год 2010-й - более 30.000.000 обращений

РУКОВОДЯЩИЕ ПРИНЦИПЫ
по защите личности в отношении сбора и обработки персональных данных на информационных магистралях
(утверждено Комитетом Министров 23 февраля 1999 года на 660-м заседании Постоянных представителей при Совете Европы)

Преамбула

Комитет Министров на основании полномочий, определенных Статьей 15.b Устава Совета Европы, учитывая, что цель Совета Европы заключается в достижении большего единства между его членами;

• принимая во внимание развитие новых технологий, новых средств передачи информации и интерактивных услуг;
• понимая, что такое развитие повлияет на деятельность общества в целом и на отношения между людьми, в частности предоставляя расширенные возможности передачи и обмена информацией на национальном и международном уровнях;
• осознавая преимущества, которые получат пользователи новых технологий при таком развитии;
• учитывая, однако, что технологическое развитие и широкое распространение сбора и обработки персональных данных на информационных магистралях влечет опасность нарушения неприкосновенности частной жизни личности;
• принимая во внимание, что технологическое развитие также делает возможным внести вклад в соблюдение основных прав и свобод и, в особенности, права личности на неприкосновенность частной жизни при обработке персональных данных;
• сознавая необходимость развития методов, обеспечивающих анонимность субъектов данных и конфиденциальность информации, циркулирующей на информационных магистралях, при соблюдении прав и свобод других личностей и ценностей демократического общества;
• сознавая, что передача информации, осуществляемая с использованием новых информационных технологий, не должна нарушать прав и основных свобод человека, в частности права на неприкосновенность частной жизни и тайну переписки, как это гарантировано Статьей 8 Европейской конвенции о правах человека;
• сознавая, что сбор, обработка и в особенности передача персональных данных с использованием новых информационных технологий по информационным магистралям регулируются положениями Конвенции о защите личности в отношении автоматизированной обработки персональных данных (Страсбург 1981, Серия европейских договоров № 108) и частными рекомендациями по защите данных, в особенности. Рекомендации № R (90) 19 о защите персональных данных, используемых при платежах и других смежных операциях. Рекомендацией № R (91) 10 о передаче третьим лицам персональных данных, находящихся в ведении государственных организаций, и Рекомендацией № R (95) 4 о защите персональных данных в области телекоммуникаций, в особенности в телефонии;
• учитывая, что следует осведомить пользователей и поставщиков услуг Интернета об основных положениях упомянутой выше Конвенции при сборе и обработке персональных данных на информационных магистралях;
• рекомендует правительствам государств-членов Совета Европы широко распространить приложение к данным рекомендациям, в особенности для пользователей и поставщиков услуг Интернета а также для всех органов, ответственных за надзор за обеспечением защиты данных.

Приложение
к Рекомендации № R (99) 5 Комитета Министров государствам-членам Совета Европы по защите неприкосновенности частной жизни в Интернете
Руководящие принципы по защите личности в отношении сбора и обработки персональных данных на информационных магистралях, которые могут быть включены или приложены в кодексы поведения

В данном документе изложены принципы обеспечения неприкосновенности частной жизни для Пользователей и Поставщиков услуг Интернета1. Эти принципы могут быть учтены в кодексах поведения.

Пользователи должны быть осведомлены об обязанностях Поставщиков услуг Интернета и наоборот. Поэтому целесообразно, чтобы Пользователи и Поставщики услуг прочитали весь этот документ, хотя для облегчения использования он разбит на несколько частей. К Вам может относится одна или более частей данного руководства.

Использование Интернета накладывает ответственность на все Ваши действия и создает опасность для неприкосновенности частной жизни. Важно вести себя таким образом, чтобы обеспечить собственную защиту и поддерживать нормальные отношения с другими. Данный документ предлагает некоторые практические методы обеспечения неприкосновенности частной жизни, но Вам также следует знать Ваши права и обязанности, определенные законом.

Помните, что уважение неприкосновенности частной жизни - это основное право, которое должно быть защищено законом, в частности, законодательством по защите данных, и поэтому стоит уточнить Ваш юридический статус.

Помните, что Интернет - не безопасная сеть. Однако, существуют и разрабатываются различные средства, позволяющие повысить защиту ваших данных2. Поэтому, используйте все доступные средства для защиты Ваших данных и линий связи, как, например, легально доступные средства шифрования для конфиденциальной электронной почты, так и коды доступа к Вашему собственному персональному компьютеру3.

Помните, что любая Ваша транзакция, любое посещение сайта в Интернете оставляет следы. Подобные "электронные следы" могут быть использованы без Вашего ведома, для создания профиля о Вас и ваших интересах. Если Вы не желаете такого сбора информации, то следует использовать новейшие технические достижения, позволяющие проинформировать Вас о любом случае возможности "следов", и отказаться от дальнейших действий. Также Вы можете запросить информацию о методах обеспечения неприкосновенности частной жизни, предоставляемых различными программами и сайтами, и предпочесть те из них, которые регистрируют минимум данных о пользователе или могут быть доступны анонимно.

Наилучший способ обеспечения неприкосновенности частной жизни - это анонимный доступ и анонимное использование услуг, анонимные средства осуществления платежей. Там где это возможно, выясняйте наличие технических средств обеспечения анонимности4.

Полная анонимность не всегда возможна в силу законодательных ограничений. В таком случае, если это разрешено законом, Вы можете использовать псевдоним, что позволит знать Ваши персональные данные только поставщику услуг Интернета.

Сообщайте вашему поставщику услуг Интернета или кому-либо только те данные, которые необходимы для выполнения определенных действий, о которых вы проинформированы. Особая осторожность необходима при использовании кредитных карт и номеров счетов, которые в Интернете могут легко стать объектом злоупотреблений.

Помните, что Ваш адрес электронной почты является информацией персонального характера и посторонние лица могут использовать его, например, для включения в справочники или списки пользователей. Не стесняйтесь спрашивать о назначении такого справочника. При желании Вы можете потребовать исключения данных о себе из подобных справочников и списков.

С осторожностью относитесь к сайтам, где у Вас просят информацию личного характера большую, чем это требуется для доступа или осуществления трансакции, или где не говорят, для чего такая информация необходима.

Помните, что Вы несете ответственность перед законом за обработку данных, например, если Вы незаконно загрузили или выгрузили данные. Все эти действия могут быть отслежены даже в случае использования Вами псевдонима.

Не рассылайте электронные почтовые сообщения злонамеренного содержания. Это может привести к преследованию по закону.

Ваш поставщик услуг Интернета несет ответственность за правильное использование персональных данных. Запросите Вашего поставщика услуг Интернета о том, как, с какой целью и какие данные о Вас он накапливает, обрабатывает и хранит. Периодически возобновляйте такой запрос. Настаивайте на изменении поставщиком Ваших данных, если они неправильны, или на удалении, если они избыточны, просрочены или больше не требуются. Требуйте, чтобы поставщик оповестил о такой модификации все стороны, которым ваши персональные данные передавались5.

Если Вас не устраивает то, как Ваш поставщик услуг Интернет накапливает, использует, хранит и распространяет данные, и он при этом ничего не меняет, задумайтесь о смене поставщика услуг. Если Вы считаете, что поставщик не обеспечивает защиту персональных данных. Вы можете проинформировать компетентные органы или предпринять предусмотренные законом действия.

Старайтесь быть в курсе рисков неприкосновенности частной жизни и безопасности в Интернете и методов снижения таких рисков.

При отправке персональных данных в другую страну Вы должны учесть, что там они могут оказаться менее защищенными. В случае, если речь идет только о Ваших персональных данных. Вы вправе принимать любое решение. Однако, если Вы передаете не собственные персональные данные в другую страну. Вам следует запросить, например, компетентные органы, ответственные за защиту данных в Вашей стране, о том, допустима ли такая передача6. Вам следует потребовать принимающую сторону обеспечить меры7, необходимые для обеспечения защиты персональных данных.

Используйте соответствующие процедуры и доступные технологии, предпочтительно сертифицированные, для обеспечения неприкосновенности частной жизни личности (даже если они не являются пользователями Интернета), в особенности путем обеспечения целостности и конфиденциальности наряду с обеспечением физической и логической безопасности сети и услуг, предоставляемых в сети.

Информируйте пользователей перед их подпиской на услуги или началом обслуживания о рисках неприкосновенности частной жизни при использовании Интернета. Подобные риски могут быть связаны с нарушением целостности данных, конфиденциальности, безопасности сети или со скрытым накоплением или сбором персональных данных.

Информируйте пользователя о технических средствах, которые он/она могут использовать на законном основании для снижения риска нарушения безопасности данных и их передачи, например, о разрешенных средствах шифрования и цифровой подписи. Предлагайте подобные технические средства на коммерческой основе, не злоупотребляя ценами.

Перед подпиской пользователей и предоставлением доступа в Интернет информируйте их о возможности анонимного доступа к сети с анонимной оплатой услуг (например, препейд карты доступа). В силу законодательных ограничений полная анонимность не всегда может быть возможна. В таком случае, если закон разрешает, предоставляйте возможность пользователю использовать псевдонимы. Информируйте пользователей о программных средствах анонимного поиска и просмотра информации в Интернете. Проектируйте свою систему таким образом, чтобы избежать или минимизировать использование персональных данных.

Не читайте, не изменяйте или не удаляйте сообщения передаваемые другим лицам.

Не допускайте никакого вмешательства в содержимое передаваемых данных, если только это не предусмотрено законом и не осуществляется государственными органами.

Накапливайте, обрабатывайте и храните персональные данные пользователей только тогда, когда это необходимо для ясных, точно определенных и законных целей.

Не передавайте персональные данные, если такая передача не подкреплена законодательно8.

Не храните персональные данные дольше, чем это необходимо для целей обработки9.

Не используйте персональные данные для собственной рекламной или маркетинговой деятельности, если проинформированный о ваших намерениях пользователь возражает против этого или если в случае обработки передаваемых или специальных категорий данных, он/она не дал четкого согласия.

Вы отвечаете за надлежащее использование персональных данных. На Вашей вводной странице давайте ясную информацию о политике в части обеспечения неприкосновенности частной жизни. Эта информация должна иметь гиперссылку на детальное разъяснение такой политики. Прежде чем пользователь начнет пользоваться Вашими услугами, когда он/она посетит Ваш сайт или при любом его/ее запросе, проинформируйте его/ее о том, кто Вы, какие персональные данные Вы накапливаете, обрабатываете и храните, как вы это делаете, с какой целью и как долго Вы их храните. Если необходимо, запросите согласия пользователя. По запросу пользователя немедленно исправляйте его неверные данные и удаляйте их, если они избыточны, просрочены или больше не требуются, и прекращайте их обработку по требованию пользователя. Уведомляйте третью сторону, с которой Вы взаимодействуете, о любых модификациях. Избегайте скрытого сбора персональных данных.

Информация, предоставляемая пользователю, должна быть точной и актуальной.

Тщательно подумайте перед опубликованием персональных данных на вашем сайте! Подобная публикация может нарушить неприкосновенность частной жизни других людей и, кроме того, может быть запрещена законом.

Перед передачей данных в другую страну запросите, к примеру, компетентные органы Вашей страны, разрешена ли такая передача10. Вам следует просить принимающую сторону обеспечить необходимые меры защиты персональных данных" .

Там, где в тексте используется термин "поставщик услуг Интернета", все сказанное применимо и к другим участникам Интернета, таким, как поставщики доступа (access providers), контент-провайдеры (content providers), поставщики сетевых услуг (network providers), разработчики программных средств навигации, операторы электронных досок объявлений и т.п.

Важна гарантия того, что Ваши права уважаются. Механизмы ответных действий, предлагаемые Группами пользователей Интернета (Internet user groups), Ассоциациями поставщиков услуг Интернета (Internet service provider association), органами власти, ответственными за защиту данных, или другими органами, являются чрезвычайно важными гарантиями выполнения данных рекомендаций. Установите контакт с упомянутыми организациями и органами в случае, если необходимы пояснения и средства правовой защиты.

Эти рекомендации распространяются на все типы информационных магистралей.

Примечания

• См. Главу IV, п.1
• Термин "данные" относится к "персональным данным" и означает любую информацию о Вас или о других лицах.
• Например, используйте пароли и регулярно изменяйте их.
• Например, при использовании Интернет-киосков, препейд карт доступа или платежных карт.
• Законы о защите данных, в соответствии со статьей 5 Конвенции Совета Европы о защите личности в отношении автоматизированной обработки персональных данных (СЕД №108), должны предусматривать ответственность за точность и актуальность данных со стороны лица, осуществляющего их обработку.
• Законы многих европейских государств запрещают передачу данных в страны, где не обеспечен адекватный или эквивалентный уровень защиты. Однако, допускаются исключения, в частности, если субъект данных разрешил передачу его/ее данных в такую страну.
• Эти меры защиты могут быть разработаны и/или представлены в контракте на трансграничную передачу данных.
• В целом законы о защите данных разрешают передачу третьим лицам при определенных условиях, в частности
• специальных категорий данных и данных о графике, в случае если лицо, к которому они относятся, дало четкое согласие;
• других данных, там где их передача необходима для реализации законный целей или где лицо, к которому относятся данные, было проинформировано и дало не возражает.
• Например, не храните данные о счетах дольше, чем это необходимо по закону.
• См. примечание б.
• См. примечание 7.

>Recommendation No.R (99) 5
OF THE COMMITTEE OF MINISTERS TO MEMBER STATES FOR THE PROTECTION OF PRIVACY ON THE INTERNET

GUIDELINES
for the protection of individuals with regard to the collection and processing of personal data on information highways<>
(adopted by the Committee of Ministers on 23 February 1999 at the 660th meeting of the MinisterMinisters' Deputies)

Preamble

The Committee of Ministers, under the terms of Article 15.b of the Statute of the Council of Europe,

Considering that the aim of the Council of Europe is to achieve greater unity among its members;

Noting the developments in new technologies and new communications and on-line information services;

Aware that these developments will influence the functioning of society in general and relations between individuals, in particular in offering increased possibilities for communication and exchange of information at national and international levels;

Aware of the advantages which users of new technologies can gain from these developments;

Considering, nevertheless, that technological development and the generalisation of collection and processing of personal data on information highways carries risks for the privacy of natural persons;

Considering that technological development also makes it possible to contribute towards the respect of fundamental rights and freedoms, and in particular the right to privacy, when personal data concerning natural persons are processed;

Aware of the need to develop techniques which permit the anonymity of data subjects and the confidentiality of the information exchanged on information highways while respecting the rights and freedoms of others and the values of a democratic society;

Aware that communications carried out with the aid of new information technologies must also respect the human rights and fundamental freedoms and, in particular, the right to privacy and to secrecy of correspondence, as guaranteed by Article 8 of the European Convention on Human Rights;

Recognising that the collection, processing and especially communication of personal data by means of new information technologies, particularly the information highways, are governed by the provisions of the Convention for me Protection of Individuals with regard to Automatic Processing of Personal Data (Strasbourg 1981, European Treaty Series No. 108) and by sectoral recommendations on data protection and notably Recommendation No. R (90) 19 on the protection of personal data used for payment and other related operations. Recommendation No. R (91) 10 on the communication to third parties of personal data held by public bodies, and Recommendation No. R (95) 4 on the protection of personal data in the area of telecommunications, with particular reference to telephone services;

Considering that it is appropriate to make users and Internet service providers aware of the general provisions of the above-mentioned convention with regard to the collection and processing of personal data on information highways;

Recommends that the governments of member States disseminate widely the Guidelines contained in the appendix to this recommendation, especially to users and service providers on the Internet as well as to any national authority responsible for supervising respect of data protection provisions.

Appendix to
Recommendation No. R (99) 5 of the Committee of Ministers to
member states for the protection of privacy on the Internet
Guidelines for the protection of individuals with regard to the
collection and processing of personal data on information
highways which may be incorporated in or annexed to codes of conduct

I. Introduction

These guidelines set out principles of fair privacy practice for users and Internet service providers (ISP)footnote1 These principles may be taken up in codes of conduct.

Users should be aware of the responsibilities of ISPs and vice versa. Therefore it is advisable that users and ISPs read the whole text, although for ease of use it is divided into several parts. You may be concerned by one or more parts of the guidelines.

Use of the Internet places responsibilities on each of your actions and poses risks to privacy. It is important to behave in a way that provides protection to yourself and promotes good relations with others. These guidelines suggest some practical ways to safeguard privacy, but you should also know your legal rights and obligations.

Remember that respect for privacy is a fundamental right of each individual which may also be protected by data protection legislation. So it may be well worth checking your legal position.

II. For Users
Remember that the Internet is not secure. However, different means exist and are being developed enabling you to improve the protection of your datafootnote2. Therefore, use all available means to protect your data and communications, such as legally available encryption for confidential e-mail, as well as access codes to your own personal computerfootnote3.
Remember that every transaction you make, every site you visit on the Internet leaves traces. These "electronic tracks" can be used, without your knowledge, to build a profile of what son of person you are and your interests. If you do not wish to be profiled, you are encouraged to use the latest technical means which include the possibility of being Informed every time you leave traces, and to reject such traces. You may also ask for information about the privacy policy of different programmes and sites and give preference to those which record few data or which can be accessed in an anonymous way.
Anonymous access to and use of services, and anonymous means of making payments, are the best protection of privacy. Find out about technical means to achieve anonymity, where appropriatefootnote4.
Complete anonymity may not be appropriate because of legal constraints. In those cases, if it is permitted by law, you may use a pseudonym so that your personal identity is known only to your ISP.
Only give your ISP, or any other person, such data as are necessary in order to fulfil a specific purpose you have been informed about. Be especially careful with credit card and account numbers, which can be used and abused very easily in the context of the Internet.
Remember that your e-mail address is personal data, and that others may wish to use it for different purposes, such as inclusion in directories or user lists. Do not hesitate to ask about the purpose of the directory or other use. You can request to be omitted if you do not want to be listed.
Be wary of sites which request more data than are necessary for accessing the site or for making a transaction, or which do not tell you why they want all these data from you.
Remember that you are legally responsible for the processing of data, for example, if you illicitly upload or download, and that everything may be traced back to you even if you use a pseudonym.
Do not send malicious mail. It can bounce back with legal consequences.
Your ISP is responsible for proper use of data. Ask your ISP what data he/she collects-processes and stores, in what way and for what purpose. Repeat this request from time to time. Insist that your ISP change them if they are wrong or delete them if they are excessive, out of date or no longer required. Ask the ISP to notify this modification to other parties to whom he or she has communicated your datafootnote5.
If you are not satisfied with the way your current ISP collects, uses, stores or communicates data, and he or she refuses to change his or her ways, then consider moving to another ISP. If you believe that your ISP does not comply with data protection rules, you can inform the competent authorities or take legal action.
Keep yourself informed of the privacy and security risks on the Internet as well as the methods available to reduce such risks.
If you intend to send data to another country, you should be aware that data may be less well protected there. If data about you are involved, you are free, of course, to communicate these data nevertheless. However, before you send data about others to another country, you should seek advice, for example from the authority of your country, on whether the transfer is permissiblefootnote6. You might have to ask the recipient to provide safeguardsfootnote7 necessary to ensure protection of the data.
III. For Internet service providers
Use appropriate procedures and available technologies, preferably those which have been certified, to protect the privacy of the people concerned (even if they are not users of the Internet), especially by ensuring data integrity and confidentiality as well as physical and logical security of the network and of the services provided over the network.
Inform users of privacy risks presented by use of the Internet before they subscribe or start using services. Such risks may concern data integrity, confidentiality, the security of the network or other risks to privacy such as the hidden collection or recording of data.
Inform users about technical means which they may lawfully use to reduce security risks to data and communications, such as legally available encryption and digital signatures. Offer such technical means at a cost-oriented price, not a deterrent price.
Before accepting subscriptions and connecting users to the Internet, inform them about the possibilities of accessing the Internet anonymously, and using its services and paying for them in an anonymous way (for example, pre-paid access cards). Complete anonymity may not be appropriate because of legal constraints. In those cases, if it is permitted by law, offer the possibility of using pseudonyms. Inform users of programmes allowing them to search and browse anonymously on the Internet. Design your system in a way that avoids or minimises the use of personal data.
Do not read. modify or delete messages sent to others.
Do not allow any interference with the contents of communications, unless this interference is provided for by law and is carried out by a public authority.
Collect, process and store data about users only when necessary for explicit, specified and legitimate purposes.
Do not communicate data unless the communication is provided for by lawfootnote7.
Do not store data for longer than is necessary to achieve the purpose of processingfootnote9.
Do not use data for your own promotional or marketing purposes unless the person concerned, after having been informed, has not objected or, in the case of processing of traffic data or sensitive data, he or she has given his or her explicit consent.
You are responsible for proper use of data. On your introductory page highlight a clear statement about your privacy policy. This statement should be hyperlinked to a detailed explanation of your privacy practice. Before the user starts using services, when he or she visits your site. and whenever he or she asks, tell him or her who you are, what data you collect. process and store, in what way, for what purpose and for how long you keep them. If necessary, ask for his or her consent. At the request of the person concerned, correct inaccurate data immediately and delete them if they are excessive, out of date or no longer required and stop the processing carried out if the user objects to it. Notify the third parties to whom you have communicated the data of any modification. Avoid the hidden collection of data.
Information provided to the user must be accurate and kept up to date.
Think twice about publishing data on your site! Such publication may infringe other people's privacy and may also be prohibited by law.
Before you send data to another country seek advice, for example from the competent authorities in your country, on whether the transfer is permissiblefootnote10. YOU may have to ask the recipient to provide safeguards necessary to ensure protection of the datafootnote11.
IV. Clarification and remedies
Where in this text the term ISP is used, the same applies, where appropriate, to other actors on the Internet, such as access providers, content providers, network providers, navigation software designers, bulletin board operators, and so on.
It is important to ensure that your rights are respected. Feedback mechanisms offered by Internet user groups. Internet service provider associations, data protection authorities or other bodies are important ways of ensuring that these guidelines are respected. Contact them if you need clarification or remedies.
These guidelines apply to all types of information highways.
See part IV, paragraph 1.
The word "data" refers to "personal data" which concern you or other people.
For example, we passwords and change them regularly.
For example by using public Internet kiosks or pre-paid access and payment cards.
Data protection laws, following Article 5 of the Council of Europe Convention on the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108). give responsibility for the accuracy and up-dating of data to the person who processes them.
The laws of numerous European countries forbid transfers to countries which do not ensure an adequate or equivalent level of protection to that of your country. Exceptions are nevertheless provided for, in particular if the person concerned has consented to the transfer of his or her data to such countries.
These safeguards may be developed and/or presented in particular in a contract on transborder dataflows.
In general, data protection laws permit communication to third parties under certain conditions, in particular:
sensitive data and traffic data, on condition that the person concerned has given his or her explicit consent;
other data, where communication is necessary to fulfil the legitimate purpose or where the person concerned, after having been informed, does not oppose it.
For example, do not store billing data unless this is provided for by law.
See footnote 6.
See footnote 7.
Council of Europe - DIRECTORATE OF LEGAL AFFAIRS
Public and International Law Division "Data Protection" Section
E-mail:spvros.tsovilis@.coe.fr - Tel.: (33) 3 88 41 25 51-Fax: (33) 3 8841 2764