Приватне життя і поліція – Римаренко Ю. І. – Захист Даних У Шенгені

Шенгенська Конвенція – це перший законодавчий акт у сфері захисту даних, який обов’язково діє у сфері поліцейського та митного контролю у Європі. Конвенція 108 та Директива 95/46/ЄС містять виключення, які стосуються захисту даних у справах поліції. До Шенгенської Конвенцію включено важливі права суб’єкта даних. Наприклад, суб’єкт даних має право мати доступ до інформації стосовно нього/неї, що міститься у ШІС. Однак це право обмежене у випадках, коли це може перешкоджати виконанню правових завдань, визначених у звіті, або задля захисту прав та свобод інших, або з метою прихованого спостереження протягом терміну подання звіту. Суб’єкт даних також має право на виправлення фактично неточних даних та на знищення юридично неточних даних стосовно нього. Інше право, яким може користуватись суб’єкт даних, – це право просити про перевірку даних, звернувшись для цього до національних органів, що наглядають над захистом даних і створені згідно з Конвенцією. Наглядовий орган, до якого надійшло подібне прохання, перевіряє відомості стосовно суб’єкта даних, що включені до ШІС, та цілі, у яких ці дані використовуються. До інших важливих принципів стосовно захисту даних, що були включені до Шенгенської Конвенції, відносяться:

O принципи безпеки даних;

O період, протягом якого дані можуть зберігатись у ШІС;

O правильність, оновленість та законність даних;

O принцип збору даних з певною метою.

Конвенція також зумовлює нагляд над даними та вимагає створення національного наглядового органу на території кожного з учасників угоди, а також спільного наглядового органу, у якому будуть представлені всі учасники угоди. Необов’язкова Рекомендація № R (87) 15 використовується для доповнення Шенгенської конвенції.

Статья І. Цільовий принцип (ст. 102):

1. Договірні Сторони можуть використовувати дані, перелічені в ст. з 95 по 100, виключно для цілей, що встановлені для кожного типу звіту, зазначених в цих статтях.

2. Дані можуть дублюватися лише в технічних цілях та за умови, що таке дублювання необхідне відомствам, що зазначені в ст. 101, для прямого пошуку. Заборонено копіювати рапорти інших Договірних Сторін з національної частини Шенгенської інформаційної системи в інші національні масиви даних.

3. У зв’язку з типами рапортів, передбачених уст. з 95 по 100 цієї Конвенції, будь-яке відхилення від § 1 з метою зміни одного типу рапорту на інший, має бути обгрунтованим необхідністю запобігання неминучої серйозної небезпеки громадському порядку та безпеці, важливими причинами державної безпеки, або з метою запобігання серйозному правопорушенню. Для зміни типу рапорту договірній стороні необхідно отримати попередній дозвіл.

4. Дані не можуть використовуватися в адміністративних цілях. Однак згідно з відповідним національним законодавством Договірних сторін, і виключно для цілей ст. 101 (2), дозволено використання даних, що додані у відповідності до ст. 96.

5. Будь-яке користування даними, що не відповідає положенням §§4-7, вважається зловживанням по відношенню до національного законодавства відповідної Договірної сторони.

Статья II. Регулярний контроль (ст. 103):

Кожна Договірна сторона повинна забезпечити, щоб орган управління масивами даних фіксував в середньому кожну десяту передачу особливої інформації в національній секції Щенгенської інформаційної системи з метою перевірки імовірності здійснення пошуку. Запис може використовуватися лише з такою ціллю. Запис необхідно видалити через шість місяців.

Статья Ш. Рапорти (ст. 104):

1. Якщо ця Конвенція не передбачає більш суворих правил складання рапорту, таки рапорти регулюються відповідним національним законодавством Договірної сторони, що складає рапорт.

2. Якщо ця Конвенція не встановлює особливих положень, дані, що включені до національної секції Шенгенської інформаційної системи, регулюються законодавством відповідної Договірної сторони.

3. Якщо ця Конвенція не передбачає особливих положень щодо виконання дій, які вимагаються в рапорті, застосовується національне законодавство тієї Договірної сторони, яка виконує дії, що вимагаються. Якщо ця Конвенція встановлює особливі положення щодо виконання дій, які вимагаються в рапорті, відповідальність за такі дії регулюється національним законодавством Договірної сторони, яка виконує дії, що вимагаються. У разі неможливості виконання дій, що вимагаються, відповідна Договірна сторона має негайно повідомити про це Договірну сторону, що складає рапорт.

Статья IV. Відповідальність при складанні рапорту (ст. 105):

Договірна сторона, що складає рапорт, несе відповідальність за точність, вчасність та правомірність уведення даних до Шенгенської інформаційної системи.

(а) Виправлення даних (ст. 106):

1. Лише Договірна сторона, що складає рапорт, має повноваження змінювати, додавати, коректувати або видаляти дані, що були нею внесені.

2. Якщо Договірна сторона, що не складає рапорт, має підстави припускати, що якийсь елемент даних є неточним з юридичної чи фактичної точки зору, вона повинна про це повідомити Договірну сторону, що складає рапорт, та, у разі необхідності, негайно виправити або видалити цей елемент даних.

3. Якщо Договірні сторони не можуть дійти згоди, та Сторона, що не склала рапорту, повинна передати справу на розгляд до об’єднаного наглядового органу, зазначеного в ст. 115(1).

Статья V. Подальші звіти (ст. 107):

Якщо особа вже була суб’єктом рапорту в Шенгенській інформаційній системі, Договірна сторона, яка додає наступний рапорт, повинна погодити уведення цих рапортів з Договірною стороною, яка внесла перший рапорт. З цією метою Договірна сторона може застосовувати загальні положення.

Статья VI. Головний відповідальний орган (ст. 108):

1. Кожна Договірна сторона повинна визначити орган, який нестиме головну відповідальність за національну секцію в Шенгенській інформаційній системі.

2. Кожна Договірна сторона вводить рапорт через цей орган.

3. Зазначений орган несе відповідальність за правильне оперування національною секцією Шенгенської інформаційної системи та повинен вжити необхідних заходів з метою забезпечення відповідності положенням цієї Конвенції.

4. Договірні сторони повинні інформувати одна одну через Депозитарій, орган, зазначений в § 1.

Статья VII. Доступ до даних (ст. 109):

1. Право будь-якої особи мати доступ до даних, що її стосуються та включені до Шенгенської інформаційної системи, задовольнятиметься згідно з законодавством Договірної сторони, якій про це право заявлено. Національний наглядовий орган, згаданий в ст. 114(1), приймає рішення щодо розкриття інформації та відповідної процедури, якщо це обумовлено національним законодавством. Договірна сторона, що не склала рапорту, може розкрити інформацію про такі дані лише за умови, що Стороні, яка склала рапорт, була надана попередня можливість висловити свою позицію.

2. Розкриття інформації особі забороняється, якщо це може призвести до невиконання офіційного завдання, зазначеного в рапорті, або з метою захисту прав та свобод інших осіб. У розкритті інформації буде відмовлено в будь-якому випадку під час складання рапорту з метою проведення тайного спостереження.

Статья VIII. Неточні дані (ст. 110):

Фактично неточні дані будь-якої особи можуть бути виправлені, а юридично неточні дані особи можуть бути видалені.

Статья IX. Право на подачу позову (ст. 111):

1. Будь-яка особа на території Договірної сторони може подати на розгляд до суду або органу, що є компетентним згідно з національним законодавством, позов щодо виправлення, видалення або надання інформації, що має до неї відношення та пов’язану з рапортом, чи отримання компенсації.

2. Договірні сторони гарантують виконання остаточних рішень суду або органу, зазначеного в § 1, не порушуючи положень ст. 116.

Статья X. Часові обмеження для зберігання даних (ст. 112):

1. Персональні дані, що включені до Шенгенської інформаційної системи з метою визначення місцезнаходження особи, повинні зберігатися лише впродовж часу, необхідного для досягнення мети, з якою такі дані були уведені. Договірній стороні, що складає рапорт, необхідно переглянути потрібність у зберіганні цих даних не пізніше трьох років з моменту їх уведення до системи. Для рапортів, зазначених у ст. 99, цей термін становитимете один рік.

2. У певних випадках, кожна Договірна сторона повинна встановити менш тривалі строки перегляду згідно з національним законодавством.

3. Служба технічної підтримки Шенгенської інформаційної системи автоматично повідомлятиме Договірну сторону про заплановане вилучення даних із системи за місяць до такого вилучення.

4. Договірна сторона, що складає рапорт, впродовж строку перегляду може вирішити залишити свій рапорт, якщо таке зберігання вимагається цілями рапорту. Про будь-яке розширення рапорту необхідно повідомити службу технічної підтримки. Розширення рапорту регулюватиметься положеннями § 1.

Статья XI. Спеціальні строки зберігання даних (ст. 113):

1. Інші дані, крім зазначених в ст. 112, повинні зберігатися не більш десяти років, дані про видачу посвідчень особи та зареєстрованих банкнот зберігаються не більше п’яти років, а дані про транспортні засоби, трейлери та фургони зберігаються не більше трьох років.

2. Видалені дані зберігаються впродовж одного року службою технічної підтримки. Звернення до видалених даних впродовж цього терміну можливо лише з метою перевірки їх точності та правомірності внесення до системи. Згодом вони повинні бути знищені.

Статья XII. Заснування наглядового органу (ст. 114):

1. Кожна Договірна сторона повинна призначити наглядовий орган, функціями якого буде незалежний нагляд за масивом даних в національній секції Шенгенської інформаційної системи та забезпечення непорушення відповідних особистих прав під час обробки та використання даних, що включенні в Шенгенську інформаційну систему. З цією метою наглядовий орган матиме доступ до масиву даних в національній секції Шенгенської інформаційної системи.

2. Будь-яка особа може звернутися до наглядового органу з проханням перевірити дані, що її стосуються та включені в Шенгенську інформаційну систему, та спосіб у який вони використовуються. Таке право надається у відповідності до національного законодавства Договірної сторони, до якої надійшло таке звернення. У разі, якщо дані були внесені іншою Договірною стороною, необхідно здійснити їх перевірку у взаємодії з наглядовим органом цієї сторони.

Статья XIII. Організаційна структура та завдання наглядового органу (ст. 115):

1. Необхідно заснувати спільний наглядовий орган, функцією якого буде здійснення нагляду за технічною підтримкою Шенгенської інформаційної системи. До цього органу входитимуть по два представника від кожного національного наглядового органу. Кожна Договірна сторона має право одного голосу. Нагляд повинен здійснюватися згідно положень цієї Конвенції, Конвенції Ради Європи Від 28 січня 1981 р. “Про захист людини щодо автоматичної обробки персональних даних”, приймаючи до уваги Рекомендацію R (87) 15 Комітету міністрів Ради Європи від 17 вересня 1987 р., що регулює використання персональних даних в поліцейському секторі, та у відповідності до національного законодавства Договірної сторони, що відповідає за технічну підтримку.

2. Спільний наглядовий орган повинен перевіряти правильність застосування положень цієї Конвенції службою технічної підтримки Шенгенської інформаційної системи. З цією метою він матиме доступ до служби технічної підтримки.

3. Спільний наглядовий орган повинен також мати повноваження щодо вивчення перешкод, які можуть виникнути під час користування Шенген-ською інформаційною системою, проблем, які можуть виникнути під час здійснення незалежного нагляду національними наглядовими органами договірних сторін, або при використанні права доступу до системи, та висунути узгоджені пропозиції з метою винаходження спільних рішень проблеми.

4. Звіти спільного наглядового органу повинні пересилатися до відомств, до яких національні наглядові органи подають свої звіти.

Компенсація (ст. 116):

1. Згідно з національним законодавством кожна Договірна сторона несе відповідальність за будь-яку шкоду, завдану особі через використання національного масиву даних Шенгенської інформаційної системи. Такі ж самі положення застосовуються, коли шкоду було завдано Стороною, що складає рапорт, якщо остання занесла у систему фактично чи легально неточні дані.

2. Якщо Договірна сторона, проти якої порушено справу, не е стороною, що складає рапорт, остання, у разі необхідності, повинна відшкодувати суму компенсації, якщо використання даних не суперечило положенням цієї Конвенції.

Статья XIV. Передача персональних даних (ст. 117):

1. Для обробки персональних даних, що пересилаються згідно положень цього розділу, кожна договірна сторона повинна, не пізніше набуття чинності цією Конвенцією, довести відповідні національні процедури принаймні до рівню, що вимагається положеннями Конвенції Ради Європи від 28 січня 1981 р. “Про захист людини щодо автоматичної обробки персональних даних”, та у відповідність до Рекомендацію R (87) 15 Комітету міністрів Ради Європи від 17 вересня 1987 р., що регулює використання персональних даних в поліцейському секторі.

2. Передача персональних даних, що обумовлена в цьому розділі, може відбуватися тільки, якщо на території відповідної Договірної сторони набули чинності процедури захисту персональних даних, зазначені в § 1.

Статья XV. Необхідні заходи (ст. 118):

1. По відношенню до національної секції Шенгенської інформаційної системи кожна Договірна сторона повинна вжити необхідних заходів з метою:

(а) запобігання доступу будь-якої неуповноваженої особи до обладнання, що використовується для обробки персональних даних (перевірки доступу до обладнання);

(б) запобігання зчитуванню, копіюванню, внесенню змін або видаленню носіїв даних неуповноваженими особами (контроль носіїв даних);

(в) запобігання несанкціонованому уведенню даних до файлу та будь-якому несанкціонованому зверненню, зміни або видаленню даних файлу (контроль уведення даних);

(г) запобігання використанню систем автоматичної обробки даних неуповноваженими особами шляхом використання обладнання для передачі даних (контроль використання);

(д) забезпечення доступу уповноваженим особам при використанні системи автоматичної обробки даних тільки до тих даних, що знаходяться в межах їх повноважень (контроль доступу);

(е) забезпечення можливості перевірки та з’ясування до яких органів можуть пересилатися персональні дані за допомогою обладнання для передачі даних (контроль передачі);

(є) забезпечення можливості емпіричної перевірки та визначення коли, ким та які дані були внесені до систем автоматичної обробки даних (контроль внесення даних);

(ж) запобігання несанкціонованому зчитуванню, копіюванню, внесенню змін або видаленню персональних даних під час їх передачі та транспортування носіїв даних (контроль транспорту).

2. Кожна Договірна сторона повинна вжити спеціальних заходів з метою забезпечення безпеці даних під час їх передачі до служб, що знаходяться за межами території Договірних сторін. Про такі заходи необхідно повідомити спільний наглядовий орган.

8. Для обробки даних у відповідній національній секції Шенгенської інформаційної системи, кожна Договірна сторона може призначити лише спеціально підготовлених осіб, які мають допуск до секретних робіт.

4. Договірнасторона, яка несе відповідальність за роботу служби технічної підтримки Шенгенської інформаційної системи, повинна вжити заходів, зазначених в §§ 1-3.

Передача даних ст, (126);

1. При автоматичній обробці персональних даних, що передаються згідно положень цієї Конвенції, кожна Договірна сторона повинна, не пізніше набуття чинності цією Конвенцією, прийняти національні положення з метою досягнення принаймні того рівню захисту персональних даних, що вимагається Конвенцією Ради Європи від 28 січня 1981 р. “Про захист прав людини щодо автоматичної обробки персональних даних”.

2. Персональні дані, що передбачені цією Конвенцією, не можуть передаватися до набуття чинності положеннями щодо захисту персональних даних, зазначених в § 1, на території відповідної Договірної сторони.

3. Окрім того, до автоматичної обробки персональних даних, що передаються згідно цієї Конвенції, повинні застосовуватися наступні положення:

(а) дані можуть використовуватися Договірною стороною – одержувачем інформації виключно для цілей передачі даних, передбачених цією Конвенцією; такі дані можуть використовуватися в інших цілях лише за попередньою згодою Сторони, якій передає дані, та у відповідності до законодавства Сторони – одержувача інформації; такий дозвіл на використання даних може бути наданий, якщо це дозволено національним законодавством Договірної сторони, що передає дані;

(б) дані можуть використовуватися тільки органами суду та департаментами і відомствами, що виконують завдання або функції, які пов’язані з цілями, зазначеними в § (а);

(в) Договірна сторона, що передає дані, повинна забезпечити їх точність; у разі виявлення нею (за власною ініціативою, або в результаті запиту зацікавленої особи) неточності даних, або з’ясування, що дані не повинні були пересилатися, та якщо необхідно негайно про це сповістити Договірну сторону – одержувача інформації, остання повинна буде виправити або знищити дані, або підтвердити, що ці дані не є точними, або що вони не повинні були пересилатися;

(г) Згідно з національним законодавством, Договірна сторона не може стверджувати, що інша сторона передала неточну інформацію з метою уникнення відповідальності по відношенню до постраждало!’ сторони; якщо відшкодування збитків, що були понесені у зв’язку з використанням отриманих неточних даних покладається на Договірну сторону – одержувача інформації, Договірна сторона, що передала дані, повинна повністю компенсувати такі витрати стороні – одержувачу інформації;

(д) передача та отримання персональних даних повинні фіксуватися як в масиві даних, з якого вони надійшли, так і в масиві даних, у який вони були включені;

(е) спільний наглядовий орган, зазначений в ст. 115, може, на вимогу однієї з Договірних сторін, висловити свою думку щодо перешкод при застосуванні та тлумаченні положень цієї статті.

4. Положення цієї Статті не застосовуються при передачі даних, передбачених розділом II, главою та розділом IV. Положення § 3 не застосовуються при передачі даних, передбачених розділом III, главою 2, 3, 4 та 5.

Неавтоматизований масив даних (ст. 127):

1. При передачі даних іншій Договірній стороні згідно з положеннями цієї Конвенції, застосовуються положення ст. 126 для передачі даних з неавтоматизованого масиву даних, а також до процедури їх включення до іншого неавтоматизованого масиву даних.

2. У випадках, що не передбачені ст. 126 (1), або § 1 цієї статті, передача персональних даних іншій Договірній стороні регулюється положеннями цієї Конвенції, ст. 126 (3), за винятком підпункту (д). Також застосовуються наступні положення:

(а) необхідно вести письмовий протокол передачі та отримання персональних даних; не потрібно робити записи в протокол, якщо не має необхідності запису даних з метою їх використання, зокрема, якщо дані не використовуються, або використовуються впродовж нетривалого часу;

(б)Договірна сторона – одержувач інформації повинна забезпечити для даних, що передаються, принаймні такий рівень захисту, який передбачений відповідним національним законодавством для використання даних такого роду;

(в) доступ до даних та умови надання цього доступу регулюються національним законодавством Договірної сторони, до якої відноситься зацікавлена особа.

3. Положення цієї статті не застосовуються при передачі даних, передбачених розділом П, главою 7, та розділом Ш, главами 2,3,4 та 5, а також розділом IV.

Національний наглядовий орган (ст. 128):

1. Згідно з положеннями цієї Конвенції, передача персональних даних не дозволяється до того, як національний наглядовий орган за дорученням Договірних сторін, що беруть участь в передачі даних, не розпочне незалежний моніторинг опрацювання персональних даних в масивах даних та їх відповідності положенням ст. 126 і ст. 127 та положень, що прийняті для впровадження цього.

2. Якщо Договірна сторона, згідно з національним законодавством, доручає відповідному наглядовому органу здійснення незалежного моніторингу відповідності положенням (в одній чи декількох сферах) щодо захисту персональних даних, не включених до масиву даних, ця Договірна сторона повинна доручити такому органу нагляд за дотриманням положень цього розділу у певних сферах.

3. Положення цієї статті не застосовуються при передачі даних, передбачених розділом II, главою 7, та розділом III, главами 2, 3, 4 та 5.

Рівень захисту (ст. 129):

При передачі персональних даних, передбачених розділом III, главою 1, Договірна сторона повинна, не порушуючи положень ст. 126 та ст. 127, застосувати такий рівень захисту персональних даних, що відповідає положенням Рекомендації И (87) 15 Комітету міністрів Ради Європи від 17 вересня 1987 р., що регулює використання персональних даних в поліцейському секторі. Крім того, при передачі даних, згідно з Статтею 46, слід застосовувати наступні положення:

(а) дані можуть використовуватися Договірною стороною – одержувачем інформації виключно для цілей, що визначені Договірною стороною, яка надала такі дані, та дотримуючись правил, встановлених цією Договірною стороною;

(б) дані можуть пересилатися лише до поліцейських департаментів та відомств; такі дані можуть бути передані до інших департаментів лише за умови отримання попередньої згоди Договірної сторони, яка їх надала;

(в) Договірна сторона – одержувач повинна, у разі необхідності, повідомити Стороні, що передала дані, про спосіб у який вони використовувалися, та отримані результати.

Офіцер зв’язку (ст. 130):

Якщо персональні дані передаються офіцером зв’язку, як зазначено в ст. 47 або ст. 125, положення цього розділу повинні застосовуватися лише коли цей офіцер зв’язку передає такі дані Договірній стороні, яка відрядила його до території іншої Договірної сторони.

(1 votes, average: 5,00 out of 5)