Рекомендації державам-членам не є обов'язковими й в цілому пов'язані з питаннями, з приводу яких Комітет домовився щодо спільної політики.
Існує 13 рекомендацій, які можуть вплинути у той чи інший спосіб на політику, так само як і на захист даних, зокрема :
1. Рекомендація № 11(2002) 9 щодо захисту даних про особу, що збираються та обробляються в цілях страхування (18 вересня 2002) та Пояснювальний Меморандум
2. Рекомендація № 11(99) 5 щодо захисту приватності в мережі Інтернет (23 лютого 1999 р.)
3. Рекомендація № R97) 18 щодо захисту персональних даних, що збираються та обробляються для статистики (30 вересня 1997 р.)" та Пояснювальний Меморандум
4. Рекомендація R11(97) 5 щодо захисту медичних даних (13 лютого 1997 р.) та Пояснювальний Меморандум
5. Рекомендація № R95) 4 щодо захисту даних в царині телекомунікаційних послуг, й особливо щодо послуг телефонного зв'язку (7 лютого 1995 р.) та Пояснювальний Меморандум
6. Рекомендація № 11(91) 10 щодо передачі даних про особу, що зберігаються публічними органами, третім сторонам (9 вересня 1991р.) та Пояснювальний Меморандум
7. Рекомендація № R90) 19 щодо захисту персональних даних, що використовуються для проплат та інших операцій (13 вересня 1990 р.) та Пояснювальний Меморандум
8. Рекомендація № 11(89) 2 щодо захисту персональних даних , що використовуються для працевлаштування (18 січня 1989 р.) та Пояснювальний Меморандум
9. Рекомендація № R87) 15, яка регулює використання персональних даних в роботі поліції (17 вересня 1987 р.) та Звіт з оцінкою рекомендацій: Перший (1994), Другий (1998) та третій (2002)
10. Рекомендація № 11(86) 1 щодо захисту персональних даних для соціального забезпечення (23 січня 1986 р.) та Пояснювальний Меморандум
11. Рекомендація № R85) 20 щодо захисту персональних даних, що використовуються для прямого маркетингу (25 жовтня 1985 р.) та Пояснювальний Меморандум
12. Рекомендація № R 83) 10 щодо захисту персональних даних, що використовуються у наукових дослідженнях та статистиці (23 вересня 1983 р.) [замінено Рекомендацією № И (97) 18 стосовно статистики] та Пояснювальний Меморандум
13. Рекомендація № 11(81) 1 щодо регуляції автоматизованих банків медичних даних (23 січня 1981 р.), включаючи Пояснювальний Меморандум.
А також дві Резолюції:
1. Резолюція (74) 29 щодо захисту прав осіб відносно електронних банків даних у публічній сфері, та
2. Резолюція (73) 22 щодо захисту прав особистості на інформаційну власність в електронних банках даних у приватному секторі.
Рекомендація № R (87) 15
Найважливішою з цих звітів є Рекомендація № R (87) 15, яка регулює використання персональних даних у роботі поліції (17 вересня 1987). На цей час вона була тричі оцінена: вперше (1994), вдруге (1998) і втретє (2002). Рекомендація № R (87) збалансовує інтереси суспільства щодо запобігання й стримування кримінальних злочинів і підтримання громадського порядку, з одного боку, та, інтересів особи та її права на недоторканість приватного життя, з іншого боку. Рекомендація окреслює положення Конвенції 108 щодо захисту осіб стосовно автоматичної обробки персональних даних від 28 січня 1981 р. та, зокрема, винятків, дозволених згідно зі статтею 9, а також положень Статті 8 Конвенції щодо захисту прав людини та основних свобод. Рекомендація покликана визначити низку принципів щодо захисту даних у звичайних і вкрай важливих справах поліції та, водночас адаптуючи принципи, врахувати особливі вимоги, переважно щодо "запобігання кримінальних правопорушень". Персональні дані, зібрані та оброблені для завдань, які не є звичайною діяльністю поліції, наприклад, для адміністративних цілей, підпадають під дію загальних норм захисту даних. Принципи регулюють усі стадії захисту даних, включаючи збір, зберігання, використання та передачу персональних даних, оскільки вони пов'язані з кінцевою природою "поліцейських цілей". У принципах по-різному оцінюватимуться завдання, які поліція має виконувати стосовно стримування кримінальних правопорушень та завдання, які вона має виконувати на рівні запобігання та підтримки публічного правопорядку. Навіть якщо в принципах йдеться просто про "органи поліції", вони застосовуються до всіх сил поліції, які, в залежності від наявної правової системи, можуть співіснувати та які іноді важко розрізнити з точки зору розподілу праці. Рекомендація переважно стосується автоматизованих персональних даних. Можливість ідентифікації особи має бути об'єктивно визначеною, зважаючи на різні наявні у поліції методи ідентифікації, наприклад, технологію відбитків пальців, систему розпізнавання голосу, бази даних спостереження тощо. "Відповідальний орган" згідно Рекомендації № R (87) 15 насправді, використовуючи термінологію Конвенції, е контролером файлу. Відповідно, цей орган матиме повну відповідальність за цей файл. Назва відповідального органу за певний файл має бути повідомлена наглядовому органу. Також існує можливість застосування цих принципів до юридичних осіб. Насамкінець, заходи щодо охорони державної безпеки (захист національного суверенітету від внутрішньої та зовнішньої небезпеки, включаючи захист міжнародних стосунків держави) можуть бути розширені, якщо їх застосування видається виправданим та доречним. Мінімальними гарантіями вважаються спеціальні умови державної безпеки та безпеки юридичних осіб і той факт, що держави-члени зберігають за собою право вживати для захисту більш жорстких заходів.
Основні принципи Принцип 1 - Контроль та обов'язкове повідомлення 1.1. Кожна держава-член має незалежну наглядову установу поза межами сектору поліції, яка відповідає за забезпечення дотримання принципів, зазначених у даній Рекомендації.
1.2. Нові технологічні засоби для обробки даних вводяться лише за умови, якщо вжиті усі доцільні заходи для того, аби гарантувати, що їх використання відповідає чинному законодавству щодо захисту даних.
1.3. Відповідальна установа заздалегідь консультується з наглядовим органом в будь-якому випадку, якщо застосування автоматичних методів обробки викликає питання стосовно відповідності цій Рекомендації.
1.4. Наглядові органи інформують про існування постійних автоматизованих файлів. У повідомленні зазначається характер кожного задекларованого файлу, орган, відповідальний за його обробку, його завдання, тип даних, що зберігаються у файлі та особи, яким дані передаються. Про ad hoc1 файли, які створюються під час певного розслідування, також повідомляється наглядовим органам або згідно умов, зазначених вище, із зазначенням специфічного характеру цих файлів, або у відповідності з національним законодавством.
Принцип 2 - Збір даних
2.1. Збір персональних даних для реалізації завдань поліції обмежується тими даними, які є необхідними для попередження реальної небезпеки або запобігання конкретному кримінальному правопорушенню. Будь-які винятки з цієї норми визначаються в рамках відповідного національного законодавства.
2.2. Якщо дані про особу були зібрані та зберігалися без її відома та якщо вони не знищені, тоді по можливості цій особі повідомляється про те, що про неї зберігається інформація, тільки-но зникне небезпека перешкоджання діяльності поліції.
2.3. Збір даних засобами технічного спостереження чи іншими автоматизованими засобами передбачається у особливих положеннях.
o 2.4. Заборонено збір даних про особу виключно на підставі певного расового походження, певних релігійних вірувань, сексуальної поведінки чи політичних переконань, або приналежності до певних рухів чи організацій, які не заборонені законом. Збір даних по цим характеристикам може здійснюватися за умови, якщо тільки це вкрай необхідне для певного розслідування.
Принцип 3 - Зберігання даних
3.1. Наскільки це можливо, зберігання персональних даних для роботи поліції обмежується точними даними та тими даними, які необхідні для виконання поліцейськими установами покладених на них законних обов'язків в рамках національного законодавства та інших зобов'язань, в рамках міжнародного права.
3.2. Наскільки це можливо, різні категорії даних, що зберігаються, відрізняються у відповідності з мірою їх точності або надійності та, зокрема, дані, засновані на фактах, відрізняють від даних, заснованих на думках чи особистих оцінках.
3.3. Якщо дані, зібрані для адміністративних цілей, мають постійно зберігатися, то вони мають зберігатися у окремому шайлі. У будь-якому випадку, необхідно вжити заходів для того, аби правила використання даних поліції не застосовувалися до адміністративних даних. Принцип 4 - Використання даних поліцією
4. При дотриманні принципу 5 персональні дані, що зібрані та зберігаються поліцією для виконання своїх завдань, мають використовуватися виключно для цих завдань.
Принцип б - Передача даних
5.1. Передача інформації всередині поліції
Передача даних між поліцейськими органами для цілей поліції дозволяється виключно, якщо існує правомірний інтерес до такої передачі інформації в межах повноважень цих органів.
5.2.І. Передача інформації іншим публічним установам
Передача даних іншим публічним установам дозволяється лише у особливих випадках, якщо:
а) існує чітке правове зобов'язанні чи дозвіл, або за дозволом наглядового органу, або якщо
б) ці дані необхідні одержувачу для виконання його власних законних обов'язків, та якщо мета збору та обробки даних реципієнтом не відповідає первинній обробці, та якщо законні обов'язки установи, що передає інформацію, не суперечать цьому
5.2.ІІ. Більше того, передача інформації іншим публічним органам як виняток в особливих випадках дозволяється якщо:
а) передача інформації, безсумнівно, є в інтересах суб'єкта даних8, або суб'єкт даних погодився, або обставини такі, що дозволяють вочевидь припустити можливість такої згоди, або
б) передача інформації є необхідною для запобігання серйозній та неминучій небезпеці.
5.З.І. Передача інформації приватним особам
Передача даних приватним особам дозволяється у особливих випадках, лише якщо існують чіткі правові зобов'язання чи дозволи, або дозволи наглядового органу.
5.З.И. Передача даних приватним особам як виняток дозволяється певних випадках, якщо:
а) передача інформації, безсумнівно, є в інтересах суб'єкта даних, або суб'єкт даних погодився, або обставини такі, що дозволяють вочевидь припустити можливість такої згоди, або
б) передача інформації є необхідною для запобігання серйозній та неминучій небезпеці.
5.4. Міжнародний обмін інформацією
Для органів поліції передача даних зарубіжним установам заборонена. Вона може дозволятися лише:
а) якщо це чітко передбачено національним чи міжнародним законодавством,
б) за умови відсутності такої норми, якщо передача інформації є необхідною для запобігання серйозній та неминучій небезпеці або необхідна для запобігання серйозному кримінальному правопорушенню згідно норм загального права та якщо тільки не порушується національне законодавство щодо захисту особи.
5.5.L Запит щодо передачі інформації
Згідно норм національного законодавства або міжнародних договорів, у запитах щодо передачі даних зазначаються органи чи особи, які вимагають їх, так само як і причини та призначення запитів. 5.5.іі.Умови передачі інформації
Наскільки це можливо, якість даних має бути підтверджена не пізніше часу передачі інформації. Під час передачі всіх даних зазначаються судові рішення та рішення щодо непередачі справи до суду. Інформація, що ґрунтується на міркуваннях або особистих оцінках, має перевірятись у першоджерел до моменту передачі інформації, при цьому необхідно зазначати ступінь їх точності або надійності.
Якщо з'ясовано, що дані вже не точні та застарілі, вони не передаються Якщо були передані дані, які вже не є точними і застаріли, орган, що надав такі дані, по можливості інформує усіх одержувачів даних про невідповідність останніх.
5.5.UL Охорона передачі інформації
Дані, що передаються іншим публічним органам, приватним особам та міжнародним установам, не використовуються для інших цілей, крім тих, що зазначені у запиті щодо інформації.
Не перешкоджаючи виконанню параграфів 5.2-5.4 даних Принципів, використання даних з іншою метою є предметом для договору органів, що беруть участь в обміні інформацією.
5.6. Взаємозв'язок файлів та доступ до файлів онлайн
Взаємозв'язок файлів з іншими файлами, створеними для інших цілей, можливий лише за однієї або іншої умови:
а) надання дозволу наглядовим органом для забезпечення розслідування певного правопорушення, або
б) за відповідності чіткій правової нормі.
Доступ до файлів он-лайн дозволяється лише згідно норм національного законодавства, яке враховує Принципи 3-6 даної Рекомендації.
Принцип 6 - Гласність, право доступу до файлів поліції, право на виправлення та право на апеляцію
6.1. Наглядова установа сама вживає заходи для забезпечення поінформованості громадян з приводу тих файлів, про існування яких обов'язково інформувати, та щодо прав громадян у зв'язку з існуванням таких файлів. Реалізація цього принципу враховує специфічний характер ad hoc файлів, зокрема, потребу уникання серйозного перешкоджання органам поліції у виконанні ними своїх правових обов'язків.
6.2. Суб'єкти даних повинні мати доступ до файлів поліції у доцільні інтервали та без надмірної затримки згідно норм національного законодавства.
6.3. Суб'єкти даних повинні мати право за потреби на корекцію даних про них, що зберігаються у файлі.
Якщо внаслідок реалізації права доступу персональні дані визнані як надмірні, неточні чи такі, що не відповідають будь-якому з принципів даних Рекомендації, то такі дані знищуються або виправляються, або ж до файлу додаються коригуючі свідчення.
Такі дії щодо знищення чи виправлення даних охоплюють по можливості усі документи, що супроводжують поліцейські файли та, якщо не здійснюються негайно, найпізніше застосовуються під час наступної обробки даних або під час їх наступної передачі.
6.4. Реалізація права доступу, виправлення та знищення даних обмежується виключно у випадку, якщо таке обмеження необхідне для виконання правових обов'язків поліції або для захисту суб'єктів даних або прав та свобод інших осіб.
В особливих випадках згідно закону в інтересах суб'єктів даних письмові свідчення можуть не допускатися.
6.5. Відмова або обмеження в цих правах обґрунтовується письмово. Відмова у інформуванні щодо причин можлива виключно тоді, коли це заважатиме виконанню правових обов'язків поліції або є необхідним для захисту суб'єктів даних або прав та свобод інших осіб.
6.6. В разі, якщо у доступі відмовлено, суб'єкт даних може оскаржувати таке рішення до наглядової установи або до іншого незалежного органу, який сам доводить, що відмова є обґрунтованою.
Принцип 7 - Тривалість зберігання та оновлення даних
7.1. Заходи вживаються заради того, аби гарантувати, що персональні дані, які зберігалися для потреб поліції та які вже не потрібні для досягнення тієї мети, заради якої зберігалися, знищені.
У цьому зв'язку враховуються, зокрема, наступні критерії оцінки: потреба у збереженні даних у світлі висновків розслідування певної справи, остаточне судове рішення, зокрема, виправдання, реабілітація, термін ув'язнення, амністія, вік особи, про яку зберігається інформація, певні категорії даних.
7.2. Правила щодо фіксації періодів зберігання для різних категорій персональних даних та регулярних перевірок якості даних визначається за домовленістю з наглядовою установою або згідно норм національного законодавства.
Принцип 8 - Захист даних
8. Відповідальний орган вживає усі необхідні заходи для забезпечення належної фізичного та логічного захисту даних та запобіганню несанкціонованому доступу, передачі або викривлення. У зв'язку з цим враховуються різні характеристики та зміст файлів.
Звіти
Можуть буті взяті до уваги деякі наступні звіти щодо захисту даних та діяльності поліції, як-от:
o Звіт, що містить керівні принципи щодо захисту осіб відносно збору та
обробки даних засобами відеоспостереження (2003), (див. далі 2.1.5.1
Звіт відеоспостереження 2003);
o Звіт щодо впливу принципів захисту даних на судові дані у кримінальних справах, включаючи умови судової співпраці в кримінальних справах (2002) (див. далі 2.1.6.2 Конвенція щодо взаємодопомоги у кримінальних справах);
o Керівництво щодо підготовки статей договору, що визначають захист даних під час передачі третім сторонам персональних даних, непов'я-заних адекватним ступенем захисту даних (2002);
o Звіт щодо захисту персональних даних стосовно використання смарт-карток з мікропроцесорами, підготовлений п. Карелом Ньювертом (Чеська республіка);
o Дослідницькі контракти, що включають передачу персональних даних між сторонами Конвенції 108 та третім країнам, які не забезпечують адекватного ступеню захисту (2001), підготовлених п. Жеромом Уйє, доктором права, позаштатним викладачем на факультеті права, професором Паризького університету II (Пантеон-Аса), Директором ЦМПУС (Центру мультімедійних правових та економічних досліджень);
o Захист персональних даних відносно спостереження (2000) та Керівні принципи захисту осіб стосовно збору та обробки даних засобами відео-спостереження, підготовлених п. Джованні Буттареллі, Генеральним секретарем Наглядового органу Італії з питань захисту даних (див. далі 2.1.5.1 Звіт щодо відеоспостереження);
o Повторний огляд засекречених даних (1999), підготовлений п. Спіросом Сімітісом, професором Йоганн Вольфганг Гьоте університету Франкфурте на Майні, Директором Дослідницького центру захисту даних (Німеччина) (див. далі 2.1.5.3 Засекречені дані);
o Перша оцінка відповідності Рекомендацій № К (87) 15, що регулює використання персональних даних у поліції, здійснена у 1994 р. (див. далі - Рекомендація 1181 (1992) щодо співробітництва поліції);
o Друга оцінка відповідності Рекомендації № К (87) 15, що регулює використання персональних даних у поліції, здійснена у 1998 р. (див. далі
2.1.5.4 Кримінальна розвідка);
o Третя оцінка відповідності Рекомендацій № К (87) 15, що регулює використання персональних даних у поліції, здійснена у 2002 р. (див. далі
2.1.5.5 Систематизація файлів, суб'єктів даних, тривалість зберігання, а також 2.1.6.7 Принципи захисту даних та кримінальні процедури).
Звіт відеоспостереження 2003
Звіт, що містить керівні принципи щодо захисту осіб відносно збору та обробки даних засобами спостереження (2003), був прийнятий Європейським Комітетом з питань правової співпраці (ЄКПС) на його 78-их зборах (20-23 травня 2003 р.). Він заснований на Звіті щодо захисту даних стосовно заходів спостереження, підготовленому доктором Джованні Буттареллі, Генеральним секретарем Наглядового органу Італії з питань захисту даних). Цей Звіт висуває на передній план перелік обов'язкових для врахування Керівних принципів спеціально для відеоспостереження. Будь-яка діяльність щодо відеоспостереження здійснюється на підставі цих засад як необхідних для забезпечення відповідності діяльності Принципам захисту даних, зокрема:
(1) гарантуючи, що діяльність є справедливою і законною, спрямована на досягнення обґрунтованих конкретних та недвозначних цілей. Персональні дані, зібрані засобами відеоспостереження, в подальшому не обробляються у спосіб, несумісний з цілями, задля яких вони були зібрані;
(2) використовуючи відеоспостереження лише у разі, якщо, залежно від обставин, не можна досягнути мети іншими заходами, які менше втручаються у приватне життя осіб, та якщо тільки альтернативні заходи не призведуть до непропорційних витрат;
(3) з метою не допущення будь-яких ненавмисних та невиправданих порушень прав та свобод суб'єктів даних, наприклад, права на вільне пересування, та гарантування недоторканості особи, її приватного життя, навіть у публічних місцях, - використовуючи відеоспостереження у адекватний спосіб, доречно та без надмірного застосування щодо визначених та чітких завдань пошуку в певних справах, де очевидна потреба цього;
(4) якщо мета спостереження не передбачає можливості ідентифікації осіб, відеоспостереження відбувається у спосіб, який не дозволяє впізнати осіб, за якими стежать;
(5) запобігаючи необов'язковим індексації, співставленню та зберіганню зібраних даних. Якщо доведено необхідність збереження даних, то як тільки ці дані вже не будуть необхідними для визначених та конкретних завдань слідства, ці дані мають бути знищені;
(6) утримуючись від заходів відеоспостереження, якщо обробка даних може призвести до дискримінації певних суб'єктів даних чи груп суб'єктів даних виключно на підставі їх політичних переконань, віросповідання, здоров'я чи сексуального життя, расового або етнічного походження;
(7) належним чином забезпечуючи очевидність того, що відбувається відео спостереження, а також забезпечуючи наочність мети спостереження та назви контролера, або попередньо інформуючи суб'єкта даних про це. Інша інформація, враховуючи певні обставини, надається суб'єкту даних, якщо це необхідно для забезпечення справедливого процесу отримання персональних даних та не перешкоджає досягненню мети спостереження;
(8) протягом терміну зберігання даних забезпечуючи реалізацію права суб'єкта даних доступу до даних, й там, де доречно, права на виправлення, блокування та/або знищення, якщо тільки це не спричинятиме непропорційних витрат;
(9) вживаючи усі технологічні та організаційні заходи необхідні для захисту цілісності зібраної інформації;
(10) у разі зберігання поліцією персональних даних автоматичними засобами, отриманих від відео спостереження крім того враховуються принципи Рекомендацій № И (87) 15 щодо використання персональних даних у поліції;
(11) обмежуючи використання систем відео спостереження на робочих місцях лише організаційними та виробничими вимогами або заради професійної безпеки. Ця система не спрямована на систематичне спостереження якості та кількості здійснюваної особою діяльності на робочому місті.
Працівники або їх представники отримують відповідну інформацію чи консультації до запровадження або пристосування систем відео спостереження. Якщо консультації виявляють можливість порушення права працівників щодо недоторканості приватного життя людини та права на повагу її гідності, необхідним є досягнення домовленості про застосування систем спостереження. В разі судового процесу або зустрічного позова працівники можуть використовувати дані записів відеоспосте-реження як основу. (12) Якщо персональні дані записуються та зберігаються, це здійснюється, по-можливості, у спосіб, що дозволяє суб'єктам даних реалізовувати їх право доступу до інформації згідно законодавства щодо захисту даних без права отримання інформації про інших осіб.
Кримінальна розвідка
Систематизація файлів, суб'єктів даних, тривалість зберігання
Стосовно особливої сфери
9.7. Шенгенська угода та Шенгенська інформаційна система
Шенгенська інформаційна система (ШІС)
Захист Даних У Шенгені
9.8. Конвенція про взаємну допомогу у кримінальних справах
9.9. Конвенція про кіберзлочинність
9.10. Застосування угод про взаємну правову допомогу