БЕСПЛАТНАЯ ЮРКОНСУЛЬТАЦИЯ

8800 3339483 доб. 826

Главная Общие юридические вопросы

Закон о защите персональных данных

Сохраненные ресурсы для всех приятны. Хороший шаблон укрепит в решении трудностей при сочинении ответственного обращения. Это приблизит возможность сэкономить на услугах адвоката. Перед тем как подгонять образец, естественно следует качественно проверить напечатенные в нем статьи законодательства. За истечением времени они вероятно могут утратить свежесть.

Закон о защите персональных данных

Любая информация, которая относится к определенному или неопределенному физическому лицу, на основании этой информации, в том числе его дата и место рождения, фамилия, имя и отчество, адрес, имущественное, семейное и социальное положение, доходы, профессия или образование, а также иная информация такого рода является персональными данными субъекта, то есть физического лица. Данное определение дано в Федеральном законе № 152-ФЗ от 27 июля 2006года «О персональных данных».

Федеральный закон о защите персональных данных, в отличие от городских законов (например, закон о тишине в Москве) достаточно объемный, он содержит 6 глав, которые подразделяются на 25 статей. Первая глава законодательного акта, как и многие другие правовые документы федерального значения (закон о бухгалтерском учете), регламентирует общее положение. Статья 1 определяет сферу действия настоящего закона, устанавливая, что документ регулирует отношения, так или иначе связанные с обработкой персональных данных, осуществляемые органами государственной власти и их субъектов. При этом пункт 2 указанной статьи определяет, на какие отношения действия закона о защите персональных данных не распространяются. Основные понятия, используемые в данной сфере, а также цели закона регламентируют статьи 2-3 закона, законодательство Российской Федерации в области персональных данных определено в статье 4.

Принципы и условия обработки персональных данных осуществляются в соответствии со статьями главы 2 закона о защите персональных данных. Так, по закону обработка персональных данных должна проходить на основе следующих принципов: законности целей, добросовестности, соответствие целей и способов обработки, а также характера обработки, достоверности персональных данных, недопустимости объединения созданных для несовместимых между собой баз информационных данных. Статья 6 устанавливает условия обработки персональных данных, их конфиденциальность регламентируется статьей 7 закона о защите персональных данных. Общедоступные источники персональных данных зафиксированы в статье 8, форма согласия субъекта на обработку персональных данных определена в статье 9, статьи 10-11 регламентируют понятия биометрических и специальных категорий персональных данных, а также трансграничная передача таковых и особенности обработки данных муниципальных и государственных информационных систем.

Глава 3 регламентирует права субъектов персональных данных, статьями определены права на доступ к своим персональным данным, права субъектов при обработке данных, в целях продвижения товаров, услуг на рынке и в целях политической агитации, а также права субъектов на основании автоматизированной обработки данных. Обязанности оператора, в том числе при сборе персональных данных и их обработке, при обращении либо при получении запроса для обработки данных. Статья 22 устанавливает форму уведомления об обработке персональных данных.

Пятая глава регламентирует надзор и контроль за обработкой персональных данных – статья 23 закона. В этой же главе ст. 24 установлена ответственность за нарушение требований закона о защите персональных данных. Глава 6 закона является заключительным положением, единственной статьей № 25 она регулирует сроки вступления настоящего закона в силу, устанавливает некоторые аспекты в области обработки и защиты персональных данных.

Скачать закон о защите персональных данных

О защите персональных данных

Закон Украины О защите персональных данных Содержание

Статья 1. Сфера действия Закона

Статья 2. Определение терминов

Статья 3. Законодательство о защите персональных данных

Статья 4. Субъекты отношений, связанных с персональными данными

Статья 5. Объекты защиты

Статья 6. Общие требования к обработке персональных данных

Статья 7. Особые требования к обработке персональных данных

Статья 8. Права субъекта персональных данных

Статья 9. Регистрация баз персональных данных

Статья 10. Использование персональных данных

Статья 11. Основания возникновения права на использование персональных данных

Статья 12. Сбор персональных данных

Статья 13. Накопление и хранение персональных данных

Статья 14. Распространение персональных данных

Статья 15. Уничтожение персональных данных

Статья 16. Порядок доступа к персональным данным

Статья 17. Отсрочка или отказ в доступе к персональным данным

Статья 18. Обжалование решения об отсрочке или отказе в доступе к персональным данным

Статья 19. Оплата доступа к персональным данным

Статья 20. Изменения и дополнения к персональным данным

Статья 21. Сообщение о действиях с персональными данными

Статья 22. Контроль за соблюдением законодательства о защите персональных данных

Статья 23. Уполномоченный государственный орган по вопросам защиты персональных данных

Статья 24. Обеспечение защиты персональных данных в базах персональных данных

НОВОВВЕДЕНИЯ 2014 ГОДА ЗАКОНА УКРАИНЫ «О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ».

Редакцией Закона Украины «О защите персональных данных» № 2297- VI от 01.01.2014 года (далее – Закон) было введено новое понятие «данные, которые представляют особый риск для прав и свобод субъекта персональных данных».

Статья 7 Закона дает нам четкий перечень персональных данных, которые относятся к категории «с особым риском». В нее попадают: данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, судимости, а также данных, касающихся здоровья, половой жизни, биометрических или генетических данных. Эта же статья полностью запрещает обработку указанной информации о субъекте, но ч.1 ст.9 Закона, все-таки устанавливает определенные исключения из этого правила: обработка допустима только с условием уведомления Уполномоченного Верховной Рады Украины по правам человека (далее -Уполномоченный) о ее проведении обработки и цели этой обработки, что является основным нововведением 2014 года Закона Украины «О защите персональных данных».

Большинство субъектов хозяйствования, как правило, абсолютно не касаются и не интересуются приведенной выше информацией о сотрудниках и контрагентах, но все же, из каждого правила есть исключения. Важным вопросом остается правовой статус информации, полученной субъектом хозяйствования в результате прохождения сотрудниками медицинских осмотров, которые предусматривает ст. 169 КзоТа. В результате анализа действующих норм законодательства и разъяснений уполномоченных органов, можно прийти к выводу, что Вы обязаны уведомить Уполномоченного о том, что обрабатываете информацию о состоянии здоровья сотрудника только в том случае, если Вы владеете детальной информацией о состоянии его здоровья (диагноз, мед.показания и прочее). Если же у Вас хранятся только медицинские заключения с формулировкой «годен» или «не годен» для выполнения определенных видов работ — субъект хозяйствования не обязан уведомлять Уполномоченного. Это не будет считаться обработкой данных «с особым риском».

С начала 2014 года процедура регистрации баз персональных данных как и Государственная служба по защите персональных данных, занимающиеся этим вопросом, были упразднены. А процедура регистрации сменилась процедурой уведомления Уполномоченного. Согласно положениям новой редакции Закона Вы должны уведомлять Уполномоченного лишь в случае обработки данных с «особым риском».

Помимо этих нововведений Закон «приготовил» дополнительный вид проверки со стороны Уполномоченного. Детальный порядок их проведения определяется не самим Законом, а Порядком осуществления Уполномоченным Верховной Рады Украины по правам человека контроля за соблюдением законодательства о защите персональных данных от 08 января 2014г. (далее- Порядок). Указанный Порядок определяет плановые, внеплановые, выездные и безвыездные проверки, которые могут проводится не только лично Уполномоченным но и Руководитель Секретариата Уполномоченного и его заместитель; представители Уполномоченного; руководители структурных подразделений Секретариата Уполномоченного и их заместители; работниками Секретариата Уполномоченного.

Уполномоченный и уполномоченные им лица во время проверок имеют право привлекать: представителей органов гос.власти, местного самоуправления, правоохранительные органы. Перед началом проверки они обязаны дать письменную расписку о неразглашении.

Периодичность плановых проверок определяется утвержденным планом на текущий год. Плановая проверка может проводится не чаще одного раза в год. План проверок на год публикуется на официальном сайте Уполномоченного. Допустим, если к Вам не приходила проверка в этом году — не факт, что она придет в следующем. Это связано не столько с проблемами в законодательстве, сколько с загруженностью работой Уполномоченного и его Секретариата. В связи со сменой редакции закона и передачей полномочий от ГСЗПД к Уполномоченному возникает некая непонятная ситуация: согласно п. 3.1. Порядка план проверок утверждается до 25 декабря года, который предшествует году в котором должны будут проводится проверки. Так как новая редакция Закона начала действовать с 01.01.14г. то план проверок на 2014г. Уполномоченным утвержден не был.

Исходя из этого можно сделать вывод о том, что 2014 год пройдет под знаком внеплановых проверок. п. 4.1. Порядка определяет ряд оснований для проведения такой проверки:

по собственной инициативе Уполномоченного;

при непосредственном обнаружении нарушений требований законодательства о защите персональных данных Уполномоченным, в том числе и в результате проведения исследования системных проблем по обеспечению права на приватность, уважение частной и семейной жизни;

при наличии информации о нарушении требований законодательства о защите персональных данных в сообщениях, опубликованных в средствах массовой информации, обнародованных в сети Интернет;

обоснованные обращения физических и юридических лиц с сообщением о нарушении владельцами и/или распорядителями персональных данных субъекта требований законодательства о защите персональных данных;

выявления недостоверности в сведениях, предоставленных субъектом проверки по письменному запросу Уполномоченного по осуществлению невыездной проверки, и/или если такие сведения не позволяют оценить выполнение субъектом проверки требований законодательства о защите персональных данных;

контроль за выполнением субъектом проверки предписаний по устранению нарушений требований законодательства о защите персональных данных, выданных по результатам проведения проверок.

То есть, в основном внеплановые проверки будут проводится на основании поступивших жалоб либо выявленных неточностей и расхождений в документации.

Что касается выездных и безвыездных проверок, то это будет определятся лично Уполномоченным Во время проверок или предварительно перед их началом лица, уполномоченные их проводить, имеют право затребовать перечень документов для проведения проверки, предоставить им право доступа к конфиденциальной информации, получать распечатки с электронных носителей, требовать письменные пояснения у должностных лиц предприятий.

Так же на данный момент остается открытым вопрос, что делать и как быть тем субъектам хозяйствования, которые подали заявку на регистрацию базы персональных данных в 2012-2013гг. по упраздненным на сегодняшний день нормам Закона? Подпадают ли они под проверки Уполномоченного? Исходя из разъяснений Уполномоченного можно сказать о том, что все субъекты, которые зарегистрированы или подали заявку на регистрацию БПД до вступления в силу новой редакции ЗУ «О защите персональных данных» подпадают под проверку. Но, так как на данный момент Закон указывает только на конкретный ряд баз банных, которые подпадают под проверку, можно сделать вывод о том, что в первую очередь, проверять будут именно субъектов, обрабатывающих данные, которые представляют собой «особый риск» нарушений прав лица, а так же проверки на основании поступивших жалоб.

юрист ООО «ЮКК ДЕ-ЮРЕ»

Ирина Кравченко

<Із змінами, внесеними згідно із Законами

Стаття 1. Сфера дії Закону

Цей Закон регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.

Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

Стаття 2. Визначення термінів

У цьому Законі нижченаведені терміни вживаються в такому значенні:

база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

володілець персональних даних - фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди;

знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;

картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;

обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;

одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;

персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;

суб’єкт персональних даних - фізична особа, персональні дані якої обробляються;

третя особа - будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

Стаття 3. Законодавство про захист персональних даних

Законодавство про захист персональних даних складають Конституція України. цей Закон, інші закони та підзаконні нормативно-правові акти, міжнародні договори України, згода на обов'язковість яких надана Верховною Радою України.

Стаття 4. Суб'єкти відносин, пов'язаних із персональними даними

1. Суб'єктами відносин, пов'язаних із персональними даними, є:

суб'єкт персональних даних;

володілець персональних даних;

розпорядник персональних даних;

третя особа;

Уповноважений Верховної Ради України з прав людини (далі - Уповноважений).

2. Володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону.

3. Розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

4. Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.

5. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.

Стаття 5. Об'єкти захисту

1. Об’єктами захисту є персональні дані.

2. Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.

3. Персональні дані, зазначені у декларації про майно, доходи, витрати і зобов’язання фінансового характеру, оформленій за формою і в порядку, встановленими Законом України "Про засади запобігання і протидії корупції". не належать до інформації з обмеженим доступом, крім відомостей, визначених Законом України "Про засади запобігання і протидії корупції".

Не належить до інформації з обмеженим доступом інформація про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, крім випадків, передбачених статтею 6 Закону України "Про доступ до публічної інформації".

Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з обмеженим доступом.

Стаття 6. Загальні вимоги до обробки персональних даних

1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.

Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.

У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до зміненої мети, якщо інше не передбачено законом.

2. Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки.

3. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.

4. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.

5. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

6. Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

7. Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.

8. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.

Подальша обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися за умови забезпечення їх належного захисту.

10. Типовий порядок обробки персональних даних затверджується Уповноваженим.

Стаття 7. Особливі вимоги до обробки персональних даних

1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних.

2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних:

1) здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;

2) необхідна для здійснення прав та виконання обов'язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту;

3) необхідна для захисту життєво важливих інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;

4) здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;

5) необхідна для обґрунтування, задоволення або захисту правової вимоги;

6) необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лікарську таємницю;

7) стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом та здійснюється державним органом в межах його повноважень, визначених законом;

8) стосується даних, які були явно оприлюднені суб'єктом персональних даних.

Стаття 8. Права суб'єкта персональних даних

1. Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.

2. Суб'єкт персональних даних має право:

1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

3) на доступ до своїх персональних даних;

4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;

5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

8) звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

11) відкликати згоду на обробку персональних даних;

12) знати механізм автоматичної обробки персональних даних;

13) на захист від автоматизованого рішення, яке має для нього правові наслідки.

Стаття 9. Повідомлення про обробку персональних даних

1. Володілець персональних даних повідомляє Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, упродовж тридцяти робочих днів з дня початку такої обробки.

Види обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо повідомлення, визначаються Уповноваженим.

2. Повідомлення про обробку персональних даних подається за формою та в порядку, визначеними Уповноваженим.

3. Володілець персональних даних зобов’язаний повідомляти Уповноваженого про кожну зміну відомостей, що підлягають повідомленню, упродовж десяти робочих днів з дня настання такої зміни.

4. Інформація, що повідомляється відповідно до цієї статті, підлягає оприлюдненню на офіційному веб-сайті Уповноваженого в порядку, визначеному Уповноваженим.

Стаття 10. Використання персональних даних

1. Використання персональних даних передбачає будь-які дії володільця щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до закону.

2. Використання персональних даних володільцем здійснюється у разі створення ним умов для захисту цих даних. Володільцю забороняється розголошувати відомості стосовно суб'єктів персональних даних, доступ до персональних даних яких надається іншим суб'єктам відносин, пов'язаних з такими даними.

3. Використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків, крім випадків, передбачених законом. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.

4. Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості.

Стаття 11. Підстави для обробки персональних даних

1. Підставами для обробки персональних даних є:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;

4) захист життєво важливих інтересів суб’єкта персональних даних;

5) необхідність виконання обов’язку володільця персональних даних, який передбачений законом;

6) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.

Стаття 12. Збирання персональних даних

1. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.

2. Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані:

в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;

в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.

Стаття 13. Накопичення та зберігання персональних даних

1. Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.

2. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.

Стаття 14. Поширення персональних даних

1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних.

2. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.

3. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.

4. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону.

Стаття 15. Видалення або знищення персональних даних

1. Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог закону.

2. Персональні дані підлягають видаленню або знищенню у разі:

1) закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;

2) припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом;

3) видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;

4) набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

3. Персональні дані, зібрані з порушенням вимог цього Закону, підлягають видаленню або знищенню у встановленому законодавством порядку.

4. Персональні дані, зібрані під час виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом, видаляються або знищуються відповідно до вимог закону.

Стаття 16. Порядок доступу до персональних даних

1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону. Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України "Про доступ до публічної інформації" .

2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити.

3. Суб'єкт відносин, пов'язаних з персональними даними, подає запит щодо доступу (далі - запит) до персональних даних володільцю персональних даних.

4. У запиті зазначаються:

1) прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);

2) найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);

3) прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;

4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;

5) перелік персональних даних, що запитуються;

6) мета та/або правові підстави для запиту.

5. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.

Протягом цього строку володілець персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.

Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.

6. Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, за умови надання інформації, визначеної у пункті 1 частини четвертої цієї статті, крім випадків, установлених законом.

Стаття 17. Відстрочення або відмова у доступі до персональних даних

1. Відстрочення доступу суб'єкта персональних даних до своїх персональних даних не допускається.

2. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п'яти календарних днів.

Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.

У повідомленні про відстрочення зазначаються:

1) прізвище, ім'я та по батькові посадової особи;

2) дата відправлення повідомлення;

3) причина відстрочення;

4) строк, протягом якого буде задоволено запит.

3. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом.

У повідомленні про відмову зазначаються:

1) прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;

2) дата відправлення повідомлення;

3) причина відмови.

Стаття 18. Оскарження рішення про відстрочення або відмову в доступі до персональних даних

1. Рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржено до Уповноваженого Верховної Ради України з прав людини або суду.

2. Якщо запит зроблено суб'єктом персональних даних щодо даних про себе, обов'язок доведення в суді законності відмови у доступі покладається на володільця персональних даних, до якого подано запит.

Стаття 19. Оплата доступу до персональних даних

1. Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.

2. Доступ інших суб'єктів відносин, пов'язаних з персональними даними, до персональних даних певної фізичної особи чи групи фізичних осіб може бути платним у разі додержання умов, визначених цим Законом. Оплаті підлягає робота, пов'язана з обробкою персональних даних, а також робота з консультування та організації доступу до відповідних даних.

3. Розмір плати за послуги з надання доступу до персональних даних органами державної влади визначається Кабінетом Міністрів України.

4. Органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до їх повноважень.

Стаття 20. Зміни і доповнення до персональних даних

1. Володільці чи розпорядники персональних даних зобов'язані вносити зміни до персональних даних на підставі вмотивованої письмової вимоги суб'єкта персональних даних.

2. Володільці чи розпорядники персональних даних зобов’язані вносити зміни до персональних даних також за зверненням інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода суб’єкта персональних даних чи відповідна зміна здійснюється згідно з приписом Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого чи за рішенням суду, що набрало законної сили.

3. Зміна персональних даних, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності.

Стаття 21. Повідомлення про дії з персональними даними

1. Про передачу персональних даних третій особі володілець персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом.

2. Повідомлення, зазначені у частині першій цієї статті, не здійснюються у разі:

1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;

3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;

4) повідомлення суб’єкта персональних даних відповідно до вимог частини другої статті 12 цього Закону.

3. Про зміну, видалення чи знищення персональних даних або обмеження доступу до них володілець персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані було передано.

Стаття 22. Контроль за додержанням законодавства про захист персональних даних

1. Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:

1) Уповноважений;

2) суди.

Стаття 23. Повноваження Уповноваженого Верховної Ради України з прав людини у сфері захисту персональних даних

1. Уповноважений має такі повноваження у сфері захисту персональних даних:

1) отримувати пропозиції, скарги та інші звернення фізичних і юридичних осіб з питань захисту персональних даних та приймати рішення за результатами їх розгляду;

2) проводити на підставі звернень або за власною ініціативою виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних в порядку, визначеному Уповноваженим, із забезпеченням відповідно до закону доступу до приміщень, де здійснюється обробка персональних даних;

3) отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних чи картотек, інформації з обмеженим доступом;

4) затверджувати нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених цим Законом;

5) за підсумками перевірки, розгляду звернення видавати обов’язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних, у тому числі щодо зміни, видалення або знищення персональних даних, забезпечення доступу до них, надання чи заборони їх надання третій особі, зупинення або припинення обробки персональних даних;

6) надавати рекомендації щодо практичного застосування законодавства про захист персональних даних, роз’яснювати права і обов’язки відповідних осіб за зверненням суб’єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб;

7) взаємодіяти із структурними підрозділами або відповідальними особами, які відповідно до цього Закону організовують роботу, пов’язану із захистом персональних даних при їх обробці; оприлюднювати інформацію про такі структурні підрозділи та відповідальних осіб;

8) звертатися з пропозиціями до Верховної Ради України, Президента України, Кабінету Міністрів України, інших державних органів, органів місцевого самоврядування, їх посадових осіб щодо прийняття або внесення змін до нормативно-правових актів з питань захисту персональних даних;

9) надавати за зверненням професійних, самоврядних та інших громадських об’єднань чи юридичних осіб висновки щодо проектів кодексів поведінки у сфері захисту персональних даних та змін до них;

10) складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом;

11) інформувати про законодавство з питань захисту персональних даних, проблеми його практичного застосування, права і обов’язки суб’єктів відносин, пов’язаних із персональними даними;

12) здійснювати моніторинг нових практик, тенденцій та технологій захисту персональних даних;

13) організовувати та забезпечувати взаємодію з іноземними суб’єктами відносин, пов’язаних із персональними даними, у тому числі у зв’язку з виконанням Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї, інших міжнародних договорів України у сфері захисту персональних даних;

14) брати участь у роботі міжнародних організацій з питань захисту персональних даних.

2. Уповноважений Верховної Ради України з прав людини включає до своєї щорічної доповіді про стан додержання та захисту прав і свобод людини і громадянина в Україні звіт про стан додержання законодавства у сфері захисту персональних даних.

Стаття 24. Забезпечення захисту персональних даних

1. Володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

2. В органах державної влади, органах місцевого самоврядування, а також у володільцях чи розпорядниках персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до цього Закону, створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.

Источники:
mosadvokat.org, kodeksy.com.ua, www.de-jure.ua, zakon.rada.gov.ua

Следующие статьи:





Как составить заявление о разводе

Узнай, как правильно пишутся заявления о расторжении брака. Несколько правил, соблюдая которые заявление будет грамотным. Читать далее