcnto al responsabile del trattamento e che preveda segnatamcntc:
che l'incaricato del trattamento operi soltanto su istruzioni del responsabile del trattamento;
chc gli obblighi di cui al paragrafo 1, quali sono definiti dalla legislazione dello Stato membro nel quale cstabilito l'incaricato del trattamento, vincolino anchc quest'ultimo.
4. A fini di conservazione delle prove, gli elementi del contratto o dell'atto giuridico relativi alia protezione dei dati e i requisiti concernenti le misure di cui al paragrafo 1 sono stipulati per iscritto o in altra forma equivalente.
SEZIONE IX
NOTIFICAZIONE
Articolo 18
Obbligo di notificazionc all'autoritit di controllo
1. Gli Stati membri prevedono un obbligo di notifica- zionc a carico del rcsponsabile del trattamento, od even-
N. L 281144 Gazzetta ufficiale delle Comunid europee 23. 11. 95
tualmente del suo rappresentante, presso l'autorita di controllo di cui all'articolo 30, prima di procedere alia realizzazione di un trattamento, o di un insieme di trattamenti, interamente o parzialmente automatizzato, destinato al conseguimento di una o piu finalid corre- late.
2. Gli Stati membri possono prevedere una semplifica- zione o l'esonero dall'obbligo di notificazione soltanto nei casi e aile condizioni seguenti:
qualora si tratti di categoric di trattamento che, in considerazione dei dati oggetto di trattamento, non siano tali da recare pregiudizio ai diritti e aile liberta della persona interessata, essi precisano le finalita dei trattamenti, i dati o le categoric dei dati trattati, Ia categoria o le categoric di persone lmeressate, i desti- natari o le categoric di destinatari cui sono comuni- cati i dati e il periodo di conservazione dei dati, e/o
qualora il responsabile del trattamento designi, con- formemente alia legislazione nazionale applicabile, un mcaricato della protezione dei dati, a cui edemandato in particolare:
di assicurare in maniera indipendente l'applica- zione interna delle disposizioni nazionali di attua- zione della presente direttiva;
di tenere un registro dei trattamenti effettuati dal responsabile del trattamento in cui figurino le informazioni di cui all'articolo 21, paragrafo 2,
garantendo in tal modo che il trattamento non sia tale da recarc pregiudizio ai diritti e aile libcrta della persona interessata.
3. Gli Stati membri possono prevedere che le disposi- zioni del paragrafo 1 non si applichino ai trattamenti Ia cui unica finalira c la compilazione di registri i quali, in forza di disposizioni legislative o regolamentari, siano predisposti per l'informazione del pubblico e siano aperti alia consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo.
4. Gli Stati membri possono prevedere una deroga all'obbligo della notificazione o una semplificazione della notificazione per i trattamenti di cui all'articolo 8, para- grafo 2, lettera d).
5. Gli Stati membri possono prevedere che i trattamenti non automatizzati di dati personali, o alcuni di essi, siano oggetto di una notificazione eventualmente semplificata.
Articolo 19
Oggetto della notificazione
1. Gli Stati membri definiscono le informazioni che devono essere contenute nella notificazione. Esse com- prendono almeno:
a) il nome e l'indirizzo del responsabile del trattamento e, eventualmente, del suo rappresentante;
b) la o le finalira del trattamento;
c) una descrizione della o delle categoric di persone interessate e dei dati o delle categoric di dati relativi aile medesime;
d) i destinatari o le categoric di destinatari a cUI dati possono essere comunicati;
e) i trasferimenti di dati previsti verso paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento in applicazione dell'articolo 17.
2. Gli Stati membri precisano le modalid di notifica- zionc all'autorita di controllo dei mutamenti relativi aile informazioni di cui a! paragrafo l.
Articolo 20
Controllo preliminare
1. Gli Stati membri precisano i trattamenti che poten- zialmente presentano rischi specifici per i diritti e le liberra delle persone e provvedono a che tali trattamenti siano esaminati prima della !oro messa in opera.
2. Tali esami preliminari sono effettuati dall'autorira di controllo una volta ricevuta Ia notificazione del responsa- bile del trattamento, oppure dalla persona incaricata della protezione dei dati che, nei casi dubbi, deve consultare l'autorira di controllo medesima.
3. Gli Stati membri possono effettuare tale esame anche durante il processo di elaborazione di un provvedimento del Parlamento nazionale, o in base ad un provvedimento fondato su siffatto provvedimento legislativo, in cui si definisce il tipo di trattamento e si stabiliscono appro- priate garanzic.
Articolo 21
Pubblicita dei trattamenti
1. Gli Stati membri adottano misure intese ad assicurare Ia pubblicita dei trattamenti.
2. Gli Stati membri devono prevedere che l'autorira di controllo tenga un registro dei trattamenti notificati m virtu dell'articolo 18.
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281/45
II registro riprende almeno le informazioni enumerate all'articolo 19, paragrafo 1, lettere da a) a e).
colo 19, paragrafo 1, !etten~ da a) a e), relative ai trattamenti esenti da notificazione.
II registro puc) essere consultato da chiunque.
3. Gli Stati membri prevedono che i responsabili dei trattamenti o un altro organismo designato dagli Stati membri comunichino nelle opportune forme, a chiunque ne faccia richiesta, almeno le informazioni di cui all'arti-
Gli Stati membri possono prevedere che questa disposi- zione non si applichi ai trattamenti la cui unica finalira e Ia compilazione di registri i quali, in forza di disposizioni legislative o regolamentari, siano predisposti per l'infor- mazione del pubblico e siano aperti alia consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo.
CAPO III
RICORSI GIURISDIZIONALI, RESPONSABILITA E SANZIONI
Articolo 22
Ricorsi
Fatti salvi ricorsi amministrativi che possono essere promossi, segnatamente dinanzi all'autorita di controllo di cui all'articolo 28, prima che sia adita l'autorira giudiziaria, gli Stati mernbri stabiliscono che chiunque possa disporre di un ricorso giurisdizionale in caso di violaziom dei diritti garantitigli dalle disposizioni nazionali appicabili al trattamento in questione.
Articolo 23
Responsabilita
1. Gli Stati membri dispongono che chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatihile con le disposizioni nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento.
2. II responsabile del trattamento puo essere esonerato in tutto o in parte da tale responsabilira se prova che l'evento dannoso non gli e imputabile.
Articolo 24
Sanzioni
Gli Stati membri adottano le misure appropriate per garantire Ia piena applicazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva.
CAPO IV
TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI
Articolo 25
Principi
1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento puo aver luogo soltanto se il paese
terzo di cui trattasi garantiscc un livelllo di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L'adeguatezza del livello di protezione garantito da un paese terzo e valutata con riguardo a tutte le circo- stanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in conside-
N. L 281/46 Gazzetta ufficiale delle Comunita europee 23. 11. 95
razione la natura dei dati, le finalita del o dei trattamenti previsti, il paese d'origine e il paesc di destinazione finale, lc norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonche le regole professionali e le misurc di sicurezza ivi osservate.
3. Gli Stati membri e la Commissione si comumcano a vicenda i casi in cui, a loro parere, un paese tcrzo non garantiscc un livello di protezione adeguato ai sensi del paragrafo 2.
4. Qualora la Commissione constati, secondo la proce- dura dell'articolo .11, paragrafo 2, che un paese tcrzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presentc articolo, gli Stati membri adot- tano lc misure nccessarie per impedire ogni trasfcrimento di dati della stessa natura verso il paese terzo in que- stione.
5. La Commissione avvia, al momento opportuno, nego- ziati per porre rimedio alia situazione risultante dalla constatazionc di cui al paragrafo 4.
6. La Commissione puo constatarc, secondo la proce- dura di cui all'articolo 31, paragrafo 2, che un paese terzo garantiscc un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua lcgislazione nazionale o dei suoi impegni intcr- nazionali, in particolare di quclli assunti in scguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle liberra e dei diritti fondamentali della persona.
Gli Stati membri adottano le misure necessarie per con- formarsi alia dccisione della Commissione.
Articolo 26
Deroghe
1. In deroga all'articolo 25 e fattc salve eventuali dispo- sizioni contrarie della legislazione nazionale per casi spe- cifici, gli Stati membri dispongono che un trasferimcnto di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi del'articolo 25, paragrafo 2 puc) avven1rc a condizione che:
a) la persona interessata abbia manifestato il propno consenso m mamera incquivocabile al trasferimento prcvisto, oppurc
b) il trasfcrimento s1a necessario per l'esecuzione eli un contratto tra Ia persona interessata ed il rcsponsabile
del trattamento o per l'esecuzione di m1sure precon- trattuali prese a richiesta di questa, oppure
c) il trasferimento sia necessaria per la conclusione o l'esecuzione di un contratto, concluso o da concludere ncll'interesse della persona interessata, tra il responsa- bile del trattamcnto e un terzo, oppure
d) il trasferimento sia necessario o prescritto dalla Iegge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, escrcitare o difendere un diritto per via giudiziaria, oppure
e) il trasferimento sia necessario per la salvaguardia dcll'intcresse vitalc della persona interessata, oppure
f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza eli disposizioni legislative o regolamentari, sia predisposto per l'informazione del pubblico e sia aperto alia consultazione del pubblico o eli chiunque possa dimostrare un interesse legittimo, nella misura in cui ncl caso specifico siano rispettate le condizioni che Ia Iegge prevede per la consulta- zione.
2. Salvo il disposto del paragrafo 1, uno Stato membro puc) autorizzare un trasferimento o una categoria eli trasferimenti eli dati personali verso un paese terzo che non garantisca un livello eli protezione adeguato ai sensi dell'articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per Ia tutela della vita privata e dei diritti e delle liberta fondamentali delle persone, nonche per l'esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole con- trattuali appropriate.
3. Lo Stato membro informa la Commissione e gli altri Stati membri in merito aile autorizzazioni concesse a norma del paragrafo 2.
In caso di opposizione notificata da un altro Stato membro o dalla Commissione, debitamente motivata sotto l'aspetto della tutela della vita privata e dei diritti e delle liberta fondamentali delle persone, la Commissione adotta le misure appropriate secondo la procedura eli cui all'articolo 31, paragrafo 2.
Gli Stati membri adottano le misure necessarie per con- formarsi alia decisione della Commissione.
4. Qualora la Commissione dccida, secondo la proce- dura eli cui all' articolo 31, paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie sufficienti eli cui al paragrafo 2, gli Stati membri adottano le misure necessane per conformarsi alia decisione della Commis- sJone.
23. 11. 95 Gazzetta ufficiale delle Comunira europee
CAPO V
CODICI DI CONDOTTA
Articolo 27
1. Gli Stati membri e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire, in funzione delle specificira settoriali, alla corretta applicazione delle disposizioni nazionali di attuazione della presente direttiva, adottate dagli Stati membri.
2. Gli Stati membri dispongono che le associazioni professionali e gli altri organismi rappresen- tanti altre categoric di responsabili del trattamento, che hanno elaborato i progetti di codice nazionali o intendono modificare o prorogare i codici nazionali esistenti, possano sottoporli all'esame dell'autorira nazionale.
Gli Stati membri prevedono che tale autorira accerti, in particolare, la conformita dei progetti che le sono sottoposti alle disposizioni nazionali di attuazione della presente direttiva. Qualora lo ritenga opportuno, l'autorira nazionale raccoglie le osservazioni delle persone interessate o dei loro rappresentanti.
3. I progetti di codici comunitari, nonche le modifiche o proroghe di codici comunitari esistenti, possono essere sottoposti al gruppo di cui all'articolo 29, il quale si pronuncia, in particolare, sulla conformira dei progetti che gli sono sottoposti alle disposizioni nazionali di attuazione della presente direttiva. Qualora lo ritenga opportuno, esso raccoglie le osservazllOni delle persone interessate o dei loro rappresentanti. La Commissione puo provvedere ad un'appropriata divulgazione dei codici che sono stati approvati dal gruppo.
CAPO VI
AUTORITA DI CONTROLLO E GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONAL!
N. L 281/47
Articolo 28
Autorita di controllo
informazione necessaria all'esercizio della sua fun- zione di controllo;
1. Ogni Stato membro dispone che una o pm autorira pubbliche siano incaricate di sorvegliare, nel suo territo- rio, l'applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri.
di poteri effettivi d'intervento, come quello di formu- lare pareri prima dell'avvio di trattarnenti, conforme- mente all'articolo 20, e di dar loro acleguata pubblici- ra o quello di ordinare il congelamento, la cancella- zione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i Parla- menti o altre istituzioni politiche nazionali;
Tali autorira sono pienamente indipendenti nell'esercizio delle funzioni loro attribuite.
2. Ciascuno Stato membro dispone che le autorira di controllo siano consultate al momento dell'elaborazione delle misure regolamentari o amministrative relative alla tutela dei diritti e delle liberra della persona con riguardo al trattamento dei dati personali.
3. Ogni autorita di controllo dispone in particolare:
di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi
del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorira giudiziarie.
E possibile un ricorso giurisdizionale avverso le decisioni dell'autorita di controllo recanti pregiudtzio.
N. L 281/48 Gazzetta ufficiale delle Comunita europee 23. 11. 95
4. Qualsiasi persona, o assooazione che la rappresenti, puo presentare a un'autorira di controllo una domanda relativa alia tutela dei suoi diritti e liberta con riguardo al trattamento di dati personali. La persona interessata viene informata del seguito dato alia sua domanda.
Qualsiasi persona puo, in particolare, chiedere a un'auto- rira di controllo di verificare Ia liceita di un trattamento quando si applicano le disposizioni nazionali adottate a norma dell'articolo 13 della presente direttiva. La per- sona viene ad ogni modo informata che una verifica ha avuto luogo.
5. Ogni autorita di controllo elabora a intervalli regolari una rclazione sulla sua attivira. La relazione viene pubbli- cata.
6. Ciascuna autorita di controllo, indipendentemente dalla Iegge nazionale applicabile al trattamento in que- stione, e competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorita puo essere invitata ad esercitare i suoi potcri su domanda de!Pautorita di un altro Stato membro.
Le autorita di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in partico- lare scambiandosi ogni informazione utile.
7. Gli Stati membri dispongono che i membri e gli agenti delle autorita di controllo sono soggetti, anche dopo la cessazione delle attivita, all'obbligo del segreto professio- nale in merito aile informazioni riservate cui hanno accesso.
Articolo 29
Gruppo per Ia tutela delle persone con riguardo al trattamento dei dati personali
1. E istituito un gruppo per Ia tutela della persone con riguardo al trattamento dei dati personali, m appresso denominato «il gruppo».
II gruppo ha carattere consultivo e indipendente.
2. II gruppo c composto da un rappresentante della o delle autorita di controllo designate da ciascuno Stato membro e da un rappresentante della o delle autorita create per le istituzioni e gli organismi comunitari, non- chi' da un rappresentante della Commissione.
Ogni membro del gruppo e designato dall'istituzione oppure dalla o dalle autorita che rappresenta. Qualora uno Stato membro abbia designato pili autorita di con- trollo, queste procedono alia nomina di un rappresen- tante comune. Lo stesso vale per le autorita create per le istituzioni e gli organismi comunitari.
3. Il gruppo adotta le sue decisioni alia maggioranza semplice dei rappresentanti delle autorita di controllo.
4. II gruppo elegge il proprio presidente. La durata del mandato del presidente e di due anni. II mandato e rinnovabile.
5. AI segretariato del gruppo provvede Ia Commissione.
6. II gruppo adotta il proprio regolamento interno.
7. II gruppo esamina le questioni iscritte all'ordine del giorno dal suo presidente, su iniziativa di questo o su richiesta di un rappresentante delle autorita di controllo oppure su richiesta della Commissione.
Articolo 30
1. II gruppo ha i seguenti compiti:
a) esaminare ogni questione attinente all'applicazione delle norme nazionali di attuazione della presente direttiva per contribuire alia loro applicazione omoge- nca;
b) formulare, ad uso della Commissione, un parere sui livello di tutela nella Comumta e nei paesi terzi;
c) consigliare Ia Commissione in merito a ogni progetto di modifica della presente direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della tutela dei diritti e delle liberta delle personc fisiche con riguardo al trattamento di dati personali, nonche in merito a qualsiasi altro progetto di misure comunitarie che incidano su tali diritti e liberta;
d) formulare un parere sui codici di condotta elaborati a liveilo comunitario.
2. II gruppo, qualora constati che tra le legislazioni o prassi degli Stati membri si manifestano divergenze che possano pregiudicarc l'equivalenza della tutela delle per- sone in materia di trattamento dei dati personali nella Comunira, ne informa Ia Commissione.
3. Il gruppo pui> formulare di propria iniziativa racco- mandazioni su qualsiasi questione riguardante Ia tutela delle persone nei confronti del trattamento di dati perso- nali nella Comunira. ·
4. I pareri e le raccomandazioni del gruppo vengono trasmessi alla C:ommissione e al comitato di cui all'arti- colo 31.
5. La C:ommissione informa il gruppo del seguito da essa dato ai pareri e aile raccomandazioni. A tal fine redige una relazione che viene trasmessa anche al Parla-
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281/49
mento europeo e al Consiglio. La relazione e oggetto di pubblicazione.
mento dei dati personali nella Comunita e nei paesi terzi e la trasmette alla Commissione, al Parlamento europeo e al Consiglio. La relazione eoggetto di pubblicazione.
6. II gruppo rcdige una relazione annuale sullo stato della tutela delle persone fisiche con riguardo al tratta-
CAPO VII
MISURE COMUNITARIE D'ESECUZIONE
Articolo 31
Comitato
1. La Commissione eassistita da un comitato cornposto dai rappresenranti degli Stati membri e presieduto dal rappresentante della Commissione.
2. II rappresentante della Commissione sottopone al comitato un progetto delle misure da adottare. II comitato, entro un termine che il presidente pu<) fissare in funzionc dell'urgenza della questione in esame, formula il suo parere sui progetto.
II parere e formulato alla maggioranza prevista all'articolo 148, paragrafo 2 del trattato. Nelle votazioni in seno al comitato, ai voti dei rappresentanti degli Stati membri e attribuita la ponderazione fissata nell'articolo precitato. II presidente non partecipa al voto.
La Commissione adotta misure che sono applicabili immediatamente. Tuttavia, se queste misure non sono conformi al parere del comitato saranno subito comunicate dalla Commissionc al Consiglio. In tal caso:
la Commissione rinvia l'applicazione delle misure da essa decise per un periodo di tre mes.i, a decorrere dalla data della comunicazione;
il Consiglio, deliberando a maggioranza qualificata, puo prendere una decisione diversa entro il termine di cui al comma precedente.
DISPOSIZIONI FINALI
Articolo 32
1. Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari ed amministrative necessarie per conformarsi alia presente direttiva al piu tardi alia sca- denza del terzo anno successivo alia sua adozione.
Quando gli Stati membri adottano tali disposizioni, que- ste contengono un riferimento alia presente direttiva o sono corredate da un siffatto riferimento all'atto della puhblicazione ufficiale. Le modalita di tale riferimento sono decise dagli Stati membri.
2. Gli Stati membri provvedono affinche i trattamenti avviati prima della data di entrata in vigore delle disposi- zioni nazionali di attuazione della presente direttiva si conformino a dette disposizioni entro i tre anni successivi alia data summenzionata.
In deroga al comma precedente, gli Stati membri possono prevedere che, per quanto riguarda gli articoli 6, 7 ed 8, la messa in conformita dei trattamenti di dati gia conte- nuti in archivi manuali alia data dell'entrata in vigore delle disposizioni nazionali di attuazione della presente direttiva sia effettuata man mano che si procede a succes- sive operazioni di trattamento di tali dati, diverse dalla semplice memorizzazione. Questa messa in conformid deve, tuttavia, essere terminata entro il dodicesimo anno a decorrere dalla data di adozione della presente direttiva. Gli Stati membri consentono comunque alia persona interessata di ottenere a sua richiesta e in particolare in sede di esercizio del diritto di accesso, la rettifica, la cancellazione o il congelamento dei dati incompleti, me- satti o conservati in modo incompat1bile con i fini legittimi perseguiti dal responsahile del trattamento.
3. In deroga al paragrafo 2, gli Stati membri possono prevedere, con riserva di garanzic adeguate, che i dati
N. L 281/50 Gazzetta ufficiale delle Comunita europee 23. 11. 95
conservati esclusivamente per ricerche storiche non siano resi conformi aile disposizioni degli articoli 6, 7 e 8 della prcsente direttiva.
4. Gi Stati membri comumcano alla Commissione le disposizioni di diritto interno che adottano nel settore disciplinato dalla presente direttiva.
Articolo 33
La Commissione presenta periodicamente al Consiglio e al Parlamento europeo, per Ia prima volta entro tre anni dalla data di cui all'articolo 32, paragrafo 1, una rela- zione sull'applicazione della presente direttiva, accompa- gnata, se del caso, dalle opportune proposte di modifica. La relazione e oggetto di pubblicazione.
La Commissione esaminera in particolare l'applicazione della presente direttiva al trattamento dei dati sotto
forma di suoni o immagini relativi a persone fisiche e presented le eventuali proposte necessarie, tenuto conto dell'evoluzione della tecnologia dell'informazione e alia luce dei progressi della sociera dell'informazione.
Articolo 34
Gli Stati membri sono destinatari della presente diret- tiva.
Farro a Lussemburgo, addi 24 ottobre 1995.
Per il Parlamento europeo
Il Presidente
K. HANSCH
Per il Consiglio
Il Presidente
L. ATIENZA SERNA
23. 11. 95 [fl] Jornal Oficial das Comunidades Europeias N~) L 281/31 -------------------------------------------------- ---------------------------------------------------
DIRECTIVA 95/46/CE DO PARLAMENTO EUROPEU E DO CONSELHO
de 24 de Outubro de 1995
relativa a protec<;ao das pessoas singulares no que diz respeito ao tratamento de dados pessoais e a livre circula~ao desses dados
0 PARLAMENTO EUROPEU 0 CONSELHO DA UNIAO EUROPEIA,
Tendo em conta o Tratado que institui a Comunidade Europeia e, nomeadamente, o seu artigo 100? A,
Tendo em conta a proposta da Comissao (1),
Tendo em conta o parecer do C:omitc Economico e Social (2),
Deliberando nos termos do procedimento previsto no artigo 189c: B do Tratado (3),
(1)
(2)
(3}
Considerando que os objectivos da Comunidade, enunciados no T~atado, com a redao:.;ao que lhe foi dada pelo Tratado da Uniao Europeia, consistem em cstabelecer uma uniao cada vcz mais estreita entre os povos europeus, em fomentar rela<;c)es mais proximas entre OS Estados que pertencem a Comunidade, em assegurar o progresso economico e social mediante ac<;oes comuns para eliminar as barreiras que dividem a Europa, em promover a melhoria constar.te das condi<;oes de vida dos seus poovm;, em pnservar e consolidar a paz e a liberdade e em promover a democracia com base nos direitos fundamentais reconhecidos nas Consti- tui<_:oes e leis dos Estados-membros, bern como na Conven<;ao europeia para a protec<_:ao dos direitos do Homem e da:; liberdades fundamentais;
Considerando que os sistemas de tratamento de dados estao ao servi<;o do Homem; que devem respeitar as liberdades e os direitos fundamentais das pessoas singulares independentemente da sua nacionalidade ou da sua residencia, especialmente a vida privada, e contribuir para 0 progresso econo- mico e social, o desenvolvimente do comercio e o bem-estar dos indivfduos;
C:onsiderando que o estabelecimento e o funciona- mento do mercado interno no qual, nos termos do
( 1) JOn'-' C 2/'7 de 5. 11.1990, p. 3, e JOn'.' C 311 de 27. 11. 1992, p. .30.
(2) JOn'-' C 1S9 de 17. 6. 1991, p . .38. ( 1) Parccer do Parlamento Europeu de 11 de :vlan,:o de 1992 (J 0
n'? C 94 de 13. 4. :. 992, p. 198), confirmado em 2 de Dezemhro J.e 1993 (JO n? C: 342 de 20. 12. 1993, p. 30 !, posi<;ao cornum do Co:1selho de 20 de Fevcreiro de 1995 (JO n'! C 93 de 13. 4. 1995, p. 1) e decisao do Parlamento Europeu de 15 de Junho de 1995 (JO n'.' C: 166 de 3. 7. 1995).
(4)
(5)
(6)
(7)
arrigo 7? A do Tratado, c assegurada a livre circula<;ao das mercadorias, das pessoas, dos servi- <;os e dos capitais, exigem nao so que os dados pcssoais possam circular livremente de urn Estado- -mcmbro para outro, mas igualmente, que sejam protegidos os direitos funclamentais das pessoas;
Considerando que o recurso ao tratamento de dados pesoais nos diversos dominios das activida- des economicas e sociais e cada vez mais frequente na Comunidade; que o prograsso registado nas tecnologias da informa<_:ao facilita consideravel- mente o tratamento e a troca dos referidos dados;
Considerando que a integra<;ao economica e social resultante do estabelecimento e funcionamento do mercado interno nos ten11os do artigo 7? A do Tratado ira necessariamenre provocar urn aumento sensivel dos fluxos transfronteiras de dados pes- soais entre todos os intervenientes, privados ou pCiblicos, na vida econ6mica e social dos Estados- -membros; que o interdunbio de dados pessoais entre empresas estabelecidas em difercntes Estados- -membros tende a intensificar-se; que as adminis- tra<;c)es dos Estados-membros sao chamadas, por for<;a do direito comunitario, a colaborar e a trocar entre si dados pessoais a fim de poderem desempe- nhar as suas atribui<;oes ou executar tarefas por conta de uma administra<;ao de outro Estado- -mcmbro, no ambito do espa<_:o sem fronteiras intcrnas que o mercado interno constitui;
Considerando, alem disso, que o refor<;o da coope- ra<_:ao cientlfica bem como a introdu<;ao coorde- nada de novas redes de telecomunica<;oes na Comunidade exigem e facilitam a circula<;ao trans- fronteiras de dados pessoais;
Considerando que as diferen<;as entre os Estados- -membros quanto ao nfvel de protee<;ao dos direi- tos e liberdades das pessoas, nomeadamente do direito a vida privada, no domonio do tratamento de dados pessoais, podem impedir a transmissao desses dados do territorio de um Estado-membro para o de outro Estado-membro; que estas difere- n~as podem, por conseguinte, constituir urn obsta- culo ao exerdcio de uma serie de actividades econ6micas a escala comunit<iria, falsear a concor- ri:'ncia e entravar o exercicio pelas administra<_:oes das
N~) L 2S 1/32 [=:E[J Jornal Oficial das Comunidades Europeias 23. 11. 9S ------------------------------------------------
(R)
(9)
func;oes que lhes incumbem nos termos do direito comunitario; que esta diferenc;a de niveis de prote-- c(.ao resulta da disparidade das disposic;ocs legisla- tivas, regulamentares e administrativas nacion,1is;
Considerando que, para eliminar OS ohstaculns a circulac;;"lo de dados pessoais, o nivel de protec~,";1o dos direitos e liberdades das pessoas no que diz respeito ao tratamento destcs dados deve ser cqui- v;dente em todos os Estados-membros; que a I-cali- zac;ao deste objectivo, fundamental para o mercado interno, nao pode ser assegurada unicamente pelos Estados-membros, tendo especialmente em coma a dimensao d~ts divergencias que se verificam actual- mente a nfvel das legislac;ocs nacionais aplic.1veis IW materia t a necessidade do coordcnar as legisla- \<:'es dos E~.tados-membros para assegura r que a circulac;ao transfronteiras de dados pessoais -;cja regulada de forma coercntc e em conformidade com o ohjectivo do mercado mterno nos termo~ do artigo 7~) A do Tratado; que (· portanto neces~;1ria urna ae<,;ao ~omunitaria com vista a aproxim;H_;;)o d;· s legisla<;ces;
Cnnsideranc o que, devido a protec<;ao equiva lenre re.;ultante da aproximac;ao das legislac;oes n;lcio- 11<1 is, os Estados-membros deixar;1o de poder levan- tar obstacul<)S a livre circula<;Jo entre si de dados pcssoais por razoes de proteC\<lO dos cJireltOS e liherdades d1s pessoas, nomeadamente do direito <l vida privad;;; que e deixada aos Estadas-memhro-, uma margem de manobra que, no contexto da a['lica<;ao da directiva, poder;i scr utilizada pelos p~lrceiros economicos e socials; que OS Estado'l- -memhros poderao, pois, especificar na sua legisb- \<lO naciona I as condic;<)es gerais de licitude do tratamento de dados; que, ao Llle-lo, o;, Estados- -membros sc esforc;arao por melhorar a protL'(\;1o adualmente assegurada na respectiva lcgisL1<;<1o nacional; que, nos limites dessa margem de rnano- bra e em conformidade com o direito comunit1rio, poderao verficar-se disparidades na aplica<;zio da di ·ectiva, o que podera reflectir-se na circula<;;1o de dados quer no interior de um Estado-mem bro, quer na Cornunidade;
(10) Considerando que o objectivo das legisJa<J,es nacionais relativas ao tratamento de dados pe-.soais e assegurar 0 respeito dos direitos e liberdades fundamentais, nomeadamente do direito ;1 vida privada, reconhecido nao s(> no artigo Wl da <:on- ven'.;ao europeia para a protecc;ao dos direit<h do Homem e das liberdades fundamentais como nos princfpios gerais do direito comunit;'irio; que, por esre motivo, a aproximac;;1o das referidas lcglsb- \<->es nao deve fazer diminlllr a protec<;Jo que as·;;cguram, devendo, pelo contrario, ter por ohjcc- tivo garantir urn elevado nfvel de protec<;i'io na C:omunidadt;
(1 1) Considerando que os principios da protec<;ao dos direitos e liherdades das pessoas, nomeadamente do direito a vida privada, contidos na prescnte directiva, precisam e ampliam os princfpios conti- dos na Conver.<;ao do Conselho da Europa, de 2R de Janeiro de 1981' relativa a protec<;ao das pes- soas no que diz respcito ao tratamento automati- zado de dados pessoais;
( 12) Considerando que os princlpios da protec<;ao devem aplicar-se a todo e qualquer tratamcnto de dados pessoais sempre que as actividades do res- ponsavel pclo tratamento sejam regidas pelo direito comunitario; que se dcve excluir o tratamento de dados efectuado por uma pessoa singular no exer- cfcio de actividades exclmivamcnte pessoais ou domesticas, por exemrlo correspondcncia ou lista" de endere<;os;
( I)) C:onsiderando que a" .lctividadcs refet:idas nos tftu- los V e VI do Tratado da UniJo Europeia, relativas <l seguran<;a pLlhlica, ;1 defcsa, ;1 seguranc;a do Estado ou ;1s actividades do Estado no dominio penal, nao sao :lbran:~ida ... pelo ambito de aplica- <;Jo do direito comumt;-irio, '!em prejufzo das obri- ga<;oes que incumhcm aos Estados-membrm nos termos do n'.' 2 do artigo 5()'.) c dos artigos 57'.1 c 1()()'! A do Tratado; que o tratamcnto de dados pessoais necess;-irio i1 proten,:;1o do bem-estar eco- n6mico do Estado n:1o c abrangido pela prescnte directiva quando ('SSe tr<ltamento disser respcito a questoes de seguran<;a do htado;
I 14) Considerando que, tendo em conta a imporrancia do desenvolvimenru que, 11() ambito da sociedadc de informa<;ao, sofrc.n actualmente as tecnicas de captac;ao, transmiss;1o, manipula<;ao, grava<;ao, conservac;:1o ou comunica<;ao Lk dados de som e de imagem relativos i1s pt·ssoas singulares, ha que aplicar a presentc dirccti\'a ao tratamento desses dados;
I 15) Considerando que o tratamento desses dados so e abrangido pela pn·scnte directiva se for automari- zado ou se os dados tratados estiverem contidos ou se destinarem a ficheiros estruturados segundo cri- terios especificos relativm ,is pessoas, a fim de permitir um aces~o,o L-icil am dados pessoais em causa;
116) Considerando que o tratamento de dados de some de imagem, tais como os de vigilancia por video, nao e ahrangido p~_·lo ambit() de aplica<;Jo da presente directiva sc for executado para fins de seguran<;a pLlblica, de defcsa, de seguranc;a do Estado ou no exercicio de actividadcs do Estado relativas a dominios de direito penal ou no exerd- cio de outras actiYidades nJo abrangidas pelo <ltn- bito de aplicac;Jo do direito comunit<1rio;
( 17) Considerando que, no que se refcre ao tratamento de som e de imagem para fins jornalisticos ou de
23. 11. 95 [PT] Jornal Oficial da-. Comunidades Europeias Nt.> L 281/33
expressao literaria ou artistica, nomeadamente no domimo do audiovisual, os principios da directiva se apl1cam de modo restrito de acordo com a" disposi<,-<)es refendas no artigo 9'!;
(1 ~{) C:onsiderando qLe, a fim de evitar que uma pessoa seja privada da protec<;ao a que tcm direito por for-,:a da presente directiva, e necessaria que qual- quer tratamento de dados pesosais cfectuado na C:omunidade respeite a legisla<;ao de um dos Est~l do'>-nwmbros; que, nesse sentido, e conveniente qm· o tratamento efectuado por uma pessoa que age sob a autoridade do respons~ivcl pclo trata- mento estabelecido num Estado-memhro sep regido pela legisla<;ao deste Estado-membro;
(19) C:onsiderando que o estabelecimento no territ6rio de um Estado-m:mbro pressupoe o exercicio cfec- tivo e real de uma actividade mediante uma insta- la-,:~1o L~stavel; que, para o efeito, a forma jurfdica de tal estabelecirnento, quer se trate de uma sim- ples sucursal ou de uma filial com personalidadc juridica, nao e determinante; que, quando no terri- t{H·io de v~1rios Estados-memhros cstiver estabele- cido um unico responsavel pelo tratamento, em especial atravcs de uma filial, dever<-i asscgurar, nomcadamcnte para evitar que a legisla<;ao scja contornada, que cada um dos estabelecim.entos cumpra as obriga<;oes impostas pela legisla-,:,1o nacional aplicivt:l a-. respectivas actividadcs;
(20 C:onsiderando que o facto de o tratamento de dados -;er da responsabilidade de uma pessoa esta- belccida num pais terceiro nao deve constituir obst;-iculo a protec<;ao das pessoas assegurada peb presente directiva; que, nesses ca-,os, o tratamento deHT<l ser regido pela legisla\ao do Estado-mem- hro onde se encuntram os meio-, utilizados para o tratanwnto de dados em causa e que devcrao ofcrcccr-sc garantias de que os Jireitos e as ohriga- <;c)cs estabelecidos na presente directiva serao efec- tivame 1te respeitados;
(21) Considerando que a presente directiva nao prCJU- dicl a-. regras Je territorialidadc apliciveis em materia de direitn penal;
(22) Considerando que os Estados-memhros precisarao, na sua legisla<;ao ou nas regras de execu<;ao adop- tadas nos termo~. das presente directiva, as condi- \Ocs gerais em que o tratamento de dados (· licito; que, nomeadamt:nte, o artigo S<.>, conjugado com os artigos T.' e 8'.\ permite que os Estados- -mcmbros estabeiel;am, indepcndcntementc das rcgras ;;?,erais, condi<;<)es especiais para o tratamento de dados em sectores especificos (' para as difcren- tcs categorias de dados referidas no artigo 8'.';
(23) Considerando que os Estados-mcmbros podem as-,cgurar a concretiza<;ao da protcc-,:ao das pessoas tanto por uma lei geral relativa a protec<;ao cbs pcssoa'; no que diz respeito ao tratamento de
dados pessoais, como por leis sectoriais, por exem- plo as relativas aos institutm de estatlstica;
(24) Considerando que a lcgisla<;ao para a protec<;ao das pessoas colectivas relarivamcnte ao tratamento de dados que lhes dizem respeito nao e afectada pela presente directiva;
(25) Considerando que os pnncipws de protec<;ao devem encontrar expressao, por um !ado, nas obri- ga~.;·c)es que impendem sohre as pessoas, as autori- dadcs publicas, as cmpresas, os servi<;os ou outros organismos respons<-ivcis pclo tratamento de dados, L'lll l·special no que respcita 21 qualidade dos dados, ~1 '>Cguran<;a tccnica, a notifica\JO ,1 autoridade de controlo, as circunstancia' em que () tratamento podc ser efectuado, e, por outro, nos direitos das pcssoas cujos dados sao tratados serem informadas -,ohrL' esse tratamento, podcrem ter acesso aos Lbdos, poderem solicitar a '>lla rcctifica<;ao e nw'>mo, em certas circunstancia'>, poderem opor-sc ao tratamento;
(26} C:on-,iderando que os pnncip1m da protec-,:ao de\em aplicar-se a quallJw:r informa\ao relativa a uma pessoa identificada ou identifid.vel; que, para dcterminar se uma pessoa C· iclentificavel, importa cons1derar o conjunto dos mcios susccptiveis de serem razoavelmente utilizadm, seja pelo responsa- Ycl pclo tratamento, seja por qualquer outra pcs- '>Oa, para identificar a refcrida pessoa; que os principios da protec\ao n<1o se aplicam a dado' tornados an6nimos de modo tal que a pessoa i<i n~1o possa scr identific1vel; que os d)digos de conduta na accp-,:ao do artigo 27'.' podcm ser um instrumentO util para forneCLT indiGl\()es sobrc OS meios atraves dos quais os dado-. podem ser torna- dm ,m6nirnos e conservados "ob uma forma que ja n~1o permita a idcntifica-,:<1o da pcs-,oa em causa;
(27) Considerando que a proteu,;ao das pessoas se devc aplicar tanto ao tratamcnto automatizado de dado" como ao tratamcnto manual; que o ambito desta protL'C<;aO nao cJcve, na pLltiCl, dcpender das tecni- C<lS utilizadas, sob peru de se corrcr o serio risco de ,1 protec<;ao poder scr conrornada; que, em todo o ca-.o, no que respeita a1) tratamento manual, a presente directiva apenas abrangc os ficheiros e n~1o as pastas nao estruturadas; que, em particular, o contetrdo de um ficheiro dc\c -,cr cstruturado de ac<1rdo com critt:·ios cspeclficm rcLnivos as pessoas qut· permitam um ace'>so f:1cd ao'> dados pcssoais; que, em conformidade coin a defini<;~1o da alinea c) do artigo 2S\ O'> difcrcnte<. critenos que permitem dcterminar os elementos de um conjunto estrutu- rado de dados pessoais c os difercntes criterios que regem o acesso a esse conj unto de dados podem ser
N? L 281/34 [BJ Jornal Oficial das Comunidades Europeias 23. 11. 95
definidos por cada Estado-membro; que as pastas ou conjuntos de pastas, bern como as suas capas, qu nao esteJ am estruturadas de acordo com critc- rios especificos, de modo algum se incluem no ambito de aplica<;ao da presente directiva;
(28) Considerando que qualquer tratamento de dados pcssoais deve ser efectuado de forma llcita e leal para com a pessoa em causa; que deve, em espe- cial, incidir sobre dados adequados, pertinentes e n8o excessivos em rela<;ao as finalidades prossegui- das com o tratamento; que essas finalidades clevem ser explicitas e legftimas e ser determinadas aquando da recolha dos clados; que as finalidadcs dos tratame 11tOS posteriores a recolha nao podem ser incompatfveis com as finalidades especificadas in ,cialmente;
(29) Considerando que o tratamento posterior de dados pessoais para fins hist6ricos, estatfsticos ou cientffi- cos nao e de modo geral considerado incompatfvel com as finalidades para as quais os dados foram previamente recolhidos, desde que os Estados- -membros estabele<;am garantias adequadas; que ta1s garantias devem em especial impedir a utiliza- <;ao de dados em apoio de medidas ou de deusocs tomadas em desfavor de uma pessoa;
(30) Considerando que, para ser licito, o tratamento de dados pessoais deve, alem disso, ser efectuado com o consentim~nto da pessoa em causa ou ser neces- saria para 2 celebra\ao ou cxecu\ao de um con- trato que vincule a pessoa em causa, ou para o cumprimento de uma obriga<;ao legal, ou para a e:xecu\ao de uma missao de interesse publico ou para o exerdcio da autoridade publica, ou ainda para a realiza<;ao do interesse legitimo de uma pessoa, descle que os interesses ou os dire1tos e liherdades ca pessoa em causa nao prevale<;am; que, em especial, para assegurar o equilfbrio dos imeresses ern causa e garantir ao mesmo tempo uma concorrencia real, os Estados-membros sao livres de det~rminar as condi\<)es em que os dados pessoais podem ser utilizados e comunicados a terceiros no ambito de actividades legitimas de gestao corrente das empresas e outros organismos; que, do mesmo modo, podem precisar as condi<;bcs em que a comunica<;ao a terceiros de dados pcs- soais pode ser efectuada para fins de mala dirccta ou de prospec<;ao feita por uma institui<;ao de solidariedade social ou outras associa<;oes ou fun- da<;6es, por exemplo de caracter politico, desde que respeiten as disposi<;oes que permitem a pes- soa em caus;l opor-se, sem necessidade de indicar o se u fundamento ou de suportar quaisquer encar- gos, ao tratamento dos dados que !he dizem res- peito;
(31) Considerando que, do mesmo modo, o tratamento de dados pessoais deve ser considerado !iClto quando se clestinar a protegcr urn interesse essen- cia! a vida C:a pessoa em causa;
(32) Considerando que cabe as legisla<;6es nacionais determinar se o responsavel pelo tratamento que executa uma missao de interesse publico ou exerce a autoridade publica deve ser uma administrac;ao publica ou outra pessoa sujcita ao direito publico ou ao direito privado, por exemplo uma associa<;ao profissional;
(33) Considerando que os dados susceptiveis, pela sua natureza, de por em causa as liberdades fundamen- tais ou 0 direito a vida privada s6 deverao ser tratados com o consentimento explftico da pessoa em causa; que, no entanto, devem ser expressa- mente previstas derrogac;oes a esta proibic;ao no que respeita a necessidacles especfficas, designada- mente quando o tratamento desses daclos for efec- tuado com certas finalidades ligadas a saude por pessoas sujeits por Jei a obriga\aO de segredo profissional ou para as actividades legitimas de certas associa<;oes ou funda<;6es que tenham por objectivo permitir o exercicio das liberdades funda- mentais;
(34) Considerando que, sempre que um motivo de interesse publico importante o justifique, os Esta- dos-membros devem tambem ser autorizados a estabelecer derroga\6es ;1 proibi<;ao de tratamento de categorias de dados sensiveis em domfnios como a saude publica e a seguran<;a social - em especial para garantir a qualidade e a rentabilidade no que toea aos metodos utiJizados para regularizar OS pedidos de prestai.;6cs e de servi<;os no regime de seguro de doen<;a - e como a investiga<;ao cientffi- ca e as estatfsticas publicas; que lhes incumbe, todavia, estabelecer garantias adequadas e especffi- cas para a protec<;ao dos direitos fundamentais e da vida privada das pessoas;
(35) Considerando, alem disso, que o tratamento de dados pessoais pelas autoridades publicas para a consecu<;ao de objectivos consagrados no direito constitucional ou no direito internacioanl publico, em beneficio de associa\6es religiosas oficialmente reconhecidas, e efectuado por morivos de interesse publico importante;
(36) Considerando que quando, para o exercic10 de actividades do ambito eleitoral, 0 funcionamento do sistema democratico exigir, em certos Estados- -membros, que partidos politicos recolham dados sobre a opiniao polftica das pessoas, o tratamento desses dados pode ser autorizado por motivos de interesse ptiblico importante, desde que se]am es- tabelecidas garantias adequadas;
(37) Considerando que o tratamcnto de dados pessoais para fins jornalisticos ou de expressao artistica ou literaria, nomeadamente no dominio do audiovi- sual, deve benefiClar de derroga<;6es ou de restri- \Oes a determinadas disposi\oes da presente direc- tiva, desde que tal seja neccssario para conciliar os
23. 11. 95 [Ef] Jornal Oficial das Comunidades Europeias N? L 281/35
direitos fundamentais da pessoa com a liberdade de expressao, nomeadamente a liberdade de rece- ber ou comunicar informa<;6es, tal como e garan- tida, nomeadamE nte pelo artigo 1oc.l da Conven<;ao europeia para a protec<;ao dos direitos do Homem e das liberdade~; fundamentais; que, por conse- guinte, compete aos Estados-membros estabelecer, tendo em vista a pondera<;ao dos direitos funda- mentais, as derroga<;6es e limita<;6es necessarias que se prendam com as medidas gerais em materia de legalidade do tratamento de dados, as medidas relativas a transferencia de dados para pafses ter- ceiros, bern como com as competencias das autori- dades de controlo; que tal facto nao devera, no entanto, levar os Estados-membros a prever derro- ga<;6es as medidas destinadas a garantir a seguran- <;a do tratamento de dados; e que deverao igual- mente ser atribuldas pelo menos a autoridade de controlo determinadas competencias a posteriori, tais como a de publicar periodicamente urn relat6- rio ou de recorrer judicialmente;
(38) Considerando que, para que o tratamento de dados seja leal , a pessoa em causa deve poder ter conhecimento da existencia dos tratamentos e obter, no momenta em que os dados lhe sao pedidos, uma informa<;ao rigorosa e completa das circunstancias de:>sa recolha;
(39) Considerando que por vezes se tratam dados que nao foram recolhidos directamentc pelo responsa- vel junto da pessoa em causa; que, alem disso, os dados podem ser legitimamente comunicados a urn terceiro sem que essa comunica<;ao estivesse pre- vista na altura da recolha dos dados junto da pessoa em caus2.; que, em todos estes casos, a pessoa em causa deve ser informada no momento do regi;;to dos dados ou, o mais tardar, quando os daclos sao comunicados pela primeira vez a urn terceiro;
(40) Considerando que, no entanto, a 1mposi<;ao desta obriga<;ao nao e necessaria caso a pessoa em causa esteja ja informada; que, alem clisso, nao existe essa obriga<;ao c1so o registo ou a comunica<;ao dos dados estejam expressamente previstos na lei ou caso a informa<;ao da pessoa em causa se revele impossivel ou exija esfor<;os desproporcionados, o que pode ser o caso do tratamento para fins hist6ricos, estatfst:icos ou cientfficos; que, para este efeito, podem ser tornados em considera<;ao o numero de pessoas em causa, a antiguidacle clos dados e as medidas compensat6rias que podem ser tomadas;
(41) Considerando que todas as pessoas devem poder beneficiar do direito de acesso aos dados que lhes dizem repeito e que estao em fase de tratamento, a fim de assegurarem, nomeadamente, a sua exacti- dao c a licitude clo tratamento; que, pelas mesmas raz6es, todas as pessoas devem, alem disso, ter o direito de conhecer a 16gica subjacente ao trata-·
mento automatizaclo dos daclos que lhe clizem respeito, pelo menos no caso das decis6es automa- tizadas referidas no nS' 1 do artigo 15^( � que este ultimo direito nao deve prejudicar 0 segredo comercial nem a propriedade intelectual, nomeada- mente o direito de autor que protege o suporte l6gico; que tal, todavia, nao poder;;1 traduzir-sc pela recusa de qualquer informa<;ao a pessoa em causa;
(42) C:onsiderando que, no interesse da pessoa em causa ou com o objectivo de proteger os direitos e liherdades de outrem, os Estados-membros podem limitar os direitos de acesso e de informa<;ao; que, por exemplo, podem precisar que o acesso aos dados medicos s6 podera ser ohtido por intermedio de urn profissional da saude;
(43) Considerando que restri<;6es aos direitos de acesso e informa<;ao e a certas obriga<;6es do responsavel pdo tratamento podem igualmente ser previstas pelos Estados-membros na medida em que sejam necessarias para proteger, por exemplo, a seguran- \a do Estado, a defesa, a seguran<;a publica, os interesses econ6micos ou financeiros importantes de um Estado-membro ou da Uniao, e para a investiga<;ao e a repressao de infrac<;6es penais ou de viola<;6es da deontologia das profiss6es regula- mentadas; que ha que enumerar, a titulo das excep<;6es e restri<;6es, as miss6es de controlo, de inspec<;ao ou de regulamenta<;ao necessarias nos tres tiltimos domfnios citados referentes a seguran- <;a ptlblica, ao interesse econ6mio ou financeiro e a repressao penal; que esta enumera<;ao de miss6es respeitante aos tres dominios referidos nao preju- dica a legitimidade de excep<;<)es e de restri<;oes por raz<)es de seguran<;a do Estado e de defesa;
(44) Considerando que os Estaclos-memhros podem ser levados, por for<;a das disposi<;6es do direito comu- nitario, a prever derroga<;oes as disposi<;oes da presente directiva relativas ao direito de acesso, a informa<;ao das pessoas e a qualidade dos dados para salvaguardarem algumas finalidades dentre as acima enunciadas;
(45) Considerando que, nos casos de tratamento de dados lfcito por razoes de interesse publico, de cxcrclcio da autoridade publica ou de interesse lcgitimo de uma pessoa, a pessoa em causa tera, ainda assim, o direito de, corn base em raz6es prcponderantes e legitimas relacionadas com a sua situa<;ao especifica, se opor ao tratamento dos dados que lhe dizem respeito; que os Estados- -mcmbros, tern, no entanto, a possibilidade de prcver disposi<;oes nacionais em contrario;
(46) Considerando que a protec<;ao dos direitos e tiber- clades das pessoas em causa relativamente ao trata- mcnto de dados pessoa1s ex1ge que sejam
[=rr=:J Jornal Oficia 1 cia~ Comunidades Europeias 23. 11. 95
tomadas m~didas tecnicas e organizacionais ade- quadas tanto aquando cia concepc;ao do sistema de tra tamento como da realiza~ao do proprio trJ ta- mcnto, a fim de manter em especial a seguran~a e irnpedir assim qualquer tratamento nao autorizaJo; que compete aos Estados-membros zelar por que os respons<tveis pelo tratamento respeitem cstas medidas; que estas medidas devem assegurar urn 111·vel de ~.eguranc;a aclequado, atendendo aos conhecimemos tecnicos disponivcis e ao custo da sua aplicac;;io em func;ao dos riscos que o trata- mento imp! ca e a natureza dos dados a protcger;
(47) Considerando que, quando uma mensagem que contem dad :)S pessoais e transmiticla atraves de UI11 scrvi<;o de telecomunicac;oes ou de correio electn'>- nico cujo unico objectivo e a transmissao de llltll- S<1gens destt' tipo, Sera a pessoa de quem emana a mensagcm, t? nao quem prop<)e o servi~o de tran'>- missao, que sera em regra considerada rcsponsavel pdo rratamento dos dados pessoais contidos na mensagem; :}Ue, contudo, as pcssoas que prop~:)esm esses servic;os serao em regra consideradas rcspon- s<ivcis pclo tratamento dos dados pcssoais suple- mentares n ~cessarios ao funcionamento do scr·· vJ<.;o;
(4RI Considerando que a notifica<;:ao a autoridadc de controlo tern por objectivo assegurar a publicidadc Jas finalidades e principais caracteristicas do trata- mcnto, a firn de permitir verificar a sua confonni- dade com as disposic;oes nacionais tomada-; nos tcrmos da presente directiva;
(49) C:onsideranclo que, a fim de evitar formalidades admini~trativas desnecessarias, os Estados-mem- bros podem estabelecer isen<;<)es cia obriga<.;i1o de notificac;ao, ou simplifica<;6es a notificac;ao reque- rida, nos casos em que o tratamento nao seja su sceptivel Je prejudicar os direitos c libcrdades cbs pcssoas em causa, desde que seja conformc com um ac:o adoptado pelo Estado-membro que precise os s:us limites; que podcm igualmentc 'ier cstabelecida; isen<;6es ou simplifica<;oes caso uma pcssoa designada pelo respons~ivcl pclo tratamento se certifique de que o tratamcnto cfcctuado tL1o (· st' sceptivel Je prejudicar os direitos e liberdadL·s cbs pessoas em causa; que essa pessoa encarrcgada (.b protec<;ilo de dados, empregada ou nao do respons<ivel pelo tratamcnto, dcvc exercer as stws fun<;<-H.'S com total independt:·r11.:ia;
(50) C:onsideranclo que podeni ser estabelecida a iscn- <;ilo ou a simplifica<;ao para tratamentos cuja tinica finalidade s~~ja a manuten<.;ao de registos dcsrina- dos, de <Kordo com o direito nacional, <l informa- <;Cio do publico e que possam ser consultado~ pclo ptiblico ou por qualquer pessoa que possa prm·~n urn interesst· legitimo;
(51) Considerando que, no entanto, a simplificac;ao ou a isenc;ao cia obriga<;ao de notifica<;ao nao liberam o responsavel pelo rratamento de nenhuma das outras obriga<;6es dccorrentes da presente direc- tiva;
(52) Considerando que, ncstc contexto, a verifica\ao a posteriori pelas autoridades competentes deve ser, em geral, considerada uma medida suficiente;
(53) Considerando que, no entanto, ccrtos tratamentos podem ocasionar riscos particulares para os direi- tos e liberdades das pessoas em causa, em virtude da sua natureza, do seu <1mbito ou da sua finali- dade, como acontece., por exemplo, se esse trata- mento tiver por objectivo privar as pessoas de um direito, de uma prcsta<;<1o ou de um contrato, ou em virtude da utiliza~,ao de tecnologias novas; que compete aos Estados-membros, se assim o entende- rem, precisar esses risco-; na rcspectiva legisla<;ao;
(54) Considerando que, de todos os tratamentos efcc- tuados em sociedade, o numero dos que apresen- tam tais riscos partie ulares devera ser muito res- trito; que os Estados-membros devem estabelecer urn controlo previo ,1 realiza<;ao desses tratamentos a efectuar pela autoridade de controlo ou pelo encarregado da protec<;:1o dos dados em coopera- <;ao com essa autoridade; que, na sequencia desse controlo previo, a autoridadc de controlo pode, de acordo com o direito nacionaL dar um parecer ou autorizar o tratamemo dos dados; que esse con- trolo pode igualmente -;er efcctuado durante os trabalhos de elahora<;:lo de uma medida legislativa do parlamento nacional ou de uma medida baseada nessa medida legislativa, a qual defina a natureza do tratamcnto c cspecifique as garantias adequadas;
(55) Considerando que, se o responsavel pelo trata- mento nao respeitar os direitos das pessoas em causa, as legisla<.;oes nacionais devem prever a possibilidade de recurso judicial; que os danos de que podem ser vitimas as pessoas em virtude de um tratamento ilegal devem ser ressarcidos pelo rsponsavel pelo tratamcnto, o qual s6 podc ser exonerado da sua responsabilidade se provar que o facto que causou () dano !he nao e imputavel, nomeadamente q ~Iando prc>Var cxistir respom.abili- dade da pcssoa em causa ou um caso de forc;a maior; que devcm scr aplicadas san\6es a todas as pessoas, de direito priv~1do ou de direito publico, que nao respeitem as disposi<;<->es nacionais roma- das nos termos da pn:sl'ntc dircctiva;
(56) Considerando que os fluxos transfronteiras de Jados pessoais sao necess~1rios ao desenvolvimento do comercio internacional; que a protec<;ao das pessoas garantida na Comunidade pela presente directiva nao obsta as transferencias de dados
23. 11. 95 Jornal Oficial das Comunidades Europeias N<.) L 281/37 ------------·--------------------------------------- -------------------------------------------
pessoais para paises terceiros que assegurem um nivel dt protec~.;ao adequado; que () caracter ade- quado do nivel de protec~.;ao oferecido por um pais tcrcciro devc ser apreciado em fun~.;;1o de to(Jas as circunsdncias associadas a transfcrencia ou a uma categona de transferencias;
(57) Considerando em contrapartida que, sempre que urn pais terceiro nao ofere~.;a urn nivel de protecc;:iio adequado, a transferencia de dados pessoais para esse pai.; deve ser proibida;
(58) Considerando que devem poder ser previstas excepc;:oes a esta proibic;:ao em ccrtas circunst5n- cias, quando a pessoa em causa river dado o seu consentimento, quando a transferencia for necess;l.- ria no 5mbito de um contrato ou de urn processo judicial, quando a protec~.;ao de um interesse publi- co importante as~im o exigir, por exemplo nos casos de transferencias internacionais de dados entre as autoridades fiscais ou aduaneiras ou entre os scrvi•;os competentes em materia de seguranc;:a social, ou quando a transferencia for fcita a partir de um rcgisto ir stituido por lei e destinado a consulta pelo publico ou por pessoas com um interesst legitimo; que nesse caso tal transferencia niio devc abranger a totalidade dos dados nem as categorias de dacos contidos nessc registo; que, sempre que urn registo se destine a ser consultado por pcssoas com um interesse lcgitimo, a transfe- rencia apenas devera poder ser efectuada a pedido dessas pcssoas ou :.:aso sejam elas os seus destinat;l.- nos;
(59) Considerando que podem ser tomadas medidas espcciai~ para sanar a insuficiencia de protec;:;1o num pais terceiro, se o responsavel pelo tratamento aprcscntar garantias adequadas; que, alem disso, dcvem ser previstos processos de negociac;:ao entre a C:omunidade e os paises terceiros em causa;
(60) Conside,-ando que, em todo o caso, as transfercn- cias par;l paises ttrceiros s6 podem ser efectuadas no pleno respeito das disposi~.;oes adoptadas pelos Estados-membros nos termos da presente directiva, nomeadamente do seu artigo R'.);
(61) C:onsiderando que .. no ambito das respectivas com- petcncia:.;, os Estados-membros e a Comiss~1o devem incentivar 2s organiza~.;oes sectoriais interes- sadas a elaborar c6digos de conduta com vista a facilnar a aplicac;:ao da presente directiva, tendo em conta a'; caracteristicas especificas do tratamento efectuado em certos secrores e respcitando as dis- posil,;<>es nacionais tomadas para a sua execw.;ao;
(62) Considerando que a cna~.;ao nos Estados-membros de autoridades de controlo que exerc;:am as suas fun<;<)es com total independencia constitui tllll elc·· memo essencial da protec~.;ao das pessoas no que respcita ao tratam~nto de dados pessoais;
(63) C:onsiderando que essas autoridades devcm ser dot,H.las dos meios necessarios para a realiza<;ao das suas func;oes, incluindo poderes de inquerito ou de interven<;ao, cspecialmente em caso de recla- ma~<)es, e poderes para intcn·1r em processos judi- uai'>; que essas autoridadcs dcvem ajudar a garan- tir ;1 transparencia do tratamento de dados efec- tuado no Estado-membro soh cuja jurisdic;:ao se cncontram;
(64) Considerando que as autoridadcs dos diferentes Esudos-membros deverao prcstar-se mutuamente assi-.tcncia no desempenho das suas func;:oes por forma a assegurar integralmcnte o resptito das regras de protecc;:;1o em toch a Uni;1o Furopeia;
(65) C:onsiderando que deve ser ..:riado, a nfvel comuni- t;1rio, um grupo de trabalho sobrc a proteC<,;<lO das pcssoas no que diz n:spe1to ao tratamento de dados pessoais, o qual den· gozar de total indepcn- LkncJa no exercicio das <.,uas fun~<)cs; que, aten- dcilllo a sua natureza especiflcl, esse grupo deve aconselhar a Comissao c contnbuir nomeadamt·nte J'<1L1 ,1 aplicac;:ao uniforme d<lS normas nacionais adoptadas nos tcrmos da prc'>cntc directiva;
(66) C:onsiderando que, no que se rcfere a transferencia de dados para paises tncciros, a aplicac;:ao da presente directiva requer a atrilmic;:<1o de competcn- cia" de execuc;:iio a Comiss;1o e <1 cria~ao de tml procedimento de acordo corn <lS nonnas cstabeleci- das na Decisao R7/373/C:FE do C:omclho ( 1 );
(67) C:onsiderando que, em 20 de Dezcmbro de 1994, se chcgou a acordo sobre um modus t•iz•cndi entre o P<ulamento Europeu, o C:on.-.elho e a Comissao quanto as medidas de execu~ii(l de actos adoptados no-. tcrmos do procedimento prcvisto no artigo 1HY'.' B do Tratado;
(68) C:onsiderando que os pnncip10s enunciado:; na prescnte directiva para a proteu;ao do.., direitos e libndades das pessoas, nomeadanwnte do scu dirctto <l vida privada, no que diz rcspcito ao traumento de dados pessoais, podcr<1o ser complc- tadm ou especificados, non1eadamcnte em relac;:iio ,1 certos sectores, · atrave" de rcgras especificas h<1'>L·adas nesses priticlpios;
(69) C:onsiderando que e conveniente conceder aos Fstados-membros um pr~11o nao superior a trcs aiHh a contar da data de entrada em vigor das mcdidas nacionais de transposi~:1o da presente dircctiva, durante o qual c..;sas nm·<1S disposi<,:{Jes Il:lCIOilais serao ~1plicadas de forma progressiva a qualqucr tratamcnto de dado-, 1~1 em curso; que,
N~> L 281138 Jornal Oficial das Comunidades Europeias 23. 11. 95
para facilitar uma aplica<;ao rentavel dessas dispo- si<;oes, os Estados-membros poderao prever urn prazo suplementar, que expirara doze anos a con- tar cia data de adop<;ao cia presente directiva, para assegurar a conformidade dos ficheiros, manuais existentes :.:om determinadas disposi<;oes cia direc-- tiva; que os dados contidos nesses ficheiros, que sejam objccto de urn tratamento manual efectivo durante e~;se periodo de transi<;ao suplementar, deverao ser postos em conformidade com essas disposi<;oe~. aquando cia realiza<;ao desse trata-- mento;
(70) Considerando que a pessoa em causa nao e obri-- gada a cia r novamente o seu consentimento para que o responsavel continue a efectuar, ap6s a entrada em vigor das disposi<;oes nacionais toma-· das nos termos cia presente directiva, urn trata-
mento de dados sensiveis necessaria a execu<;ao de urn contrato celebrado com base num consenti- mento livre e informado antes cia entrada em vigor das disposi<;oes acima referidas;
(71) Considerando que a presente directiva nao obsta a que urn Estado-membro regulamente as actividades de mala eli recta junto dos consumidores residentes no seu territ6rio, desde que a referida regulamenta- <;ao nao diga respeito a protec<;ao das pessoas no que se refere ao tratamento de dados pessoais;
(72) Considerando que a presente directiva permite tomar em considera<;ao o principio do direito de acesso do publico aos documentos oficiais aquando cia implementa<;ao dos principios nela estabeleci- dos,
ADOPTARAM A PRESENTE DIRECTIVA:
CAPITULO I
DISPOSI<;OES GERAIS
Artigo 1(!
Objecto da directiva
1. Os Estados-membros assegurarao, em conformidacle com a mesente d1 rectiva, a protec<;ao das liberdacles e dos direitm. fundamentais das pessoas singulares, nomeada- mente do direito a vida privada, no que diz respcito ao tratamento de dados pessoais.
2. Os Estados-membros nao podem restringir ou proibir a livrr circula<;~io de dados pessoais entre Estados- -memb ros por razoes relativas a protec<;ao assegurada por for<;a do n<.> 1.
Artigo 2(.)
Defini<;6es
Para efeitos cia presente directiva, entende-se por:
a) <<Dados pessoais>>, qualquer informa<;ao relativa a uma pessoa singular identificada ou identihcavel (<<pessoa em causa>>); e considerado identificavel todo aquele que possa ser identificado, directa ou inclirecta- mente, nomeadamente por referencia a urn numero de identifica<.;ao ou a urn ou mais elementos especifico~ da sua identidade fisica, fisiol6gica, psiquica, ccon6- mica, cultural ou social;
b) «Tratamento de dados pessoaiS>> («tratamento»), qualquer opera<;ao ou conjunto de opera<;oes efectua- das sobre dados pessoais, com ou sem meios automa-
tizados, tais como a recolha, registo, orgamza<;ao, conserva<;ao, adapta<;ao ou altera<;ao, recupera<;ao, consulta, utiliza<;ao, comunica<.;ao por transmissao, difusao ou qualquer outra forma de coloca<;ao a disposi<;ao, com compara<.;ao ou interconexao, bern como o bloqueio, apagamento ou destrui<;ao;
c) «Ficheiro de dados pessoais>> (<<ficheiro>>), qualquer conjunto estruturado de dados pessoais, acessivel segundo criterios determinados, que seja centralizado, descentralizado ou repartido de modo funcional ou geografico;
d) <<Responsavel pelo tratamento», a pessoa singular ou colectiva, a autoridade publica, o servi<;o ou qualquer outro organismo que, individualmente ou em con- iunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam deter- minadas por disposi<;oes legislativas ou regulamenta- res nacionais ou comunitarias, o responsavel pelo tratamento ou os criterios especfficos para a sua nomea<;ao podem ser indicados pelo direito nacional ou comunitario;
e) ,, Subcontratante >>, a pessoa singular ou colectiva, a autoridade publica, o servi<;o ou qualquer outro orga- msmo que trata os dados pessoais por coma do responsavel pelo tratamento;
23. 11. 95 Jornal Oficial das Comunidades Europeias N? L 281/39 -------------------------------------------------- ----------------------------------------------------
f) << Terceiro», a pessoa singular ou colectiva, a autori- dade publica, o servic;o ou qualquer outro organismo que nao a pessoa em causa, o responsavel pelo tratamento, o subcontratante e as pessoas que, soh a autoridade directa do responsavel pelo tratamento ou do subcontratante, estao habilitadas a tratar dos dados;
g) <<Destinatario>>, a pessoa singular ou colectiva, a auto- ridade publica, o servic;o ou qualquer outro orga- nismo que receba comunicac;oes de dados, indepen- dentemente de se tratar ou nao de urn terceiro; todavia, as autorid1des susceptiveis de receherem comunica<;_:6es de dados no ambito duma missao de inquerito especifica nao s:io consideradas destinata- nos;
h) <<Consentimento da pessoa em causa>>, qualquer manifestac;:io de vontade, livre, especifica e infor- mada, pela qual a pessoa em causa accita que dados pcssoa1s que lhe dizem respeito sejam objecto de tratamento.
Artigo 3?
Ambito de aplica\ao
1. A presente directiva aplica-se ao tratamento de dados pessoais por rneios total ou parcialmente automatizados, bern como ao tratamento por meios nao automatizados de dados pessoais contidos num ficheiro ou a ele destina- dos.
2. A presente directiva nao se aplica ao tratamento de dados pessoais:
efectuado no exerdcio de actividades nao suJeitas a aplicac;ao do direito comunitario, tais como as previs- tas nos titulos V e VI do Tratado da Uniao Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objecto a seguran<;:a publica, a defesa, a seguran<.;a do Estado (incluindo o bem-estar econ6mi-
co do Estado quando esse tratamento disser respeito a questi)es de seguran<.;a do Estado ), e as actividades do Estado no dominio do direito penal,
efectuado por uma pessoa singular no exercic10 de acriv1dades exclusivamente pcssoais ou domesticas.
Artigo 41.>
Direito nacional aplicavel
1. Cada Estado-membro aplicara as suas disposic;oes nacionais adoptadas por forc;a da prescnte directiva ao tratamento de dados pessoais quando:
a) 0 tratamento for efectuado no contexto das activida- des de urn estabelecimento do responsavel pelo trata- mento situado no territ6rio dessc Estado-membro; se o mesmo responsavel pelo tratamento estiver estahele- cido no territ6rio de varios Estados-membros, devera tomar as medidas necessarias para garantir que cada urn desses estabelecimentos cumpra as obrigac;oes estabelecidas no direito nacional que lhe for aplica- vcl;
b) 0 rcsponsavel pelo tratamento nao estiver estabele- cido no territ6rio do Estado-membro, mas num local onde a sua legisla<.;ao nacional seja aplicavel por for<.;a do dircito internacional ptiblico;
c) 0 responsavel pelo tratamento nao cstiver estabele- cido no territ6rio da Comumdade c recorrer, para tratamento de dados pessoais, a meios, automatizados ou nao, situados no territ6rio desse Estado-membro, salvo se esses meios s6 forem utilizados para transito no fcrrit6rio da Comunidade.
2. No caso referido na alinea c) do nC: 1, o responsavel pelo tratamento deve designar um representante estabele- cido no territ6rio desse Estado-membro, sem prejufzo das ac<.;oes que possam vir a ser intcnradas contra o proprio respons<ivcl pelo tratamento.
CAPITULO II
CONDl<;OES GERAIS DE LICITUDE DO TRATAMENTO DE DADOS PESSOAIS
Os Estados-membros especificarao, dentro dos limites do disposto no presente capitulo, as condic;ocs em que e licito 0 tratamento de dados pessoais.
N<.' L 281/40 Jornal Oficial das Comunidades Europeias 23. 11. 95
SEC~ft.() I
PRil\CIPIOS RELATIVOS A QUALIDADE DOS DADOS
1. Os Estados-rnembros devem estabelecer que os dados pcssoats serao:
<1) Ob1ecto de um tratamento leal e licito;
b) Recolhidos p~tra finalidades determinadas, expi!Litas c legitimas, e que nao serao posreriormente tratados de forma incom)atfvel com essas finalidades. 0 trata- mento posterior para fins hist6ricos, estatfsticos ou cientfficos nao e considerado incompatfvel desde q lit' os Estados-membros estaheb.,:am garantias adequa- das;
c) Adequados, pertinentes e nao excessivos relativamcntt· <lS finalidades para que sao recolhidos e para que silo tratados postcriormente;
d) Ex<l ctos e, se necessario, actualizados; devem sn tomadas tod2 s as medidas razoavets para as"egurar que os dado:; inexactos ou incompletos, tendo em t:onta as finalidades para que foram recolhidos ou pan que sao :ratados posteriormcnte, scjam apag;H)o~o, ou rectificados;
c) Conscrvados de forma a permitir a identificH;<1o da~o, pes·;oas em causa apenas durante o perfodo ncccss,-irio pan a prossecw;ao das finalidades para que foram rccolhidos ou para que sao tratados posteriormcntc. ( )s Estados-membros estabelecer;1o garantias apro- pri;:das para os dados pessoais conservados durante penodos mai; longos do que o rcferido, par.J fin~o, hist<~mcos, estatfsticos ou cicntificos.
2. Incumbe ao responsavel pelo tratamento assegurar a observ<:tncia do disposto no n'! I.
SEC~/\() II
PRINCIPIOS RELATIVOS A LEGITIMIDADE DO TRATA- MENTO DE DADOS
Artigo 7'/
Os Estados-membros estabelecerao que o tratamento de dados pessoais s(, podera ser efectuado se:
a) A pessoa em .:a usa tiver dado de fc,rma tnequiv<Ka o seu consentimento; ou
b) 0 tratamento for necessario para a execw;ao de um contrato no qual a pessoa em causa c parte ou de diligcncias pr{vias a forma<.;ao do COlltrato decidid;lS a pcdido da pe~soa em causa; ou
c) 0 tratamento for necessario p<l!'a cumprir uma ohri- ga<.;;io legal it qual o respons<1vcl pelo tratamento csteja sujeito; ou
d) () tratamento for necessano para a protec~.;ao de interesses vitais da pes<..oa em causa; ou
c) 0 tratamento for nece<.,sario para a execw;ao de urn a missao de interes:-.e ptiblico ou o excrcfcio da autori- dade publica de que c investido o responsavel pelo tratamento ou urn ten:eiro a quem os dados sejam comunicado-.; ou
f) 0 tratamento for nccess~1rio para prosseguir interesses legitimos do respons<1vcl pclo tratamento ou do ter- cciro ou tcrcciros a quem os dados sejam comunica- dos, desde que nao prevab;am OS intereSSCS OU OS dircitos e liberdades fundamcntais da pcssoa em causa, protegidos ao abrigo do n'.' I do artigo 1'!
SJ-:CC,:Ao III
CATEGORIAS ESPECIFICAS DE TRAT AMENTOS
Tratamento de certas caregorias especificas de dados
I. ( )s Estados-membros proibirao o tratamento de dados pessoais que rcvdem a origem racial ou ctnica, as opint<)es politicas, as conviu.;i)cs rcligiosas ou filos<>ficas, a filta<.;ao sindical, hem come o tratamento de dados rebttVOS a saudc C <l vida sexual.
.2. () n<.> 1 nao se aplica quando:
a) A pessoa em causa tivcr dado o seu consentimcnto explfcito para esse tratamento, salvo se a legisla~.;ao do Fstado-membro estabclcccr que a proibi<.;ao rcferida no n'! 1 nao pode scr rctirada pelo consentimento da pcssoa em causa; ou
b) () tratamento for neccssario para 0 cumprimento das obriga<.;oes c dos dtrcitos do rcsponsavel pelo trata- mento no dominio cb legisla~.;ao do trabalho, desdc que o mesmo seja autorizado por lcgisla<.;ao nacional que estabele~.;a garantias adequadas; ou
c) () tratamento for necessario para proteger intcresses \·itais da pessoa em causa ou de uma outra pcssoa se a pessoa em causa cstiv·:r ffsica ou legalmentc incapaz de dar o seu consentimcnto; ou
d) () tratamento for dectuado, no ;1mbito das suas actividades lcgltimas c com ~ls garantias adequadas, por uma funda~ao, uma associa<.;<1o ou qualquer outro organismo scm fins lucrativos de caracter politico, filosMico, rcligioso ou sindicaL na condi~.;ao de o tratamento dizer unican1l'ntc respeito aos membros desse organismo ou ~1s pcssoas que com ele mante-
23. 11. 95 Jornal Oficial das Comunidades Furopeias N<! L 281/41
nham contactos peri6dicos ligados <ls suas finalidades, e de os dados nao serem comunicados <l terceiros sem o conscntimento das pessoas em causa; ou
e) 0 trata mento disser respeito a dados manifestamente tornados pt:iblicos pela pessoa em causa ou for neces- S<irio 21 declara\ao, ao exercicio ou <l defesa de um direito num proccsso judicial.
3. 0 n'-1 I n<"io se aplica quando o tratamcnto dos dados for ncccss<1rio para efeitos de medicina prcventiva, diag- n()stico medico, presta<;;lO de cuidados OU tratamentos medicos OU gestao de servi\OS da saudc C quando 0 tratamcnto dcsscs dados for efectuado por um profissio- nal da satidc obrigado ao segredo profissional pclo direito nacional ou por r:gras estabelecidas pclos organis- mos nacionais competertes, ou por outra pcssoa igual- mente sujcita a uma obriga<;ao de segrcdo equivalentc.
4. Sob reserva de serem prest:adas as garantias adequa- das, os Esrados-mcmbro.; poderao estabeleccr, por moti- vos de interesse publico importante, outras derroga\<>es para alcm das previstas no n\1 2, quer atraves de disposi- <;iks legislativas nacionais, quer por decisao da autori- dadc de controlo rcfcrida no artigo 2H'-1
5. 0 tratamento de dados relativos a infrac\oes, conde- na<;<>cs penais ou medicias de seguran<;a s6 poder;i scr efectuado sob o controlo das autoridades publicas ou sc o dircito nacional estabelccer garantia-; adcquaclas e espe- dficas, soh reserva das derroga<;6es que poderao scr conce(hdas pelo Estado-membro com ba'-.c em disposi<;<-)C'-. nacionais que prevcjam garantias especificas e adequadas. Contudo, o registo completo das condena<;6es penais s<> pode ser rnantido sob o controlo das autoridade~o, ptlbli- ca'i.
Os Estados-mcmbros podem estabelecer que o trata- mcnto de dados relativos a san<;6es admmistrativas ou decisc)es civeis fique igualmente sujeito ao controlo das autoridadcs publicas.
6. As derroga~oes ao n° 1 prevista nos n'-1' 4 e 5 serao notificadas ~1 ( :omissao.
7. Cai)e am Estados-membros cleterminar as condi<;c)es em que um numero nacional de identifica<;Jo ou qualquer outro clemcnto de identifica<;;1o de aplica<;<1o geral podera ser objecto de tratamento.
Artigo 9<.>
T ratamcnto de dados pcssoais e liberdadc de cxpressao
Os Estados-membros estabelecerao isen<;<)es ou derroga- <;6es ao disposto no presente capitulo e nos capitulos IV c VI para o tratlmento dt dados pessoais cfectuado para fins exclus1vamente jornalisticos ou de expressao artlstica
ou liteL1ria, apenas na medida em que sejam necessanas para conciliar o direito <l vida privcHh com as normas que regcm a Iiberdade de expressao.
SECC,:AO IV
INFORMA<;:Ao DA PESSOA EM CAUSA
Artigo l ()'.'
Informa<;ao em caso de recolha de dados junto da pessoa em causa
Os F-.rados-membros cstabelecer~io que o responsavel pelo tratamento ou 0 seu representante dcve fornecer a pessoa em L·ausa junto da qual rccolha dados que !he digam rc.'>peito, pelo menos as scgliintes informa<;c>es, salvo l.,l' a pcssoa ja delas river conhecimento:
a) Idenndadc do responsavcl pelo tratamento e, evcn- tualmcntc, do seu represcntantc;
b) hnalidades do tratamento a que m dados se desti- nam;
c) ( )urras informa<;oes, tais como:
m destinatarios ou categorias de destinatarios dos dado-.,
o car;icter obrigat6rio ou facultativo da resposta, hem como as posslve1s consequc'nuas se nao res- ponder,
<l cxi..,tencia do direito de aces"o aos dados que !he digam respeito e do dircito de os rectificu,
desde que sejam nccess;irias, tendo em collta as ur- cumtc1nuas especificas da recolha dos dados, para garannr <l pessoa em causa um tratamento leal dos mcsmo-..
Artigu 11'.'
Informa<;ao em caso de dados nao recolhidos junto da pessoa em causa
1. Se os dados nao tivcrcm sido recolhidos junto da pessoa em causa, os Estados-membros estabelecerao que o respons<ivcl pelo tratamento, ou o scu rcpresentantc, deve forncu:r a pessoa em causa, 110 momento em que OS dados forcm registados ou, se e-;tiver preYista a comuni- ca<;ao de dados a terceiros, o mais tardar aquando da primcira comunica<;ao dcsses dados, pclo menos as scguinte-. mforma<;oes, salvo se a rdcrida pessoa ja delas ti vcr con !wCJ mento:
a) ldentidade do responsavel pelo tratamento e, evcn- tualmcntl', do seu reprcsentantc;
h) hn:tlidadcs do t:ratamento;
N? L 281142 Jornal Oficial das Comunidades Europeias 23. 11. 95 --------·---------------------------
c) Omras informac;oes, tais como:
as categorias de dados envolvidos,
os destinatarios ou categorias de destinatarios dos dados,
a existenCJ a do direito de acesso aos dados que lhe digam res)eito e do direito de os rectificar,
desde que sejam necessarias, tendo em conta as nr- cunsdincias especfficas da recolha dos dados, para garantir a pessoa em causa um tratamento leal dos me~.mos.
2. 0 n? 1 nao se aplica quando, nomeadamente no caso do tratamento de dados com finalidades estatisticas, hist6ricas ou de investigac;ao cientifica, a informa<.;ao da pessoa em causa se revelar impossivel ou implicar esfor- c;os desproporcio~ados ou quando a lei dispuser expres- samente o registc dos dados ou a sua divulgac;ao. Nestes casos, os Estados-membros estahelecerao as garantias adequadas.
SECc;=Ao V
DIREITO DE ACESSO DA PESSOA EM CAUSA AOS DADOS
Artigo 12'!
Direito de acesso
Os Estados-mem )[()S garantirao as pessoas em causa 0 direito de obterem do responsavel pelo tratamento:
a) Livremente e :>em restric;oes, com periodicidade razoa- vel e sem demora ou custos excessivos:
a confirmac;ao de terem ou nao sido tratados dados que lhes digam respeito, e informac;oes pelo menos sobre os fins a que se destina esse trata- mento, as categorias de dados sobre que incide e os destinatarios ou categorias de destinat~l.rios a quem sao comunicados os dados,
a comunicac;ao, sob forma inteligivel, dos clados sujeitos a tratamento e de quaisquer infornu<.;oes disponivei:> sobre a origem dos dados,
o conhecimento cia l6gica subjacente ao trata- mento automatizado dos dados que lhe digam respeito, pelo menos no que se refere as decis()cs automatizadas referidas no n<! 1 do artigo 15'.';
b) Consoante o caso, a rectificac;ao, o apagamento ou o hloqueio dos dados cujo tratamento nao cumpra o disposto na presente directiva, nomeadamente devido ao caracter incompleto ou inexacto desses dados;
c) A notificac;ao aos terceiros a quem os dados renham sido comunicados de qualquer rectificac;ao, apaga- mento ou bloqueio efectuado nos termos da alinea b), salvo se isso for comprovadamente impossivel ou implicar urn esforc;o desproporcionado.
SEC<:=AO VI
DERROGA(OES E RESTRI<:=OES
Artigo 13'!
1. Os Estados-membros podem tomar medidas legislati- vas destinadas a restringir o akance das obrigac;oes e direitos referidos no n<! 1 do artigo 6'!, no artigo 1Q?, no n'.' 1 do artigo 11? enos artigos 12'! e 21'!, sempre que tal restric;ao constitua uma medida necessaria a protecc;ao:
a) Da seguranc;a do Estado;
b) Da defesa;
c) Da seguranc;a publica;
d) Da prevenc;ao, investigac;ao, detecc;ao e repressao de infracc;oes penais e de viola<.;oes cia deontologia das profissoes regulamentadas;
c) De urn interesse econ6mico ou financeiro importante de urn Estado-membro ou da Uniao Europeia, incluindo nos dominios monetario, on;amental ou fiscal;
f) De missoes de controlo, de mspecc;ao ou de regula- mentac;ao associadas, ainda que ocasionalmente, ao exercfcio da autoridade publica, nos casos referidos nas alineas c), d) e e);
g) De pessoa em causa ou dos direitos e liberdades de outrem.
2. Sob reserva de garantias juridicas adequadas, nomea- damente a de que OS dados nao serao utilizados para tomar medidas ou decisoes em rela<.;ao a pessoas determi- nadas, os Estados-membros poderao restringir atraves de uma medida legislativa os clircitos referidos no artigo 12'! nos casos em que manifestamente nao exista qualquer perigo de viola<.;ao do direito a vida privada cia pessoa em causa e os dados forem exclusivamente utilizados para fins de investiga<.;ao cientifica ou conservados sob forma de dados pessoais durante urn periodo que nao exceda o necessario a finalidade exclusiva de elaborar estatisticas.
SEcc;Ao VII
DIREITO DE OPOSI<~AO DA PESSOA EM CAUSA
Artigo 14'.'
Direito de oposi~ao da pessoa em causa
Os Estados-membros reconhecerao a pessoa em causa o direito de:
a) Pelo menos nos casos referidos nas alineas e) e f) do artigo 7?, se opor em qualquer altura, por razoes preponderantes e legitimas relacionadas com a sua situac;ao particular, a que os dados que lhe digam
23. 11. 95 Jornal Oficial das Comunidades Europeias N? L 281/43
respeito sej am objecto de tratamento, salvo disposi~ao em contrario do direito nacional. Em caso de oposi- ~ao justificada, o tratamento efectuado pelo responsa- vel deixa de poder incidir sobre esses dados;
b) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsavel pelo tratamento para efeitos de mala directa; ou ser informada antes de os dados pessoais serem comunicados pela primeira vez a terceiros para fins de mala directa ou utilizados por conta de terceiros, c de lhe ser expressamente facultado o direito de se opor, sem despesas, a tais comunica~oes ou utiliza~(,es.
Os Estados-membros tomarao as medidas necessanas para garantir que as pessoas em causa tenham conheci- mento do direiro referido no primeiro paragrafo cia alfnea b).
Artigo 15?
Decisoes individuais automatizadas
1. Os Estados-membros reconhecerao a qualquer pessoa o direito de nao ficar sujeita a uma decisao que produza efeitos na sua esfera jurldica ou que a afecte de modo significativo, tomada exclusivamente com base num trata- mento automatizado de dados destinado a avaliar deter- minados aspectos da sua personalidade, como por exem- plo a sua capacidade profissional, o seu credito, confi- an~a de que e merecedora, comportamento.
2. Os Estados-membros estabelecerao, sob reserva das restantes disposi<;:oes da presente directiva, que uma pes- soa pode ficar sujeita a uma decisao do tipo referido no n? 1 se a mesma:
a) For tomada no ambito cia celebra~ao ou cia execu~ao de urn contrato, na condi~ao de o pedido de celebra- ~ao ou execu<;:ao do contrato apresentado pela pessoa em causa ter sido sattsfeito, ou de existirem medidas adequadas, tais como a possibilidade de apresentar o seu ponto de vista, que garantam a clefesa dos seus interesses legitimos; ou
b) For autoriz.ada por u.ma lei que estabele<;a medidas que garantam a defesa dos interesses legitimos cia pessoa em causa.
SEC~AO VIII
CONFIDENCIALIDADE E SEGURAN(:A DO TRATAMENTO
Artigo 16'?
Confidencialidade do tratamento
Qualquer pessoa que, agindo sob a autoridacle do respon- savel pelo tratamento ou do subcontratante, bern como 0
proprio subcontratante, tenha acesso a clados pessoais, nao procedera ao seu tratamento sem instru~oes do responsavel pelo tratamento, salvo por for~a de obriga- <;:oes lega1s.
Artigo 17~'
Seguran<;a do tratamento
1. Os Estados-membros estabelecerao que o responsavel pelo tratamento deve por em pratica medidas tecnicas e organizativas adequadas para proteger os dados pessoais contra a destrui<;:ao acidental ou ilicita, a perda acidental, a altera<;:ao, a difusao ou acesso nao autorizados, nomea- damente quando o tratamento implicar a sua transmissao por rede, e contra qualquer outra forma de tratamento ilicito.
Estas medidas devem assegurar, atendendo aos conheci- mentos tecnicos disponiveis e aos custos resultantes cia sua aplica<;:ao, urn nfvel de seguran<;:a aclequado em rela- <;:ao aos riscos que 0 tratamento apresenta e a natureza dos dados a proteger.
2. Os Estados-membros estabelecerao que o responsavel pelo tratamento, em caso de tratamento por sua conta, devera escolher urn subcontratante que ofere<;:a garantias suficientes em rela~ao as medidas de seguran<;:a tecnica c de organiza<;:ao do tratamento a efectuar e devera zelar pelo cumprimento dessas mcdidas.
3. A realiza<;:ao de opera<;:oes de tratamento em subcon- trata<;:ao dcve ser regida por urn contrato ou acto juridico que vincule o subcontratante ao respons~1\'el pelo trata- mento e que estipule, designadamente, que:
o subcontratante apenas actuara mediante instru~oes do responsavel pelo tratamento,
as obriga<;:oes referidas no n? 1, tal como definidas pela lcgisla<;:ao do Estado-membro onde o subcontra- tantt· est<1 estabelecido, incumbem igualmente a este ultimo.
4. Para efeitos de conserva<;:ao de provas, os elementos do contrato ou do acto juridico relativos a protec<;:ao dos dados, bem como as exigencias relativas as medidas rcferidas no n? 1, deverao ficar comignados por escrito ou sob forma equivalente.
SEC~Ao IX
NOTIFICA(:AO
Artigo l8S'
Obriga<;ao de notifica<;ao a autoridade de controlo
1. Os Estados-membros estabelccerao que o responsavel pelo tratamento ou, eventualmentt:, o seu representante
N'! L 281/44 Jornal Oficial das Comunidades Europeias 23. 11. 95 -------------------------------
deve notificar a autoridade de controlo referida no artigo 28'.' antes da realiza~ao de um tratamento ou coniunto de tratanwntos, total ou parcialmente automatizados, dcsti- nados :1 prosseclJ(;ao de uma m1 mais finalidades lntcrli- gadas.
2. Os Estados-membros apena-; poderao estabeltccr a simplif1ca~ao ou a isen~ao da notifica~ao nos seguinte~ casos c condi<;oe~:
se, para as categorias de tratamentos que, atcndcndo aos dados a tratar, nao sao susceptiveis de prep.tdicar os direitos e bberdades das pcssoas em causa, cspccifi- carcm as finalidades do tratamcnto, o-; dados ou catcgorias de dados a tratar, a catcgoria ou catcgoria~ de pcssoas en: causa, os destinat;1rios ou categoria-.; de desrinauirios :1 quem serao comunicados os dad< >s c o pcnodo de ccnscrva<;ao dos dados; e/ou
sc o responsa vel pelo tratamento nomear, nos tcrmos do direito nacional a que esta sujeito, um encarrcgado da protec<;ao dos dados pessoais, responsavcl nomea- damentc por
garantir, de modo independente, a aplica~:1o, a nivel intemo, das disposi<;6cs nacionais tornadas nos termos da presente directiva,
manter um registo dos tratamentos efectuados pelo responsavel do tratamento, contendo as informa<;()es rcferidas no n'.' 2 do artigo 21 '..,
assL·gurando :1ssim que os tratamentos ll<lO s;ln su-;- ccptiveis de xejudicar os dircitos e liberdadc:.; das pcs~;oas em GlUSa.
3. ( )s Fstados-membros poder:1o cstabelecer que o n'.' 1 nilo se aplica a tratamentos cuja Cmica finalidade seja a manutcn<;ao de registos que, nos tcrmns de disposi<;<>e~. legislattvas ou re,2;ulamentares, sc dcstinem <l informa~:1o do pu l1lico e se encontrem abertos a consulta pclo pCihliu· em ger;:d ou por qualquer pessoa que possa provar um intere~se legitimo.
4. ( )s Estados-membros podem isentar da obriga~:lo de notifiGi<;i'io os tntamentos de dados referidos no n(.' 2., alinea d), do artigo W\ ou prever uma simplifica<;ao dess<1 notifiGl\<lO.
S. Os Estados-Irembros podem detcrminar que todos ou alguns dos tratamentos nao automatizados de dados pessoa1s sep1m notificados, eventualmente de form:1 'iim-- plificHla.
Artigo 79'.'
Conteiido de notifica<;ao
1. Os Estados-memhros especificar;1o as informa\<)es que dcvcm comtar da notifica<;i'io. Essas informa\<>es dcvcm incluir, pdo menos:
a) 0 nome e o endere~.;o do responsavel pelo tratamento c, eventualmente, do seu representante;
h) A ou as finalidades do tratamcnto:
c) Uma descri<;ilo da ou das categorias de pessoas em causa e dos dados ou categorias de dados que lhes respeitem;
d) Os destinat<1rios ou categorias de destinatarios a quem os dados poder:1o scr comunicados;
e) As transferencias de dados pre,·istas para paiscs ter- ccJros;
f) Uma descri<;ao gcral que permita avaliar de forma preliminar a adequa<;ao das medidas tomadas para garantir a seguran<,:a do tratamcnto em aplica<;ao do <Htigo 1T.'
1 Os Estados-membros especificarao os procedimentos de notifica~.;ao a autoridade de controlo das altera<;oes que afectem as informa<;oe-; rderidas no n<! 1.
Art1g() 20'/
Controlo prcvio
l. Os Estados-membros cspecificarao os tratamentos que possam representar riscos cspecificos para os direitos c liberdades das pcssoas em causa e zelarao por que scpm controlados antes da sua aplica<;ao.
' Esse controlo preVJo stL1 efectuado pela autoridade de controlo referida no artigo 28'.' apos recep~.;ao de uma notifica<;ao do responsavd pelo tratamento ou pelo cncarregado da protec<;ao de dados que, em caso de dL.l\ ida, devera consultar a autoridade de controlo.
3. Os Estados-membros poder;io igualmente efectuar cstc controlo durante os trab,1lhos de prepara<;ao de uma mcdida do parlamentn nacional ou de uma medida hascada nessa medida lcgislanva, a qual defina a natureza do tratamento c cstabcle~a as garantias adequadas.
A rtigo 21'.'
Publicidadc dos tratamentos
1. ( )s Estados-membros tomar;1o as medidas necessanas p<Ha assegurar a publicidadc dos tratamcntos.
1 Os Estados-membros cstabelccer5o que a autoridade de controlo referida no artigo 28'.' mantera urn registo dos tratamentos notificados por fon.;a do artigo 18'!
23. 11. 95 Jornal Oficial das Comunidades Europeias NC: L 281/45
Esse registo deveni conter, pelo menos, as informa<;oes enumeradas no n<: 1, alineas a) a e), do artigo l9C:
a qualquer pessoa que o solicite, pelo menos as informa- <;oes rcferidas no n? 1, alineas a) a e), do artigo 19<.1
0 registo podera ser consultado por qualquer pessoa.
3. Os Estado-membros estabelecerao que, no que res- peita aos tratamentos nao sujeitos a notifica<;ao, o res- ponsavel pelo tratamemo, ou outra entidade designada pelos Estados-membros, comunicara de forma adequada,
Os Estados-membros poderao estabclecer que a presente disposi<;ao nao se aplica a tratamentos cuja unica finali- dade seja a manuten<;ao de registos que, nos termos de disposi~<)es legislativas ou regulamentares, se destinem a informa<;ao do publico e se encontrem abertos a consulta pelo pC1blico em geral ou por qualquer pessoa que possa provar um interesse legltimo.
CAPITULO III
RECURSOS JUDICIAIS, RESPONSABILIDADE E SAN<;OES
Artigo 22'!
Recursos
Sem prejuizo de quaisquer garantias graciosas, nomeadamente por parte da autoridade de controlo referida no artigo 28<\ previamente a um recurso contencioso, os Estados-membros estabelecerao que qualquer pessoa podera recorrer judicialmente em caso de viola<;:ao dos direitos garantidos pelas disposi<;:oes nacionais aplidveis ao tratamento em questao.
Artzgo 2.3?
Responsabilidade
1. Os Estados-membros estabelecerao que qualquer pessoa que tiver sofrido um preJufzo devido ao tratamento ilicito de dados ou a qualqucr outro acto incompativel com as disposi~<)es nacionais de execw;ao da presente directiva tern o direito de obter do responsaYel pelo tratamento a repara<;ao pelo prejuizo sofrido.
2. 0 responsavel pelo tratamento podera ser parcial ou totalmente exonerado desta responsa- bilidade se provar que 0 facto que causou () dano !he nao e imputavel.
San<;oes
Os Estados··membros tomarao as medidas adequadas para assegurar a plena aplica<;:ao das disposi<;oes da presente directiva a determinar~io, nomeadamente, as san<;<)es a aplicar L'm caso de violac,:ao das disposi<;oes adoptadas nos terrnos da presente directiva.
CAPITULO IV
TRANSFERENCIA DE DADOS PESSOAIS PARA PAISES TERCEIROS
Artigo 25(!
Principios
1. Os Esstados-membro~ estabelecerao que a transferen- oa para um pais terceiro de dados pessoais objecto de tratamento, m:. que se clestinem a ser objecto de trata- mento apbs a sua transferencia, s6 pode realizar-se se, sob reserva da observancia das disposic,:oes nacionais
adoptadas nos termos das outras disposi<;:oes da presente directiva, o pais terceiro em q uestao assegurar um nfvel de protec<.;;1o adequado.
2. A adequac,:ao do nivel de protec<;:ao oferecido por urn pais terceiro sera apreciada em fun<;:ao de todas as circunstancias que rodeiem a transferencia ou o conjunto de transferencias de dados; em especial, serao tidas em
N? L 281146 Jornal Oficial das Comunidades Europeias 23. 11. 95 -----------------------------------
considera<;ao a natureza dos dados, a finalidade e a dura<,:ao do trata.mento ou tratamentos projectados, os paises de origem e de destino final, as regras de din·ito, gerais ou sectoria is, em vigor no pais terceiro em causa, hem como as regras profissionais c as medidas de scgtt- ran<,:a que sao re~.peitadas nesse pais.
3. Os Estados-membros e a Comissao informar-sc-ao mutuamente dos casos em que consideram que um pais terceiro nao asse~;ura urn nivel de protec<;ao adequado na acep<,:;1o do n? 2.
4. Sempre que a Comissao verificar, nos termos do procedimento previsto no n<: 2 do artigo 31 <.>, que urn pals te:-cciro nao assegura urn nlvel de protec<;ao adc- quado na acep<;ao do n1! 2 do presente artigo, os E-.udos- -rnembros tomar~io as medidas necessarias para impcdtr qualquer transfen~ncia de claclos de natureza identica para o pals ':ercetro em causa.
S. Em momento oportuno, a Comissao encetara ncgo- cia<,:()cs com visra a obviar a situa<;ao resultame da constatl\ao feita em aplica<;ao do n<.' 4.
6. A Comissao pode constatar, nos termos do prucedt- mento previsto no n<: 2 do artigo 31 <;, que urn pais tercciro assegura um nivel de protec<;ao adequado na acep<,:ao do n<.1 2 do presente artigo em virtude da sua legisla<;io interna ou dos seus compromissos intcrnacio- nais, subscritos n'Jmeadamente na sequencia das ncgocia- <,:6es referidas no n(! 5, com vista a protec\5.0 do din·ito a vida privada e das liberdades e direitos fundamcntais das pessoas.
Os Estados-membros tomarao as medidas necess;1rias para cbr cumprimento a decisao da Comissao.
Artigo 26'.'
Derroga\oes
1. Em derroga<;;io ao disposto no artigo 25<.' c sob reserva de dispos \Oes em contrario do seu dircito nacio- nal em casos especificos, os Estados-membros estabdecc- rao que a transffrencia de dados pessoais para um pais tercetro que nao assegure um nlvel de protec<;ao adc- quado 1a acep<;ao do n? 2 do artigo 25<.' podcra tcr Iugar desde que:
a) A pessoa em causa tenha dado de forma inequ!voca o scu consentimento a transferencia; ou
b) A transferencia seja necessaria para a execu\ao de urn conrrato entre a pessoa em cau'>a e o responsavcl pelo
tratamento ou de diligencias prevtas a forma<;ao do contrato decididas a pedido da pessoa em causa; ou
c) A transferencia seja necessaria a execu<;ao ou celebra- \ao de um contrato celebrado ou a celebrar, no interesse da pessoa em causa, entre o respons<c1vel pelo tratamento e um terceiro; ou
d) A transferencia seja neces'iaria ou lcgalmente cxigida para a protec<;ao de tll11 interesse publico importante, ou para a dedar<.l\ao, o cxerclcio ou a defesa de urn direito num processo judicial; ou
c) A transferencia seja necess;:iria para proteger os inte- rcsses vitais da pessoa em causa; ou
f) A transferencia seja realizada a partir de um registo pttblico que, nos termos de di'>posi\oes legislativas ou regulamentarcs, sc destine a informa<;ao do publico c sc encontre aberto ;} consulta pelo publico em geral ou por qualquer pcssoa que possa provar um inte- resse legitimo, desde que as condi<;oes estabelecidas na lei para a consulta sejam cumpridas no caso con- creto.
1 Scm prejuizo do n'! I, um Estado-membro pode autorizar uma transferencia ou urn conjunto de transfe- rencias de dados pessoais para urn pals terceiro que nao assegura um nivel de prote'.:\ao adcquado na acep,·ao do n'.' 2 do artigo 25 1·', desde que o responsavel pelo trata- mento apresentt garant1as suficientes de protec<;;1o cia vida privada e dos direitos e liberdades fundamentais das pessoas, assim como do cxcrcicio dos respectivos direitos; L'SS<1S garantias podem, dcsJgnadamcntc, resultar de clau- "ulas contratuais adequada~,.
3. 0 Estado-membro informara a Comissao e os restan- tes Estados-membros das autoriza\()es que conceder nos rcrmos do nS' 2.
Em caso de opost<;ao, por urn Fstado-membro ou pela Comissao devidamentc justificada no que se refere a protcc<;ao da privacidade e dos direitos e liberdades fundamentais clas pessoas, a Comissao adoptara as medi- da-. adequadas, nos terrnos do procedimento previsto no n'.' 2 do artigo 3 I<.'
( )~., Estados-membros tomarao as medidas necessanas para dar cumprimento ~1 decisao da Comissao.
4. Scmpre que a Comissao dccidir, nos termos do proce- dimento previsto no 11 1·' 2 do artigo 31~', que certas cLiusulas contratuais-tipo oferecem as garantias suficien- tes rderidas no n'.' 2, os Estados-membros tomarao as mcdidas necessarias para dar cumprimento a decisao da ( :omissao.
23. 11. 95 Jornal Oficial das Comunidades Europeias
CAPITULO V
CODIGOS DE CONDUTA
Artigu 27'.1
I. Os Estados-membros e a Comissao promoverao a elabora<;ao de c6digos de conduta destinados a contribuir, em fun<;ao das caracteristicas dos diferentes scctores, para a boa execu<;ao das disposi<;oes nacionais tomadas pclos Estados-membros nos termos da presentc &-cctiva.
2. Os Estacos-membros estabelecerao que as associa<;oes profissionais e as outras organiza~.;c)es representativas de outras categorias de responsaveis pelo tratamento que tenham daborado projcctos de c6digos nacionais ou que termonem alterar ou prorrogar c6digos nacionais cxistentes, podem submetc-los a aprccia~.;ao das autoridades nactonars.
Os Estados-membros estabelccerao que cssas autoridades se certificarao, nomeadamente, da conformidade dos projectos que !he sao aprescntados com as disposi<;oes nacionais tomadas nos termos da presente directiva. Se o considerarern oportuno, as autoridades solicitarao a opiniao das pessoas em causa ou dos seus representantes.
_). Os proje•.:tos de c6digos comunitarios, assim como as altera~.;oes ou prorroga<;6es de c6digos comunitarios existentes, poderao ser submetidos ao grupo referido no artigo 29'! 0 grupo pronunicar-se-a, nomeadamente, quanto a conformidadc dos projectos suhmetidos a sua aprecia<;ao com as disposi~.;c)es nacionais adoptadas em aplica~.;ao da presente directiva. Se o considerar oportuno, solicitar~i a opiniao das pessoas em causa ou dos seus representantes. A Comissao pode garantir uma publicidade adequada dos d)digos aprovados pelo grupo.
CAPITULO VI
AUTORIDADE DE CONTROLO E GRUPO DE PROTECC::AO DAS PESSOAS NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS
Artigo 28i!
Autorida.de de controlo
as informa<;6es necessanas ao desempenho das suas fun~.;<)e!-. de controlo,
1. Cada Estado-membro estahelecera que uma ou mars autoridades publicas serao responsaveis pela fiscaliza~.;ao da aplica<;ao no seu territ6rio das disposi~.;c)es adoptadas pelos Estados-memhros nos termos da presente direc- tiva.
de poderes efectivos de intervcn~.;<1o, tais como, por exemplo, o de emitir pareceres previamente a execu- \ao adequada desses pareceres, o de ordenar o blo- queio, o apagamento ou a destrui~.;ao dos dados, o de proibir temporaria ou definitivamcnte o tratamento, o de dirigir uma advertcncia ou uma censura ao respon- savcl pelo tratamento ou 0 de remeter a questao para os parbmentos nacionais ou para outras institui\6es pol inca-;,
Essas autoridacles exercerao com total independencia as fun\oes que lhcs forem a:ribuidas.
2. C:ada Estadn-membro estabelecera que as autoridades de controlo sedo consultadas aquando da elabora<;ao de medidas rcgulamentares ou administrativas relativas a protec~.;ao dos direitos e liberdades das pessoas no que diz respeito ao tratamento de dados pessoais.
3. C:ada autoridade do controlo dispod, nomeada- mente:
de poderes de inquerito, tais como o poder de aceder aos dados ohjecto de tratamento e de recolher todas
do poder de intervir em processos judiciais no caso de viola~.;~J.o das disposi~.;oes nacionais adoptadas nos tcr- mos da presente directiva ou de levar essas infrac<;6cs ao conhecimento das autoridades Judiciais.
As dccisoes da autoridade de controlo que lesem interes- scs sao passiveis de recurso jurisdicional.
N? L 281/48 Jornal Ofioal das Comunidades Europeias 23. 11. 95 ----------------------------------------
4. Qualquer pe:>soa ou associa~ao que a represente pode apresentar a autoridade de controlo urn pedido para proteq:ao dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais. A pes~oa ern causa sera informada do scguirncnto dado ao scu pedido.
Em particular, qualquer pessoa pode apresentar a auton- dade de controlo urn pedido de verifica<;ao da licitucle de qualquer tratam~nto de dados, sempre que sejarn aplid.- veis as disposi<;6es nacionais adoptadas por for~a do artigo 13~) 0 requerente sera pelo menos informado da realiza~ao da verifica<;iio.
5. Cada autoridade de controlo elaborara periodica- mente urn relat6rio sobre a sua actividade. 0 relat<'>rio ser<i publicado.
6. Cada autoridade de controlo e competente, indepen- dentenente do direito nacional aplicavel ao tratamento em causa, para o exercicio no territorio do seu Estado- -mcmhro dos poderes que lhe foram atribuidos em con- formidade com o n? 3. Cada autoridade de controlo pode scr soiicitada a ~xercer os seus poderes por uma auton- dadc de outro Estado-membro.
As autoridades de controlo coopcrarao entre s1 na medida do nece 'sario ao desempenho das suas fun<;c)es, em especial atraves do interd.mbio de quaisquer informa- <;c)es Llteis.
7. Os Estados-membros determinarao que os membros e agcntes das autoridades de controlo fiquem sujcitos, mesmo apos a o~ssa<;ao das suas actividades, a obriga~ao de scgredo profissional em rela<;ao as informa<;oc-; confJ- dcnciais a que tcnham acesso.
Artigo 2 9'.'
Grupo de protec<;ao das pessoas no que diz respcito ao tra tamento de dados pessoais
1. f: criado urn Grupo de protec~ao das pessoas no que diz re~peito ao tratamento de dados pessoais, a seguir designado <<grupo».
0 grupo tern caracter consultivo c e independente.
2. 0 grupo ecomposto por urn representante da auton- dade ou autoridades de controlo designadas por cada Estado-membro, por urn representante da autoridade ou autoridadcs cria das para as institui<;6es e orga nismos comunitarios, bem como por um rcpresentante cia Comis- sao.
Cada membro do grupo sera designado pela institui\ao, autoridadc ou <:mtoridades que rcpresenta. Semprc que um Estado-membro river designado varias autoridades de controlo, estas nomearao um rcpresentante comum. 0 mesmo acontece em rela<;ao as autoridades criada-; para as institui~oes e organismos comunit~1rios.
3. 0 grupo tomara as suas decis<)es por maioria simples dos representantes das autoridades de controlo.
4. 0 grupo eleger<i o seu presidente. 0 mandato do presidente tem uma dura~ao de clois anos e e renovavel.
S. 0 secretariado do grupo sera assegurado pela Comis- sao.
6. 0 grupo elaborar<1 o ~eu regulamcnto interno.
7. 0 grupo analisara as questocs inscritas na ordem de trahalhos pelo seu presidente, que por iniciativa deste, quer a pedido de um representante das autoridacles de controlo, quer ainda a pedido cia Comissao.
ArtiKo 30'.'
I. 0 grupo tem por atrihui\<)es:
a) Analisar quaisquer questc)es rela ti vas a aplica<;ao das disposi~6es nacionais tomadas nos termos da presente directiva, com vista a •..:ontribuir para a sua aplica<;ao uniforme;
b) Dar parecer a Comissao ~obre o nlvel de protec<;ao na Comunidade e nos paises terceiros;
c) Aconselhar a Comissao sohrc quaisquer projectos de altera<;ao da presentc directiva ou sobre quaisquer projectos de medida~ adicionais ou especfficas a tomar para proteger os direitos c liberdades das pessoas singulares no que diz rcspeito ao tratamento de dados pessoais, bem como sobrc quaisquer outros projectos de medidas comunit~1rias com incidencia sobre esses direitos e liberdades;
d) Dar parecer sobre os c6digos de conduta elaborados a nivel comunitario.
2. Se o grupo verificar que surgem divergencias suscepti- veis de prejudicar a cquivalencia da protec<;ao das pessoas no que diz respcito au tratamento de dados pessoais na C:omunidade entre a lcgisla~~1o ou a pratica dos Estados- -membros, informara dcsse facto a Comissao.
3. 0 grupo pode, por sua pr6pna iniciativa, formular recomenda<;oes sobre quaisqucr questoes relativas a pro- teo;ao das pessoas no que diz rcspeito ao tratamento de dados pessoais na Comunidade.
4. Os parecercs e recomenda~<)es do grupo serao trans- mitidos a Comissao e ao ...:omit(' rdcrido no artigo 31 '.'
5. A Comissao informara o grupo do seguimento que deu aos seus pareceres e recomenda~oes. Para o efeito, elaborara um relat6rio que ser<1 igualmente enviado ao
23. 11. 95 Jornal Oficial das Comunidades Europeias
Parlamento Europeu e ao Conselho. 0 relat6rio sera publicado.
respeito ao tratamento de dados pessoais na Comunidade e nos palscs terceiros, que sera comunicado a Comissao, ao Parlamcnto Europeu e ao Conselho. 0 relat6rio sera publicado.6. 0 grupo elaborara urn relat6rio anual sobre a situa-
<;ao da protcl <;ao das pessoas singulares no que diz
CAPITULO VII
MEDIDAS DE EXECU<::AO COMUNITARIAS
Artigo 31 '·1
Comitologia
1. A Comissao sera assistida por urn comitt; composto por representantcs dos Estados- -membros e presidido pelo representantc da Comissao.
2. 0 representante da Comissao submctera a aprec1a<;ao do comite urn projecto das medidas a tomar. 0 comite emitira o seu parecer sobrc esse projecto num prazo que o presidentc pode fixar em fun<;ao da urgencia da questao em causa.
0 parecer sera emitido por maioria, nos termos prcvistos no n'.' 2 do artigo 148'.' do Tratado. Nas vota<;6es no comite, os votos dos reprcsentantes dos Estados-membros estao sujcitos ;1 pondera<;ao definida no artigo atras refcrido. 0 prcsidcntc n;l.o participa na vota<;ao.
A Comissac adoptara medidas que sao imcd1atamentc aplicaveis. Todavia, se nao forem conformes com o parecer emitido pelo comite, essas medidas scrao imediatamente cornunicadas pela Comiss:io ao Conselho. Nesse caso:
a Comis~;ao diferira a aplica<;ao clas medidas que aprovou por urn prazo de tres mescs a contar da data da comunica<;ao,
o Conselho, deliberando por maioria qualificada, podc tomar uma decisao difercnte no prazo previsto no travessao anterior.
DISPOSI<::<)ES FINAlS
Attigo 32S)
1. Os Estados-membros porao em vigor as disposi<;oes legislativas, regulamentares e administrativas necessarias para dar cumprimento a presente directiva () mais tardar tres anos a contar da data da sua adop<;ao.
Quando os Estados-membros adoptarem essas disposi- <;ocs, estas devem incluir uma referencia a presente clircc- tiva ou ser acompanhadas dessa referencia na publica<;ao oficial. As modalidades clessa referencia serao adoptadas pelos Estados-membros.
2. Os Estados··membros assegurarao que os tratamentos ja em curso a data da entrada em vigor das disposi<;ocs nacionais tomadas nos termos da presentc dircctiva cum- prirao essas di~posi<;oes o mais tardar tres anos a contar da referida data.
Em dcrroga<;ao ao paragrafo anterior, os Estados-mem- hros poderJ.o estabelecer que o tratamento de dados ja existente em ficheiros manuais a data de entrada em vigor clas disposi<;oes nacionais tomadas nos termos da presente directiva cumprira o disposto nos artigos 6~', 7'.1
c 8<! no prazo de doze anos a contar da data de adop<;ao da prcscntc directiva. Os Estadm.-membros possihilitarao, no entanto, a pessoa em causa obtcr, a seu pedido c, nomeadamente, aquando do excrclcio do direito de acesso, a rcctifica<;ao, o apagamento ou o bloqueio dos dados incompletos, incxactos ou -.:onscrvados de modo mcompatlvel com os fins legitimos prosscguidos pelo rcspons;i.vcl pelo tratamento.
3. Em derroga<;ao ao n'.' 2, os Estados-membros poderao cstabelcccr que, sob reserva das garantias adequadas, os dados conscrvados unicamente com finalidades de investi-
N~' L 281/50 Jornal Ofioal das Comunidades Europeias 23. 11. 95
ga\ao hist6rica nao terao que cumprir os artigos 6'!, T.' e W! da presente directiva.
4. Os Estados-membros comumcarao a Comissao o texto das disposi\6es de direito interno que adoptem no domlnio regido Jela presente directiva.
Artigo 33'/
A Comissao apresentara periodicamente ao Parlamcnto Europeu e ao Conselho, e pela primeira vez o mais tardar tr(·s anos ap6s a data referida no n<.> 1 do artigo _)2'.', um rclatorio sobre ;1 aplica~ao cia prcsente directiva, cven- tualmcnte acompanhado de propostas de altera\<lo ade- quada~;. 0 relat(Srio sera publicado.
A Comissao analisad, nomeadamente, a aplica~ao cb prescnte directiva ao tratamento de dados de som e de
imagem relativos as pessoas singulares e apresentara as propostas adequadas que se revelem necessarias, tendo em conta o desenvolvimento das tecnologias da inforrna- ~;1o, e a luz da situa<.;ao quanto aos trabalhos sohre a sociedade de informa<.;<io.
Artigo 34'/
Os Estados-memhros sao OS destinat;irios da presente directiva.
Feito no Luxemhurgo, em 24 de Outuhro de 1995.
Pelo Parlamento Europeu
0 Prcsidentc
K. HANSC:H
Pelo Conselho
0 Presidente
L. ATIENZA