Help Print this page 

Document 32002L0058

?

13/ 36 | BG | Официален вестник на Европейския съюз | 63 Avis juridique important
32002L0058 
L 201/37 | ОФИЦИАЛЕН ВЕСТНИК НА ЕВРОПЕЙСКИЯ СЪЮЗ 
ДИРЕКТИВА 2002/58/ЕО НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА 
от 12 юли 2002 година 
относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) 
ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ, 
като взеха предвид Договора за създаване на Европейската общност, и по-специално член 95 от него, 
като взеха предвид предложението на Комисията (1), 
като взеха предвид становището на Икономическия и социален комитет (2), 
след консултации с Комитета на регионите, 
като действаха в съответствие с процедурата, предвидена в член 251 от Договора (3), 
като имат предвид, че: 
(1) | Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица по отношение на обработката на лични данни и за свободно движение на такива данни (4) изисква държавите-членки да гарантират правата и свободите на физически лица относно обработката на лични данни и, по-специално, неприкосновеността на личния им живот, за да се осигури свободният поток на лични данни в Общността. 
(2) | Настоящата директива се стреми да зачита основните права и да спазва признатите принципи, по-специално от Хартата за основните права на Европейския съюз. По-специално настоящата директива се стреми да осигури пълно зачитане на правата, предвидени в членове 7 и 8 от Хартата. 
(3) | Поверителният характер на комуникациите е гарантиран в съответствие с международни инструменти, отнасящи се до човешките права, по-специално в Европейската конвенция за защита на човешките права и основните свободи и конституциите на държавите-членки. 
(4) | Директива 97/66/ЕО на Европейския парламент и на Съвета от 15 декември 1997 година относно обработката на лични данни и защитата на неприкосновеността на личния живот в телекомуникационния сектор (5) изяснява принципите, изложени в Директива 95/46/ЕО в специфични разпоредби за телекомуникационния сектор. Директива 97/66/ЕО трябва да бъде пригодена към развитието на пазари и технологии за електронни комуникационни услуги, за да осигури еднакво ниво на защита на лични данни и неприкосновеност на личния живот за потребители на публично достъпни електронни комуникационни услуги, въпреки използваните технологии. Тази директива, следователно, следва да бъде отменена и заменена от настоящата директива. 
(5) | Нови съвременни цифрови технологии са въведени понастоящем в публичните комуникационни мрежи в Общността, което повишава специфичните изисквания по отношение на защитата на лични данни и неприкосновеността на личния живот на потребителя. Развитието на информационното общество се характеризира с въвеждането на нови електронни комуникационни услуги. Широката публика вече има достъп до мобилни цифрови мрежи, които може да си позволи. Цифровите мрежи имат големи способности и възможности за обработка на лични данни. Успешното трансгранично развитие на тези услуги отчасти зависи от доверието на потребителите, относно това, че неприкосновеността на личния им живот няма да бъде в опасност. 
(6) | Интернет преобръща традиционните пазарни структури, като осигурява обща глобална инфраструктура за доставка на широк обхват от електронни комуникационни услуги. Публично достъпните електронни комуникационни услуги чрез Интернет разкриват нови възможности за потребителите, но също нови рискове за техните лични данни и неприкосновеност на личния им живот. 
(7) | В случая на публични комуникационни мрежи, трябва да се изготвят специфични законови, подзаконови и технически разпоредби, за да се защитят основните права и свободи на физическите лица и легитимните интереси на юридическите лица, по-специално по отношение на увеличаващата се способност за автоматизирано съхранение и обработка на данни за абонати и потребители. 
(8) | Следва да бъдат хармонизирани законовите, подзаконовите и техническите разпоредби, приети от държавите-членки, засягащи защитата на лични данни, неприкосновеността на личния живот и законния интерес на юридически лица в сектора за електронна комуникация, за да се избегнат пречките пред вътрешния пазар за електронна комуникация в съответствие с член 14 от Договора. Хармонизацията следва да бъде ограничена до изискванията, необходими за да се гарантира, че няма да бъде затруднявано популяризирането и развитието на нови електронни комуникационни услуги и мрежи между държавите-членки. 
(9) | Заинтересованите държави-членки, доставчици и потребители, заедно с компетентните органи на Общността трябва да си сътрудничат при въвеждането и развитието на подходящи технологии, където това е необходимо, за да се приложат гаранциите, предвидени в настоящата директива и като се отчитат особено целите за минимизиране обработката на лични данни и използване на анонимни или данни въведени под псевдоним, където е възможно. 
(10) | В сектора за електронни комуникации се прилага Директива 95/46/ЕО, по-специално по всички въпроси, засягащи защита на основни права и свободи, които не са специално обхванати от разпоредбите на настоящата директива, включително задълженията на администратора и правата на лицата. Директива 95/46/ЕО се прилага към непубличните комуникационни услуги. 
(11) | Както Директива 95/46/ЕО, настоящата директива не се отнася до въпросите за защита на основните права и свободи свързани с дейности, които не се управляват от законодателството на Общността. Затова тя не променя съществуващия баланс между правото на индивида на неприкосновеност на личния живот и възможността на държавите-членки да предприемат мерки, съгласно член 15, параграф 1 от настоящата директива, необходими за защита на обществената сигурност, отбраната, сигурността на държавата (включително икономическото благополучие на държавата, когато дейностите се отнасят до въпроси по сигурността на държавата) и прилагане в изпълнение на наказателното право. Следователно, настоящата директива не засяга възможността на държавите-членки да провеждат законно прихващане на електронни комуникации или да предприемат други мерки, ако е необходимо за някои от тези цели и в съответствие с Европейската конвенция за защита на човешките права и основните свободи, съгласно тълкуването на решенията на Европейския съд за човешките права. Такива мерки трябва да бъдат уместни, строго пропорционални на предвидената цел и необходими в едно демократично общество, и следва да бъдат предмет на съответна защита в съответствие с Европейската конвенция за защита на човешките права и основните свободи. 
(12) | Абонати на публично достъпна електронна комуникационна услуга могат да бъдат физически или юридически лица. Като допълва Директива 95/46/ЕО, настоящата директива е насочена към защита на основните права на физически лица, и по-специално тяхното право на неприкосновеност на личния живот, както и легитимните интереси на юридическите лица. Настоящата директива не налага задължение за държавите-членки да разширят прилагането на Директива 95/46/ЕО за защита на законните интереси на юридически лица, което е осигурено в рамките на приложимото законодателство на Общността и на националното законодателство. 
(13) | Договорните отношения между абонат и доставчик на услуга може да изисква периодично или еднократно плащане за предоставената услуга или която ще се предостави. Картите с предварително плащане също се считат за договор. 
(14) | Данни за местонахождение могат да се отнасят за географската ширина, дължина и височина на терминалното оборудване на потребителя, за посоката на движение, за нивото на точност на информацията за местонахождение, за индентификация на мрежовата клетка, в която терминалното оборудване е разположено в определен момент от време и за времето на регистриране на информацията за местонахождение. 
(15) | Комуникацията може да включва всякаква информация относно наименование, номериране или адресиране на информация, предоставена от изпращача на комуникация или потребителя на връзка, за да извърши комуникацията. Данните за трафика могат да включват всякакво преобразуване на тази информация от мрежата, през която комуникацията се предава за целите на осъществяване на предаването. Данни за обмен могат, inter alia, да съдържат данни относно маршрута, продължителността, времето или обема на комуникацията, използвания протокол за местонахождението на терминалното оборудване на изпращача или получателя, за мрежата, от която комуникацията произхожда или приключва, за началото, края или продължителността на връзката. Те могат също да съдържат формат, в който комуникацията е предадена от мрежата. 
(16) | Информация, която е част от радио-телевизионна услуга, предоставена чрез публична комуникационна мрежа, е предназначена за потенциално неограничена публика и не представлява комуникация по смисъла на настоящата директива. Въпреки това, в случаите когато индивидуален абонат или потребител, получавайки такава информация, може да бъде идентифициран, например услуги като видео по заявка, предаваната информация е обхваната по смисъла на комуникация за целите на настоящата директива. 
(17) | За целите на настоящата директива съгласието на потребителя или абоната, независимо дали последният е физическо или юридическо лице, трябва да има същото значение, както данните-обект на съгласие, както са определени и допълнително уточнени в Директива 95/46/ЕО. Съгласие може да бъде дадено по всеки подходящ начин, позволяващ свободно да се посочи специфичен и уведомителен знак за желанията на потребителя, включително чрез отбелязване в графа, при посещение на интернет страница. 
(18) | Например услуги с добавена стойност могат да съдържат съвет за най-малко скъпите пакети тарифи, пътно ръководство, информация за пътното движение, прогноза за времето и туристическа информация. 
(19) | Прилагането на определени изисквания относно представянето и ограничаването на повикващата и свързаната линия за идентификация и за автоматично препращане на повикването на линиите на абоната, свързани към аналогови централи, не трябва да бъде задължително при специфични случаи, когато за такива приложения би се доказало, че са технически невъзможни или биха изисквали несъразмерно икономическо усилие. Важно е за заинтересованите страни да бъдат информирани при такива случаи и затова държавите-членки трябва да уведомяват за тях Комисията. 
(20) | Доставчиците на услуги трябва да вземат подходящи мерки, за да гарантират сигурността на техните услуги, ако е необходимо заедно с доставчика на мрежата, и да информират абонатите за всякакви особени рискове от нарушаване на сигурността на мрежата. Такива рискове могат по-специално да се получат при електронните комуникационни услуги през открита мрежа, каквато е Интернет или аналогови мобилни телефони. Особено важно е за абонати и потребители на такива услуги да бъдат напълно информирани от техния доставчик на услуга за съществуващите рискове относно сигурността, които са извън обхвата на възможностите за отстраняване от доставчика на услуга. Доставчици на услуги, които предлагат публично достъпни електронни комуникационни услуги чрез Интернет, трябва да информират потребители и абонати за мерките, които те могат да вземат, за да защитят сигурността на техните съобщения, например чрез използване на специални типове софтуер или кодирани технологии. Изискването да се информират абонатите за специални рискове относно сигурността не освобождава доставчика на услуга от задължението да предприеме на негови разноски подходящи и незабавни мерки, за да отстрани всякакви нови, непредвидими рискове за сигурността и да възстанови нивото на нормална сигурност на услугата. Предоставянето на информация относно рисковете по сигурността на абонатите трябва да бъде без заплащане, с изключение на номиналните разходи, които абонатът може да направи при получаването или събирането на информация, например при получаване на комуникация по електронна поща. Сигурността се оценява в светлината на член 17 от Директива 95/46/ЕО. 
(21) | Трябва да се вземат мерки, за да се предотврати неоторизираният достъп до съобщения, за да се защити конфиденциалният характер на комуникациите, включително както на съдържанията, така и на всякакви данни, свързани с такива съобщения, посредством публични комуникационни мрежи и налични електронни комуникационни услуги. Националното законодателство в някои държави-членки забранява само преднамерения неразрешен достъп до съобщения. 
(22) | Забраната да се съхраняват съобщения и свързаните данни за трафик от лица, различни от потребителите, или без тяхното съгласие, не е насочено да забрани автоматично, междинно и временно съхранение на тази информация, доколкото това се прави с единствената цел осъществяване на предаване в електронни комуникационни мрежи и при условие че тази информация не се съхранява за период, по-дълъг от необходимия за предаване и за целите на ръководене на трафика, и че през периода на съхранение, конфиденциалният характер остава гарантиран. Когато това е необходимо за осъществяване на по-ефикасно продължаване на предаването на всякаква публично достъпна информация до други получатели на услугата по тяхно искане, настоящата директива не трябва да пречи такава информация да бъде допълнително съхранена, при условие че тази информация ще бъде при всички случаи без ограничение достъпна за обществото и че всякакви данни относно индивидуалните абонати или потребителите, поискали такава информация, ще бъдат изтрити. 
(23) | Поверителността на комуникациите трябва също да бъде осигурена в законната търговска практика. Когато е необходимо и законно разрешено, комуникациите могат да бъдат записвани с цел предоставяне на доказателства за търговска сделка. При такова действие се прилага Директива 95/46/ЕО. Страните в комуникациите трябва да бъдат информирани за записването преди извършването му, за неговата цел и продължителността на съхраняването му. Записаните съобщения трябва да бъдат изтрити веднага щом е възможно и във всеки случай не по късно от края на периода, през който сделката може да бъде законно оспорена. 
(24) | Оборудването на терминалите на потребителите на електронни комуникационни мрежи и всяка информация, съхранявана в такова оборудване, се отнасят до частния живот на потребителите, изискващ защита съгласно Европейската конвенция за защита на човешките права и основните свободи. Така наречените софтуер за наблюдение, снифери, скрити идентификатори и други подобни устройства могат да влязат в терминала на потребителите без тяхното знание, за да получат достъп до информация, да съхраняват скрита информация или да проследяват действията на потребителя и могат сериозно да засягат правото на неприкосновеност на личния живот на тези потребители. Използването на такива устройства трябва да бъде позволено само за законни цели със знанието на заинтересованите потребители. 
(25) | Такива приспособления, обаче, например така наречените кукита (cookies), могат да бъдат легитимни и полезни средства, например при анализиране на ефективността на дизайна на Интернет страницата и рекламиране и проверка идентичността на потребителя, ангажиран в сделки онлайн. Когато такива приспособления (например кукита) са предвидени за законни цели, за да се улесни осигуряването на услуги за информационно общество, тяхната употреба трябва да се разреши, при условие че потребителите са снабдени с ясна и точна информация в съответствие с Директива 95/46/ЕО, относно целите на кукитата, или подобни приспособления, така че да се гарантира, че потребителите са запознати с информацията, която е поставена в терминалното оборудване, което те използват. Потребителите трябва да имат възможност да откажат да имат куки, или подобни приспособления, поставени в тяхното терминално оборудване. Това е особено важно, когато потребители, различни от оригиналния потребител, имат достъп до терминалното оборудване и по такъв начин — до всякакви данни, съдържащи информация, свързана с правото на неприкосновеност на личния живот, която е съхранена в такова оборудване. Информацията и правото на отказ могат да бъдат предложени веднъж за използване на различни приспособления, които ще се инсталират на терминалното оборудване на потребителя по време на същото включване, и също така обхващащи бъдещо използване, което може да се направи за тези услуги по време на следващи включвания. Методите за даване на информация, предлагаща право на отказ, или изискваща съгласие, трябва да са възможно най-лесни за ползване от потребителя. Все пак може да се направи достъп до съдържанието на специфична интернет страница, при условие на пълна информираност за приемането на приспособлението куки, или подобно приспособление, ако то се използва с легитимна цел. 
(26) | Данните отнасящи се до абонатите, обработвани в електронно комуникационни мрежи за осъществяване на връзки и предаване на информация, съдържат информация за личния живот на физически лица и засягат правото да се зачита тяхната кореспонденция или засягат легитимни интереси на юридически лица. Такива данни могат да бъдат съхранени само до степен, която е необходима за осигуряване на услугата с цел изготвяне на сметка и за плащания при взаимна връзка и за ограничено време. Всякаква по-нататъшна обработка на такива данни, които доставчикът на публично достъпни електронни комуникационни услуги може да поиска да се извърши, за търговия на електронни комуникационни услуги или за осигуряване на услуги с добавена стойност, може да бъде позволена, само ако абонатът е дал съгласието си за това, на базата на точна и пълна информация, дадена от доставчика на публично достъпни електронни комуникационни услуги, за типа на по-нататъшната обработка, предвидена да се извърши и за правото на абоната да не даде или да оттегли неговото/нейното съгласие за такава обработка. Данни за трафика, използвани за търговия на комуникационни услуги, или за осигуряване на услуги с добавена стойност, трябва също да бъдат изтрити или да се направят анонимни след осигуряване на услугата. Доставчиците на услуги трябва винаги да държат абонатите информирани за типа данни, които те обработват и за целите и продължителността, за която това се прави. 
(27) | Точният момент на приключването на предаването на комуникация, след който данните за трафика трябва да бъдат изтрити, с изключение за целите на изготвяне на сметка, може да зависи от типа на електронни комуникационни услуги, който е доставен. Например за гласово телефонно повикване, предаването ще приключи веднага щом потребителите приключат връзката. За електронна поща предаването е приключено веднага щом адресатът получи съобщението, обикновено от сървъра на своя доставчик на услуга. 
(28) | Задължението да изтриват данни от трафика, или такива данни да се направят анонимни, когато не са необходими повече за целите на извършване на комуникация, не е в конфликт с такива процедури в Интернет, като кеширане на IP адреси в системата за наименование на домейн или кеширане на IP адреси на физически свръзки на адреси или използването на информация включване, за да се контролира правото на достъп до мрежи или услуги. 
(29) | Когато е необходимо в отделни случаи, доставчикът на услуга може да обработва данни за трафика, отнасящи се до абонати и потребители, за да открие технически неизправности или грешки в предаването на съобщения. Данни за трафика, необходими за целите на изготвяне на сметка, могат също да бъдат обработени от доставчика, за да открие и спре измама при неплатено използване на електронна комуникационна услуга. 
(30) | Системите за обезпечаване на електронни комуникационни мрежи и услуги трябва да бъдат направени, така че да ограничават количеството на необходимите лични данни до точен минимум. Всякакви дейности, свързани с обезпечаването на електронни комуникационни услуги, които излизат извън извършването на комуникация и изготвянето на сметки за тях, трябва да се основават на единни данни за трафика, които не могат да бъдат свързани с абонати или потребители. Когато такива дейности не могат да се основават на единни данни, те трябва да се разглеждат като услуги с добавена стойност, за които се изисква съгласие на абоната. 
(31) | Дали съгласието, което трябва да бъде получено за обработка на лични данни, от гледна точка на предоставяне на специфична услуга с добавена стойност, трябва да бъде това на потребителя или на абоната, ще зависи от данните, които трябва да се обработят и от типа на услугата, която ще се предостави и дали е технически, процедурно и договорно възможно да се различи индивидуалното използване на електронни комуникационни услуги от юридическо или физическо лице, което се е абонирало за нея. 
(32) | Където доставчикът на електронни комуникационни услуги или на услуга с добавена стойност, се договаря с подизпълнител за обработката на лични данни, необходими за обезпечаване на тези услуги за друга институция, такова договаряне с подизпълнител и последващата обработка на данни трябва да бъде в пълно съответствие с изискванията по отношение на администраторите и обработката на лични данни, както е обяснено в Директива 95/46/ЕО. Когато обезпечаването на услуга с добавена стойност изисква данните за трафик или местонахождение да се изпратят от доставчика на електронни комуникационни услуги на доставчика на услуги с добавена стойност, абонатите или потребителите, за които данните се отнасят, трябва да бъдат също напълно информирани за това изпращане, преди да дадат съгласието си за обработка на данните. 
(33) | Въвеждането на сметки с описание на услугите подобри възможностите на абонатите да проверяват точността на вземаните такси от доставчика на услуга, но в същото време това може да наруши правото на неприкосновеност на личен живот на потребителите на публично достъпни електронни комуникационни услуги. Затова, за да се защити правото на неприкосновеност на личния живот на потребителя, държавите-членки трябва да насърчат развитието на опции при електронни комуникационни услуги, като улеснения за алтернативно плащане, които позволяват анонимност или строго личен достъп до публично достъпни електронни комуникационни услуги, например карти за повикване и улеснения за плащане с кредитни карти. В същата връзка държавите-членки могат да поискат операторите да предлагат на абонатите си различен тип подробно описание на сметката, в която известен брой цифри от набрания номер са били изтрити. 
(34) | Необходимо е по отношение на идентификацията на повикващата линия да се защити правото на повикващата страна да откаже показване на идентификация на повикващата линия, от която се прави повикването и правото на повиканата страна да отхвърли повиквания от неидентифицирани линии. В специфични случаи има оправдание за незачитане елиминирането на показване на идентификацията на повикващата линия. Някои абонати, по-специално линии за помощ и подобни организации, имат интерес да се гарантира анонимността на техните посетители. Необходимо е, по отношение на идентификация на свързаната линия, да се защити правото и законния интерес на повиканата страна да откаже показването на идентификацията на линията, към която повикващата страна е действително свързана, по-специално при нахални повиквания. Доставчиците на публично достъпни електронни комуникационни услуги трябва да информират техните абонати за наличието на идентификация за повикващата и на свързаната линия в мрежата и за всички услуги, които се предлагат за идентификация на повикващата и свързаната линия, както и наличните възможности за неприкосновеност на личния живот. Това ще позволи на абонатите да направят информиран избор за възможностите за неприкосновеност на личния им живот, които могат да поискат да използват. Възможности за неприкосновеност на личния живот, които се предлагат на база за конкретна линия, не трябва непременно да бъдат на разположение, като автоматична услуга на мрежата, но могат да се получат с проста заявка от доставчика на публични електронни комуникационни услуги. 
(35) | При цифровите мобилни мрежи, данните за местонахождение, даващи географското местонахождение на терминалното оборудване на мобилния потребител, се обработват, за да позволят предаването на съобщения. Такива данни са данни за трафика, обхванати от член 6 от настоящата директива. Все пак в допълнение, цифровите мобилни мрежи могат да имат възможност да обработват данни за местонахождение, които са по-точни, отколкото е необходимо за предаване на съобщения, и които се използват за обезпечаване на услуги с добавена стойност, такива като услуги, обезпечаващи индивидуализирана информация за трафика и указания за шофьори. Обработката на такива данни за услуги с добавена стойност трябва да бъде разрешено, само когато абонатите са дали съгласието си. Даже и в случаите, в които абонатите са дали съгласието си, те трябва да имат прости средства без заплащане, за да откажат временно обработката на данни за местонахождение. 
(36) | Държавите-членки могат да ограничат правата на потребители и абонати за неприкосновеност на личния им живот по отношение на идентификация на повикващата линия, когато това е необходимо, за да се проследят неприятни обаждания, и по отношение на идентификация на повикващата линия и данни за местонахождение, когато това е необходимо, за да се позволи на аварийните служби да изпълняват задачите си колкото е възможно ефективно. За тези цели държавите-членки могат да одобрят специфични разпоредби, като възложат на доставчиците на електронни комуникационни услуги да обезпечават достъп до идентификация на повикващата линия и данни за местонахождение без предварително съгласие на заинтересованите потребители и абонати. 
(37) | Трябва да бъдат предоставени защити за абонати срещу неприятности, които могат да бъдат причинени от автоматични повиквания, изпращани от други. При това в такива случаи трябва да е възможно за абонатите да спрат изпратените повиквания, минаващи през техните терминали с проста заявка до доставчика на публично достъпни електронни комуникационни услуги. 
(38) | Указателите на абонатите на електронни комуникационни услуги са широко разпространени и публични. Правото на неприкосновеност на личния живот на физически лица и законният интерес на юридически лица изискват абонатите да имат възможност да определят дали техните лични данни да се публикуват в указател и, ако е така, кои от тях да се публикуват. Доставчиците на публични указатели трябва да информират абонатите, които ще бъдат включени в такива указатели, за целите на указателя и за всяко специфично използване, което може да се направи от публичните указатели, по-специално посредством функции за търсене включени в софтуера, такива като функции за обратно търсене, позволяващи на потребителите на указателя да откриват наименование и адрес на абоната на базата само на телефонен номер. 
(39) | Задължението да се информират абонатите за целта/целите на публичните указатели, в които техните лични данни ще бъдат включени, трябва да се наложи на страните, събиращи данните за такова включване. Когато данните могат да бъдат предадени на една или повече трети страни, абонатът трябва да бъде информиран за тази възможност и за получателя или за категориите възможни получатели. Всяко предаване трябва да бъде предмет на условието, че данните не могат да се използват за други цели, освен за тези, за които са събрани. Ако страната, събираща данните от абонатите или трети страни, на които данните са били предадени, желае да използва данните с допълнителна цел, трябва да се получи подновено съгласие от абоната, или от първата страна, събираща данните или от трета страна, на която данните са били предадени. 
(40) | На абонатите следва да бъдат предоставени защити срещу намеса в неприкосновеността на личния им живот от нежелана комуникация с цел директен маркетинг, и по-специално посредством автоматично набиращи машини, факсове и електронни пощи, включително кратките съобщения по мобилните телефони. Тези форми на нежелана търговска комуникация могат от една страна да бъдат сравнително лесно и евтино извършвани, но от друга страна могат да налагат бреме и/или разход на получателя. При това в някои случаи техният обем може също да причини затруднения за мрежите за електронна комуникация и терминалното оборудване. За такива форми на нежелани съобщения за директен маркетинг е оправдано да се поиска предварително изричното съгласие на получателите преди такива съобщения да бъдат адресирани до тях. Единният пазар изисква хармонизиран подход, за да се осигурят прости правила в цялата Общност за търговските дейности и потребителите. 
(41) | В контекста на съществуващо взаимоотношение с купувача, оправдано е да се позволи използването на електронни координати при предлагането на подобни продукти или услуги, но само от същата компания, която е получила електронните координати в съответствие с Директива 95/46/ЕО. Когато се получат електронни координати, клиентът трябва да бъде информиран за тяхното бъдещо използване при директен маркетинг по ясен и отчетлив начин и да бъде дадена възможност да се откаже такова използване. Тази възможност трябва да бъде продължена, за да бъде предложена безплатно при всяка последваща комуникация за директна търговия, с изключение на разходи за предаването на този отказ. 
(42) | Други форми на търговия, които са по-скъпи за изпращача и не налагат финансови разходи на абонатите и потребителите, като личните гласови телефонни повиквания, могат да оправдаят поддръжката на система, даваща на абонати или потребители възможността да показват, че не желаят да получават такива повиквания. Въпреки това, за да не се намалят съществуващите нива на защита на неприкосновеността на личния живот, държавите-членки трябва да дадат правото да се поддържат национални системи, които позволяват такива повиквания до абонати и потребители, които са дали предварително съгласието си. 
(43) | За да се улесни ефективното прилагане на разпоредби на Общността при нежелани съобщения за директен маркетинг, необходимо е да се забрани използването на невярна самоличност или неверни обратни адреси или номера, когато се изпращат нежелани съобщения за целите на директна търговия. 
(44) | Определени системи за електронна поща позволяват на абонатите да видят изпращача и темата на електронното писмо, и да изтриват комуникацията без да свалят съдържанието на останалата електронна поща или приложения, като така намаляват разходите, които могат да възникнат от отварянето на нежелани електронни писма или приложения. Тези разпоредби могат да продължат да бъдат полезни в определени случаи, като допълнително средство към общите задължения, установени в настоящата директива. 
(45) | Настоящата директива не накърнява разпоредбите, които държавите членки приемат, за да защитят законните интереси на юридически лица по отношение на нежелани съобщения за целите на директен маркетинг. Когато държави-членки създават опт-аут регистър за такива съобщения към юридически лица, главно бизнес потребители, разпоредбите на член 7 от Директива 2000/31/ЕО на Европейския парламент и на Съвета от 8 юни 2000 година относно определени правни аспекти за услуги в информационното общество, по-специално в електронната търговия във вътрешния пазар (Директива относно електронна търговия) (6) са напълно приложими. 
(46) | Функционалните възможности за предоставяне на електронни комуникационни услуги могат да бъдат интегрирани в мрежа или във всяка част от терминалното оборудване на потребителя, включително софтуера. Защитата на личните данни и неприкосновеността на личния живот на потребителя при публично достъпни електронни комуникационни услуги трябва да бъдат независими от конфигурацията на различните компоненти, необходими за да се обезпечи услугата и разпрeделението на необходимите функционални възможности между тези компоненти. Директива 95/46/ЕО обхваща всяка форма на обработка на лични данни, независимо от използваната технология. Съществуването на специфични разпоредби за електронни комуникационни услуги, успоредно с общи разпоредби за други компоненти, необходими за обезпечаването на такива услуги, може да не улеснява защитата на лични данни и неприкосновеността на личния живот по технологично неутрален начин. Затова може да е необходимо да се одобрят мерки, изискващи производителите на определени типове оборудване, използвано за електронни комуникационни услуги, да конструират техния продукт по такъв начин, че да съдържа защити, които да осигурят личните данни и неприкосновеността на личния живот на потребителя и абоната да са защитени. Одобряването на такива мерки в съответствие с Директива 1999/5/ЕО на Европейския парламент и на Съвета от 9 март 1999 година относно радио оборудване и оборудване за телекомуникационни терминали и взаимното признаване на тяхното съответствие (7) ще гарантира, че въвеждането на технически характеристики за електронно комуникационно оборудване, включително софтуер за целите на защита на данни, ще бъде хармонизирано, за да бъде съвместимо с осъществяването на вътрешния пазар. 
(47) | Когато не са спазени правата на потребителите и абонатите, националното законодателство трябва да осигури съдебни средства за защита. Трябва да се налагат наказания на всяко лице, независимо дали е обхванато от частното или публичното право, което не спазва националните мерки, предприети съгласно настоящата директива. 
(48) | Полезно е в приложното поле на настоящата директива да се черпи от опита на Работната група за защитата на физическите лица по отношение на обработката на лични данни, съставена от представители на надзорните органи на държавите-членки, създадена с член 29 от Директива 95/46/ЕО. 
(49) | За да се улесни спазването на разпоредбите на настоящата директива, са необходими определени специфични мерки за обработката на данни, която вече е в ход към датата, на която националното законодателство по прилагане съгласно настоящата директива влезе в сила, 
ПРИЕХА НАСТОЯЩАТА ДИРЕКТИВА: 
Член 1 
Обхват и цел 
1.   Настоящата директива хармонизира разпоредбите на държавите-членки, нeобходими за осигуряване на еквивалентно ниво на защита на основни права и свободи и, по-специално, правото на неприкосновеност на личен живот по отношение на обработката на лични данни в електронно комуникационния сектор и да се осигури свободно движение на такива данни и оборудване за електронни съобщения и услуги в Общността. 
2.   Разпоредбите на настоящата директива конкретизират и допълват Директива 95/46/ЕО за целите, упоменати в параграф 1. Освен това те се грижат за защита на легитимните интереси на абонати, които са юридически лица. 
3.   Настоящата директива не се прилага за дейности, които попадат извън обхвата на Договора за създаване на Европейската общност, като тези обхванати от дялове V и VI от Договора за Европейския съюз, и във всички случаи за дейности, отнасящи се до обществената сигурност, отбраната, сигурността на държавата (включително икономическото благосъстояние на държавата, когато дейностите се отнасят до проблемите за сигурността на държавата) и дейностите на държавата в областта на наказателното право. 
Член 2 
Дефиниции 
Освен ако не е предвидено друго, се прилагат дефинициите от Директива 95/46/ЕО и от Директива 2002/21/ЕО на Европейския парламент и на Съвета от 7 март 2002 година относно обща регулаторна структура за електронни комуникационни мрежи и услуги (Рамкова директива) (8). 
Прилагат се също следните дефиниции: 
а) | „потребител“ означава всяко физическо лице, използващо публично достъпни електронни комуникационни услуги за частни или бизнес цели, без да е необходимо да се е абонирал за тази услуга; 
б) | „данни за трафик“ означава всякакви данни, обработени с цел пренасяне на комуникация през електронни комуникационни мрежи или за изготвяне на сметка за това; 
в) | „данни за местонахождение“ означава всякакви данни, обработени в електронни комуникационни мрежи, показващи географското местоположение на терминалното оборудване на потребителя на публично достъпни електронни комуникационни услуги; 
г) | „комуникация“ означава всяка информация, обменена или пренесена между определен брой страни с помощта на публично достъпни електронни комуникационни услуги. Това не включва информация, пренасяна като част от услуга за публично радио-разпръскване през електронни комуникационни мрежи с изключение на информацията, която може да бъде свързана с идентифицируем абонат или потребител, получаващ информацията. 
д) | „повикване“ означава връзка, установена посредством публично достъпна телефонна услуга, позволяваща двустранна комуникация в реално време; 
е) | „съгласие“ на потребител или абонат отговаря на съгласието на заинтересованото лице по Директива 95/46/ЕО; 
ж) | „услуга с добавена стойност“ означава всяка услуга, която изисква обработката на данни за трафик или местонахождение, освен тези за данни за трафик извън необходимите за предаване на комуникация или изготвяне на сметка за това; 
з) | „електронна поща“ означава всеки текст, глас, звук или образ, изпратен през публични комуникационни мрежи, който може да се съхранява в мрежата или в терминалното оборудване на получателя, докато се вземе от получателя. 
Член 3 
Услуги, за които се отнася 
1.   Настоящата директива се прилага при обработката на лични данни във връзка с предоставянето на публично достъпни електронни комуникационни услуги в публични комуникационни мрежи в Общността. 
2.   Членове 8, 10 и 11 се прилагат към линии на абонати, свързани към цифрови централи и където е технически възможно, и ако не изисква прекомерно икономическо усилие, към линии на абонати, свързани към аналогови централи. 
3.   В случаите, когато би било технически невъзможно или се изисква прекомерно икономическо усилие, за да се изпълнят изискванията на членове 8, 10 и 11, Комисията трябва да бъде уведомена от държавите-членки. 
Член 4 
Сигурност 
1.   Доставчикът на публично достъпни електронни комуникационни услуги трябва да вземе подходящи технически и организационни мерки, за да защити сигурността на неговите услуги, ако е необходимо заедно с доставчика на публични комуникационни мрежи по отношение на сигурността на мрежата. Като се вземе предвид състоянието на науката и разходите за тяхното изпълнение, тези мерки трябва да осигуряват ниво на сигурност, съответстващо на риска, който е налице. 
2.   В случай на особен риск от нарушение на сигурността на мрежата, доставчикът на публично достъпни електронни комуникационни услуги трябва да уведоми абонатите относно такъв риск и, когато рискът се намира извън обхвата на мерките, които трябва да предприеме доставчикът на услугата, относно всички възможни средства за справяне, включително указание за възможните свързани разходи. 
Член 5 
Конфиденциалност на комуникациите 
1.   Държавите-членки гарантират конфиденциалност на съобщенията и свързания трафик на данни през публични комуникационни мрежи и публично достъпни електронни комуникационни услуги, чрез националното си законодателство. По-специално те забраняват слушане, записване, съхранение и други видове подслушване или наблюдение на съобщения и свързаните данни за трафика от страна на лица, различни от потребители без съгласието на заинтересованите потребители, с изключение на законно упълномощени да извършват това в съответствие с член 15 параграф 1. Настоящият параграф не пречи на техническото съхранение, което е необходимо за пренасяне на комуникация, без да противоречи на принципа за конфиденциалност. 
2.   Параграф 1 не засяга всяко законно разрешено записване на съобщения и свързаните данни за трафик, когато се изпълнява в хода на законна бизнес практика, с цел осигуряване на доказателство за търговска сделка или на всякаква друга бизнес комуникация. 
3.   Държавите-членки гарантират, че използването на електронни комуникационни мрежи, за да се съхранява информация или да се получи достъп до информация, съхранявана в терминалното оборудване на абоната или потребителя е позволено, само при условие че на заинтересования абонат или потребител е предоставена ясна и цялостна информация в съответствие с Директива 95/46/ЕО, inter alia, относно целите на обработката и е предложено правото да се откаже такава обработка от администратора на данни. Това не пречи на всяко техническо съхранение или достъп с единствена цел осъществяване или улесняване на предаването на комуникация през електронна комуникационна мрежа или като точно необходима, за да се предостави информационна обществена услуга, изрично поискана от абоната или потребителя. 
Член 6 
Данни за трафик 
1.   Данни за трафик, отнасящи се до абонати и потребители, обработени и съхранени от доставчика на публични комуникационни мрежи или публично достъпни електронни комуникационни услуги, трябва да бъдат изтрити или да се направят анонимни, когато не са необходими повече за целите на предаване на комуникация, без да се накърнява параграф 2, 3 и 5 от настоящия член и член 15, параграф 1. 
2.   Могат да бъдат обработени данни за трафик, необходими за целите на изготвяне на сметката на абоната и плащания при взаимна връзка. Такава обработка е допустима само до края на периода, през който сметката може законно да бъде оспорена или плащането търсено. 
3.   С цел търговия на електронни комуникационни услуги или за обезпечаването на услуга с добавена стойност, доставчикът на публично достъпни електронни комуникационни услуги може да обработва данните, упоменати в параграф 1, до степен и продължителност, необходима за такива услуги или търговия, ако абонатът или потребителят, за когото се отнасят данните, даде съгласието си. На потребители или абонати трябва да бъде дадена възможността да оттеглят по всяко време съгласието си за обработка на данни за трафика. 
4.   Доставчикът на услуга трябва да информира абоната или потребителя за типовете данни за трафика, които се обработват и за продължителността на такава обработка, за целите упоменати в параграф 2 и преди да получи съгласие, за целите упоменати в параграф 3. 
5.   Обработка на данни за трафик, в съответствие с параграфи 1, 2, 3 и 4, трябва да бъде ограничена до лица, действащи под ръководството на доставчиците на публични комуникационни мрежи и публично достъпни електронни комуникационни услуги, които отговарят за изготвянето на сметки или управлението на трафика, за запитванията на клиенти, за разкриването на измами, за търговията с електронни комуникационни услуги или за обезпечаването на услуга с добавена стойност и трябва да бъде ограничена до това, което е необходимо за целите на тези дейности. 
6.   Параграфи 1, 2, 3 и 5 се прилагат без да се засяга възможността компетентните органи да бъдат информирани за трафика на данни в съответствие с приложимото законодателство от гледна точка на уреждане на спорове, по-специално спорове за връзка или изготвяне на сметка. 
Член 7 
Изготвяне на сметки с описание на услугите 
1.   Абонатите имат правото да получат сметки, които не са с описание на услугите. 
2.   Държавите-членки прилагат национални разпоредби, за да съгласуват правата на абонати, получаващи сметки с описание на услугите, с правото на неприкосновеност на личния живот на повикващите потребители и повиканите абонати, например посредством осигуряване на тези потребители или абонати на достатъчно допълнителни методи за запазване на неприкосновеността на личния им живот при комуникации или плащания. 
Член 8 
Показване и ограничаване на идентификацията на повикваща и свързана линия 
1.   Когато се предлага идентификация на повикващата линия, доставчикът на услугата трябва да предложи на потребителя, който повиква, възможността да използва безплатно прости средства за предотвратяване показването на идентификацията на повикващата линия на база конкретно повикване. Повикващият абонат трябва да има тази възможност на база за конкретно повикване. 
2.   Когато се предлага показване на идентификацията на повикваща линия, доставчикът на услуга трябва да предложи на повикания абонат възможност, като използва безплатно прости средства, за оправдано използване на тази функция за предотвратяване на показването на идентификация на повикващата линия за следващи повиквания. 
3.   Когато се предлага показване на идентификация на повикващата линия и когато идентификацията на повикващата линия се показва преди да се осъществи повикването, доставчикът на услуга трябва да предлага на повикания абонат възможност, като използва прости средства, за отхвърляне на следващи повиквания, когато показването на идентификацията на повикващата линия е било предотвратено от повикващия потребител или абонат. 
4.   Когато се предлага идентификация на свързаната линия, доставчикът на услуга трябва да предлага на повикания абонат възможността, като използва безплатно прости средства, да предотврати показването на идентификацията на свързаната линия на повикващия потребител. 
5.   Параграф 1 се прилага също по отношение на повиквания, произхождащи от Общността към трети страни. Параграфи 2, 3 и 4 се прилагат също към идващи съобщения, произхождащи от трети страни. 
6.   Държавите-членки следят, в случай на предлагане на показване на идентификация за повикваща и/или свързана линия, доставчиците на публично достъпни електронни комуникационни услуги ще информират обществото за това и за възможностите, предвидени в параграфи 1, 2, 3 и 4. 
Член 9 
Данни за местонахождение, различни от данни за трафик 
1.   Когато данни за местонахождение, различни от данни за трафик, отнасящи се до потребители или абонати на публични комуникационни мрежи или публично достъпни електронни комуникационни услуги, могат да бъдат обработени, такива данни могат да бъдат обработени, само когато се направят анонимни или със съгласието на потребители или абонати до степен и продължителност необходими за предоставяне на услуга с добавена стойност. Доставчикът на услуга трябва да информира потребители или абонати, преди да получи тяхното съгласие, за типа на данни за местонахождение, различни от данни за трафик, които ще бъдат обработени, за целите и за продължителността на обработката и дали данните ще бъдат предадени на трета страна с цел предоставяне на услуга с добавена стойност. На потребителите или абонатите трябва да бъде дадена възможност по всяко време да оттеглят своето съгласие за обработка на данни за местонахождение, различни от данни за трафик. 
2.   Когато е било получено съгласието на потребителите или абонатите за обработката на данни за местонахождение, различни от данни за трафик, потребителят или абонатът трябва да продължи да има възможността при всяко включване в мрежата или при всяко предаване на комуникация, като използва безплатно прости средства, да откаже временно обработката на такива данни. 
3.   Обработката на данни за местонахождение, различни от данни за трафик, в съответствие с параграфи 1 и 2, трябва да бъде ограничена до лица, действащи по пълномощие на доставчика на публични комуникационни мрежи или публично достъпни комуникационни услуги или от трета страна, която доставя услуга с добавена стойност и трябва да бъде ограничена до необходимото за целите на доставка на услуга с добавена стойност. 
Член 10 
Изключения 
Държавите-членки трябва да следят да има прозрачни процедури, определящи начина, по който доставчик на публични комуникационни мрежи и/или публично достъпни електронни комуникационни услуги, може да не зачете: 
a) | елиминирането на показването на идентификация на повикващата линия, при подаване на искане от абонат за проследяване на злонамерени и досадни повиквания; в този случай, в съответствие с националното законодателство, данните, съдържащи идентификация на повикващия абонат ще бъдат съхранени и ще се направят достъпни от доставчика на публични комуникационни мрежи и/или публично достъпни електронни комуникационни услуги; 
б) | елиминирането на показването на идентификация на повикващата линия и временния отказ или липсата на съгласие на абоната или потребителя за обработка на данни за местоположение на база за конкретна линия, за организации занимаващи се със спешни повиквания и признати за такива от държава-членка, включително правоприлагащи организации, услуги за бърза помощ и противопожарна служба, с цел отговаряне на такива повиквания. 
Член 11 
Автоматично изпращане на повикване 
Държавите-членки осигуряват на всеки абонат възможността, като използва безплатно прости средства, да спре автоматично изпращане на повикване от трета страна до терминала на абоната. 
Член 12 
Указатели на абонати 
1.   Държавите-членки следят абонатите да са информирани безплатно и преди да са включени в указателя, относно целта (целите) на отпечатания или електронен указател на абонати, достъпен до широката публика или, който може да се получи чрез справки, в които техните лични данни могат да бъдат включени, и за всяко по-нататъшно използване въз основа на функции за търсене, включени в електронните версии на указателя. 
2.   Държавите-членки следят на абонатите да бъде дадена възможност да определят дали техните лични данни да бъдат включени в публичен указател и, ако е така, кои данни, до степен достатъчна за целите на указателя, както е определено от доставчика на указателя, както и да провери, коригира или оттегли такива данни. Невключването в публичния указател на абонати, проверката, коригирането или оттеглянето на лични данни от него трябва бъде безплатно. 
3.   Държавите-членки могат да изискват за всяка цел на публичен указател, освен тази за търсене на координати на лица на база техните имена и когато е необходимо минимален брой други идентификатори, да бъде поискано допълнително съгласие от абонатите. 
4.   Параграфи 1 и 2 се прилагат към абонати, които са физически лица. Държавите-членки осигуряват също в рамките на правото на Общността и приложимото национално законодателство, законните интереси на абонати, различни от физически лица по отношение на тяхното вписване в публични указатели, да са достатъчно защитени. 
Член 13 
Нежелани съобщения 
1.   Използването на автоматизирани повикващи системи без човешка намеса (автоматично повикващи машини), машини за факсимилета (факс) или електронна поща за целите на директна търговия, може да бъде позволено само по отношение на абонати, които са дали предварително своето съгласие. 
2.   Въпреки параграф 1, когато физическо или юридическо лице получи от своите клиенти техните електронни координати за електронна поща, в контекста на продажбата на продукт или услуга, в съответствие с Директива 95/46/ЕО, същото физическо или юридическо лице може да използва тези електронни координати за директна търговия на неговите собствени подобни продукти или услуги, при условие че на клиентите ясно и отчетливо е дадена възможност да възразят безплатно и по лесен начин на такова използване на електронни координати, когато те са събирани и при всяко съобщение, в случай че клиентът не е възразил първоначално на такова използване. 
3.   Държавите-членки предприемат подходящи мерки, за да осигурят безплатно нежеланите съобщения за целите на директна търговия, с изключение на упоменатите в параграфи 1 и 2, да не са разрешени без съгласието на заинтересованите абонати или по отношение на абонати, които не желаят да получават тези съобщения, като изборът между тези възможности се определя от националното законодателство. 
4.   Във всеки случай трябва да бъде забранена практиката да се изпраща електронна поща за целите на директна търговия, прикриваща или скриваща идентичността на подателя, от чието име се прави комуникацията, или без валиден адрес, на който получателят да може да изпрати искане да се спрат такива съобщения. 
5.   Параграфи 1 и 3 се прилагат към абонати, които са физически лица. Държавите-членки гарантират също в рамките на законодателството на Общността и приложимото национално законодателство, че законните интереси на абонати, различни от физически лица, по отношение на нежелани съобщения, са достатъчно защитени. 
Член 14 
Технически характеристики и стандартизация 
1.   При изпълнението на разпоредбите на настоящата директива държавите-членки гарантират, при условията на параграфи 2 и 3, че няма да се налагат задължителни изисквания за специфични технически характеристики относно терминали или друго електронно оборудване за съобщения, които могат да пречат на пускането на оборудване на пазара и свободното движение на такова оборудване във и между държавите-членки. 
2.   Когато разпоредбите на настоящата директива могат да се изпълнят само посредством изискване на специфични технически характеристики в електронни комуникационни мрежи, държавите-членки информират Комисията в съответствие с процедурата, предвидена в Директива 98/34/ЕО на Европейския парламент и на Съвета от 22 юни 1998 г., установяваща процедура за обезпечаване на информация в областта на техническите стандарти разпоредби и за правила относно услуги в информационно общество (9). 
3.   Когато се изисква, могат да се приемат мерки, за да се осигури терминалното оборудване бъде конструирано по начин, които е съвместим с правото на потребителите да защитават и контролират използването на техните лични данни, в съответствие с Директива 1999/5/ЕО и Решение 87/95/ЕИО на Съвета от 22 декември 1986 година, относно стандартизация в областта на информационните технологии и съобщения (10) 
Член 15 
Приложение на някои разпоредби от Директива 95/46/ЕО 
1.   Държавите-членки могат да приемат законодателни мерки, за да ограничат обхвата на правата и задълженията, предвидени в член 5, член 6, член 8, параграф 1, 2, 3, и 4 и член 9 от настоящата директива, когато такова ограничаване представлява необходима, подходяща и пропорционална мярка в рамките на демократично общество, за да гарантира национална сигурност (т.е държавна сигурност), отбрана, обществена безопасност и превенцията, разследването, разкриването и преследването на криминални нарушения или неразрешено използване на електронна комуникационна система, както е посочено в член 13, параграф 1 от Директива 95/46/ЕО. В тази връзка, държавите-членки могат, inter alia, да одобрят законодателни мерки, предвиждащи съхранението на данни за ограничен период, оправдани на основанията, изложени в настоящия параграф. Всички мерки, упоменати в настоящия параграф, трябва да бъдат в съответствие с общите принципи на законодателството на Общността, включително онези, упоменати в член 6, параграф 1 и 2 от Договора за Европейския съюз. 
2.   Разпоредбите на глава III относно средствата за съдебна защита, отговорността и санкциите от Директива 95/46/ЕО трябва да се прилагат по отношение на национални разпоредби, одобрени съгласно настоящата директива и по отношение на правата на личността, произтичащи от настоящата директива. 
3.   Работната група за защита на личността, по отношение на обработката на лични данни, създадена от член 29 от Директива 95/46/ЕО, трябва да изпълнява също задачи, посочени в член 30 от настоящата директива, по отношение на въпроси, обхванати от настоящата директива, основно по защита на основните права и свободи и законни интереси в електронните комуникационни сектори. 
Член 16 
Преходни разпоредби 
1.   Член 12 не се прилага към издания на указатели вече произведени или пуснати на пазара в печатна или извънмрежова електронна форма, преди национални разпоредби, приети съгласно настоящата директива, да влязат в сила. 
2.   Когато личните данни на абонати на фиксирани или мобилни публични гласови телефонни услуги са били включени в публичен указател на абонати в съответствие с разпоредбите на Директива 95/46/ЕО и член 11 от Директива 97/66/ЕО преди националните разпоредби, приети съгласно настоящата директива, да влязат в сила, личните данни на такива абонати могат да останат включени в този публичен указател в неговата печатна или електронна версия, включително версия с функции за обратно търсене, освен ако абонатите посочат друго, след като са получили пълна информация относно целите и възможностите в съответствие с член 12 от настоящата директива. 
Член 17 
Въвеждане 
1.   Преди 31 октомври 2003 година държавите-членки въвеждат в сила разпоредбите, необходими за да приведат законодателството си в съответствие с настоящата директива. Те незабавно информират Комисията за това. 
Когато държавите-членки приемат тези разпоредби, в тях да се съдържа позоваване на настоящата директива или то се извършва при официалното им публикуване. Условията и редът на позоваване се определят от държавите-членки. 
2.   Държавите-членки съобщават на Комисията текста на разпоредбите от националното законодателство, които приемат в областта, уредена с настоящата директива и за всякакви последващи изменения на тези разпоредби. 
Член 18 
Преразглеждане 
Не по-късно от три години след датата, упомената в член 17, параграф 1, Комисията представя доклад пред Европейския парламент и Съвета, относно прилагането на настоящата директива и нейното въздействие върху стопански оператори и потребители, по специално по отношение на разпоредбите за нежелани съобщения, като се взема под внимание международната среда. За тази цел, Комисията може да изиска информация от държавите-членки, които трябва да я предоставят без прекалено забавяне. Когато е подходящо, Комисията трябва да представи предложения да се измени настоящата директива, взимайки под внимание резултатите от този доклад, всякакви промени в сектора и всяко друго предложение, което може да счита за необходимо, за да се подобри ефективността на настоящата директива. 
Член 19 
Отмяна 
С настоящото се отменя Директива 97/66/ЕО, считано от датата, посочена в член 17, параграф 1. 
Позоваванията на отменената директива трябва да бъдат тълкувани като позовавания на настоящата директива. 
Член 20 
Влизане в сила 
Настоящата директива влиза в сила в деня на официалното ѝ публикуване в Официален вестник на Европейските общности. 
Член 21 
Адресати 
Адресати на настоящата директива са държавите-членки. 
Съставено в Брюксел на 12 юли 2002 година. 
За Европейския парламент 
Председател 
P. COX 
За Съвета 
Председател 
T. PEDERSEN 
(1)  ОВ C 365 E, 19.12.2000 г., стр. 223. 
(2)  ОВ C 123, 25.4.2001 г., стр. 53. 
(3)  Становище на Европейския парламент от 13 ноември 2001 година (все още непубликувано в Официален вестник), Обща позиция на Съвета от 28 януари 2002 година (ОВ C 113 E, 14.5.2002 г., стр. 39) и Решение на Европейския парламент от 30 май 2002 година (все още непубликувано в Официален вестник). Решение на Съвета от 25 юни 2002 година. 
(4)  ОВ L 281, 23.11.1995 г., стр. 31. 
(5)  ОВ L 24, 30.1.1998 г., стр. 1. 
(6)  ОВ L 178, 17.7.2000 г., стр. 1. 
(7)  ОВ L 91, 7.4.1999 г., стр. 10. 
(8)  ОВ L 108, 24.4.2002 г., стр. 33. 
(9)  ОВ L 204, 21.7.1998 г., стр. 37. Директива, последно изменена с Директива 98/48/ЕО (ОВ L 217, 5.8.1998 г., стр. 18). 
(10)  ОВ L 36, 7.2.1987 г., стр. 31. Решение, последно изменено с Акта за присъединяване от 1994 г. 
 
 |
 32002L0058
 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)
 
 
 
 Official Journal L 201 , 31/07/2002 P. 0037 - 0047
 
 
 
 Directive 2002/58/EC of the European Parliament and of the Council
 of 12 July 2002
 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)
 THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,
 Having regard to the Treaty establishing the European Community, and in particular Article 95 thereof,
 Having regard to the proposal from the Commission(1),
 Having regard to the opinion of the Economic and Social Committee(2),
 Having consulted the Committee of the Regions,
 Acting in accordance with the procedure laid down in Article 251 of the Treaty(3),
 Whereas:
 (1) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(4) requires Member States to ensure the rights and freedoms of natural persons with regard to the processing of personal data, and in particular their right to privacy, in order to ensure the free flow of personal data in the Community.
 (2) This Directive seeks to respect the fundamental rights and observes the principles recognised in particular by the Charter of fundamental rights of the European Union. In particular, this Directive seeks to ensure full respect for the rights set out in Articles 7 and 8 of that Charter.
 (3) Confidentiality of communications is guaranteed in accordance with the international instruments relating to human rights, in particular the European Convention for the Protection of Human Rights and Fundamental Freedoms, and the constitutions of the Member States.
 (4) Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector(5) translated the principles set out in Directive 95/46/EC into specific rules for the telecommunications sector. Directive 97/66/EC has to be adapted to developments in the markets and technologies for electronic communications services in order to provide an equal level of protection of personal data and privacy for users of publicly available electronic communications services, regardless of the technologies used. That Directive should therefore be repealed and replaced by this Directive.
 (5) New advanced digital technologies are currently being introduced in public communications networks in the Community, which give rise to specific requirements concerning the protection of personal data and privacy of the user. The development of the information society is characterised by the introduction of new electronic communications services. Access to digital mobile networks has become available and affordable for a large public. These digital networks have large capacities and possibilities for processing personal data. The successful cross-border development of these services is partly dependent on the confidence of users that their privacy will not be at risk.
 (6) The Internet is overturning traditional market structures by providing a common, global infrastructure for the delivery of a wide range of electronic communications services. Publicly available electronic communications services over the Internet open new possibilities for users but also new risks for their personal data and privacy.
 (7) In the case of public communications networks, specific legal, regulatory and technical provisions should be made in order to protect fundamental rights and freedoms of natural persons and legitimate interests of legal persons, in particular with regard to the increasing capacity for automated storage and processing of data relating to subscribers and users.
 (8) Legal, regulatory and technical provisions adopted by the Member States concerning the protection of personal data, privacy and the legitimate interest of legal persons, in the electronic communication sector, should be harmonised in order to avoid obstacles to the internal market for electronic communication in accordance with Article 14 of the Treaty. Harmonisation should be limited to requirements necessary to guarantee that the promotion and development of new electronic communications services and networks between Member States are not hindered.
 (9) The Member States, providers and users concerned, together with the competent Community bodies, should cooperate in introducing and developing the relevant technologies where this is necessary to apply the guarantees provided for by this Directive and taking particular account of the objectives of minimising the processing of personal data and of using anonymous or pseudonymous data where possible.
 (10) In the electronic communications sector, Directive 95/46/EC applies in particular to all matters concerning protection of fundamental rights and freedoms, which are not specifically covered by the provisions of this Directive, including the obligations on the controller and the rights of individuals. Directive 95/46/EC applies to non-public communications services.
 (11) Like Directive 95/46/EC, this Directive does not address issues of protection of fundamental rights and freedoms related to activities which are not governed by Community law. Therefore it does not alter the existing balance between the individual's right to privacy and the possibility for Member States to take the measures referred to in Article 15(1) of this Directive, necessary for the protection of public security, defence, State security (including the economic well-being of the State when the activities relate to State security matters) and the enforcement of criminal law. Consequently, this Directive does not affect the ability of Member States to carry out lawful interception of electronic communications, or take other measures, if necessary for any of these purposes and in accordance with the European Convention for the Protection of Human Rights and Fundamental Freedoms, as interpreted by the rulings of the European Court of Human Rights. Such measures must be appropriate, strictly proportionate to the intended purpose and necessary within a democratic society and should be subject to adequate safeguards in accordance with the European Convention for the Protection of Human Rights and Fundamental Freedoms.
 (12) Subscribers to a publicly available electronic communications service may be natural or legal persons. By supplementing Directive 95/46/EC, this Directive is aimed at protecting the fundamental rights of natural persons and particularly their right to privacy, as well as the legitimate interests of legal persons. This Directive does not entail an obligation for Member States to extend the application of Directive 95/46/EC to the protection of the legitimate interests of legal persons, which is ensured within the framework of the applicable Community and national legislation.
 (13) The contractual relation between a subscriber and a service provider may entail a periodic or a one-off payment for the service provided or to be provided. Prepaid cards are also considered as a contract.
 (14) Location data may refer to the latitude, longitude and altitude of the user's terminal equipment, to the direction of travel, to the level of accuracy of the location information, to the identification of the network cell in which the terminal equipment is located at a certain point in time and to the time the location information was recorded.
 (15) A communication may include any naming, numbering or addressing information provided by the sender of a communication or the user of a connection to carry out the communication. Traffic data may include any translation of this information by the network over which the communication is transmitted for the purpose of carrying out the transmission. Traffic data may, inter alia, consist of data referring to the routing, duration, time or volume of a communication, to the protocol used, to the location of the terminal equipment of the sender or recipient, to the network on which the communication originates or terminates, to the beginning, end or duration of a connection. They may also consist of the format in which the communication is conveyed by the network.
 (16) Information that is part of a broadcasting service provided over a public communications network is intended for a potentially unlimited audience and does not constitute a communication in the sense of this Directive. However, in cases where the individual subscriber or user receiving such information can be identified, for example with video-on-demand services, the information conveyed is covered within the meaning of a communication for the purposes of this Directive.
 (17) For the purposes of this Directive, consent of a user or subscriber, regardless of whether the latter is a natural or a legal person, should have the same meaning as the data subject's consent as defined and further specified in Directive 95/46/EC. Consent may be given by any appropriate method enabling a freely given specific and informed indication of the user's wishes, including by ticking a box when visiting an Internet website.
 (18) Value added services may, for example, consist of advice on least expensive tariff packages, route guidance, traffic information, weather forecasts and tourist information.
 (19) The application of certain requirements relating to presentation and restriction of calling and connected line identification and to automatic call forwarding to subscriber lines connected to analogue exchanges should not be made mandatory in specific cases where such application would prove to be technically impossible or would require a disproportionate economic effort. It is important for interested parties to be informed of such cases and the Member States should therefore notify them to the Commission.
 (20) Service providers should take appropriate measures to safeguard the security of their services, if necessary in conjunction with the provider of the network, and inform subscribers of any special risks of a breach of the security of the network. Such risks may especially occur for electronic communications services over an open network such as the Internet or analogue mobile telephony. It is particularly important for subscribers and users of such services to be fully informed by their service provider of the existing security risks which lie outside the scope of possible remedies by the service provider. Service providers who offer publicly available electronic communications services over the Internet should inform users and subscribers of measures they can take to protect the security of their communications for instance by using specific types of software or encryption technologies. The requirement to inform subscribers of particular security risks does not discharge a service provider from the obligation to take, at its own costs, appropriate and immediate measures to remedy any new, unforeseen security risks and restore the normal security level of the service. The provision of information about security risks to the subscriber should be free of charge except for any nominal costs which the subscriber may incur while receiving or collecting the information, for instance by downloading an electronic mail message. Security is appraised in the light of Article 17 of Directive 95/46/EC.
 (21) Measures should be taken to prevent unauthorised access to communications in order to protect the confidentiality of communications, including both the contents and any data related to such communications, by means of public communications networks and publicly available electronic communications services. National legislation in some Member States only prohibits intentional unauthorised access to communications.
 (22) The prohibition of storage of communications and the related traffic data by persons other than the users or without their consent is not intended to prohibit any automatic, intermediate and transient storage of this information in so far as this takes place for the sole purpose of carrying out the transmission in the electronic communications network and provided that the information is not stored for any period longer than is necessary for the transmission and for traffic management purposes, and that during the period of storage the confidentiality remains guaranteed. Where this is necessary for making more efficient the onward transmission of any publicly accessible information to other recipients of the service upon their request, this Directive should not prevent such information from being further stored, provided that this information would in any case be accessible to the public without restriction and that any data referring to the individual subscribers or users requesting such information are erased.
 (23) Confidentiality of communications should also be ensured in the course of lawful business practice. Where necessary and legally authorised, communications can be recorded for the purpose of providing evidence of a commercial transaction. Directive 95/46/EC applies to such processing. Parties to the communications should be informed prior to the recording about the recording, its purpose and the duration of its storage. The recorded communication should be erased as soon as possible and in any case at the latest by the end of the period during which the transaction can be lawfully challenged.
 (24) Terminal equipment of users of electronic communications networks and any information stored on such equipment are part of the private sphere of the users requiring protection under the European Convention for the Protection of Human Rights and Fundamental Freedoms. So-called spyware, web bugs, hidden identifiers and other similar devices can enter the user's terminal without their knowledge in order to gain access to information, to store hidden information or to trace the activities of the user and may seriously intrude upon the privacy of these users. The use of such devices should be allowed only for legitimate purposes, with the knowledge of the users concerned.
 (25) However, such devices, for instance so-called "cookies", can be a legitimate and useful tool, for example, in analysing the effectiveness of website design and advertising, and in verifying the identity of users engaged in on-line transactions. Where such devices, for instance cookies, are intended for a legitimate purpose, such as to facilitate the provision of information society services, their use should be allowed on condition that users are provided with clear and precise information in accordance with Directive 95/46/EC about the purposes of cookies or similar devices so as to ensure that users are made aware of information being placed on the terminal equipment they are using. Users should have the opportunity to refuse to have a cookie or similar device stored on their terminal equipment. This is particularly important where users other than the original user have access to the terminal equipment and thereby to any data containing privacy-sensitive information stored on such equipment. Information and the right to refuse may be offered once for the use of various devices to be installed on the user's terminal equipment during the same connection and also covering any further use that may be made of those devices during subsequent connections. The methods for giving information, offering a right to refuse or requesting consent should be made as user-friendly as possible. Access to specific website content may still be made conditional on the well-informed acceptance of a cookie or similar device, if it is used for a legitimate purpose.
 (26) The data relating to subscribers processed within electronic communications networks to establish connections and to transmit information contain information on the private life of natural persons and concern the right to respect for their correspondence or concern the legitimate interests of legal persons. Such data may only be stored to the extent that is necessary for the provision of the service for the purpose of billing and for interconnection payments, and for a limited time. Any further processing of such data which the provider of the publicly available electronic communications services may want to perform, for the marketing of electronic communications services or for the provision of value added services, may only be allowed if the subscriber has agreed to this on the basis of accurate and full information given by the provider of the publicly available electronic communications services about the types of further processing it intends to perform and about the subscriber's right not to give or to withdraw his/her consent to such processing. Traffic data used for marketing communications services or for the provision of value added services should also be erased or made anonymous after the provision of the service. Service providers should always keep subscribers informed of the types of data they are processing and the purposes and duration for which this is done.
 (27) The exact moment of the completion of the transmission of a communication, after which traffic data should be erased except for billing purposes, may depend on the type of electronic communications service that is provided. For instance for a voice telephony call the transmission will be completed as soon as either of the users terminates the connection. For electronic mail the transmission is completed as soon as the addressee collects the message, typically from the server of his service provider.
 (28) The obligation to erase traffic data or to make such data anonymous when it is no longer needed for the purpose of the transmission of a communication does not conflict with such procedures on the Internet as the caching in the domain name system of IP addresses or the caching of IP addresses to physical address bindings or the use of log-in information to control the right of access to networks or services.
 (29) The service provider may process traffic data relating to subscribers and users where necessary in individual cases in order to detect technical failure or errors in the transmission of communications. Traffic data necessary for billing purposes may also be processed by the provider in order to detect and stop fraud consisting of unpaid use of the electronic communications service.
 (30) Systems for the provision of electronic communications networks and services should be designed to limit the amount of personal data necessary to a strict minimum. Any activities related to the provision of the electronic communications service that go beyond the transmission of a communication and the billing thereof should be based on aggregated, traffic data that cannot be related to subscribers or users. Where such activities cannot be based on aggregated data, they should be considered as value added services for which the consent of the subscriber is required.
 (31) Whether the consent to be obtained for the processing of personal data with a view to providing a particular value added service should be that of the user or of the subscriber, will depend on the data to be processed and on the type of service to be provided and on whether it is technically, procedurally and contractually possible to distinguish the individual using an electronic communications service from the legal or natural person having subscribed to it.
 (32) Where the provider of an electronic communications service or of a value added service subcontracts the processing of personal data necessary for the provision of these services to another entity, such subcontracting and subsequent data processing should be in full compliance with the requirements regarding controllers and processors of personal data as set out in Directive 95/46/EC. Where the provision of a value added service requires that traffic or location data are forwarded from an electronic communications service provider to a provider of value added services, the subscribers or users to whom the data are related should also be fully informed of this forwarding before giving their consent for the processing of the data.
 (33) The introduction of itemised bills has improved the possibilities for the subscriber to check the accuracy of the fees charged by the service provider but, at the same time, it may jeopardise the privacy of the users of publicly available electronic communications services. Therefore, in order to preserve the privacy of the user, Member States should encourage the development of electronic communication service options such as alternative payment facilities which allow anonymous or strictly private access to publicly available electronic communications services, for example calling cards and facilities for payment by credit card. To the same end, Member States may ask the operators to offer their subscribers a different type of detailed bill in which a certain number of digits of the called number have been deleted.
 (34) It is necessary, as regards calling line identification, to protect the right of the calling party to withhold the presentation of the identification of the line from which the call is being made and the right of the called party to reject calls from unidentified lines. There is justification for overriding the elimination of calling line identification presentation in specific cases. Certain subscribers, in particular help lines and similar organisations, have an interest in guaranteeing the anonymity of their callers. It is necessary, as regards connected line identification, to protect the right and the legitimate interest of the called party to withhold the presentation of the identification of the line to which the calling party is actually connected, in particular in the case of forwarded calls. The providers of publicly available electronic communications services should inform their subscribers of the existence of calling and connected line identification in the network and of all services which are offered on the basis of calling and connected line identification as well as the privacy options which are available. This will allow the subscribers to make an informed choice about the privacy facilities they may want to use. The privacy options which are offered on a per-line basis do not necessarily have to be available as an automatic network service but may be obtainable through a simple request to the provider of the publicly available electronic communications service.
 (35) In digital mobile networks, location data giving the geographic position of the terminal equipment of the mobile user are processed to enable the transmission of communications. Such data are traffic data covered by Article 6 of this Directive. However, in addition, digital mobile networks may have the capacity to process location data which are more precise than is necessary for the transmission of communications and which are used for the provision of value added services such as services providing individualised traffic information and guidance to drivers. The processing of such data for value added services should only be allowed where subscribers have given their consent. Even in cases where subscribers have given their consent, they should have a simple means to temporarily deny the processing of location data, free of charge.
 (36) Member States may restrict the users' and subscribers' rights to privacy with regard to calling line identification where this is necessary to trace nuisance calls and with regard to calling line identification and location data where this is necessary to allow emergency services to carry out their tasks as effectively as possible. For these purposes, Member States may adopt specific provisions to entitle providers of electronic communications services to provide access to calling line identification and location data without the prior consent of the users or subscribers concerned.
 (37) Safeguards should be provided for subscribers against the nuisance which may be caused by automatic call forwarding by others. Moreover, in such cases, it must be possible for subscribers to stop the forwarded calls being passed on to their terminals by simple request to the provider of the publicly available electronic communications service.
 (38) Directories of subscribers to electronic communications services are widely distributed and public. The right to privacy of natural persons and the legitimate interest of legal persons require that subscribers are able to determine whether their personal data are published in a directory and if so, which. Providers of public directories should inform the subscribers to be included in such directories of the purposes of the directory and of any particular usage which may be made of electronic versions of public directories especially through search functions embedded in the software, such as reverse search functions enabling users of the directory to discover the name and address of the subscriber on the basis of a telephone number only.
 (39) The obligation to inform subscribers of the purpose(s) of public directories in which their personal data are to be included should be imposed on the party collecting the data for such inclusion. Where the data may be transmitted to one or more third parties, the subscriber should be informed of this possibility and of the recipient or the categories of possible recipients. Any transmission should be subject to the condition that the data may not be used for other purposes than those for which they were collected. If the party collecting the data from the subscriber or any third party to whom the data have been transmitted wishes to use the data for an additional purpose, the renewed consent of the subscriber is to be obtained either by the initial party collecting the data or by the third party to whom the data have been transmitted.
 (40) Safeguards should be provided for subscribers against intrusion of their privacy by unsolicited communications for direct marketing purposes in particular by means of automated calling machines, telefaxes, and e-mails, including SMS messages. These forms of unsolicited commercial communications may on the one hand be relatively easy and cheap to send and on the other may impose a burden and/or cost on the recipient. Moreover, in some cases their volume may also cause difficulties for electronic communications networks and terminal equipment. For such forms of unsolicited communications for direct marketing, it is justified to require that prior explicit consent of the recipients is obtained before such communications are addressed to them. The single market requires a harmonised approach to ensure simple, Community-wide rules for businesses and users.
 (41) Within the context of an existing customer relationship, it is reasonable to allow the use of electronic contact details for the offering of similar products or services, but only by the same company that has obtained the electronic contact details in accordance with Directive 95/46/EC. When electronic contact details are obtained, the customer should be informed about their further use for direct marketing in a clear and distinct manner, and be given the opportunity to refuse such usage. This opportunity should continue to be offered with each subsequent direct marketing message, free of charge, except for any costs for the transmission of this refusal.
 (42) Other forms of direct marketing that are more costly for the sender and impose no financial costs on subscribers and users, such as person-to-person voice telephony calls, may justify the maintenance of a system giving subscribers or users the possibility to indicate that they do not want to receive such calls. Nevertheless, in order not to decrease existing levels of privacy protection, Member States should be entitled to uphold national systems, only allowing such calls to subscribers and users who have given their prior consent.
 (43) To facilitate effective enforcement of Community rules on unsolicited messages for direct marketing, it is necessary to prohibit the use of false identities or false return addresses or numbers while sending unsolicited messages for direct marketing purposes.
 (44) Certain electronic mail systems allow subscribers to view the sender and subject line of an electronic mail, and also to delete the message, without having to download the rest of the electronic mail's content or any attachments, thereby reducing costs which could arise from downloading unsolicited electronic mails or attachments. These arrangements may continue to be useful in certain cases as an additional tool to the general obligations established in this Directive.
 (45) This Directive is without prejudice to the arrangements which Member States make to protect the legitimate interests of legal persons with regard to unsolicited communications for direct marketing purposes. Where Member States establish an opt-out register for such communications to legal persons, mostly business users, the provisions of Article 7 of Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the internal market (Directive on electronic commerce)(6) are fully applicable.
 (46) The functionalities for the provision of electronic communications services may be integrated in the network or in any part of the terminal equipment of the user, including the software. The protection of the personal data and the privacy of the user of publicly available electronic communications services should be independent of the configuration of the various components necessary to provide the service and of the distribution of the necessary functionalities between these components. Directive 95/46/EC covers any form of processing of personal data regardless of the technology used. The existence of specific rules for electronic communications services alongside general rules for other components necessary for the provision of such services may not facilitate the protection of personal data and privacy in a technologically neutral way. It may therefore be necessary to adopt measures requiring manufacturers of certain types of equipment used for electronic communications services to construct their product in such a way as to incorporate safeguards to ensure that the personal data and privacy of the user and subscriber are protected. The adoption of such measures in accordance with Directive 1999/5/EC of the European Parliament and of the Council of 9 March 1999 on radio equipment and telecommunications terminal equipment and the mutual recognition of their conformity(7) will ensure that the introduction of technical features of electronic communication equipment including software for data protection purposes is harmonised in order to be compatible with the implementation of the internal market.
 (47) Where the rights of the users and subscribers are not respected, national legislation should provide for judicial remedies. Penalties should be imposed on any person, whether governed by private or public law, who fails to comply with the national measures taken under this Directive.
 (48) It is useful, in the field of application of this Directive, to draw on the experience of the Working Party on the Protection of Individuals with regard to the Processing of Personal Data composed of representatives of the supervisory authorities of the Member States, set up by Article 29 of Directive 95/46/EC.
 (49) To facilitate compliance with the provisions of this Directive, certain specific arrangements are needed for processing of data already under way on the date that national implementing legislation pursuant to this Directive enters into force,
 HAVE ADOPTED THIS DIRECTIVE:
 Article 1
 Scope and aim
 1. This Directive harmonises the provisions of the Member States required to ensure an equivalent level of protection of fundamental rights and freedoms, and in particular the right to privacy, with respect to the processing of personal data in the electronic communication sector and to ensure the free movement of such data and of electronic communication equipment and services in the Community.
 2. The provisions of this Directive particularise and complement Directive 95/46/EC for the purposes mentioned in paragraph 1. Moreover, they provide for protection of the legitimate interests of subscribers who are legal persons.
 3. This Directive shall not apply to activities which fall outside the scope of the Treaty establishing the European Community, such as those covered by Titles V and VI of the Treaty on European Union, and in any case to activities concerning public security, defence, State security (including the economic well-being of the State when the activities relate to State security matters) and the activities of the State in areas of criminal law.
 Article 2
 Definitions
 Save as otherwise provided, the definitions in Directive 95/46/EC and in Directive 2002/21/EC of the European Parliament and of the Council of 7 March 2002 on a common regulatory framework for electronic communications networks and services (Framework Directive)(8) shall apply.
 The following definitions shall also apply:
 (a) "user" means any natural person using a publicly available electronic communications service, for private or business purposes, without necessarily having subscribed to this service;
 (b) "traffic data" means any data processed for the purpose of the conveyance of a communication on an electronic communications network or for the billing thereof;
 (c) "location data" means any data processed in an electronic communications network, indicating the geographic position of the terminal equipment of a user of a publicly available electronic communications service;
 (d) "communication" means any information exchanged or conveyed between a finite number of parties by means of a publicly available electronic communications service. This does not include any information conveyed as part of a broadcasting service to the public over an electronic communications network except to the extent that the information can be related to the identifiable subscriber or user receiving the information;
 (e) "call" means a connection established by means of a publicly available telephone service allowing two-way communication in real time;
 (f) "consent" by a user or subscriber corresponds to the data subject's consent in Directive 95/46/EC;
 (g) "value added service" means any service which requires the processing of traffic data or location data other than traffic data beyond what is necessary for the transmission of a communication or the billing thereof;
 (h) "electronic mail" means any text, voice, sound or image message sent over a public communications network which can be stored in the network or in the recipient's terminal equipment until it is collected by the recipient.
 Article 3
 Services concerned
 1. This Directive shall apply to the processing of personal data in connection with the provision of publicly available electronic communications services in public communications networks in the Community.
 2. Articles 8, 10 and 11 shall apply to subscriber lines connected to digital exchanges and, where technically possible and if it does not require a disproportionate economic effort, to subscriber lines connected to analogue exchanges.
 3. Cases where it would be technically impossible or require a disproportionate economic effort to fulfil the requirements of Articles 8, 10 and 11 shall be notified to the Commission by the Member States.
 Article 4
 Security
 1. The provider of a publicly available electronic communications service must take appropriate technical and organisational measures to safeguard security of its services, if necessary in conjunction with the provider of the public communications network with respect to network security. Having regard to the state of the art and the cost of their implementation, these measures shall ensure a level of security appropriate to the risk presented.
 2. In case of a particular risk of a breach of the security of the network, the provider of a publicly available electronic communications service must inform the subscribers concerning such risk and, where the risk lies outside the scope of the measures to be taken by the service provider, of any possible remedies, including an indication of the likely costs involved.
 Article 5
 Confidentiality of the communications
 1. Member States shall ensure the confidentiality of communications and the related traffic data by means of a public communications network and publicly available electronic communications services, through national legislation. In particular, they shall prohibit listening, tapping, storage or other kinds of interception or surveillance of communications and the related traffic data by persons other than users, without the consent of the users concerned, except when legally authorised to do so in accordance with Article 15(1). This paragraph shall not prevent technical storage which is necessary for the conveyance of a communication without prejudice to the principle of confidentiality.
 2. Paragraph 1 shall not affect any legally authorised recording of communications and the related traffic data when carried out in the course of lawful business practice for the purpose of providing evidence of a commercial transaction or of any other business communication.
 3. Member States shall ensure that the use of electronic communications networks to store information or to gain access to information stored in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller. This shall not prevent any technical storage or access for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network, or as strictly necessary in order to provide an information society service explicitly requested by the subscriber or user.
 Article 6
 Traffic data
 1. Traffic data relating to subscribers and users processed and stored by the provider of a public communications network or publicly available electronic communications service must be erased or made anonymous when it is no longer needed for the purpose of the transmission of a communication without prejudice to paragraphs 2, 3 and 5 of this Article and Article 15(1).
 2. Traffic data necessary for the purposes of subscriber billing and interconnection payments may be processed. Such processing is permissible only up to the end of the period during which the bill may lawfully be challenged or payment pursued.
 3. For the purpose of marketing electronic communications services or for the provision of value added services, the provider of a publicly available electronic communications service may process the data referred to in paragraph 1 to the extent and for the duration necessary for such services or marketing, if the subscriber or user to whom the data relate has given his/her consent. Users or subscribers shall be given the possibility to withdraw their consent for the processing of traffic data at any time.
 4. The service provider must inform the subscriber or user of the types of traffic data which are processed and of the duration of such processing for the purposes mentioned in paragraph 2 and, prior to obtaining consent, for the purposes mentioned in paragraph 3.
 5. Processing of traffic data, in accordance with paragraphs 1, 2, 3 and 4, must be restricted to persons acting under the authority of providers of the public communications networks and publicly available electronic communications services handling billing or traffic management, customer enquiries, fraud detection, marketing electronic communications services or providing a value added service, and must be restricted to what is necessary for the purposes of such activities.
 6. Paragraphs 1, 2, 3 and 5 shall apply without prejudice to the possibility for competent bodies to be informed of traffic data in conformity with applicable legislation with a view to settling disputes, in particular interconnection or billing disputes.
 Article 7
 Itemised billing
 1. Subscribers shall have the right to receive non-itemised bills.
 2. Member States shall apply national provisions in order to reconcile the rights of subscribers receiving itemised bills with the right to privacy of calling users and called subscribers, for example by ensuring that sufficient alternative privacy enhancing methods of communications or payments are available to such users and subscribers.
 Article 8
 Presentation and restriction of calling and connected line identification
 1. Where presentation of calling line identification is offered, the service provider must offer the calling user the possibility, using a simple means and free of charge, of preventing the presentation of the calling line identification on a per-call basis. The calling subscriber must have this possibility on a per-line basis.
 2. Where presentation of calling line identification is offered, the service provider must offer the called subscriber the possibility, using a simple means and free of charge for reasonable use of this function, of preventing the presentation of the calling line identification of incoming calls.
 3. Where presentation of calling line identification is offered and where the calling line identification is presented prior to the call being established, the service provider must offer the called subscriber the possibility, using a simple means, of rejecting incoming calls where the presentation of the calling line identification has been prevented by the calling user or subscriber.
 4. Where presentation of connected line identification is offered, the service provider must offer the called subscriber the possibility, using a simple means and free of charge, of preventing the presentation of the connected line identification to the calling user.
 5. Paragraph 1 shall also apply with regard to calls to third countries originating in the Community. Paragraphs 2, 3 and 4 shall also apply to incoming calls originating in third countries.
 6. Member States shall ensure that where presentation of calling and/or connected line identification is offered, the providers of publicly available electronic communications services inform the public thereof and of the possibilities set out in paragraphs 1, 2, 3 and 4.
 Article 9
 Location data other than traffic data
 1. Where location data other than traffic data, relating to users or subscribers of public communications networks or publicly available electronic communications services, can be processed, such data may only be processed when they are made anonymous, or with the consent of the users or subscribers to the extent and for the duration necessary for the provision of a value added service. The service provider must inform the users or subscribers, prior to obtaining their consent, of the type of location data other than traffic data which will be processed, of the purposes and duration of the processing and whether the data will be transmitted to a third party for the purpose of providing the value added service. Users or subscribers shall be given the possibility to withdraw their consent for the processing of location data other than traffic data at any time.
 2. Where consent of the users or subscribers has been obtained for the processing of location data other than traffic data, the user or subscriber must continue to have the possibility, using a simple means and free of charge, of temporarily refusing the processing of such data for each connection to the network or for each transmission of a communication.
 3. Processing of location data other than traffic data in accordance with paragraphs 1 and 2 must be restricted to persons acting under the authority of the provider of the public communications network or publicly available communications service or of the third party providing the value added service, and must be restricted to what is necessary for the purposes of providing the value added service.
 Article 10
 Exceptions
 Member States shall ensure that there are transparent procedures governing the way in which a provider of a public communications network and/or a publicly available electronic communications service may override:
 (a) the elimination of the presentation of calling line identification, on a temporary basis, upon application of a subscriber requesting the tracing of malicious or nuisance calls. In this case, in accordance with national law, the data containing the identification of the calling subscriber will be stored and be made available by the provider of a public communications network and/or publicly available electronic communications service;
 (b) the elimination of the presentation of calling line identification and the temporary denial or absence of consent of a subscriber or user for the processing of location data, on a per-line basis for organisations dealing with emergency calls and recognised as such by a Member State, including law enforcement agencies, ambulance services and fire brigades, for the purpose of responding to such calls.
 Article 11
 Automatic call forwarding
 Member States shall ensure that any subscriber has the possibility, using a simple means and free of charge, of stopping automatic call forwarding by a third party to the subscriber's terminal.
 Article 12
 Directories of subscribers
 1. Member States shall ensure that subscribers are informed, free of charge and before they are included in the directory, about the purpose(s) of a printed or electronic directory of subscribers available to the public or obtainable through directory enquiry services, in which their personal data can be included and of any further usage possibilities based on search functions embedded in electronic versions of the directory.
 2. Member States shall ensure that subscribers are given the opportunity to determine whether their personal data are included in a public directory, and if so, which, to the extent that such data are relevant for the purpose of the directory as determined by the provider of the directory, and to verify, correct or withdraw such data. Not being included in a public subscriber directory, verifying, correcting or withdrawing personal data from it shall be free of charge.
 3. Member States may require that for any purpose of a public directory other than the search of contact details of persons on the basis of their name and, where necessary, a minimum of other identifiers, additional consent be asked of the subscribers.
 4. Paragraphs 1 and 2 shall apply to subscribers who are natural persons. Member States shall also ensure, in the framework of Community law and applicable national legislation, that the legitimate interests of subscribers other than natural persons with regard to their entry in public directories are sufficiently protected.
 Article 13
 Unsolicited communications
 1. The use of automated calling systems without human intervention (automatic calling machines), facsimile machines (fax) or electronic mail for the purposes of direct marketing may only be allowed in respect of subscribers who have given their prior consent.
 2. Notwithstanding paragraph 1, where a natural or legal person obtains from its customers their electronic contact details for electronic mail, in the context of the sale of a product or a service, in accordance with Directive 95/46/EC, the same natural or legal person may use these electronic contact details for direct marketing of its own similar products or services provided that customers clearly and distinctly are given the opportunity to object, free of charge and in an easy manner, to such use of electronic contact details when they are collected and on the occasion of each message in case the customer has not initially refused such use.
 3. Member States shall take appropriate measures to ensure that, free of charge, unsolicited communications for purposes of direct marketing, in cases other than those referred to in paragraphs 1 and 2, are not allowed either without the consent of the subscribers concerned or in respect of subscribers who do not wish to receive these communications, the choice between these options to be determined by national legislation.
 4. In any event, the practice of sending electronic mail for purposes of direct marketing disguising or concealing the identity of the sender on whose behalf the communication is made, or without a valid address to which the recipient may send a request that such communications cease, shall be prohibited.
 5. Paragraphs 1 and 3 shall apply to subscribers who are natural persons. Member States shall also ensure, in the framework of Community law and applicable national legislation, that the legitimate interests of subscribers other than natural persons with regard to unsolicited communications are sufficiently protected.
 Article 14
 Technical features and standardisation
 1. In implementing the provisions of this Directive, Member States shall ensure, subject to paragraphs 2 and 3, that no mandatory requirements for specific technical features are imposed on terminal or other electronic communication equipment which could impede the placing of equipment on the market and the free circulation of such equipment in and between Member States.
 2. Where provisions of this Directive can be implemented only by requiring specific technical features in electronic communications networks, Member States shall inform the Commission in accordance with the procedure provided for by Directive 98/34/EC of the European Parliament and of the Council of 22 June 1998 laying down a procedure for the provision of information in the field of technical standards and regulations and of rules on information society services(9).
 3. Where required, measures may be adopted to ensure that terminal equipment is constructed in a way that is compatible with the right of users to protect and control the use of their personal data, in accordance with Directive 1999/5/EC and Council Decision 87/95/EEC of 22 December 1986 on standardisation in the field of information technology and communications(10).
 Article 15
 Application of certain provisions of Directive 95/46/EC
 1. Member States may adopt legislative measures to restrict the scope of the rights and obligations provided for in Article 5, Article 6, Article 8(1), (2), (3) and (4), and Article 9 of this Directive when such restriction constitutes a necessary, appropriate and proportionate measure within a democratic society to safeguard national security (i.e. State security), defence, public security, and the prevention, investigation, detection and prosecution of criminal offences or of unauthorised use of the electronic communication system, as referred to in Article 13(1) of Directive 95/46/EC. To this end, Member States may, inter alia, adopt legislative measures providing for the retention of data for a limited period justified on the grounds laid down in this paragraph. All the measures referred to in this paragraph shall be in accordance with the general principles of Community law, including those referred to in Article 6(1) and (2) of the Treaty on European Union.
 2. The provisions of Chapter III on judicial remedies, liability and sanctions of Directive 95/46/EC shall apply with regard to national provisions adopted pursuant to this Directive and with regard to the individual rights derived from this Directive.
 3. The Working Party on the Protection of Individuals with regard to the Processing of Personal Data instituted by Article 29 of Directive 95/46/EC shall also carry out the tasks laid down in Article 30 of that Directive with regard to matters covered by this Directive, namely the protection of fundamental rights and freedoms and of legitimate interests in the electronic communications sector.
 Article 16
 Transitional arrangements
 1. Article 12 shall not apply to editions of directories already produced or placed on the market in printed or off-line electronic form before the national provisions adopted pursuant to this Directive enter into force.
 2. Where the personal data of subscribers to fixed or mobile public voice telephony services have been included in a public subscriber directory in conformity with the provisions of Directive 95/46/EC and of Article 11 of Directive 97/66/EC before the national provisions adopted in pursuance of this Directive enter into force, the personal data of such subscribers may remain included in this public directory in its printed or electronic versions, including versions with reverse search functions, unless subscribers indicate otherwise, after having received complete information about purposes and options in accordance with Article 12 of this Directive.
 Article 17
 Transposition
 1. Before 31 October 2003 Member States shall bring into force the provisions necessary to comply with this Directive. They shall forthwith inform the Commission thereof.
 When Member States adopt those provisions, they shall contain a reference to this Directive or be accompanied by such a reference on the occasion of their official publication. The methods of making such reference shall be laid down by the Member States.
 2. Member States shall communicate to the Commission the text of the provisions of national law which they adopt in the field governed by this Directive and of any subsequent amendments to those provisions.
 Article 18
 Review
 The Commission shall submit to the European Parliament and the Council, not later than three years after the date referred to in Article 17(1), a report on the application of this Directive and its impact on economic operators and consumers, in particular as regards the provisions on unsolicited communications, taking into account the international environment. For this purpose, the Commission may request information from the Member States, which shall be supplied without undue delay. Where appropriate, the Commission shall submit proposals to amend this Directive, taking account of the results of that report, any changes in the sector and any other proposal it may deem necessary in order to improve the effectiveness of this Directive.
 Article 19
 Repeal
 Directive 97/66/EC is hereby repealed with effect from the date referred to in Article 17(1).
 References made to the repealed Directive shall be construed as being made to this Directive.
 Article 20
 Entry into force
 This Directive shall enter into force on the day of its publication in the Official Journal of the European Communities.
 Article 21
 Addressees
 This Directive is addressed to the Member States.
 Done at Brussels, 12 July 2002.
 For the European Parliament
 The President
 P. Cox
 For the Council
 The President
 T. Pedersen
 (1) OJ C 365 E, 19.12.2000, p. 223.
 (2) OJ C 123, 25.4.2001, p. 53.
 (3) Opinion of the European Parliament of 13 November 2001 (not yet published in the Official Journal), Council Common Position of 28 January 2002 (OJ C 113 E, 14.5.2002, p. 39) and Decision of the European Parliament of 30 May 2002 (not yet published in the Official Journal). Council Decision of 25 June 2002.
 (4) OJ L 281, 23.11.1995, p. 31.
 (5) OJ L 24, 30.1.1998, p. 1.
 (6) OJ L 178, 17.7.2000, p. 1.
 (7) OJ L 91, 7.4.1999, p. 10.
 (8) OJ L 108, 24.4.2002, p. 33.
 (9) OJ L 204, 21.7.1998, p. 37. Directive as amended by Directive 98/48/EC (OJ L 217, 5.8.1998, p. 18).
 (10) OJ L 36, 7.2.1987, p. 31. Decision as last amended by the 1994 Act of Accession.