Закон ЭР от 12.02.2003 (ред. от 25.01.2007) "О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ" (Объявлен Президентом ЭР 05.03.2003)

Архив



Объявлен

постановлением Президента Республики

от 5 марта 2003 г. N 396



ЗАКОН

О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ



Принят 12 февраля 2003 года

(RTI, 2003, 26, 158)



(в редакции Законов Эстонской Республики)



от 14.04.2004 (RTI, 2004, 30, 208) с 01.05.2004

от 25.01.2007 (RTI, 2007, 11, 53) с 18.02.2007

от 25.01.2007 (RTI, 2007, 16, 77) с 01.01.2008



Глава 1

ОБЩИЕ ПОЛОЖЕНИЯ



Статья 1. Цель закона



Целью закона является охрана основных прав и свобод физических лиц при обработке персональных данных в соответствии с публичными интересами.



Статья 2. Сфера применения закона



(1) Законом устанавливаются:



1) условия и порядок обработки персональных данных;



2) порядок осуществления государственного надзора за обработкой персональных данных;



3) ответственность за нарушение требований к обработке персональных данных.



(2) Настоящий Закон не применяется:



1) к обработке персональных данных физическими лицами в личных целях;



2) к обработке правомерно переданных для публичного пользования персональных данных;



3) в случаях, если персональные данные только передаются через территорию Эстонии без их обработки в Эстонии;



4) (признан недействительным - 25.01.2007).



(3) Настоящий Закон принимается к обработке государственной тайны, содержащей персональные данные, если это вытекает:



1) из Конвенции, подписанной 19 июля 1990 года, которой вводится в действие договор между Правительствами Экономического союза государств Бенелюкс, Федеративной Республики Германия и Французской Республики о постепенной отмене контроля на их общих границах на основании Шенгенского договора от 14 июня 1985 года (Шенгенская конвенция) или



2) из Конвенции о Европейском Департаменте полиции (Конвенция Европола), принятой 26 июля 1995 года, которая основывается на статье К.3 Договора о Европейском Союзе.

(25.01.2007)



Статья 3. Применение Закона об административном производстве



К административному производству, предусмотренному настоящим Законом, применяются положения Закона об административном производстве (ПАЭ, 2002, 5, 354; 14, 336; 17, 375) с учетом особенностей, установленных настоящим Законом.



Статья 4. Персональные данные



(1) Персональные данные - это данные об идентифицируемом или идентифицированном физическом лице, отражающие физические, психические, физиологические, экономические, культурные или социальные свойства, отношения и принадлежность данного лица.



(2) Персональными данными, содержащими сведения о частной жизни, являются:



1) данные, касающиеся подробностей семейной жизни;



2) данные, касающиеся ходатайств об оказании социальной помощи или социальных услуг;



3) данные, касающиеся психических или физических страданий лица;



4) информация, собранная о лице при налогообложении, за исключением информации о задолженности по налоговым платежам.



(3) Персональными данными доверительного характера являются:



1) данные, касающиеся политических взглядов, религиозных убеждений и мировоззрения, за исключением данных о членстве в частноправовых юридических лицах, зарегистрированных в предусмотренном законом порядке;



2) данные, касающиеся этнического происхождения и расовой принадлежности;



3) данные, касающиеся состояния здоровья или имеющихся психических или физических недостатков;



4) данные, касающиеся информации о наследственности;



5) данные, касающиеся сексуальной жизни;



6) данные о членстве в профсоюзах;



7) информация, собираемая в производстве по уголовным делам и делам об иных правонарушениях, - до проведения открытого судебного заседания или вынесения приговора или решения по делу, либо если необходимо для защиты нравственности или семейной и частной жизни людей, либо если этого требуют интересы несовершеннолетних, потерпевших, свидетелей или правосудия.



Статья 5. Обработка персональных данных



Обработка персональных данных - это все действия, совершаемые с персональными данными как по отдельности, так и вместе, включая их сбор, запись, упорядочение, хранение, изменение, предоставление доступа к данным, производство запросов, изготовление выписок, использование данных, их передача, перекрестное использование, объединение, блокирование, исключение или уничтожение, независимо от способов их совершения или используемых средств.



Статья 6. Принципы обработки персональных данных



Ответственный и уполномоченный обработчики персональных данных обязаны соблюдать при обработке персональных данных следующие принципы:



1) принцип законности - персональные данные разрешается собирать честным и законным путем;



2) принцип целевого использования - персональные данные разрешается собирать только для достижения определенных и правомерных целей, не допускается их обработка способом, не соответствующим достижению целей такой обработки;



3) принцип минимальной достаточности - персональные данные разрешается собирать только в объеме, необходимом для достижения определенных целей;



4) принцип ограничения использования - персональные данные разрешается использовать в иных целях только с согласия субъекта данных или с разрешения правомочного на то органа;



5) принцип надлежащего качества данных - персональные данные должны быть актуальными, полными и необходимыми для достижения предусмотренной цели обработки данных;



6) принцип безопасности - для обеспечения охраны персональных данных должны приниматься меры по их защите от непреднамеренного или несанкционированного изменения, разглашения или уничтожения;



7) принцип индивидуального участия - субъект данных должен быть уведомлен о собираемых в отношении него данных, ему должен быть предоставлен доступ к касающимся его данным, а также он вправе требовать исправления неточных или вводящих в заблуждение данных.



Статья 7. Ответственный обработчик



(1) Ответственный обработчик - это физическое или юридическое лицо либо государственное или муниципальное учреждение, которое обрабатывает или по поручению которого обрабатываются персональные данные. Ответственный обработчик может быть определен законом или постановлением.



(2) Если иное не вытекает из закона или постановления, то ответственный обработчик должен определить:



1) цели обработки персональных данных;



2) состав обрабатываемых персональных данных;



3) порядок и способ обработки персональных данных;



4) допустимость передачи персональных данных третьим лицам.



Статья 8. Уполномоченный обработчик



Уполномоченный обработчик - это физическое или юридическое лицо либо государственное или муниципальное учреждение, которое обрабатывает персональные данные по поручению ответственного обработчика на основании административного акта или договора. Административным актом или договором определяются порядок, способы и условия обработки персональных данных. Уполномоченный обработчик может быть определен законом или постановлением.



Статья 9. Субъект данных



Субъект данных - это лицо, персональные данные которого обрабатываются.



Статья 10. Третье лицо



(1) Третье лицо - это физическое или юридическое лицо либо государственное или муниципальное учреждение, которое не является:



1) ответственным обработчиком;



2) уполномоченным обработчиком;



3) субъектом данных;



4) лицом, обрабатывающим данные, которое находится в подчинении ответственного или уполномоченного обработчика.



(2) Третье лицо, обрабатывающее переданные ему ответственным обработчиком персональные данные, считается ответственным обработчиком по смыслу части 1 статьи 7 настоящего Закона и оно обязано выполнять при обработке персональных данных требования, установленные настоящим Законом, другими законами и изданными на их основе правовыми актами.





Глава 2

ДОПУСТИМОСТЬ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ



Статья 11. Допустимость обработки персональных данных



(1) Обработка персональных данных допускается только с согласия субъекта данных, если иное не устанавливается законом.



(2) Административный орган может обрабатывать персональные данные только в ходе выполнения публичных функций с целью исполнения обязанности, предусмотренной законом или международным договором.



(3) Условия и порядок обработки персональных данных, установленных в части 3 статьи 2 настоящего Закона, устанавливает Правительство Республики постановлением.

(25.01.2007)



Статья 12. Обработка персональных данных с согласия субъекта данных



(1) Согласие субъекта данных - это ясно выраженное и сознательное волеизъявление субъекта данных, которым субъект данных дает разрешение на обработку его персональных данных.



(2) До запрашивания согласия субъекта данных на обработку его персональных данных ответственный или уполномоченный обработчик должен сообщить субъекту данных:



1) цель обработки персональных данных;



2) лица или категории лиц, которым разрешается передать персональные данные;



3) имя ответственного обработчика или его представителя и адрес места деятельности ответственного обработчика;



4) случаи, когда субъект данных вправе требовать прекращения обработки персональных данных, а также их исправления, блокирования и исключения;



5) случаи, когда субъект данных имеет право доступа к обрабатываемым персональным данным, касающимся его.



(3) Согласие субъекта данных действительно на протяжении всей его жизни и в течение 30 лет после его смерти, если субъектом данных не принято иного решения.



(4) Субъект данных может в любое время отозвать свое согласие. Отзыв согласия не имеет обратной силы. в отношении согласия применяются дополнительно положения Закона об Общей части Гражданского кодекса (ПАЭ, 2002, 9, 216; RT I, 2003, 13, 64), касающиеся волеизъявления.



(5) При наличии спора предполагается, что субъект данных не дал согласие на обработку своих персональных данных.



(6) Положения настоящей статьи не применяются, если персональные данные обрабатываются административным органом, за исключением обработки персональных данных доверительного характера, указанных в части 3 статьи 4 настоящего Закона.



Статья 13. Обработка персональных данных после смерти субъекта данных



(1) После смерти субъекта данных обработка его персональных данных допускается с письменного согласия супруга, родителя, деда, бабки, ребенка, внука, внучки, брата или сестры субъекта данных, за исключением случаев, когда согласие на обработку персональных данных не требуется, или по истечении 30 лет со дня смерти субъекта данных.



(2) Положения части 1 настоящей статьи не применяются, если обрабатываемыми персональными данными являются только имя, пол, даты рождения и смерти, а также факт смерти субъекта данных.



Статья 14. Обработка персональных данных без согласия субъекта данных



(1) Обработка персональных данных допускается без согласия субъекта данных, если персональные данные обрабатываются:



1) для исполнения или обеспечения исполнения договора, заключенного с субъектом данных;



2) в целях защиты жизни, здоровья или свободы субъекта данных либо иного лица;



3) для выполнения задания, предусмотренного законом или международным договором.



(2) Передача персональных данных или предоставление доступа к ним третьим лицам без согласия субъекта данных допускается:



1) если лицо, которому передаются данные, обрабатывает персональные данные в целях исполнения предусмотренной законом обязанности;



2) в целях защиты жизни, здоровья или свободы субъекта данных либо иного лица;



3) если третье лицо ходатайствует о передаче информации, полученной или созданной при выполнении предусмотренных законом или изданными на его основе правовыми актами публичных функций, в отношении которой не установлены ограничения доступа.



(3) Обработка персональных данных доверительного характера и персональных данных, содержащих сведения о частной жизни, без согласия субъекта данных допускается:



1) для выполнения задания, предусмотренного законом или международным договором;



2) в целях защиты жизни, здоровья и свободы субъекта данных или иного лица.



(4) Передача персональных данных доверительного характера и персональных данных, содержащих сведения о частной жизни, или предоставление доступа к ним третьим лицам без согласия субъекта данных допускается:



1) если лицо, которому передаются данные, обрабатывает персональные данные доверительного характера или персональные данные, содержащие сведения о частной жизни, в целях выполнения задания, предусмотренного законом или международным договором;



2) в целях защиты жизни, здоровья и свободы субъекта данных или иного лица.



(5) Передача данных о состоянии здоровья находящегося в больнице субъекта данных или предоставление доступа к ним допускается для близких ему лиц, за исключением случаев, когда:



1) субъект данных запретил доступ к данным или их передачу;



2) производящий следствие орган запретил доступ к данным или их передачу в интересах пресечения преступления, задержания преступника или установления истины по делу.



Статья 15. Уведомление субъекта данных об обработке персональных данных



(1) Если источником персональных данных является не субъект данных, то ответственный или уполномоченный обработчик обязан до передачи персональных данных третьему лицу или после получения данных сообщить субъекту данных:



1) цель обработки персональных данных;



2) состав и источники персональных данных;



3) лица или категории лиц, которым разрешается передать персональные данные;



4) имя ответственного обработчика или его представителя и адрес места деятельности ответственного обработчика;



5) случаи, когда субъект данных вправе требовать прекращения обработки персональных данных, а также их исправления, блокирования или исключения;



6) случаи, когда субъект данных имеет право доступа к обрабатываемым персональным данным, касающимся его.



(2) Указанная в части 1 настоящей статьи обязанность не действует:



1) если субъект данных осведомлен об обстоятельствах, перечисленных в части 1 настоящей статьи;



2) если персональные данные обрабатываются для выполнения задания, предусмотренного законом или международным договором;



3) в случаях, предусмотренных частью 1 статьи 30 настоящего Закона.



Статья 16. Допустимость обработки личного кода



Обработка личного кода без разрешения субъекта данных допускается, если обработка личного кода предусматривается международным договором, законом или постановлением.



Статья 17. Автоматические решения



(1) Принятие системой обработки данных без участия физического лица решений (далее - автоматические решения), которыми даются оценки личностным качествам, способностям или иным свойствам характера субъекта данных, если это повлечет правовые последствия для субъекта данных или иным образом существенно повлияет на него, запрещается, за исключением следующих случаев:



1) автоматические решения в отношении субъекта данных принимаются в ходе заключения или исполнения договора при условии удовлетворения ходатайства субъекта данных о заключении или исполнении договора либо предоставления субъекту данных возможности для представления в отношении принимаемого решения возражения для защиты своего оправданного интереса;



2) принятие автоматических решений предусмотрено законом, если законом установлены меры защиты оправданных интересов субъекта данных.



(2) До принятия автоматических решений субъект данных должен быть понятным образом уведомлен о процессе и условиях обработки данных, служащих основанием для принятия автоматического решения.





Глава 3

ТРЕБОВАНИЯ К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

И МЕРЫ ИХ ЗАЩИТЫ



Статья 18. Требования к обработке персональных данных



Ответственный обработчик и уполномоченный обработчик при обработке персональных данных обязаны:



1) немедленно исключать или блокировать не нужные для достижения целей персональные данные, если иное не предусмотрено законом;



2) обеспечивать достоверность персональных данных и их представление, если это требуется для достижения целей, по состоянию на текущий момент;



3) блокировать неполные и неправильные персональные данные, немедленно принимать необходимые меры по их дополнению и исправлению;



4) хранить неправильные данные с указанием времени их использования вместе с правильными данными;



5) блокировать персональные данные, правильность которых оспорена, до установления их правильности или выяснения правильных данных.



Статья 19. Организационные, физические и информационно-технические меры защиты персональных данных



(1) Ответственный обработчик и уполномоченный обработчик обязаны принимать организационные, физические и информационно - технические меры по защите персональных данных:



1) в части обеспечения целостности данных - от случайного или преднамеренного несанкционированного внесения изменений в данные;



2) в части сохранения операционных качеств данных - от случайной утери и умышленного уничтожения, а также от создания управомоченным лицам препятствий к доступу к данным;



3) в части обеспечения конфиденциальности данных - от их несанкционированной обработки.



(2) Ответственный обработчик и уполномоченный обработчик обязаны при обработке персональных данных:



1) исключать доступ посторонних лиц к оборудованию, используемому для обработки персональных данных;



2) предотвращать возможность самовольного считывания, копирования и изменения данных в системе их обработки, а также самовольного перемещения носителей данных;



3) предотвращать возможность самовольной записи, изменения и исключения персональных данных и обеспечивать возможность установления задним числом, когда, кем и какие персональные данные были записаны, изменены или стерты;



4) гарантировать, что каждый пользователь системы обработки данных имеет доступ только к тем персональным данным, для обработки которых он имеет разрешение, и может обрабатывать только разрешенные ему данные;



5) обеспечивать наличие сведений о передаче персональных данных (когда, кому и какие персональные данные передавались), а также сохранение таких данных в неизменном виде;



6) гарантировать невозможность самовольного считывания, копирования, изменения и исключения персональных данных при их передаче средствами передачи данных и при транспортировке носителей данных;



7) организовывать распорядок работы предприятия, учреждения или объединения таким образом, чтобы ничто не мешало выполнять требования по защите данных.



(3) Ответственные и уполномоченные обработчики обязаны вести учет подконтрольных им оборудования и программных средств, используемых при обработке персональных данных, путем записи следующих сведений:



1) наименование, тип и местонахождение оборудования, а также наименование его изготовителя;



2) наименования программного средства и версии, наименование и контактные данные изготовителя, местонахождение относящихся к программному средству документов.



Статья 20. Требования к лицам, обрабатывающим персональные данные



(1) Лицо, которое в подчинении ответственного или уполномоченного обработчика обрабатывает персональные данные, обязано обрабатывать их в соответствии с целями и на условиях, разрешенных настоящим Законом, следуя указаниям и распоряжениям ответственного обработчика.



(2) Лицо, указанное в части 1 настоящей статьи, обязано хранить в тайне ставшие ему известными при выполнении трудовых заданий персональные данные также после их выполнения либо после прекращения трудовых или служебных отношений.



(3) Ответственный обработчик и уполномоченный обработчик обязаны обеспечить обучение лиц, обрабатывающих в их подчинении персональные данные, по вопросам защиты персональных данных.





Глава 4

УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ,

СОДЕРЖАЩИХ СВЕДЕНИЯ О ЧАСТНОЙ ЖИЗНИ



Статья 21. Обязанность уведомления



(1) Ответственный обработчик персональных данных обязан уведомить Инспекцию по защите данных об обработке персональных данных, содержащих сведения о частной жизни, если такие персональные данные обрабатываются в электронно-цифровой форме или в совокупности бумажных носителей, из которой персональные данные возможно легко извлечь по определенному критерию.



(2) Обязанность уведомления не распространяется на обработку персональных данных в основном государственном реестре или в государственных реестрах, а также на случаи их обработки на основании закона или постановления.



Статья 22. Уведомление об обработке персональных данных



(1) Во исполнение указанной в части 1 статьи 21 настоящего Закона обязанности ответственный обработчик персональных данных представляет уведомление об обработке персональных данных, содержащих сведения о частной жизни (далее - уведомление).



(2) Уведомление об обработке персональных данных представляется в виде электронно-цифровой записи в реестре обработчиков персональных данных не менее чем за один месяц до начала обработки персональных данных.



(3) в уведомлении указываются:



1) имена или наименования ответственного и уполномоченного обработчиков, их регистрационные или личные коды, места деятельности, места нахождения или жительства и контактные данные (почтовые адреса, номера телефонов, адреса электронной почты и т.п.);



2) цели обработки персональных данных;



3) состав персональных данных;



4) категории лиц, данные которых обрабатываются;



5) источники персональных данных;



6) лица или категории лиц, которым разрешается передать персональные данные;



7) условия передачи персональных данных в иностранные государства;



8) условия блокирования, исключения и уничтожения персональных данных;



9) общее описание указанных в части 2 статьи 19 настоящего Закона организационных, физических и информационно-технических мер защиты персональных данных.



(4) Обязанность уведомления считается исполненной с момента занесения уведомления в реестр обработчиков персональных данных.



Статья 23. Уведомление об изменении данных



Ответственный обработчик обязан уведомить Инспекцию по защите данных об изменении или дополнении сведений, внесенных в реестр обработчиков персональных данных, до введения в действие соответствующих изменений и дополнений в порядке, установленном статьей 22 настоящего Закона.





Глава 5

РЕГИСТРАЦИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ДОВЕРИТЕЛЬНОГО ХАРАКТЕРА



Статья 24. Обязанность регистрации обработки персональных данных доверительного характера



(1) Ответственный обработчик обязан регистрировать обработку персональных данных доверительного характера в Инспекции по защите данных.



(2) Ответственный обработчик, ходатайствующий о выдаче разрешения на деятельность или лицензии в такой сфере деятельности, которая сопряжена с обработкой персональных данных доверительного характера, обязан до обращения с ходатайством о выдаче разрешения на деятельность или лицензии зарегистрировать обработку в Инспекции по защите данных. Разрешение на деятельность или лицензия не выдается, если обработка персональных данных доверительного характера не зарегистрирована.



(3) Обработка персональных данных доверительного характера регистрируется на пятилетний срок. Ответственный обработчик обязан не менее чем за три месяца до истечения срока подать новое ходатайство о регистрации, соответствующее требованиям статьи 25 настоящего Закона. По истечении срока ответственный обработчик лишается права обработки персональных данных доверительного характера.



(4) Запрещается обработка персональных данных доверительного характера, если:



1) их обработка не зарегистрирована Инспекцией по защите данных;



2) срок регистрации обработки персональных данных доверительного характера истек, а ответственным обработчиком не подано новое ходатайство о регистрации;



3) Инспекция по защите данных приостановила или запретила такую обработку.



(5) Инспекция по защите данных отказывает в регистрации обработки персональных данных доверительного характера, если:



1) для обработки отсутствует законное основание;



2) условие обработки не соответствует требованиям, установленным настоящим Законом, другими законами или изданными на их основе правовыми актами;



3) принятые организационные, физические и информационно - технические меры защиты персональных данных не обеспечивают выполнение требований, установленных статьей 19 настоящего Закона.



Статья 25. Ходатайство о регистрации



(1) Ходатайство о регистрации для включения в реестр обработчиков персональных данных подается в электронно-цифровой форме в Инспекцию по защите данных через ее сайт не менее чем за один месяц до начала обработки персональных данных доверительного характера.



(2) в ходатайстве о регистрации указываются:



1) имена или наименования ответственного и уполномоченного обработчиков, их регистрационные или личные коды, места деятельности, места нахождения или жительства и контактные данные (почтовые адреса, номера телефонов, адреса электронной почты и т.п.) ответственного и уполномоченного обработчиков;



2) цели обработки персональных данных;



3) состав персональных данных;



4) категории лиц, данные которых обрабатываются;



5) источники персональных данных;



6) лица или категории лиц, которым разрешается передать персональные данные;



7) условия передачи персональных данных в иностранные государства;



8) подробное описание указанных в части 2 статьи 19 настоящего Закона организационных, физических и информационно - технических мер защиты персональных данных.



Статья 26. Производство по ходатайству о регистрации



(1) Инспекция по защите данных принимает решение о регистрации или об отказе в регистрации обработки данных в течение двадцати рабочих дней со дня подачи ходатайства о регистрации.



(2) Инспекция по защите данных может проверить на месте готовность к обработке персональных данных доверительного характера. в таком случае срок рассмотрения ходатайства о регистрации продлевается на десять рабочих дней. Инспекция по защите данных может в результате проверки дать рекомендации о принятии организационных и информационно-технических мер защиты персональных данных и о повышении их эффективности.



(3) Право ответственного обработчика на обработку персональных данных доверительного характера возникает со дня, определенного решением, указанным в части 1 настоящей статьи. Если в указанном в части 1 настоящей статьи решении день не определен, то ответственный обработчик имеет право на обработку персональных данных доверительного характера со дня, следующего за днем включения решения в реестр обработчиков персональных данных.



(4) Решение о регистрации обработки персональных данных доверительного характера считается доставленным ответственному обработчику со дня опубликования решения на сайте Инспекции по защите данных. О решении об отказе в регистрации делается отметка в реестре обработчиков персональных данных и решение доводится до сведения ходатайствующего путем доставки.



(5) Ответственный обработчик обязан регистрировать в Инспекции по защите данных изменение или дополнение данных, внесенных в реестр обработчиков персональных данных. К регистрации изменения или дополнения данных применяются положения, касающиеся сроков регистрации обработки персональных данных.



Статья 27. Реестр обработчиков персональных данных



(1) Государственный реестр обработчиков персональных данных - это ведущийся Инспекцией по защите данных в установленном Правительством Республики порядке банк данных, в котором регистрируются уведомления об обработке персональных данных, содержащих сведения о частной жизни, а также сведения, касающиеся регистрации обработки персональных данных доверительного характера.



(2) Информация об организационных, физических и информационно - технических мерах защиты персональных данных, а также информация об условиях блокирования, исключения и уничтожения персональных данных, представленная Инспекции по защите личных данных, является информацией, предназначенной для внутреннего пользования.



(3) Реестр открыт для публичного пользования через сайт Инспекции по защите данных, за исключением информации, указанной в части 2 настоящей статьи, и информации, касающейся обработки персональных данных в органах безопасности.



(4) Данные реестра имеют информативное значение. Записи, касающиеся регистрации обработки персональных данных доверительного характера, имеют юридическое значение.





Глава 6

ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ В

ИНОСТРАННЫЕ ГОСУДАРСТВА



Статья 28. Передача персональных данных в иностранное государство



(1) Передавать персональные данные из находящихся в Эстонии банков данных разрешается в государства, имеющие достаточный уровень защиты данных.



(2) Министр внутренних дел устанавливает своим постановлением перечень государств, имеющих достаточный уровень защиты данных.



(3) Передавать персональные данные разрешено в страны - члены Европейского Союза и в страны, присоединившиеся к договору об Европейской экономической зоне, а также в государства, в которых уровень защиты персональных данных признан Европейской комиссией достаточным. Не разрешается передавать персональные данные в государства, в которых уровень защиты данных признан Европейской комиссией недостаточным.



(4) Передавать персональные данные в иностранное государство, не соответствующее установленным частью 1 настоящей статьи условиям, можно только с разрешения Инспекции по защите данных, если:



1) ответственный обработчик гарантирует в конкретном случае охрану прав и частной жизни субъекта данных в этом государстве;



2) в конкретном случае передачи персональных данных в иностранном государстве гарантируется достаточный уровень защиты данных. При оценке уровня защиты данных следует учитывать обстоятельства, связанные с передачей персональных данных, включая состав данных, цели и продолжительность их обработки, страна назначения и конечная страна, куда передаются данные, а также сведения о действующем в ней праве.



(5) Инспекция по защите данных уведомляет Европейскую комиссию о выдаче разрешения на основании части 4 настоящей статьи.



(6) Персональные данные могут без разрешения Инспекции по защите данных быть переданы в иностранное государство, в котором не обеспечен достаточный уровень защиты данных:



1) при наличии на то согласия субъекта данных;



2) в случаях, предусмотренных частью 2 статьи 14 настоящего Закона;



3) если данные передаются в иностранное государство в зашифрованном виде, а данные, необходимые для расшифрования, не доставляются в иностранное государство.





Глава 7

ПРАВА СУБЪЕКТА ДАННЫХ



Статья 29. Права субъекта данных на получение информации и касающихся его данных при обработке персональных данных



(1) По желанию субъекта данных ответственный и уполномоченный обработчики обязаны уведомлять его:



1-о касающихся его персональных данных;



2-о цели обработки персональных данных;



3-о составе и источниках персональных данных;



4-о третьих лицах или их категориях, которым разрешается передать персональные данные;



5-об имени или наименовании и адресе места деятельности ответственного обработчика.



(2) Субъект данных вправе получать от ответственного или уполномоченного обработчика касающиеся его персональные данные в виде копий. За изготовление копий на бумажном носителе ответственный или уполномоченный обработчик может взимать плату в размере до трех крон за каждую выданную страницу, начиная с 21-й страницы. Плату за выдачу персональных данных можно требовать также за повторную выдачу тех же персональных данных.



(3) Ответственный или уполномоченный обработчик обязан предоставлять субъекту данных информацию и выдавать запрашиваемые персональные данные либо обосновывать отказ в выдаче данных или информации в течение пяти рабочих дней, следующих за днем получения заявления.



Статья 30. Исключения из права получения информации и персональных данных



(1) Право субъекта данных на получение информации и касающихся его персональных данных при обработке персональных данных ограничивается, если это может причинить вред:



1) правам и свободам других лиц;



2) охране тайны происхождения ребенка;



3) пресечению преступления или задержанию преступника;



4) установлению истины по уголовному делу.



(2) Решение об отказе в выдаче данных или информации принимает ответственный обработчик, о чем уведомляет субъекта данных.



Статья 31. Право субъекта данных требовать прекращения обработки персональных данных, а также их исправления, блокирования и исключения



(1) Ответственный или уполномоченный обработчик обязан по требованию субъекта данных в случае несоответствия обработки настоящему Закону, другим законам и изданным на их основе правовым актам:



1) прекратить обработку его персональных данных;



2) исправить неправильные персональные данные;



3) закрыть или стереть собранные персональные данные.



(2) Ответственный или уполномоченный обработчик обязан немедленно уведомить об исправлении неправильных персональных данных либо о блокировании или исключении персональных данных субъекта данных и третьих лиц, которым переданы персональные данные.



(3) Указанная в части 2 настоящей статьи обязанность не действует:



1) если субъект данных знает о перечисленных в части 2 настоящей статьи обстоятельствах;



2) в случаях, предусмотренных частью 1 статьи 30 настоящего Закона;



3) если уведомление субъекта данных обусловливает непропорционально большие трудности.



Статья 32. Право субъекта данных обращаться в Инспекцию по защите данных и в суд



Субъект данных вправе обратиться в Инспекцию по защите данных и в суд, если он считает, что при обработке персональных данных нарушаются его права.



Статья 33. Право субъекта данных требовать возмещения вреда



В случае нарушения при обработке персональных данных прав субъекта данных он вправе требовать возмещения причиненного ему вреда:



1) на предусмотренных Законом об ответственности государства (ПАЭ, 2001, 41, 260; RT I, 2002, 62, 377) основаниях и в порядке - в случае нарушения прав в ходе выполнения публичных функций, или



2) на предусмотренных Обязательственно-правовым законом (RT I, 2001, 81, 487; ПАЭ, 2002, 12, 374) основаниях и в порядке - в случае нарушения прав в частноправовых отношениях.





Глава 8

НАДЗОР



Статья 34. Надзор



(1) Контроль за соблюдением настоящего Закона и изданных на его основе правовых актов осуществляет Инспекция по защите данных.



(2) Инспекция по защите данных может возбуждать надзорное производство на основании жалобы или по собственной инициативе.



(3) Инспекция по защите данных при выполнении задач, вытекающих из настоящего Закона, является независимой и руководствуется в своей деятельности настоящим Законом, другими законами и изданными на их основе правовыми актами.

(25.01.2007)



(4) Надзор за обработкой государственной тайны, содержащей персональные данные, в случаях и в объеме, установленном в части 3 статьи 2 настоящего Закона, осуществляет Инспекция по защите данных.

(25.01.2007)



Статья 35. Требования, предъявляемые к руководителю Инспекции по защите данных



(1) Руководителем Инспекции по защите данных может работать лицо, имеющее высшее образование, достаточную юридическую подготовку, опыт руководящей работы, а также необходимый опыт в сфере управления и аудита информационных систем.



(2) Руководителем Инспекции по защите данных не может быть лицо, осужденное за умышленное преступление либо освобожденное с места работы или должности, требующих наличия высшего образования, в связи с несоответствием занимаемой должности.



(3) Руководитель Инспекции по защите данных в период работы в этой должности не имеет права участвовать в деятельности партий, работать по найму на других местах работы или занимать платные должности, за исключением педагогической и научной работы.

(25.01.2007)



4) Руководитель Инспекции по защите данных назначается на должность сроком на пять лет Правительством Республики по предложению министра юстиции, предварительно заслушав позицию Конституционной комиссии Рийгикогу.

(25.01.2007)



Статья 35_1. Проверочные мероприятия в отношении кандидата на должность руководителя Инспекции по защите данных



(1) в отношении кандидата на должность руководителя Инспекции по защите данных до назначения на должность руководителя Инспекции по защите данных должны быть проведены проверочные мероприятия, за исключением случая, когда он уже имеет действующий допуск к государственной тайне степени секретности "совершенно секретно".



(2) Проверочные мероприятия в отношении кандидата на должность руководителя Инспекции по защите данных осуществляет Департамент полиции безопасности в порядке, предусмотренном в Законе об оперативно-розыскной деятельности.



(3) Для проведения проверочных мероприятий кандидат на должность руководителя Инспекции по защите данных через Министерство юстиции представляет в Департамент полиции безопасности заполненную анкету ходатайствующего о получении допуска к государственной тайне степени секретности "совершенно секретно", и письменное согласие на получение проводящим проверочные мероприятия органом во время проведения этих мероприятий информации о нем от физических и юридических лиц, а также от государственных и муниципальных учреждений и органов.



(4) Департамент полиции безопасности направляет сведения, собранные в результате проверочных мероприятий министру юстиции в течение трех месяцев со дня получения документов, указанных в части 3 настоящей статьи, и прилагает свое заключение о соответствии кандидата на должность руководителя Инспекции по защите данных условиям получения допуска к государственной тайне.



(5) в случае досрочного прекращения полномочий руководителя Инспекции по защите данных проверочные мероприятия в отношении кандидата на должность руководителя Инспекции по защите данных должны быть проведены в течение одного месяца со дня получения документов, указанных в части 3 настоящей статьи. С разрешения комиссии по защите государственной тайны срок проведения проверочных мероприятий может быть продлен на один месяц, если имеют место обстоятельства, указанные в пункте 1 или 2 части 2_1 статьи 30 Закона о государственной тайне, или возможно проявление указанных в пункте 3 или 4 той же части и статьи названного Закона обстоятельств в течение одного месяца.

(25.01.2007)



Статья 35_2. Освобождение от должности руководителя Инспекции по защите данных



(1) Генеральный директор Инспекции по защите данных освобождается от должности:



1) по собственному желанию;



2) по окончании должностного срока;



3) за совершение дисциплинарного проступка;



4) ввиду длительной нетрудоспособности;



5) при вступлении в силу обвинительного приговора;



6) в случае обнаружения обстоятельства, которое согласно закону исключает возможность назначения лица на должность генерального директора.



(2) Руководителя Инспекции по защите данных освобождает от должности Правительством Республики по предложению министра юстиции, предварительно заслушав позицию Инспекции по защите данных. Запрос о позиции Конституционной комиссии Рийгикогу не требуется, если освобождение происходит на основании пунктов 1, 2, 5 или 6 части 1 настоящей статьи. Если не учитывается позиция Конституционной комиссии Рийгикогу, это следует обосновать.



(3) Для освобождения от должности генерального директора Инспекции по защите данных применяются положения Закона о публичной службе с учетом особенностей, вытекающих из настоящей статьи.

(25.01.2007)



Статья 36. Задачи Инспекции по защите данных



(1) Инспекция по защите данных:



1) осуществляет контроль за соблюдением требований, установленных настоящим Законом;



2) применяет административное принуждение на основаниях, в пределах и порядке, предусмотренных законами;



3) в необходимых случаях возбуждает производство по делам о проступках и применяет наказания;



4) сотрудничает с международными организациями по надзору за защитой данных, иностранными учреждениями по надзору за защитой данных и иными компетентными учреждениями или лицами иностранных государств;



5) дает указания рекомендательного характера по применению настоящего Закона;



6) выполняет иные вытекающие из законов задачи.



(2) Инспекция по защите данных имеет при выполнении своих задач все права, предусмотренные настоящим Законом и изданными на его основе правовыми актами, в том числе право:



1) приостановления обработки персональных данных;



2) предъявления требования об исправлении неправильных персональных данных;



3) запрета обработки персональных данных;



4) предъявления требования о блокировании персональных данных или о прекращении их обработки (включая их уничтожение или сдачу в архив);



5) принятия в необходимых случаях в установленном Законом о субститутивном исполнении и о штрафах (ПАЭ, 2001, 44, 283 и 580) порядке немедленно организационных, физических и информационно - технических мер по защите персональных данных в целях предотвращения причинения вреда правам и свободам лиц;



6) истребования от лиц документов и иной необходимой информации, а также изготовления копий с документов.



(3) Правомочные должностные лица Инспекции по защите данных имеют в целях осуществления контроля право беспрепятственно входить на территории или помещения ответственного или уполномоченного обработчика, иметь доступ к документам и оборудованию ответственного или уполномоченного обработчика, а также к записанным в память данным и к программным средствам, используемым при обработке данных.



Статья 37. Обязанности Инспекции по защите данных



Чиновники Инспекции по защите данных обязаны:



1) руководствоваться настоящим Законом, другими законами и изданными на их основе правовыми актами;



2) бессрочно хранить в тайне информацию ограниченного доступа и персональные данные, ставшие им известными при исполнении трудовых заданий;



3) предъявлять по требованию проверяемых лиц служебное удостоверение;



4) составлять контрольные акты по результатам надзора;



5) разъяснять в случаях нарушения требований обработки персональных данных соответствующему ответственному или уполномоченному обработчику либо его представителю существо нарушения требований правовых актов и требовать прекращения нарушения;



6) издавать в случаях нарушения требований обработки персональных данных предписание или возбуждать производство по делу о проступке.



Статья 38. Срок рассмотрения жалоб



(1) Инспекция по защите данных разрешает жалобы в течение 30 дней со дня их подачи в Инспекцию по защите данных.



(2) Инспекция по защите данных может для дополнительного выяснения необходимых обстоятельств продлить срок рассмотрения жалобы на 60 дней. Лицо, подавшее жалобу, должно быть уведомлено в письменной форме о продлении срока.



Статья 39. Контрольный акт



(1) О результатах проверки соблюдения требований обработки персональных данных составляется контрольный акт.



(2) в контрольном акте указываются:



1) имя, фамилия и должность составившего акт лица;



2) имя, фамилия и адрес адресата акта или наименование и

почтовый адрес юридического лица;



3) существо контрольного действия (юридическое основание, установленные обстоятельства, пояснения ответственного или уполномоченного обработчика либо его представителя и иные обстоятельства, имеющие значение для дела);



4) время и место составления акта;



5) подпись составившего акт лица.



Статья 40. Предписание Инспекции по защите данных



(1) Для обеспечения исполнения настоящего Закона должностные лица Инспекции по защите данных вправе издавать ответственным и уполномоченным обработчикам предписания и принимать решения.



(2) в случае неисполнения предписания, указанного в части 1 настоящей статьи, Инспекция по защите данных может применять штраф в порядке, установленном Законом о субститутивном исполнении и о штрафах.



(3) Максимальный размер штрафа указанного в части 2 настоящей статьи штрафа составляет 10 000 крон.



(3_1) Если обработчик персональных данных в государственном учреждении не выполнил предписание Инспекции по защите данных к указанному в нем сроку, Инспекция по защите данных обращается с протестом в Административный суд в порядке, установленном в Административно-процессуальном кодексе.

(25.01.2007)



(4) Решения и предписания Инспекции по защите данных о приостановлении, прекращении и запрещении обработки персональных данных заносятся в реестр обработчиков персональных данных.



Статья 41. Доклад Инспекции по защите данных об исполнении настоящего Закона



(1) Инспекция по защите данных представляет ежегодно к 1 декабря конституционной комиссии Рийгикогу и канцлеру юстиции доклад об исполнении настоящего Закона.



(2) в докладе дается обзор важнейших обстоятельств, связанных с исполнением и применением настоящего Закона.



(3) Доклад обнародуется на сайте Инспекции по защите данных.



(4) Дополнительно к очередному докладу, указанному в части 1 настоящей статьи, руководитель Инспекции по защите данных может представить Конституционной комиссии Рийгикогу доклады об обнаруженных при осуществлении надзора в ходе выполнения настоящего Закона существенных, имеющих большое влияние или требующих быстрого решения проблемах.

(25.01.2007)





Глава 9

ОТВЕТСТВЕННОСТЬ



Статья 42. Игнорирование требований настоящего Закона



(1) Игнорирование обязанности по регистрации обработки персональных данных доверительного характера, требований передачи в иностранное государство персональных данных, установленное в статье 28 настоящего Закона, а так же обязанности информирования субъекта данных, установленной в статьях 12 и 15 настоящего Закона -

влечет наложение штрафа в размере до трехсот штрафных единиц.



(2) То же деяние, совершенное юридическим лицом, -

влечет наложение штрафа в размере до 500 000 крон.

(25.01.2007)



Статья 42_1. Нарушение методов защиты персональных данных и требований по обработке персональных данных



(1) Нарушение методов защиты персональных данных либо иных требований по обработке персональных данных, предусмотренных настоящим Законом, если для устранения нарушений на основании статьи 40 настоящего Закона лицу было сделано предписание со стороны Инспекции по защите данных, и оно не было выполнено -

влечет наложение штрафа в размере до трехсот штрафных единиц.



(2) То же деяние, совершенное юридическим лицом, -

влечет наложение штрафа в размере до 500 000 крон.

(25.01.2007)



Статья 42_2. Производство по делам о проступках



(1) К проступкам, предусмотренным статьями 42 и 42_1 настоящего Закона, применяются положения Общей части Пенитенциарного кодекса и Деликтно-процессуального кодекса.



(2) Учреждением, ведущими во внесудебном порядке производство по делам о проступках, предусмотренных статьями 42 и 42_1 настоящего Закона, является Инспекция по защите данных.

(25.01.2007)





Глава 10

ПРИКЛАДНЫЕ ПОЛОЖЕНИЯ



Статья 43. Внесение изменения в Закон о банках данных



Часть 2 статьи 12 Закона о банках данных (ПАЭ, 1997, 24, 423; 1998, 22/23, 552; 1999, 22, 155; 2000, 44, 317; 48, 373; 2001, 6, 597; 19, 17; 24, 77; 2002, 17, 375; 2003, 4, 387) признается недействительной.



Статья 44. Внесение изменений в Закон о публичной информации



В Закон о публичной информации (ПАЭ, 2001, 6, 597; 2002, 17, 375; 2003, 4, 387) вносятся следующие изменения:



1) части 2 и 4 статьи 14 изменяются и излагаются в следующей редакции:



"(2) Если лицо запрашивает информацию, содержащую персональные данные доверительного характера или сведения о частной жизни его самого или третьих лиц, то владелец информации устанавливает личность запрашивающего информацию лица.";



"(4) Если чиновник или работник государственного или муниципального учреждения обращается с информационным запросом во исполнение служебных обязанностей или рабочих заданий, либо лицо ходатайствует о выдаче персональных данных о третьем лице, то они должны сообщить владельцу информации основание и цель доступа к информации.";



2) в части 3 статьи 23 исключается второе предложение;



3) часть 1 статьи 35 дополняется пунктами 10 и 11 в следующем изложении:



"10) информацию, содержащую сведения о частной жизни или персональные данные доверительного характера;



11) информацию, содержащую персональные данные, если их разглашение может причинить существенной вред неприкосновенности частной жизни субъекта данных.";



4) пункт 6 части 1 статьи 36 изменяется и излагается в следующей редакции:



"6) информацию, порочащую репутацию чиновников государственных и муниципальных учреждений, частноправовых юридических лиц и физических лиц, выполняющих публичные функции, за исключением персональных данных доверительного характера или персональных данных, содержащих сведения о частной жизни;";



5) статья 37 признается недействительной;



6) части 2 и 4 статьи 38 изменяются и излагаются в следующей редакции:



"(2) Если обеспечение доступа к информации может обусловить разглашение информации ограниченного доступа, то доступ обеспечивается только к той части информации или документа, в отношении которой не действуют ограничения доступа.";



"(4) Руководитель учреждения может принимать решения относительно доступа лиц, не работающих в данном учреждении, к информации, признанной предназначенной для внутреннего пользования, если это не причиняет вред интересам государства или единицы местного самоуправления.";



7) статья 39 изменяется и излагается в следующей редакции:



"Статья 39. Доступ к информации, содержащей персональные

данные



(1) Владелец информации обеспечивает доступ к находящимся в его владении персональным данным при наличии предусмотренного Законом о защите персональных данных основания в порядке, установленном настоящим Законом.



(2) Владелец информации обязан вести учет лиц, которым была выдана информация, содержащая персональные данные, предназначенные для внутреннего пользования, с указанием вида информации, целей, времени и способа ее выдачи.



(3) в интересах установления истины в производстве по уголовным делам, а также для обеспечения безопасности лиц правомочный чиновник, ведущий следствие или осуществляющий государственный надзор, может обеспечить доступ к признанной предназначенной для внутреннего пользования информации, содержащей персональные данные. Если соблюдение ограничения доступа к персональным данным может представлять угрозу для жизни, здоровья или имущества других лиц, то информация ограниченного доступа должна быть немедленно обнародована предусмотренным частью 4 статьи 30 настоящего Закона способом.";



8) части 1 и 3 статьи 40 изменяются и излагаются в следующей редакции:



"(1) Ограничение доступа к информации, предназначенной для внутреннего пользования, устанавливается с момента составления или получения документа до минования надобности, но не более чем на пять лет. Руководитель учреждения может продлить названный срок не период не более пяти лет в случае сохранения причины установления ограничения доступа.";



"(3) Ограничение доступа к содержащей персональные данные информации, признанной предназначенной для внутреннего пользования, действительно в течение 75 лет со дня получения или записи названной информации или в течение 30 лет со дня смерти лица либо в течение 110 лет с даты рождения лица, если факт смерти не может быть установлен.";



9) часть 2 статьи 41 изменяется и излагается в следующей редакции:



"(2) Если носитель информации позволяет, то на документе, содержащем информацию, признанную предназначенной для внутреннего пользования, или на совокупности документов лицом, оформляющим документы, делается заглавными буквами отметка "ASUTUSESISESEKS KASUTAMISEKS" (Для внутреннего пользования) или применяется сокращение "АК". Отметка дополняется указанием имени владельца информации, основания для ограничения доступа, а также конечной даты срока действия ограничения доступа и даты оформления.";



10) часть 1 статьи 47 дополняется пунктом 6 в следующем изложении:



"6) ясно выраженное ходатайство лица, подающего возражение.";



11) пункт 8 части 1 статьи 51 изменяется и излагается в следующей редакции:



"8) не установил предусмотренное законом ограничение доступа;";



12) часть 1 статьи 54_1 изменяется и излагается в следующей редакции:



"(1) Выдача заведомо неправильной публичной информации, либо обнародование или выдача информации, предназначенной для внутреннего пользования, либо неисполнение предписания Инспекции по защите данных -

наказывается штрафом в размере до трехсот штрафных единиц.".



Статья 45. Регистрация обработки персональных данных доверительного характера на основании ранее принятого закона



Регистрация обработки персональных данных доверительного характера на основании Закона о защите личных данных (ПАЭ, 1996, 46/47, 944; 1998, 45/46, 941; 1999, 1, 1833; 2000, 44, 317; 2001, 6, 597; 44, 283; 2002, 17, 375; 2003, 4, 387; RT I, 2000, 104, 685) действительна в течение трех лет со дня вступления настоящего Закона в силу.



Статья 46. Согласие на обработку персональных данных, данное до вступления настоящего Закона в силу



(1) Согласие на обработку персональных данных, данное до вступления настоящего Закона в силу, считается действительным, если оно соответствует требованиям закона, действовавшего в момент дачи согласия.



(2) По требованию субъекта данных ответственный и уполномоченный обработчики в течение 10 рабочих дней уведомляют субъекта данных о прекращении обработки, исправлении, блокировании и исключении персональных данных, а также об условиях доступа к ним.



Статья 47. Признание прежнего Закона о защите личных данных недействительным



Закон о защите личных данных (ПАЭ, 1996, 46/47, 944; 1998, 45/46, 941; 1999, 1, 1833; 2000, 44, 317; 2001, 6, 597; 44, 283; 2002, 17, 375; 2003, 4, 387; RT I, 2000, 104, 685) признается недействительным.



Статья 48. Введение в действие реестра обработчиков персональных данных



Реестр обработчиков персональных данных вводится в действие с 1 июля 2004 года. До введения в действие реестра ходатайства, указанные в части 1 статьи 25 настоящего Закона, подаются в Инспекцию по защите данных на бумажном носителе. Ответственные обработчики, приступившие к обработке персональных данных до 1 июля 2004 года, должны исполнять обязанность уведомления к 31 октября 2004 года.



Статья 49. Вступление закона в силу



(1) Настоящий Закон вступает в силу 1 октября 2003 года.



(2) Глава 4 и часть 4 статьи 26 настоящего Закона вступают в силу 1 июля 2004 года.



(3) Часть 2 статьи 28 настоящего Закона утрачивает действие, а части 3 и 5 указанной статьи вступают в силу после присоединения Эстонии к Европейскому Союзу.



Заместитель председателя Рийгикогу

Тунне КЕЛАМ







Законодательные акты Эстонии Эстонское право. Архив

Содержание






Разное

Новости

Рейтинг@Mail.ru