Пропозиції Президента до Закону “Про внесення змін до Закону України “Про захист персональних даних” № 10472-1 від 28.05.2012
ПРОЕКТ
Вноситься
Кабінетом Міністрів України
ЮМ. АЗАРОВ
“ ” 2012 р.
Закон УкраЇни
Про внесення змін до Закону України
“Про захист персональних даних”
Верховна Рада України постановляє:
I.Внести до Закону України “Про захист персональних даних” (Відомості Верховної Ради України, 2010 р., № 34, ст. 481) такі зміни:
1. Статтю 1 викласти в такій редакції:
“Стаття 1. Сфера дії Закону
Цей Закон захищає основоположні права та свободи фізичних осіб, зокрема право на невтручання в особисте життя під час обробки персональних даних.
Цей Закон поширюється на діяльність з обробки персональних даних, яка провадиться повністю або частково із застосуванням автоматичних засобів, а також на обробку персональних даних, які містяться в картотеці чи призначені до внесення в картотеку, із застосуванням неавтоматичних засобів.
Цей Закон не поширюється на діяльність з обробки персональних даних:
що провадиться фізичною особою виключно для особистих чи побутових потреб або з метою художньої чи літературної творчості;
що провадиться журналістом для своїх професійних цілей.”.
2. У статті 2:
в абзаці третьому слова “у цій базі даних” виключити;
абзац п’ятий викласти в такій редакції:
“згода суб’єкта персональних даних — добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання;”;
абзац шостий після слів “дають змогу” доповнити словами “прямо чи опосередковано”;
абзац сьомий викласти в такій редакції:
“обробка персональних даних — будь-яка дія або сукупність дій, пов’язаних із збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу, незалежно від того, чи здійснюються вони автоматично;”;
доповнити статтю абзацом восьмим такого змісту:
“одержувач – фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;”.
У зв’язку з цим абзаци восьмий — одинадцятий вважати абзацами дев’ятим — дванадцятим;
доповнити абзац десятий після слів “ці дані” словами “від імені володільця”.
3. У статті 4:
абзац сьомий частини першої виключити;
у частині третій слово “якої” замінити словом “яких”;
доповнити статтю частинами четвертою і п’ятою такого змісту:
“4. Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору в письмовій формі.
5. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, що визначені в договорі.”.
4. Частини третю і четверту статті 5 виключити.
5. У статті 6:
у частині першій:
доповнити частину абзацом другим такого змісту:
“Обробка персональних даних здійснюється відкрито і прозоро із застосуванням способів та засобів, які є відповідними визначеним цілям такої обробки.”.
У зв’язку з цим абзац другий вважати абзацом третім;
доповнити абзац третій після слів “зміненої мети,” словами “якщо нова мета обробки є несумісною з попередньою”;
частину другу викласти в такій редакції:
“Персональні дані мають бути точними, достовірними та оновлюватися, в міру потреби, визначеної метою їх обробки.”;
у частині третій:
після слів “бути відповідними,” доповнити частину словом “адекватними”;
абзац другий виключити;
частину дев’яту викласти в такій редакції:
“Обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише за умови забезпечення їх належного захисту.”;
абзац перший частини десятої викласти в такій редакції:
“Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, який забезпечує формування державної політики у сфері захисту персональних даних.”.
6. У статті 7:
частину першу після слів “професійних спілках,” доповнити словами “звинувачення у скоєнні злочину або засудження до кримінального покарання,”;
у частині другій:
пункт 2 після слів “виконання обов’язків” доповнити словом “володільця”, а після слів “до закону” — словами “із забезпеченням відповідного захисту”;
пункт 3 після слів “для захисту” доповнити словами “життєво важливих”;
пункт 4 після слова “здійснюється” доповнити словами “із забезпеченням відповідного захисту”;
пункт 6 викласти в такій редакції:
“необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування, або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лікарську таємницю;”.
7. У частині другій статті 8:
у пунктах 1 і 6 слова “цієї бази” замінити словами “персональних даних”;
у пунктах 2 і 3 слова “що містяться у відповідній базі персональних даних” виключити;
пункт 5 викласти в такій редакції:
“пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;”;
пункт 8 викласти в такій редакції:
“8) звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних;”;
доповнити частину пунктами 10—13 такого змісту:
“10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
11) відкликати згоду на обробку персональних даних;
12) знати механізм автоматичної обробки персональних даних;
13) на захист від автоматизованого рішення, яке має для нього правові наслідки.”.
8. У статті 9:
частину другу доповнити абзацами такого змісту:
“Володілець персональних даних звільняється від обов’язку реєстрації баз персональних даних:
ведення яких пов’язано із забезпеченням та реалізацією трудових відносин;
членів громадських, релігійних організацій, професійних спілок,
а також політичних партій.”;
частину третю після абзацу шостого доповнити абзацами такого змісту:
“інформацію про склад персональних даних, які обробляються;
інформацію про третіх осіб, яким передаються персональні дані;
інформацію про транскордонну передачу персональних даних;”.
У зв’язку з цим абзаци сьомий і восьмий вважати відповідно абзацами десятим і одинадцятим;
абзац другий частини четвертої виключити;
в абзаці третьому слово “десяти” замінити словом “тридцяти”.
9. У частинах першій і другій статті 10 слово “бази” виключити.
10. Статтю 11 викласти в такій редакції:
“Стаття 11. Підстави для обробки персональних даних
1. Підставами для обробки персональних даних є:
1) згода суб’єкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних або для здійснення заходів, які передують укладенню правочину на вимогу суб’єкта персональних даних;
4) захист життєво важливих інтересів суб’єкта персональних даних;
5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.”.
11. У статті 12:
у частині першій слова “та внесення їх до бази персональних даних” виключити;
частину другу викласти в такій редакції:
“У випадках, передбачених пунктами 2—5 частини першої статті 11 цього Закону, суб’єкту персональних даних протягом десяти робочих днів
з дня збору його персональних даних повідомляється про володільця персональних даних, права такого суб’єкта, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані.”;
частини третю та четверту виключити.
12. У статті 14:
у частині першій слова “з баз персональних даних” виключити;
частину другу після слів “і лише” доповнити словами “(якщо це необхідно)”.
13. У статті 15:
назву статті викласти в такій редакції:
“Стаття 15. Видалення або знищення персональних даних”;
у частинах першій і другій слова “в базах персональних даних” в усіх відмінках виключити;
частину першу після слів “персональних даних” доповнити словами “видаляються або”.
14. У статті 16:
у пункті 4 частини четвертої слова “цієї бази” замінити словами “персональних даних”;
пункт 6 частини четвертої після слова “мета” доповнити словами “та/або правові підстави”;
у частині шостій слова “без зазначення мети запиту,” замінити словами “за умови надання інформації, визначеної у пункті 1 частини четвертої цієї статті,”.
15. У статті 18:
у частині першій слова “інших органів державної влади та органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних,” виключити;
у частині другій слово “бази” виключити.
16. Частину другу статті 21 доповнити пунктом 4 такого змісту:
“4) повідомлення суб’єкта персональних даних відповідно до вимог частини другої статті 12 цього Закону.”.
17. У пункті 2 частини першої статті 22 слова “та органи місцевого самоврядування” виключити.
18. У статті 23:
частину першу викласти в такій редакції:
“1. Уповноважений державний орган з питань захисту персональних даних — центральний орган виконавчої влади, який забезпечує реалізацію державної політики у сфері захисту персональних даних.
Уповноважений державний орган з питань захисту персональних даних є незалежним у реалізації повноважень, передбачених цим Законом.”;
у частині другій:
пункт 4 після слів “захист персональних даних” доповнити словами “шляхом проведення виїзних та безвиїзних перевірок володільців та/або розпорядників персональних даних”;
доповнити частину пунктами 9—13 такого змісту:
“9) надає володільцям та розпорядникам персональних даних і суб’єктам персональних даних інформацію щодо їх прав та обов’язків;
10) здійснює моніторинг нових практик, тенденцій та технологій захисту персональних даних;
11) видає рекомендації щодо практичного застосування положень законодавства про захист персональних даних;
12) вносить пропозиції щодо формування політики у сфері захисту персональних даних в порядку, визначеному законодавством;
13) погоджує корпоративні кодекси поведінки відповідно до частини другої статті 27 цього Закону.”;
доповнити статтю частинами третьою — п’ятою такого змісту:
“3. Голова уповноваженого державного органу з питань захисту персональних даних та його заступники призначаються відповідно до вимог, встановлених законодавством.
4. Штатний розпис і кошторис уповноваженого державного органу
з питань захисту персональних даних затверджує його Голова за погодженням з Міністром фінансів України.
Голова уповноваженого державного органу з питань захисту персональних даних приймає в установленому порядку рішення про розподіл бюджетних коштів, розпорядником яких є уповноважений державний орган з питань захисту персональних даних.
5. Звіт про виконання уповноваженим державним органом з питань захисту персональних даних завдань та планів роботи є загальнодоступним, публікується на його офіційному веб-сайті та подається Президенту України, Кабінетові Міністрів України та Верховній Раді України.”.
19. У статті 24:
у назві статті слова “у базах персональних даних” виключити;
частину другу після слів “від незаконної обробки” доповнити словами “, в тому числі від втрати, незаконного або випадкового знищення”;
частину четверту виключити;
у частині шостій слово “баз” виключити.
20. Частину другу статті 27 після слів “у різних сферах,” доповнити словами “за погодженням з уповноваженим державним органом з питань захисту персональних даних”.
21. У статті 29:
назву статті викласти в такій редакції:
“Стаття 29. Міжнародне співробітництво та передача персональних даних”;
частину третю викласти в такій редакції:
“3. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України.
Держави — учасниці Європейського економічного простору, а також держави, які підписали Конвенцію Ради Європи про захист осіб у зв’язку
з автоматизованою обробкою персональних даних, визнаються такими,
що забезпечують належний рівень захисту персональних даних.
Кабінет Міністрів України визначає перелік держав, які забезпечують належний захист персональних даних.
Персональні дані не можуть поширюватися з іншою метою, ніж та,
з якою вони були зібрані.”;
доповнити статтю частиною четвертою такого змісту:
“4. Персональні дані можуть передаватися іноземним суб’єктам відносин, пов’язаних з персональними даними, також у разі:
1) надання суб’єктом персональних даних однозначної згоди на таку передачу;
2) необхідності укладення чи виконання правочину між володільцем персональних даних та третьою особою — суб’єктом персональних даних на користь суб’єкта персональних даних;
3) необхідності захисту життєво важливих інтересів суб’єктів персональних даних;
4) необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення правової вимоги;
5) надання володільцем персональних даних відповідних гарантій щодо невтручання в особисте і сімейне життя суб’єкта персональних даних.”.
22. У тексті Закону слова “володілець бази персональних даних” і “розпорядник бази персональних даних” у всіх відмінках замінити відповідно словами “володілець персональних даних” і “розпорядник персональних даних” у відповідному відмінку.
II. Прикінцеві положення
1. Цей Закон набирає чинності з дня, наступного за днем його опублікування.
2. Кабінету Міністрів України протягом одного місяця з дня набрання чинності цим Законом забезпечити приведення власних нормативно-правових актів у відповідність із цим Законом.
Голова
Верховної Ради України
Верховна Рада України |
Відповідно до статті 93 Конституції України Кабінет Міністрів подає
в порядку законодавчої ініціативи для розгляду Верховною Радою проект Закону України “Про внесення змін до Закону України “Про захист персональних даних”.
Законопроект розроблений з метою удосконалення правового регулювання у сфері захисту персональних даних, приведення норм Закону України
“Про захист персональних даних” у відповідність з положеннями Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї, а також реалізації заходів, передбачених Національним планом з виконання Плану дій щодо лібералізації Європейським Союзом візового режиму для України, затвердженого Указом Президента України від 22 квітня 2011 р. № 494.
Представлятиме проект Закону у Верховній Раді Міністр юстиції Лавринович Олександр Володимирович.
Додаток: | 1. Текст законопроекту на 9 арк.2. Текст постанови Верховної Ради на 1 арк.
3. Пояснювальна записка на 4 арк. 4. Порівняльна таблиця на 24 арк. 5. Текст законопроекту та матеріали до нього в електронній формі. |
Прем’єр-міністр України |
Микола АЗАРОВ |
ПОЯСНЮВАЛЬНА ЗАПИСКА
до проекту Закону України «Про внесення змін до
Закону України «Про захист персональних даних»
1. Обґрунтування необхідності прийняття акта
Проект Закону України «Про внесення змін до Закону України «Про захист персональних даних» (далі – проект Закону) розроблено з метою удосконалення правового регулювання у сфері захисту персональних даних, приведення Закону України «Про захист персональних даних» у відповідність до Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї, а також реалізації Національного плану з виконання Плану дій щодо лібералізації Європейським Союзом візового режиму для України, затвердженого Указом Президента України від 22.04.2011 № 494.
2. Цілі і завдання прийняття акта
Метою розробки законопроекту є гармонізація положень Закону України «Про захист персональних даних» із положеннями Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додатковим протоколом до неї щодо органів нагляду та транскордонних потоків даних, ратифікованих Законом України від 6 липня 2010 року № 2438-VI, Директиви Європейського Парламенту та Ради 95/46/ЕС Європейського парламенту і Ради від 24 жовтня 1995 року стосовно захисту фізичних осіб у питаннях обробки персональних даних і вільного обігу цих даних.
Окрім цього, Закон України «Про захист персональних даних» набрав чинності 1 січня 2011 року. За рік його функціонування було виявлено деякі недоліки, неточності та неузгодженості, які також планується вдосконалити проектом Закону.
До опрацювання проекту Закону були залучені експерти Європейської Комісії, Ради Європи, Євроюсту, оскільки імплементація належного законодавства про захист персональних даних є складовою частину лібералізації Європейським Союзом візового режиму з Україною, а також укладання Україною угоди про співробітництво з Євроюстом та про стратегічне співробітництво з Європолом.
Проектом Закону пропонується змінити сферу дію Закону України «Про захист персональних даних», в тому числі визначивши, що його дія поширюється на всі дії з обробки персональних даних, а не тільки в базах персональних даних.
Зокрема, проектом Закону пропонується врегулювати питання транскордонної передачі персональних даних, визначити країни Європейського економічного простору, а також країни, які підписали Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, такими, що забезпечують належний рівень захисту персональних даних, випадки передачі персональних даних до інших країн.
Окрім цього розширено підстави обробки персональних даних в порівнянні з діючою редакцією Закону України «Про захист персональних даних». Так, до існуючих підстав обробки персональних даних (згода на обробку і на підставі закону) пропонується додати: укладання та виконання правочину, стороною якого є суб’єкт персональних даних, або який укладено на користь суб’єкта персональних даних, або для здійснення заходів, які передують укладанню правочину на вимогу суб’єкта персональних даних, виконання володільцем бази персональних даних взятого на себе зобов’язання, задоволення державних інтересів або виконання офіційних повноважень, покладених на володільця бази персональних даних або на третю особу, якій передаються ці дані, захист життєво важливих інтересів суб’єкта персональних даних.
Проект Закону також передбачає виключення з державної реєстрації баз персональних даних, ведення яких пов’язане із забезпеченням і реалізацією трудових відносин, та членів громадських, релігійних організацій, професійних спілок та політичних партій.
Окрім цього законопроектом пропонується узгодити між собою норми Закону України «Про захист персональних даних», Закону України «Про доступ до публічної інформації» та Закону України «Про інформацію».
Проект Закону також розширює права суб’єктів персональних даних, зокрема на заперечення обробки своїх персональних даних, внесення застережень стосовно обробки своїх персональних даних, оскарження обробки персональних даних та відкликання згоди на обробку персональних даних.
Також пропонується забезпечити реалізацію принципів «прозорості» та «чесності» обробки персональних даних.
Відтак, проект Закону спрямований на належну реалізацію права людини на невтручання у приватне життя, закріпленого у статті 32 Конституції України.
3. Правові аспекти
На сьогодні правовідносини у сфері захисту персональних даних регулюються Конституцією України, Законом України «Про захист персональних даних» від 1 червня 2010 року № 2297-VI, Цивільним кодексом України від 16 січня 2003 року № 435-IV, Кримінальним кодексом України від 5 квітня 2001 року № 2341-III, Кодексом України про адміністративні правопорушення від 7 грудня 1984 року № 8073-Х, Законом України «Про інформацію» вiд 2 жовтня 1992 року № 2657-XII, Законом України «Про доступ ло публічної інформації» вiд 13 січня 2011 року № 2939-VI, Конвенцією Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додатковим протоколом до неї щодо органів нагляду та транскордонних потоків даних, ратифікованих Законом України від 6 липня 2010 року № 2438-VI.
4. Фінансово-економічне обґрунтування законопроекту
Реалізація проекту Закону не потребує виділення додаткових коштів з Державного бюджету України.
5. Позиція заінтересованих органів
Проект Закону погоджено з Міністерством фінансів України, а також Міністерством економічного розвитку і торгівлі України без зауважень.
6. Регіональний аспект
Проект Закону не стосується питання розвитку адміністративно-територіальних одиниць.
7. Запобігання корупції
Проект Закону не містить правил і процедур, які можуть містити ризики вчинення корупційних правопорушень.
8. Громадське обговорення
Проект Закону не потребує громадського обговорення.
9. Позиція соціальних партнерів
Проект Закону не стосується соціально-трудової сфери.
10. Прогноз результатів
Прийняття проекту Закону України «Про внесення змін до Закону України «Про захист персональних даних» створить правові засади та механізми реалізації статті 32 Конституції України, якою заборонено збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом.
Також, шляхом гармонізації норм Закону України «Про захист персональних даних» із міжнародними стандартами Україною будуть виконані взяті на себе зобов’язання щодо вдосконалення законодавства України, необхідні для виконання Плану дій щодо лібералізації Європейським Союзом візового режиму для України.
Міністр Олександр Лавринович
«___»____________2012 р.
ПОРІВНЯЛЬНА ТАБЛИЦЯ
до проекту Закону України “Про внесення змін до Закону України “Про захист персональних даних”
Зміст положення (норми) чинного акту законодавства |
Зміст відповідного положення (норми) проекту акту законодавства |
Стаття 1. Сфера дії Закону
Цей Закон регулює відносини, пов’язані із захистом персональних даних під час їх обробки. Дія цього Закону не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах: фізичною особою – виключно для непрофесійних особистих чи побутових потреб; журналістом – у зв’язку з виконанням ним службових чи професійних обов’язків; професійним творчим працівником – для здійснення творчої діяльності.
Стаття 2. Визначення термінів У цьому Законі нижченаведені терміни вживаються в такому значенні: … володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом; |
Стаття 1. Сфера дії Закону
Цей Закон захищає основоположні права та свободи фізичних осіб, зокрема право на невтручання в особисте життя під час обробки персональних даних. Цей Закон поширюється на діяльність з обробки персональних даних, яка провадиться повністю або частково із застосуванням автоматичних засобів, а також на обробку персональних даних, які містяться в картотеці чи призначені до внесення в картотеку, із застосуванням неавтоматичних засобів. Цей Закон не поширюється на діяльність з обробки персональних даних: що провадиться фізичною особою виключно для особистих чи побутових потреб або з метою художньої чи літературної творчості; що провадиться журналістом для своїх професійних цілей.
Стаття 2. Визначення термінів У цьому Законі нижченаведені терміни вживаються в такому значенні: … володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
|
згода суб’єкта персональних даних – будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки; | згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання; |
знеособлення персональних даних – вилучення відомостей, які дають змогу ідентифікувати особу; | знеособлення персональних даних – вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу; |
обробка персональних даних – будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу; | обробка персональних даних – будь-яка дія або сукупність дій, які пов’язані із збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу, незалежно від того, чи здійснюються вони автоматично;
одержувач – фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;
|
розпорядник бази персональних даних – фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані; | розпорядник бази персональних даних – фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані від імені володільця; |
Стаття 4. Суб’єкти відносин, пов’язаних із персональними
|
Стаття 4. Суб’єкти відносин, пов’язаних із персональними
|
4. Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору в письмовій формі. | |
5. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, що визначені в договорі.
|
|
Стаття 5. Об’єкти захисту…… . |
Стаття 5. Об’єкти захисту…… . |
3. Законом може бути заборонено віднесення персональних даних певних категорій громадян чи їх вичерпного переліку до інформації з обмеженим доступом. | Виключити. |
4. Персональні дані фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії, не належать до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону. | Виключити. |
Стаття 6. Загальні вимоги до обробки персональних даних1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.
У разі зміни визначеної мети обробки персональних даних суб’єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети. |
Стаття 6. Загальні вимоги до обробки персональних даних1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.
Обробка персональних даних здійснюється відкрито і прозоро із застосуванням способів та засобів, які є відповідними визначеним цілям такої обробки.
У разі зміни визначеної мети обробки персональних даних суб’єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети, якщо нова мета обробки є несумісною з попередньою. |
2. Персональні дані мають бути точними, достовірними, у разі необхідності – оновлюватися. | 2. Персональні дані мають бути точними, достовірними та оновлюватися, в міру потреби, визначеної метою їх обробки. |
3. Склад та зміст персональних даних мають бути відповідними та ненадмірними стосовно визначеної мети їх обробки. | 3. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки. |
Обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається умовами згоди суб’єкта персональних даних або відповідно до закону. | Виключити. |
9. Використання персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише в знеособленому вигляді. | 9. Обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише за умови забезпечення їх належного захисту. |
10. Типовий порядок обробки персональних даних у базах персональних даних затверджується уповноваженим державним органом з питань захисту персональних даних. | 10. Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, який забезпечує формування та реалізацію державної політики у сфері захисту персональних даних. |
Стаття 7. Особливі вимоги до обробки персональних даних1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя.
|
Стаття 7. Особливі вимоги до обробки персональних даних1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, звинувачення у скоєнні злочину або засудження |
2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних:……; | 2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних:…….; |
2) необхідна для здійснення прав та виконання обов’язків у сфері трудових правовідносин відповідно до закону; | 2) необхідна для здійснення прав та виконання обов’язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту; |
3) необхідна для захисту інтересів суб’єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб’єкта персональних даних; | 3) необхідна для захисту життєво важливих інтересів суб’єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб’єкта персональних даних; |
4) здійснюється релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об’єднань або осіб, які підтримують постійні контакти з ними у зв’язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб’єктів персональних даних;…… ; | 4) здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об’єднань або осіб, які підтримують постійні контакти з ними у зв’язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб’єктів персональних даних;…… ; |
6) необхідна в цілях охорони здоров’я, для забезпечення піклування чи лікування за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних; | 6) необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування, або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лікарську таємницю; |
Стаття 8. Права суб’єкта персональних даних |
Стаття 8. Права суб’єкта персональних даних |
2. Суб’єкт персональних даних має право:
1) знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;
3) на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних; |
2. Суб’єкт персональних даних має право:
1) знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3) на доступ до своїх персональних даних;
|
5) пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
|
5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем
|
8) звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних; | 8) звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних; |
10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди; | |
11) відкликати згоду на обробку персональних даних;12) знати механізм автоматичної обробки персональних даних;
13) на захист від автоматизованого рішення, яке має для нього правові наслідки. |
|
Стаття 9. Реєстрація баз персональних даних….. . |
Стаття 9. Реєстрація баз персональних даних…… . |
2. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення. | 2. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення. |
Володілець персональних даних звільняється від обов’язку реєстрації баз персональних даних:
ведення яких пов’язано із забезпеченням та реалізацією трудових відносин;
членів громадських, релігійних організацій, професійних спілок, а також політичних партій.
|
|
3. Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до уповноваженого державного органу з питань захисту персональних даних.Заява повинна містити:
звернення про внесення бази персональних даних до Державного реєстру баз персональних даних; інформацію про володільця бази персональних даних; інформацію про найменування і місцезнаходження бази персональних даних; інформацію про мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог статей 6 і 7 цього Закону;
інформацію про інших розпорядників бази персональних даних;
підтвердження зобов’язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.
|
3. Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до уповноваженого державного органу з питань захисту персональних даних.
Заява повинна містити: звернення про внесення бази персональних даних до Державного реєстру баз персональних даних; інформацію про володільця бази персональних даних; інформацію про найменування і місцезнаходження бази персональних даних; інформацію про мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог статей 6 і 7 цього Закону; інформацію про склад персональних даних, які обробляються; інформацію про третіх осіб, яким передаються персональні дані; інформацію про транскордонну передачу персональних даних; інформацію про інших розпорядників бази персональних даних;
підтвердження зобов’язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.
|
4. Уповноважений державний орган з питань захисту персональних даних у порядку, затвердженому Кабінетом Міністрів України:повідомляє заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання;
приймає рішення про реєстрацію бази персональних даних протягом десяти робочих днів з дня надходження заяви. …… .
Стаття 10. Використання персональних даних
1. Використання персональних даних передбачає будь-які дії володільця бази щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону. 2. Використання персональних даних володільцем бази здійснюється у разі створення ним умов для захисту цих даних. Володільцю бази забороняється розголошувати відомості стосовно суб’єктів персональних даних, доступ до персональних даних яких надається іншим суб’єктам відносин, пов’язаних з такими даними. |
4. Уповноважений державний орган з питань захисту персональних даних у порядку, затвердженому Кабінетом Міністрів України:Виключити;
приймає рішення про реєстрацію бази персональних даних протягом тридцяти робочих днів з дня надходження заяви.
…… .
Стаття 10. Використання персональних даних
1. Використання персональних даних передбачає будь-які дії володільця щодо обробки цих даних, дії щодо їх захисту,
2. Використання персональних даних володільцем здійснюється у разі створення ним умов для захисту цих даних. Володільцю бази забороняється розголошувати відомості стосовно суб’єктів персональних даних, доступ до персональних даних яких надається іншим суб’єктам відносин, пов’язаних з такими даними.
|
Стаття 11. Підстави виникнення права на використання
|
Стаття 11. Підстави для обробки персональних даних1. Підставами для обробки персональних даних є:1) згода суб’єкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень; 3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних або для здійснення заходів, які передують укладенню правочину на вимогу суб’єкта персональних даних; 4) захист життєво важливих інтересів суб’єкта персональних даних; 5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес. |
Стаття 12. Збирання персональних даних1. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних. |
Стаття 12. Збирання персональних даних1. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу. |
2. Суб’єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі. | 2. У випадках, передбачених пунктами 2-5 частини першої статті 11 цього Закону, суб’єкту персональних даних протягом десяти робочих днів з дня збору його персональних даних повідомляється про володільця персональних даних, права такого суб’єкта, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані. |
3. Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел. | Виключити. |
4. Зібрані відомості про суб’єкта персональних даних, а також інформація про їх джерела надаються цьому суб’єкту персональних даних за його вимогою, крім випадків, установлених законом.
Стаття 14. Поширення персональних даних
1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб’єкта персональних даних.
2. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. |
Виключити.
Стаття 14. Поширення персональних даних
1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб’єкта персональних даних.
2. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
|
Стаття 15. Знищення персональних даних1. Персональні дані в базах персональних даних знищуються в порядку, встановленому відповідно до вимог закону. 2. Персональні дані в базах персональних даних підлягають знищенню у разі: 1) закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом; 2) припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом; 3) набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.
|
Стаття 15. Видалення або знищення персональних даних1. Персональні дані видаляються або знищуються
2. Персональні дані підлягають знищенню у разі:
1) закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
2) припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом; 3) набрання законної сили рішенням суду щодо вилучення даних про фізичну особу.
|
Стаття 16. Порядок доступу до персональних даних |
Стаття 16. Порядок доступу до персональних даних |
4. У запиті зазначаються:
…. ; 4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;
|
4. У запиті зазначаються:
….. ; 4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
|
6) мета запиту.
6. Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених законом.
Стаття 18. Оскарження рішення про відстрочення або відмову в доступі до персональних даних 1. Рішення про відстрочення або відмову в доступі до персональних даних може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних, інших органів державної влади та органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних, або до суду. 2. Якщо запит зроблено суб’єктом персональних даних щодо даних про себе, обов’язок доведення в суді законності відмови у доступі покладається на володільця бази персональних даних, до якого подано запит.
|
6) мета та/або правові підстави запиту.
6. Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними, за умови надання інформації, визначеної у пункті 1 частини четвертої цієї статті, крім випадків, установлених законом.
Стаття 18. Оскарження рішення про відстрочення абовідмову в доступі до персональних даних1. Рішення про відстрочення або відмову в доступі до персональних даних може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних або до суду.
2. Якщо запит зроблено суб’єктом персональних даних щодо даних про себе, обов’язок доведення в суді законності відмови
|
Стаття 21. Повідомлення про дії з персональними даними….. . |
Стаття 21. Повідомлення про дії з персональними даними….. . |
2. Повідомлення, зазначені у частині першій цієї статті, не здійснюються у разі: |
1) …… ;
2) ….. ;
3) ……; 2. Повідомлення, зазначені у частині першій цієї статті,
не здійснюються у разі:
1) …… ;
2) ….. ;
3) …..;
4) повідомлення суб’єкта персональних даних відповідно до вимог частини другої статті 12 цього Закону.
Стаття 22. Контроль за додержанням законодавства про
захист персональних даних
1. Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:
1) уповноважений державний орган з питань захисту персональних даних;
Стаття 22. Контроль за додержанням законодавства про захист
персональних даних
1. Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:
1) уповноважений державний орган з питань захисту персональних даних;
2) інші органи державної влади та органи місцевого самоврядування.
2) інші органи державної влади.
Стаття 23. Уповноважений державний орган з питань
захисту персональних даних
Стаття 23. Уповноважений державний орган з питань захисту
персональних даних 1. Уповноважений державний орган з питань захисту персональних даних – центральний орган виконавчої влади, до повноважень якого належить захист персональних даних, що утворюється відповідно до законодавства.
1. Уповноважений державний орган з питань захисту персональних даних – центральний орган виконавчої влади, який забезпечує реалізацію державної політики у сфері захисту персональних даних.
Уповноважений державний орган з питань захисту персональних даних є незалежним у реалізації повноважень, передбачених цим Законом.
2. Уповноважений державний орган з питань захисту персональних даних:
1) …….;
2. Уповноважений державний орган з питань захисту персональних даних:
1) …… ;
4) здійснює в межах своїх повноважень контроль за додержанням вимог законодавства про захист персональних даних із забезпеченням відповідно до закону доступу до інформації, пов’язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка;
8)……. .
4) здійснює в межах своїх повноважень контроль за додержанням вимог законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців та/або розпорядників персональних даних із забезпеченням відповідно до закону доступу до інформації, пов’язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка;
8) ……;
9) надає володільцям та розпорядникам персональних даних і суб’єктам персональних даних інформацію щодо їх прав та обов’язків;
10) здійснює моніторинг нових практик, тенденцій та технологій захисту персональних даних;
11) видає рекомендації щодо практичного застосування положень законодавства про захист персональних даних;
12) вносить пропозиції щодо формування політики у сфері захисту персональних даних в порядку, визначеному законодавством;
13) погоджує корпоративні кодекси поведінки відповідно до частини другої статті 27 цього Закону;
3. Голова уповноваженого державного органу з питань захисту персональних даних та його заступники призначаються відповідно до вимог, встановлених законодавством.
4. Штатний розпис і кошторис уповноваженого державного органу з питань захисту персональних даних затверджує його Голова за погодженням з Міністром фінансів України.
Голова уповноваженого державного органу з питань захисту персональних даних приймає в установленому порядку рішення про розподіл бюджетних коштів, розпорядником яких є уповноважений державний орган
з питань захисту персональних даних.
5. Звіт про виконання уповноваженим державним органом з питань захисту персональних даних завдань
та планів роботи є загальнодоступним, публікується на його офіційному веб-сайті та подається Президенту України, Кабінетові Міністрів України та Верховній Раді України.
Стаття 24. Забезпечення захисту персональних даних
у базах персональних даних
1. …… .
Стаття 24. Забезпечення захисту персональних даних
1. ……. .
2. Суб’єкти відносин, пов’язаних із персональними даними, зобов’язані забезпечити захист цих даних від незаконної обробки, а також від незаконного доступу до них.
3. …… .
2. Суб’єкти відносин, пов’язаних із персональними даними, зобов’язані забезпечити захист цих даних від незаконної обробки, в тому числі від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них.
3. …… .
4. Володілець бази персональних даних в електронній формі забезпечує її захист відповідно до закону.
Виключити.
…… .
6. Фізичні особи – підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист баз персональних даних, якими вони володіють, згідно з вимогами закону.
….. .
6. Фізичні особи – підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють, згідно
з вимогами закону.
Стаття 27. Застосування положень цього Закону
2. Професійні об’єднання можуть розробляти корпоративні кодекси поведінки з метою забезпечення ефективного захисту прав суб’єктів персональних даних, сприяння додержанню законодавства, враховуючи специфіку обробки персональних даних у різних сферах.
Стаття 27. Застосування положень цього Закону
2. Професійні об’єднання можуть розробляти корпоративні кодекси поведінки з метою забезпечення ефективного захисту прав суб’єктів персональних даних, сприяння додержанню законодавства, враховуючи специфіку обробки персональних даних у різних сферах, за погодженням з уповноваженим державним органом з питань захисту персональних даних.
Стаття 29. Міжнародне співробітництво
…….. .
Стаття 29. Міжнародне співробітництво та передача
персональних даних
……. .
3. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умов забезпечення належного захисту персональних даних, за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством. Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.
3. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України.
Держави-учасниці Європейського економічного простору, а також держави, які підписали Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рівень захисту персональних даних.
Кабінет Міністрів України визначає перелік держав, які забезпечують належний захист персональних даних.
Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.
4. Персональні дані можуть передаватись іноземним суб’єктам відносин, пов’язаних з персональними даними, також у разі:
1) надання суб’єктом персональних даних однозначної згоди на таку передачу;
2) необхідності укладення чи виконання правочину між володільцем персональних даних та третьою особою – суб’єктом персональних даних на користь суб’єкта персональних даних;
3) необхідності захисту життєво важливих інтересів суб’єктів персональних даних;
4) необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення правової вимоги;
5) надання володільцем персональних даних відповідних гарантій щодо невтручання в особисте і сімейне життя суб’єкта персональних даних.
Директор
Департаменту фахової експертизи
Секретаріату Кабінету Міністрів Олексій ДНІПРОВ
« » травня 2012 року
Підготувала +Марія Морозова