Проект Закону України «Про внесення змін до деяких законодавчих актів України щодо захисту персональних даних» № 10472 від 15.05.2012 р.
Реєстр. № 10472 від 15.05.2012 р.
ПОЯСНЮВАЛЬНА ЗАПИСКА
ДО ПРОЕКТУ ЗАКОНУ УКРАЇНИ «ПРО ВНЕСЕННЯ ЗМІН ДО ДЕЯКИХ ЗАКОНОДАВЧИХ АКТІВ УКРАЇНИ ЩОДО ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ»
1. Обґрунтування необхідності прийняття проекту закону
Необхідність прийняття Закону зумовлена низкою суттєвих недоліків, що містяться в чинній редакції Закону України «Про захист персональних даних», які ускладнюють роботу не тільки переважної більшості підприємств, установ і організацій України, але і державних органів. Закон набрав чинності на початку 2011 року і за майже півтора роки існування показав свою неефективність та невідповідність сучасним реаліям.
Чинний Закон містить положення, які є важко виконуваними для більшості суб’єктів господарювання України, на діяльність яких розповсюджується дія Закону. Зокрема, практика застосування зазначеного законодавчого акту показала необґрунтованість обов’язку реєструвати бази персональних даних всім без винятку суб’єктам господарювання. На сьогоднішній день Державна служба з питань захисту персональних даних практично не в змозі здійснити всеохоплюючу реєстрацію, оскільки ресурсу даного органу не вистачає для обробки декількох мільйонів заявок на реєстрацію баз персональних даних. Більше того, обов’язок щодо реєстрації всіх без виключення баз персональних даних не відповідає законодавству про захист персональних даних в країнах ЄС та США.
Крім того, низку недоліків виявив і обов’язок отримання згоди від суб’єкта персональних даних на обробку його персональних даних у всіх без виключення випадках, що є об’єктивно необґрунтованим та непропорційно важким до виконання. Такий загальний обов’язок створює значну перешкоду нормальній господарській діяльності українських підприємств, оскільки у майже всіх підприємствах, установах та організаціях обробка персональних даних робітників, контрагентів, споживачів є невід’ємною та обов’язковою складовою їх діяльності.
Нечітке формулювання обов’язку отримання згоди виключно у документованій, зокрема письмовій, формі змушує більшість володільців баз персональних даних отримувати згоди в письмовій формі, що є непропорційно важким обов’язком для більшості суб’єктів господарювання та об’єктивно необґрунтованою вимогою.
Відповідно, необґрунтованою та важко виконуваною є вимога щодо необхідність направлення повідомлення суб’єкту персональних даних про його права виключно в письмовій формі.
Крім того, у діючій редакції Закону нечітко врегульоване питання транскордонної передачі персональних даних, що створює додаткові складності в роботі, особливо для міжнародних компаній.
Зазначені вимоги, а також нечіткість та неоднозначність багатьох формулювань у чинній редакції Закону створюють перешкоди на шляху нормального розвитку бізнесу в нашій державі і, більше того, негативно впливають на інвестиційний клімат.
2. Цілі та завдання проекту акта
Метою прийняття Закону України «Про внесення змін до Закону України «Про захист персональних даних» є вдосконалення існуючого нормативно-правового регулювання сфери захисту персональних даних в Україні відповідно до міжнародного права, законодавства Європейського співтовариства, сприяння соціальному, економічному і науково-технічному прогресу і забезпеченню адекватного балансу прав людини, інтересів бізнесу, суспільства та держави в цій сфері суспільних відносин.
Завданням цього Закону є вдосконалення існуючих норм Закону України «Про захист персональних даних» з метою усунення очевидних протиріч та послаблення непропорційно важкого тягаря на бізнес в Україні, створеного низкою норм діючої версії закону.
3. Загальна характеристика і основні положення проекту акта
Проектом пропонується внести зміни до Закону України «Про захист персональних даних» з метою створення належних правових і організаційних умов для збору та використання інформації персонального характеру.
Зокрема, передбачено звільнення від державної реєстрації окремих видів баз персональних даних (зокрема, працівників та контрагентів), які існують у майже всіх суб’єктів господарювання та обов’язкова державна реєстрація яких є недоцільною з огляду на навантаження на Державну службу з питань захисту персональних даних та на представників бізнесу. Розширено перелік підстав обробки персональних даних. Передбачено більш чіткі умови транскордонної передачі персональних даних.
4. Стан нормативно-правової бази у даній сфері правового регулювання
У даній сфері правового регулювання основними є: Конституція України, Закон України «Про захист персональних даних», Закон України «Про інформацію», Цивільний кодекс України, Кримінальний кодекс України, Кодекс України про адміністративні правопорушення, Закон України «Про захист інформації в інформаційно-телекомунікаційних системах».
Реалізація положень законопроекту після його прийняття не потребуватиме внесення змін до інших законів.
5. Фінансово-економічне обґрунтування
Прийняття запропонованого законопроекту не потребує додаткового фінансування та витрат з державного бюджету.
6. Прогноз очікуваних соціально-економічних, правових та інших наслідків застосування закону після його прийняття
Введення в дію закону дозволить досягти таких соціально-економічних та інших результатів:
створити умови для дієвого захисту персональних даних в країні з урахуванням європейського уявлення про права і свободи людини, покращивши забезпечення балансу прав людини, суспільства і держави у цій сфері;
сприяти розвитку інформаційних ресурсів, зміцненню приватної власності на інформаційні продукти, забезпеченню інформаційного суверенітету, економічного добробуту та національної безпеки;
сприяти подальшому розвитку інформаційного суспільства;
створити ефективний баланс між інтересами громадян, бізнесу та держави в сфері захисту персональних даних.
Крім того, приведення законодавства України в сфері захисту персональних даних у відповідність з визнаними у Європі та США стандартами не тільки поліпшить умови ведення бізнесу в країні, а і позитивно вплине на імідж України за кордоном.
Народні депутати України
О.Б. Шевчук
Я.М. Сухий
В.С. Курило
Проект
вноситься народними
депутатами України
Шевчуком О.Б.
Сухим Я.М.
Курилом В.С.
ЗАКОН УКРАЇНИ
ПРО ВНЕСЕННЯ ЗМІН ДО ДЕЯКИХ ЗАКОНОДАВЧИХ АКТІВ УКРАЇНИ ЩОДО ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
Верховна Рада України постановляє:
І. Внести зміни до таких законодавчих актів України:
1. У Законі України «Про захист персональних даних» (Відомості Верховної Ради України (ВВР), 2010, № 34, ст. 481):
1) частину першу статті 1 викласти у такій редакції:
«Цей Закон регулює відносини, пов’язані із захистом та обробкою персональних даних, з метою захисту основних прав фізичних осіб на особисте життя та його таємницю, а також інших прав і свобод гарантованих Конституцією України, іншими законами та підзаконними нормативно-правовими актами при обробці персональних даних.»;
2) у статті 2:
абзац п’ятий частини першої викласти у такій редакції:
«згода суб’єкта персональних даних — будь-яке добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних, що може бути надане у письмовій, електронній або у будь-якій іншій, передбаченій чинним законодавством формі;»
у абзаці дев’ятому частини першої слова «ці дані» замінити словами «дані в цій базі персональних даних»;
3) у статті 6:
абзац другий частини першої викласти у такій редакції:
«У разі зміни мети обробки персональних даних, з якою вони були зібрані, суб’єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети.»;
частину п’яту викласти у наступній редакції:
«5. Обробка персональних даних здійснюється для конкретних і законних цілей, обумовлених законною діяльністю володільця чи розпорядника бази персональних даних.»;
у частині шостій слова «і лише» замінити словом «або»;
4) у статті 7:
абзац перший частини другої викласти у наступній редакції:
«2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних здійснюється за умови дотримання вимог частини 1 статті 11 цього закону та:»;
у пункті другому частини другої слова «відповідно до закону» вилучити;
5) у статті 9:
частину першу доповнити новим абзацом такого змісту:
«Не потребують державної реєстрації бази персональних даних, які:
містять виключно персональні дані суб’єктів, що перебувають у трудових відносинах з володільцем бази персональних даних;
отримані володільцем бази персональних даних у зв’язку з здійсненням дій, пов’язаних з укладенням, виконанням та/або припиненням правочину, стороною якого, представником сторони, вигодонабувачем, поручителем за яким або іншою пов’язаною з таким правочином особою є суб’єкт персональних даних у випадку, якщо такі персональні дані обробляються виключно у зв’язку з таким правочином;
3) містять виключно інформацію з загальнодоступних джерел.»;
у абзаці шостому частини третьої слова «сформульовану відповідно до вимог статей 6 і 7 цього Закону» вилучити;
у абзаці сьомому частини третьої слово «інших» вилучити;
6) у статті 10:
у частині першій слова «передбачає будь-які дії володільця бази щодо обробки цих даних,» замінити словами «є складовою процесу обробки цих даних, що передбачає, зокрема»;
друге речення частини другої вилучити;
7) у статті 11:
у назві слово «використання» замінити словом «обробку»;
частину першу викласти в новій редакції наступного змісту:
«1. Підставами виникнення права на обробку персональних даних є:
1) згода суб’єкта персональних даних — будь-яке добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних, що може бути надане у письмовій, електронній або у будь-якій іншій, передбаченій чинним законодавством формі;
2) здійснення дій, пов’язаних з укладенням, виконанням та/або припиненням правочину, представником сторони, стороною якого, вигодонабувачем, поручителем за яким або іншою пов’язаною з таким правочином особою є суб’єкт персональних даних у випадку, якщо такі персональні дані обробляються виключно у зв’язку з таким правочином;
3) необхідність захисту життєво важливих інтересів суб’єкта персональних даних;
4) необхідність реалізації законних повноважень або виконання зобов’язання, що виникає в силу закону, володільцем бази персональних даних або особою, якій розкриваються персональні дані;
5) необхідність захисту законних інтересів володільця бази персональних даних або осіб, яким розкриваються персональні дані, за винятком випадків, коли така обробка буде порушувати життєво важливі інтереси суб’єкта персональних даних;
6) вільне волевиявлення (та відсутність заперечення) до набрання чинності цим законом.
7) наявність персональних даних в загальнодоступних джерелах.»;
8) у статті 12:
у частині другій слова «протягом десяти робочих днів з дня» замінити словом «після»;
у частині другій слова «виключно в письмовій формі» замінити словами «якщо цього вимагають умови його згоди»;
у частині четвертій слова «про фізичну особу» замінити словами «суб’єкта персональних даних»;
частину четверту після слів «джерела надаються» доповнити словом «цьому»;
9) у частині другій статті 14 слова «і лише» замінити словом «або»;
10) пункт другий абзацу першого частини другої статті 15 доповнити словами «або внутрішніми документами володільця чи розпорядника;»;
11) у частині другій статті 16 слова «або неспроможна їх забезпечити» вилучити;
12) у статті 20:
частину другу після слів «до персональних даних» доповнити словом «зокрема,»;
частину другу після слів «зміна здійснюється» доповнити словами «відповідно до закону або»;
13) у статті 21:
частину першу викласти у такій редакції:
«1. Про передачу персональних даних третій особі, а також про зміну, знищення або обмеження доступу до персональних даних володілець бази персональних даних повідомляє суб’єкта персональних даних, якщо цього вимагають умови його згоди.»;
частину третю вилучити;
14) частину четверту статті 24 викласти у наступній редакції:
«4. Володілець бази персональних даних в електронній формі належним чином забезпечує її захист.»;
15) у статті 29:
у частині третій слова «за наявності відповідного дозволу» вилучити;
у частині третій друге речення вилучити;
доповнити частинами четвертою — сьомою наступного змісту:
«4. Персональні дані є належним чином захищеними при їх транскордонній передачі, у тому числі, якщо:
1) країна, до якої передаються персональні дані, є стороною Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, або;
2) між Україною та державою, до якої передаються персональні дані, існує міжнародний договір щодо захисту персональних даних, або;
3) на території держави, в яку передаються персональні дані, існує законодавство, що регулює обробку та захист персональних даних в обсязі, не меншому, ніж це необхідно для захисту прав і законних інтересів суб’єктів персональних даних, передбачених чинним законодавством України, при чому особа, що здійснює транскордонну передачу, зобов’язана, при необхідності, довести існування такого законодавства;
5. Транскордонна передача персональних даних може бути заборонена у випадках, визначених чинним законодавством України.
6. Транскордонна передача персональних даних на території іноземних держав, що не забезпечують належного захисту персональних даних, може здійснюватись у випадках:
1) наявності згоди в письмовій формі від суб’єкта персональних даних на таку передачу;
2) здійснення дій, пов’язаних з укладенням, виконанням та/або припиненням правочину, представником сторони, стороною якого, вигодонабувачем, поручителем за яким або іншою пов’язаною з таким правочином особою є суб’єкт персональних даних у випадку, якщо такі персональні дані обробляються виключно у зв’язку з таким правочином;
3) необхідності захисту життєво важливих інтересів суб’єкта персональних даних.
4) в інших випадках, прямо передбачених чинним законодавством України.
7. При транскордонній передачі персональних даних на території іноземних держав, що не забезпечують належного захисту персональних даних, сторона, що передає персональні дані, зобов’язана забезпечити дотримання стороною, що отримує персональні дані, вимог цього закону в частині захисту прав і законних інтересів суб’єктів, персональні дані яких передаються. Дотримання вимог закону може забезпечуватись, зокрема, шляхом підписання договору про захист персональних даних між стороною, що передає персональні дані та стороною, що отримує персональні дані.»
2. У Законі України «Про інформацію» (Відомості Верховної Ради України (ВВР), 2011, № 32, ст.313):
частину першу статті 1 доповнити новим абзацом такого змісту:
«загальнодоступні джерела — джерела інформації (у тому числі засоби масової інформації та Інтернет) з яких інформація може бути вільно отримана будь-якою особою на законних підставах і таке отримання не обумовлено будь-якою згодою, дозволом чи запитом.».
II. Прикінцеві положення.
1. Цей Закон набирає чинності з дня, наступного за днем його опублікування.
2. Кабінету Міністрів України у тримісячний термін з дня набрання чинності цим Законом привести свої нормативно-правові акти у відповідність із цим Законом.
Голова Верховної Ради України В.М. Литвин
ПОРІВНЯЛЬНА ТАБЛИЦЯ
ДО ПРОЕКТУ ЗАКОНУ УКРАЇНИ «ПРО ВНЕСЕННЯ ЗМІН ДО ДЕЯКИХ ЗАКОНОДАВЧИХ АКТІВ УКРАЇНИ
ЩОДО ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ»
Народні депутати України О.Б. Шевчук
Я.М.Сухий
В.С.Курило
Зміст положення (норми) чинного законодавства | Зміст положення (норми) запропонованого проекту акта |
---|---|
Закон України «Про захист персональних даних» | |
Стаття 1. Сфера дії Закону Цей Закон регулює відносини, пов’язані із захистом персональних даних під час їх обробки.… | Стаття 1. Сфера дії Закону Цей Закон регулює відносини, пов’язані із захистом та обробкою персональних даних, з метою захисту основних прав фізичних осіб на особисте життя та його таємницю, а також інших прав і свобод гарантованих Конституцією України, іншими законами та підзаконними нормативно-правовими актами при обробці персональних даних. |
Стаття 2. Визначення термінів У цьому Законі нижченаведені терміни вживаються в такому значенні:…згода суб’єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;знеособлення персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані;… | Стаття 2. Визначення термінів У цьому Законі нижченаведені терміни вживаються в такому значенні:…згода суб’єкта персональних даних — будь-яке добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних, що може бути надане у письмовій, електронній або у будь-якій іншій, передбаченій чинним законодавством формі;знеособлення персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти дані в цій базі персональних даних;… |
Стаття 6. Загальні вимоги до обробки персональних даних 1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.У разі зміни визначеної мети обробки персональних даних суб’єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети.…5. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних або у випадках, передбачених законами України, у порядку, встановленому законодавством.6. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.… | Стаття 6. Загальні вимоги до обробки персональних даних 1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.У разі зміни мети обробки персональних даних, з якою вони були зібрані, суб’єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети.…5. Обробка персональних даних здійснюється для конкретних і законних цілей, обумовлених законною діяльністю володільця чи розпорядника бази персональних даних.6. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, або в інтересах національної безпеки, економічного добробуту та прав людини.… |
Стаття 7. Особливі вимоги до обробки персональних даних 1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя. | Стаття 7. Особливі вимоги до обробки персональних даних 1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя. |
2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних: 1) здійснюється за умови надання суб’єктом персональних даних однозначної згоди на обробку таких даних;2) необхідна для здійснення прав та виконання обов’язків у сфері трудових правовідносин відповідно до закону;… | 2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних здійснюється за умови дотримання вимог частини 1 статті 11 цього закону та: 1) здійснюється за умови надання суб’єктом персональних даних однозначної згоди на обробку таких даних;2) необхідна для здійснення прав та виконання обов’язків у сфері трудових правовідносин;… |
Стаття 9. Реєстрація баз персональних даних 1. База персональних даних підлягає обов’язковій державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.Положення про Державний реєстр баз персональних даних та порядок його ведення затверджуються Кабінетом Міністрів України. | Стаття 9. Реєстрація баз персональних даних 1. База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.Положення про Державний реєстр баз персональних даних та порядок його ведення затверджуються Кабінетом Міністрів України. |
Не потребують державної реєстрації бази персональних даних, які: містять виключно персональні дані суб’єктів, що перебувають у трудових відносинах з володільцем бази персональних даних;отримані володільцем бази персональних даних у зв’язку з здійсненням дій, пов’язаних з укладенням, виконанням та/або припиненням правочину, стороною якого, представником сторони, вигодонабувачем, поручителем за яким або іншою пов’язаною з таким правочином особою є суб’єкт персональних даних у випадку, якщо такі персональні дані обробляються виключно у зв’язку з таким правочином;містять виключно інформацію з загальнодоступних джерел. | |
2. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення. 3. Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до уповноваженого державного органу з питань захисту персональних даних.Заява повинна містити:звернення про внесення бази персональних даних до Державного реєстру;інформацію про володільця бази персональних даних;інформацію про найменування і місцезнаходження бази персональних даних;інформацію про мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог статей 6 і 7 цього Закону;інформацію про інших розпорядників бази персональних даних;підтвердження зобов’язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.… | 2. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення. 3. Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до уповноваженого державного органу з питань захисту персональних даних.Заява повинна містити:звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;інформацію про володільця бази персональних даних;інформацію про найменування і місцезнаходження бази персональних даних;інформацію про мету обробки персональних даних у базі персональних даних;інформацію про розпорядників бази персональних даних;підтвердження зобов’язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.… |
Стаття 10. Використання персональних даних 1. Використання персональних даних передбачає будь-які дії володільця бази щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону. | Стаття 10. Використання персональних даних 1. Використання персональних даних є складовою процесу обробки цих даних, що передбачає, зокрема дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону. |
2. Використання персональних даних володільцем бази здійснюється у разі створення ним умов для захисту цих даних. Володільцю бази забороняється розголошувати відомості стосовно суб’єктів персональних даних, доступ до персональних даних яких надається іншим суб’єктам відносин, пов’язаних з такими даними. … | 2. Використання персональних даних володільцем бази здійснюється у разі створення ним умов для захисту цих даних. … |
Стаття 11. Підстави виникнення права на використання персональних даних Підставами виникнення права на використання персональних даних є:1) згода суб’єкта персональних даних на обробку його персональних даних. Суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень. | Стаття 11. Підстави виникнення права на обробкуперсональних даних 1. Підставами виникнення права на обробку персональних даних є:1) згода суб’єкта персональних даних — будь-яке добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних, що може бути надане у письмовій, електронній або у будь-якій іншій, передбаченій чинним законодавством формі;2) здійснення дій, пов’язаних з укладенням, виконанням та/або припиненням правочину, представником сторони, стороною якого, вигодонабувачем, поручителем за яким або іншою пов’язаною з таким правочином особою є суб’єкт персональних даних у випадку, якщо такі персональні дані обробляються виключно у зв’язку з таким правочином;3) необхідність захисту життєво важливих інтересів суб’єкта персональних даних;4) необхідність реалізації законних повноважень або виконання зобов’язання, що виникає в силу закону, володільцем бази персональних даних або особою, якій розкриваються персональні дані;5) необхідність захисту законних інтересів володільця бази персональних даних або осіб, яким розкриваються персональні дані, за винятком випадків, коли така обробка буде порушувати життєво важливі інтереси суб’єкта персональних даних;6) вільне волевиявлення (та відсутність заперечення) до набрання чинності цим законом.7) наявність персональних даних в загальнодоступних джерелах. |
2. Володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі. 3. Розпорядник бази персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі. | 2. Володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі. 3. Розпорядник бази персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі. |
Стаття 12. Збирання персональних даних 1. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.2. Суб’єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі.3. Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел.4. Зібрані відомості про фізичну особу, а також інформація про їх джерела надаються суб’єкту персональних даних за його вимогою, крім випадків, установлених законом. | Стаття 12. Збирання персональних даних 1. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.2. Суб’єкт персональних даних після включення його персональних даних до бази персональних даних повідомляється про свої права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані,якщо цього вимагають умови його згоди.3. Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел.4. Зібрані відомості про суб’єкта персональних даних, а також інформація про їх джерела надаються цьому суб’єкту персональних даних за його вимогою, крім випадків, установлених законом. |
Стаття 14. Поширення персональних даних 1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб’єкта персональних даних.2. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лишев інтересах національної безпеки, економічного добробуту та прав людини.3. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.4. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону. | Стаття 14. Поширення персональних даних 1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб’єкта персональних даних.2. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, абов інтересах національної безпеки, економічного добробуту та прав людини.3. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.4. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону. |
Стаття 15. Знищення персональних даних 1. Персональні дані в базах персональних даних знищуються в порядку, встановленому відповідно до вимог закону.2. Персональні дані в базах персональних даних підлягають знищенню у разі:1) закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;2) припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом;3) набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.… | Стаття 15. Знищення персональних даних 1. Персональні дані в базах персональних даних знищуються в порядку, встановленому відповідно до вимог закону.2. Персональні дані в базах персональних даних підлягають знищенню у разі:1) закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;2) припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом або внутрішніми документами володільця чи розпорядника;3) набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.… |
Стаття 16. Порядок доступу до персональних даних 1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити.3. Суб’єкт відносин, пов’язаних з персональними даними, подає запит щодо доступу (далі — запит) до персональних даних володільцю бази персональних даних.… | Стаття 16. Порядок доступу до персональних даних 1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог цього Закону.3. Суб’єкт відносин, пов’язаних з персональними даними, подає запит щодо доступу (далі — запит) до персональних даних володільцю бази персональних даних.… |
Стаття 20. Зміни і доповнення до персональних даних 1. Володільці чи розпорядники баз персональних даних зобов’язані вносити зміни до персональних даних на підставі вмотивованої письмової вимоги суб’єкта персональних даних.2. Дозволяється внесення змін до персональних даних за зверненням інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода суб’єкта персональних даних чи відповідна зміна здійснюється за рішенням суду, що набрало законної сили.3. Зміна персональних даних, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності. | Стаття 20. Зміни і доповнення до персональних даних 1. Володільці чи розпорядники баз персональних даних зобов’язані вносити зміни до персональних даних на підставі вмотивованої письмової вимоги суб’єкта персональних даних.2. Дозволяється внесення змін до персональних даних,зокрема, за зверненням інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода суб’єкта персональних даних чи відповідна зміна здійснюєтьсявідповідно до закону або за рішенням суду, що набрало законної сили.3. Зміна персональних даних, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності. |
Стаття 21. Повідомлення про дії з персональними даними 1.Про передачу персональних даних третій особі володілець бази персональних даних протягом десяти робочих днів повідомляє суб’єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом.2. Повідомлення, зазначені у частині першій цієї статті, не здійснюються у разі:1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях.3. Про зміну чи знищення персональних даних або обмеження доступу до них володілець бази персональних даних протягом десяти робочих днів повідомляє суб’єкта персональних даних, а також суб’єктів відносин, пов’язаних із персональними даними, яким ці дані було передано. | Стаття 21. Повідомлення про дії з персональними даними 1. Про передачу персональних даних третій особі, а також про зміну, знищення або обмеження доступу до персональних даних володілець бази персональних даних повідомляє суб’єкта персональних даних, якщо цього вимагають умови його згоди.2. Повідомлення, зазначені у частині першій цієї статті, не здійснюються у разі:1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях. |
Стаття 24. Забезпечення захисту персональних даних у базах персональних даних 1. Держава гарантує захист персональних даних.2. Суб’єкти відносин, пов’язаних із персональними даними, зобов’язані забезпечити захист цих даних від незаконної обробки, а також від незаконного доступу до них.3. Забезпечення захисту персональних даних у базі персональних даних покладається на володільця цієї бази.4. Володілець бази персональних даних в електронній формі забезпечує її захист відповідно до закону.5. В органах державної влади та органах місцевого самоврядування, організаціях, установах і на підприємствах усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до закону.6. Фізичні особи — підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист баз персональних даних, якими вони володіють, згідно з вимогами закону. | Стаття 24. Забезпечення захисту персональних даних у базах персональних даних 1. Держава гарантує захист персональних даних.2. Суб’єкти відносин, пов’язаних із персональними даними, зобов’язані забезпечити захист цих даних від незаконної обробки, а також від незаконного доступу до них.3. Забезпечення захисту персональних даних у базі персональних даних покладається на володільця цієї бази.4. Володілець бази персональних даних в електронній формі належним чином забезпечує її захист.5. В органах державної влади та органах місцевого самоврядування, організаціях, установах і на підприємствах усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до закону.6. Фізичні особи — підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист баз персональних даних, якими вони володіють, згідно з вимогами закону. |
Стаття 29. Міжнародне співробітництво 1. Співробітництво з іноземними суб’єктами відносин, пов’язаних із персональними даними, регулюється Конституцією України, цим Законом, іншими нормативно-правовими актами та міжнародними договорами України.2. Якщо міжнародним договором України, згода на обов’язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені законодавством України, то застосовуються правила міжнародного договору України.3. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умов забезпечення належного захисту персональних даних, за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством. Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані. | Стаття 29. Міжнародне співробітництво 1. Співробітництво з іноземними суб’єктами відносин, пов’язаних із персональними даними, регулюється Конституцією України, цим Законом, іншими нормативно-правовими актами та міжнародними договорами України.2. Якщо міжнародним договором України, згода на обов’язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені законодавством України, то застосовуються правила міжнародного договору України.3. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умов забезпечення належного захисту персональних даних, та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством.4. Персональні дані є належним чином захищеними при їх транскордонній передачі, у тому числі, якщо:1) країна, до якої передаються персональні дані, є стороною Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, або;2) між Україною та державою, до якої передаються персональні дані, існує міжнародний договір щодо захисту персональних даних, або;3) на території держави, в яку передаються персональні дані, існує законодавство, що регулює обробку та захист персональних даних в обсязі, не меншому, ніж це необхідно для захисту прав і законних інтересів суб’єктів персональних даних, передбачених чинним законодавством України, при чому особа, що здійснює транскордонну передачу, зобов’язана, при необхідності, довести існування такого законодавства;5. Транскордонна передача персональних даних може бути заборонена у випадках, визначених чинним законодавством України.6. Транскордонна передача персональних даних на території іноземних держав, що не забезпечують належного захисту персональних даних, може здійснюватись у випадках:1) наявності згоди в письмовій формі від суб’єкта персональних даних на таку передачу;2) здійснення дій, пов’язаних з укладенням, виконанням та/або припиненням правочину, представником сторони, стороною якого, вигодонабувачем, поручителем за яким або іншою пов’язаною з таким правочином особою є суб’єкт персональних даних у випадку, якщо такі персональні дані обробляються виключно у зв’язку з таким правочином;3) необхідності захисту життєво важливих інтересів суб’єкта персональних даних.4) в інших випадках, прямо передбачених чинним законодавством України.7. При транскордонній передачі персональних даних на території іноземних держав, що не забезпечують належного захисту персональних даних, сторона, що передає персональні дані, зобов’язана забезпечити дотримання стороною, що отримує персональні дані, вимог цього закону в частині захисту прав і законних інтересів суб’єктів, персональні дані яких передаються. Дотримання вимог закону може забезпечуватись, зокрема, шляхом підписання договору про захист персональних даних між стороною, що передає персональні дані та стороною, що отримує персональні дані. |
Закону України «Про інформацію» | |
Стаття 1. Визначення термінів 1. У цьому Законі наведені нижче терміни вживаються в такому значенні:документ — матеріальний носій, що містить інформацію, основними функціями якого є її збереження та передавання у часі та просторі;захист інформації — сукупність правових, адміністративних, організаційних, технічних та інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї;інформація — будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді;суб’єкт владних повноважень — орган державної влади, орган місцевого самоврядування, інший суб’єкт, що здійснює владні управлінські функції відповідно до законодавства, у тому числі на виконання делегованих повноважень. | Стаття 1. Визначення термінів 1. У цьому Законі наведені нижче терміни вживаються в такому значенні:документ — матеріальний носій, що містить інформацію, основними функціями якого є її збереження та передавання у часі та просторі;захист інформації — сукупність правових, адміністративних, організаційних, технічних та інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї;інформація — будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді;суб’єкт владних повноважень — орган державної влади, орган місцевого самоврядування, інший суб’єкт, що здійснює владні управлінські функції відповідно до законодавства, у тому числі на виконання делегованих повноважень.загальнодоступні джерела — джерела інформації (у тому числі засоби масової інформації та Інтернет), з яких інформація може бути вільно отримана будь-якою особою на законних підставах і таке отримання не обумовлено будь-якою згодою, дозволом чи запитом. |