Идет загрузка документа (32 kByte)
Главный правовой
портал Украины
Главный правовой
портал Украины
Остаться Попробовать

О защите персональных данных

Проект закона Украины от 25.03.2008 № 2273
Дата рассмотрения: 25.03.2008 Карта проходжения проекта

ЗАКОН УКРАЇНИ

Про захист персональних даних

Стаття 1. Сфера дії Закону

Цей Закон регулює відносини, пов'язані з захистом персональних даних при їх обробці.

Дія цього Закону не поширюється на діяльність зі створення баз персональних даних фізичною особою виключно для непрофесійних особистих чи побутових потреб.

Стаття 2. Визначення термінів

У цьому Законі терміни вживаються в такому значенні:

база персональних даних іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

володілець бази персональних даних (далі володілець бази) фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних;

згода суб'єкта персональних даних - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних;

знеособлення персональних даних - вилучення відомостей, які дозволяють ідентифікувати особу;

обробка персональних даних (далі - обробка) будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знищенням відомостей про фізичну особу;

персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути ідентифікована;

розпорядник бази персональних даних (далі розпорядник бази) - фізична чи юридична особа, якій володільцем бази надано право обробляти ці дані, або таке право надано законом.

Стаття 3. Законодавство про захист персональних даних

Законодавство про захист персональних даних складають Конституція України, цей Закон, закони України "Про інформацію", "Про захист інформації в інформаційно-телекомунікаційних системах", інші закони та нормативно-правові акти, міжнародні договори України, згода на обов'язковість яких надана Верховною Радою України.

Стаття 4. Суб'єкти відносин, пов'язаних із персональними даними

Суб'єктами відносин, пов'язаних із персональними даними, є:

суб'єкт персональних даних;

володілець бази персональних даних;

розпорядник бази персональних даних;

уповноважений державний орган з питань захисту персональних даних;

інші органи державної влади та органи місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних.

Розпорядником бази, володільцем якої є орган державної влади чи орган місцевого самоврядування, може бути лише юридична особа, яка належить до сфери управління цього органу.

Стаття 5. Об'єкти захисту

Об'єктами захисту є персональні дані, які обробляються в базах персональних даних.

Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.

Законом може бути заборонено віднесення персональних даних певних категорій громадян чи їх вичерпного переліку до інформації з обмеженим доступом.

Персональні дані фізичної особи, яка претендує зайняти чи займає виборну посаду (в представницьких органах) або посаду державного службовця першої категорії, не відносяться до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону.

Стаття 6. Загальні вимоги до обробки персональних даних

Мета обробки персональних даних повинна бути сформульована в нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази, та відповідати законодавству про захист персональних даних. Мета обробки після збору даних не може бути змінена і відрізнятися від сформульованої спочатку, за винятком випадків подальшої їх обробки в історичних, статистичних чи наукових цілях.

Використання персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише в знеособленому вигляді.

Обробка персональних даних здійснюється за згодою суб'єкта персональних даних або у випадках, передбачених законами України, у порядку встановленому законодавством.

Персональні дані повинні бути точними, достовірними, у разі необхідності оновлюватися.

Склад та зміст персональних даних повинні бути відповідними та ненадмірними стосовно мети їх обробки.

Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.

Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.

Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Стаття 7. Особливі вимоги до обробки персональних даних

Забороняється обробка персональних даних про расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство у політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя.

Положення частини першої цієї статі не застосовується, якщо обробка персональних даних:

здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;

необхідна для здійснення прав та виконання обов'язків у сфері трудових правовідносин відповідно до закону;

необхідна для захисту інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;

здійснюється громадською організацією філософської або релігійної спрямованості, політичною партією чи професійною спілкою за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;

необхідна для обґрунтування, задоволення або захисту правової вимоги;

необхідна в цілях охорони здоров'я, для забезпечення піклування чи лікування за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров'я, на якого покладено обов'язки щодо забезпечення захисту персональних даних;

стосується обвинувачень у вчиненні злочинів, вироків суду, здійснення державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

стосується даних, які були оприлюднені суб'єктом персональних даних.

Стаття 8. Права суб'єкта персональних даних

Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.

Суб'єкт персональних даних має право:

знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази, або дати відповідне доручення уповноваженим ним особам, крім випадків, встановлених законом;

на доступ до своїх персональних даних, які містяться у відповідній базі персональних даних;

отримати в місячний строк з дня надходження запиту відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримати зміст його персональних даних, які зберігаються;

пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;

на захист своїх персональних даних від несанкціонованої обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади та органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних.

Виклавши мотиви своїх дій, суб'єкт персональних даних має право заперечувати проти обробки його даних органами державної влади та органами місцевого самоврядування при здійсненні ними своїх повноважень, передбачених законом.

Розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник.

Право на розпорядження персональними даними фізичної особи, яка померла, належить її спадкоємцям в частині персональних даних.

Стаття 9. Використання персональних даних

Використання персональних даних передбачає будь-які дії володільця бази щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншими суб'єктами відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до закону.

Використання персональних даних володільцем бази здійснюється у разі створення ним умов для захисту цих даних. Володільцю бази забороняється розголошувати відомості стосовно суб'єктів персональних даних, доступ до персональних даних яких здійснюється іншими суб'єктами відносин, пов'язаних з такими даними.

Використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися тільки відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення будь-яким способом персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.

Відомості щодо особистого життя фізичної особи не можуть використовуватися як обумовлення, яке підтверджує чи не підтверджує її ділові здібності.

При використанні персональних даних для масової розсилки повідомлень з інформаційною, пропагандистською чи рекламною метою текст повідомлення повинен мати реквізити суб'єкта розсилки та попередження про можливість його відмови від подальшої розсилки.

Стаття 10. Підстави виникнення права на використання персональних даних

Підставами виникнення права на використання персональних даних є:

згода суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право внести до договору щодо обробки застереження стосовно обмеження права обробки його персональних даних;

дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.

Стаття 11. Збирання персональних даних

Збирання персональних даних є складовою процесу їх обробки, що передбачає дії щодо підбору чи упорядкування відомостей про фізичну особу та включення їх до бази персональних даних.

При включення відомостей про фізичну особу до бази персональних даних суб'єкт персональних даних повідомляється протягом календарного місяця.

Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел чи для тимчасового, на строк не більше трьох місяців, їх зберігання у базі персональних даних.

У разі подальшої обробки персональних даних понад тримісячний строк їх включення до бази персональних даних або у разі повторного збирання суб'єкт персональних даних повідомляється протягом календарного місяця.

Зібрані відомості про фізичну особу, а також інформація про їх джерела надаються суб'єкту персональних даних за його вимогою, крім випадків, установлених законом.

Стаття 12. Накопичення та зберігання персональних даних

Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або введення цих даних до бази персональних даних.

Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.

Стаття 13. Поширення персональних даних

Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних.

Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.

Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону.

Стаття 14. Знищення персональних даних

Персональні дані в базах персональних даних знищуються в порядку, встановленому законодавством.

Персональні дані в базах персональних даних підлягають знищенню у випадку:

закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законодавством;

припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом;

набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.

Персональні дані, зібрані з порушенням вимог цього Закону, підлягають знищенню в базах персональних даних у встановленому законодавством порядку.

Персональні дані, зібрані під час виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом, знищуються в базах персональних даних відповідно до вимог Закону України "Про оперативно-розшукову діяльність".

Стаття 15. Режим доступу до персональних даних

Порядок доступу до персональних даних третіх осіб визначається умовами дозволу суб'єкта персональних даних володільцю бази на обробку цих даних або законом у порядку, встановленому законодавством.

Доступ до персональних даних не надається, якщо суб'єкт відносин, пов'язаних з персональними даними, відмовляється взяти на себе зобов'язання щодо забезпечення або не спроможний забезпечити виконання вимог цього Закону.

Стаття 16. Запит щодо доступу до персональних даних

Суб'єкт відносин, пов'язаних з персональними даними, подає запит щодо доступу (далі запит) до персональних даних володільцю чи розпоряднику бази.

Запит повинен містити такі відомості:

прізвище, ім'я та по батькові, місце проживання і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);

найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);

прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;

відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;

перелік персональних даних, що запитуються;

мету запиту.

Строк вивчення запиту на предмет його задоволення не повинен перевищувати десяти днів.

Протягом цього строку будь-який володілець чи розпорядник бази доводить до відома особи, яка подає запит, що запит буде задоволено або що відповідні персональні дані не підлягають наданню, з зазначенням підстави, визначеної у відповідному нормативно-правовому акті.

Запит задовольняється протягом календарного місяця, якщо інше не передбачено законом.

Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту.

Стаття 17. Відстрочення або відмова у доступі до персональних даних

Відстрочення у доступі до персональних даних допускається в тому разі, коли необхідні дані не можуть бути надані протягом календарного місяця. Повідомлення про відстрочення доводиться до відома фізичної або юридичної особи, яка зробила запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.

У повідомленні про відстрочення зазначаються:

прізвище, ім'я та по батькові посадової особи, яка відмовляє у доступі в місячний строк;

дата відправлення повідомлення;

причина відстрочення;

строк, протягом якого буде задоволено запит.

Відмова у доступі до персональних даних допускається в разі, якщо доступ до них заборонено згідно із законом.

У повідомленні про відмову зазначаються:

прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;

дата відправлення повідомлення;

причина відмови.

Стаття 18. Оскарження рішення про відстрочення або відмову в доступі до персональних даних

Рішення про відстрочення або відмову в доступі до персональних даних може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних, інших органів державної влади та органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних або до суду.

Якщо запит зроблено суб'єктом персональних даних, обов'язок доведення в суді законності відстрочення чи відмови у його доступі до персональних даних покладається на володільця чи розпорядника цієї бази, до якого подано запит.

Стаття 19. Оплата доступу до персональних даних

Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.

Доступ інших суб'єктів відносин, пов'язаних з персональними даними, до персональних даних певної фізичної особи чи групи фізичних осіб може бути платним. Оплаті підлягає робота, пов'язана з обробкою персональних даних, а також робота з консультування та організації доступу до відповідних даних.

Розмір плати за послуги з надання доступу до персональних даних органами державної влади визначається Кабінетом Міністрів України.

Органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до покладених на них повноважень.

Стаття 20. Зміни і доповнення до персональних даних

Володільці чи розпорядники баз зобов'язані внести зміни чи доповнення до персональних даних на підставі вмотивованої письмової вимоги суб'єкта персональних даних.

Дозволяється внесення зміни до персональних даних за зверненням інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних чи відповідна зміна здійснюється за рішенням суду, що набрало законної сили.

Зміна персональних даних, які не відповідають дійсності, проводиться протягом чотирнадцяти робочих днів.

Стаття 21. Повідомлення про дії з персональними даними

Про передачу персональних даних третій особі володілець бази персональних даних протягом календарного місяця повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом.

Зазначені повідомлення не здійснюються у випадках передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом.

Про зміну, доповнення, знищення персональних даних або обмеження доступу до них володілець бази персональних даних протягом календарного місяця повідомляє суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані було передано.

Зазначені повідомлення не здійснюються у випадках виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом, а також проведення обробки персональних даних в історичних, статистичних чи наукових цілях.

Стаття 22. Контроль за додержанням законодавства у сфері захисту персональних даних

Контроль за додержанням законодавства у сфері захисту персональних даних здійснюють такі органи:

уповноважений державний орган з питань захисту персональних даних;

інші органи державної влади та органи місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних.

Парламентський контроль за додержанням прав людини на захист персональних даних здійснює Уповноважений Верховної Ради України з прав людини відповідно до закону.

Стаття 23. Уповноважений державний орган з питань захисту персональних даних

Уповноважений державний орган з питань захисту персональних даних є центральним органом виконавчої влади із спеціальним статусом, на який покладаються обов'язки захисту персональних даних, який утворюється відповідно до законодавства України.

Основними повноваженнями уповноваженого державного органу з питань захисту персональних даних є:

підготовка пропозицій щодо формування державної політики у сфері захисту персональних даних;

реєстрація баз персональних даних, інформаційних (автоматизованих) систем обробки персональних даних за заявочним принципом в порядку, визначеному Кабінетом Міністрів України;

контроль за виконанням законодавства з питань захисту персональних даних із забезпеченням відповідно до законодавства доступу до приміщень, в яких здійснюється обробка персональних даних;

надання приписів щодо припинення роботи баз персональних даних, інформаційних (автоматизованих) систем обробки персональних даних у разі виявлення порушень законодавства з питань захисту персональних даних;

розгляд пропозицій, запитів, звернень, вимог та скарг фізичних і юридичних осіб;

організація та забезпечення взаємодії з іноземними суб'єктами відносин, пов'язаних із персональними даними;

участь у роботі міжнародних організацій з питань захисту персональних даних.

Стаття 24. Забезпечення захисту персональних даних в базах персональних даних

Держава гарантує захист персональних даних.

Суб'єкти відносин, пов'язаних із персональними даними, зобов'язані забезпечити захист цих даних від несанкціонованого збирання, накопичення, зберігання, змінення, використання, поширення та знищення, а також від несанкціонованого доступу до них.

Забезпечення захисту персональних даних в базах персональних даних покладається на володільця цієї бази.

Володілець бази персональних даних в електронній формі забезпечує її захист відповідно до закону.

В органах державної влади та органах місцевого самоврядування, організаціях, установах і підприємствах усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці згідно з вимогами цього Закону.

Фізичні особи - підприємці, у тому числі - лікарі, що мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист баз персональних даних, якими вони володіють, згідно з вимогами закону.

Стаття 25. Обмеження дії окремих статей цього Закону

Обмеження прав, передбачених статтями 8, 10 і 17 цього Закону, здійснюється лише в інтересах:

національної безпеки, економічного добробуту та прав людини;

захисту прав і свобод фізичних осіб, персональні дані яких обробляються, чи прав інших суб'єктів відносин, пов'язаних із персональними даними, а також з метою боротьби з злочинністю;

забезпечення органів державної влади, органів місцевого самоврядування, юридичних та фізичних осіб зведеною знеособленою інформацією щодо персональних даних відповідно до законодавства.

Суб'єкти відносин, пов'язаних із персональними даними, здійснюють свої повноваження в межах, установлених Конституцією та законами України.

Стаття 26. Фінансування робіт із захисту персональних даних

Фінансування робіт та заходів щодо забезпечення захисту персональних даних здійснюється за рахунок коштів Державного бюджету України та місцевих бюджетів, коштів суб'єктів відносин, пов'язаних із персональними даними.

Стаття 27. Застосування положень цього Закону

Положення щодо захисту персональних даних, викладені в цьому Законі, можуть доповнюватися чи уточнюватися спеціальними законами за умов, якщо вони встановлюють вимоги щодо захисту персональних даних, що не суперечать вимогам цього Закону.

Професійні об'єднання можуть розробляти корпоративні кодекси поведінки з метою забезпечення ефективності захисту прав суб'єктів персональних даних, сприяння застосуванню законодавства з цих питань, враховуючи специфіку обробки даних про фізичну особу в різних сферах.

Стаття 28. Відповідальність за порушення законодавства про захист персональних даних

Порушення законодавства України про захист персональних даних тягне за собою відповідальність, встановлену законом.

Стаття 30. Міжнародне співробітництво

Співробітництво з іноземними суб'єктами відносин, пов'язаних із персональними даними, регулюється Конституцією України, цим Законом, іншими нормативно-правовими актами та міжнародними договорами України.

Якщо міжнародним договором України, згода на обов'язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені законодавством України, то застосовуються правила міжнародного договору України.

Передача персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, здійснюється лише за умов забезпечення належного захисту персональних даних та за наявності відповідного дозволу у випадках, встановлених законом або міжнародним договором України. Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.

Стаття 31. Прикінцеві положення

1. Цей Закон набирає чинності з 1 січня 2009 року.

2. Нормативно-правові акти до приведення їх у відповідність із цим Законом діють у частині, що не суперечить цьому Закону.

3. Кабінету Міністрів України протягом шести місяців з дня набрання чинності цим Законом:

забезпечити прийняття нормативно-правових актів, передбачених цим Законом;

забезпечити приведення своїх нормативно-правових актів у відповідність із цим Законом;

визначити центральний орган виконавчої влади, на який буде покладено обов'язки захисту персональних даних.

____________

Опрос