Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет - стр. 10
1) исключения препятствий по официальным или юридическим запросам, расследованиям или процедурам;
2) исключения нанесения ущерба при предотвращении, обнаружении, расследовании и судебном преследовании уголовных преступлений или для исполнения уголовных наказаний;
3) защиты общественной безопасности;
4) защиты национальной безопасности;
5) защиты прав и свобод других лиц.
При этом государствам – членам ЕС предоставляется право определить категории обработки данных, которые могут полностью или частично подпадать под перечисленные выше категории.
Проект Регламента устанавливает, что по общему правилу обработка персональных данных не требует идентификации. Так, если цели, с которыми оператор обработки персональных данных обрабатывает данные, не требуют идентификации субъекта персональных данных оператором, то оператор не должен запрашивать дополнительную информацию и осуществлять дополнительную обработку персональных данных.
Обработчик данных обязуется обеспечить письменное уведомление субъекта данных о любом отказе или об ограничении доступа, о причинах отказа и о возможностях его обжалования в надзорном или судебном органе.
Проект Регламента предусматривает также право субъектов персональных данных подать жалобу в надзорный орган, право юридических лиц и субъектов персональных данных на судебную защиту против надзорного органа, право субъекта персональных данных подать в суд на оператора и обработчика персональных данных, право любой персоны на компенсацию за несоответствующую обработку принадлежащих ей персональных данных.
1.1.4. Ответственность за нарушения в области персональных данных и запрет на передачу данных третьим лицам
В Европейском союзе установлена ответственность как за раскрытие персональных данных неограниченному кругу лиц, так и за раскрытие данных конкретным третьим лицам (ст. 16, 17 Директивы 95/46/ЕС), а также предусмотрена ответственность за непринятие мер по защите персональных данных (ст. 23 Директивы 95/46/ЕС).
Статья 16 Директивы 95/46/ЕС устанавливает принципиальное требование конфиденциальности обработки персональных данных. Любое лицо, действующее под руководством оператора или обработчика, включая самого обработчика, которое имеет доступ к персональным данным, не может их обрабатывать, кроме как по поручению оператора, если оно не обязано это делать по закону.
Статья 17 Директивы 95/46/ЕС устанавливает, что оператор должен осуществлять надлежащие технические и организационные меры для защиты персональных данных от случайного или неправомерного разрушения, либо от случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети, и от всех иных неправомерных форм обработки.