Please enable JavaScript.
Coggle requires JavaScript to display documents.
Зако України "Про захист персональних даних" …
Зако України "Про захист персональних даних" Субота Роман КБ-21
Стаття 1. Сфера дії Закону
Цей Закон захищає основні права людини у сфері обробки персональних даних.
Цей Закон регулює обробку персональних даних, яка може бути автоматизованою або неавтоматизованою.
Стаття 2. Визначення термінів
У цьому Законі нижченаведені терміни вживаються в такому значенні
База персональних даних - це організована інформація, електронна або у формі картотеки.
Володілець даних - той, хто визначає ціль, обсяг та процес обробки персональних даних.
Згода на обробку даних - добровільне погодження особи з метою обробки, виражене письмово або в іншій формі. В електронній комерції - під час реєстрації за допомогою відмітки, яка не активує обробку до її надання.
Знеособлення даних - видалення інформації, що дозволяє визначити особу.
Картотека - структуровані особисті дані, доступні за визначеними критеріями, незалежно від форми організації.
Обробка даних - це будь-яка дія або їх сукупність, такі як збір, зберігання, використання та інші, включаючи автоматизовані системи.
одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа
персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Розпорядник даних - особа, яка має право обробляти персональні дані від імені володільця або за законом.
Суб’єкт персональних даних - фізична особа, персональні дані якої обробляються;
Третя особа - будь-яка особа, крім суб'єкта даних, володільця, розпорядника чи Уповноваженого Верховної Ради України з прав людини, якій передаються персональні дані.
Стаття 3. Законодавство про захист персональних даних
Захист персональних даних регулюється Конституцією України, цим Законом, іншими законами, підзаконними актами та міжнародними договорами, згода на обов'язковість яких надана Верховною Радою України.
Стаття 4. Суб'єкти відносин, пов'язаних із персональними даними
Суб'єктами відносин, пов'язаних із персональними даними, є
третя особа
розпорядник персональних даних
володілець персональних даних;
суб'єкт персональних даних
Володільцями або розпорядниками персональних даних можуть бути будь-які організації, установи чи фізичні особи - підприємці, які обробляють дані відповідно до закону.
Розпорядником персональних даних, що належать державним органам або органам місцевого самоврядування, може бути тільки підприємство державної або комунальної форми власності.
Володілець даних може передати їх обробку розпоряднику даних за умови укладення письмового договору.
Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.
Стаття 5. Об'єкти захисту
Об’єктами захисту є персональні дані
Персональні дані можуть бути визнані конфіденційною інформацією за законом або відповідною особою. Проте персональні дані, пов'язані з виконанням посадових або службових обов'язків, не вважаються конфіденційною інформацією.
Персональні дані, вказані у декларації посадової особи, згідно з Законом про запобігання корупції, не є інформацією з обмеженим доступом, окрім випадків, передбачених самим законом про запобігання корупції.
Стаття 6. Загальні вимоги до обробки персональних даних
Типовий порядок обробки персональних даних затверджується Уповноваженим.
Персональні дані обробляються для ідентифікації особи лише на час, необхідний для законних цілей, для яких вони були зібрані або оброблені.
Обробка даних можлива для захисту життєво важливих інтересів суб'єкта, якщо отримання згоди неможливе, але тимчасово, до можливості отримання згоди.
Обробка персональних даних має бути здійснена лише для конкретних та законних цілей, визначених за згодою суб'єкта даних або відповідно до законів України у встановленому законодавством порядку.
Обробка конфіденційних даних - лише за згодою особи, крім випадків, передбачених законом, і в інтересах національної безпеки, економічного добробуту та прав людини.
Склад та зміст персональних даних мають бути відповідними, адекватними та
ненадмірними стосовно визначеної мети їх обробки.
Персональні дані мають бути точними, достовірними та оновлюватися в міру
потреби, визначеної метою їх обробки.
Мета обробки даних повинна бути визначена в законах, нормативно-правових актах або документах, що регулюють діяльність володільця даних, і відповідати законодавству про захист персональних даних.
Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи;
підписані нею документи; відомості, які особа надає про себе.
Стаття 7. Особливі вимоги до обробки персональних даних
Заборонено обробляти особисті дані про різні особисті характеристики.
Положення частини першої цієї статті не застосовується, якщо обробкаперсональних даних:
Здійснюється організаціями захисту даних, створеними законом, для своїх членів чи тих, хто з ними має постійний контакт, без передачі іншим особам без згоди.
Необхідна для захисту важливих інтересів у разі недієздатності або обмеженої дієздатності особи
Необхідно для трудових правовідносин, захищається законом.
необхідна для обґрунтування, задоволення або захисту правової вимоги;
здійснюється за умови надання суб'єктом персональних даних однозначної згоди на
обробку таких даних;
необхідна в цілях охорони здоров’я для
Дані про фінансування медичних послуг обмінюються між відповідними державними фондами та центральним органом виконавчої влади з дотриманням конфіденційності.
Контроль якості медичних послуг здійснюється працівниками центрального органу виконавчої влади, що відповідає за політику контролю якості медичних послуг.
Встановлення, моніторинг та обробка медичних даних для надання послуг та лікування закріплені за медичними працівниками та спеціалістами реабілітації. Дані повинні захищатися відповідно до законодавства про медичну таємницю та персональні дані.
Потрібна для ведення військового обліку за Законом про реєстр призовників, військовозобов'язаних та резервістів.
Застосовується у вироках суду та оперативних заходах за законом.
стосується даних, які були явно оприлюднені суб'єктом персональних даних.
Стаття 8. Права суб'єкта персональних даних
Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними інепорушними.
Суб'єкт персональних даних має право
вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
застосовувати засоби правового захисту в разі порушення законодавства про захист
персональних даних;
звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
Має право на захист своїх персональних даних від незаконної обробки та втрати через приховування чи надання недостовірних відомостей, що можуть порушити гідність та репутацію.
Можна вимагати зміни або знищення своїх персональних даних, якщо вони обробляються незаконно або недостовірно.
пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
Отримувати відповідь на запит щодо обробки персональних даних протягом 30 календарних днів, крім випадків, передбачених законом, і отримувати зміст цих даних.
Отримувати інформацію про умови доступу до своїх персональних даних, включаючи інформацію про третіх осіб, яким передаються ці дані.
Право знати свої персональні дані, їх обробку, місцезнаходження володільця чи розпорядника даних та надавати доручення на отримання цієї інформації за встановленими законом умовами.
на доступ до своїх персональних даних;
знати механізм автоматичної обробки персональних даних;
на захист від автоматизованого рішення, яке має для нього правові наслідки.
відкликати згоду на обробку персональних даних;
Стаття 9. Повідомлення про обробку персональних даних
Інформація, яка повідомляється відповідно до цієї статті, має бути оприлюднена на офіційному веб-сайті Уповноваженого згідно з визначеним ним порядком.
Володілець персональних даних має зобов'язання повідомляти Уповноваженого про кожну зміну відомостей, які потребують повідомлення, протягом 10 робочих днів з дня настання зміни.
Повідомлення про обробку персональних даних подається за формою та в порядку,
визначеними Уповноваженим
Володілець персональних даних повідомляє Уповноваженого про обробку, яка становить особливий ризик, протягом 30 робочих днів з початку такої обробки.
Стаття 10. Використання персональних даних
Використання персональних даних включає обробку, захист та передачу їх права на обробку іншим суб'єктам відносин за згодою або відповідно до закону
Володільцю персональних даних дозволяється використовувати їх лише за умови захисту. Він не може розголошувати відомості про суб'єктів даних, які надають доступ іншим суб'єктам відносин
Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості.
Резиденти Дія Сіті використовують персональні дані лише за обов'язками за гіг-контрактами і не розголошують їх, за винятком випадків, передбачених законом. Це зобов'язання діє після закінчення їхньої діяльності з персональними даними, за винятком випадків, передбачених законом.
Працівники повинні використовувати персональні дані лише у межах своїх обов'язків і не розголошувати їх, за винятком випадків, передбачених законом. Це правило діє навіть після закінчення їхньої роботи, крім випадків, передбачених законом.
Стаття 11. Підстави для обробки персональних даних
Підставами для обробки персональних даних є
Дозвіл на обробку персональних даних надається володільцю даних лише для виконання його повноважень за законом.
згода суб’єкта персональних даних на обробку його персональних даних
необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
Укладення та виконання угоди, учасником якої є суб'єкт персональних даних або яка укладена на його користь, або для заходів перед укладенням такої угоди за його запитом.
захист життєво важливих інтересів суб’єкта персональних даних
Захист інтересів володільця даних та третіх осіб важливий, крім випадків, коли це суперечить основним правам суб'єкта даних.
Стаття 12. Збирання персональних даних
Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з
підбору чи впорядкування відомостей про фізичну особу.
Суб'єкт даних повідомляється про володільця, склад даних, свої права, мету збору та передачу своїх персональних даних.
в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних
в інших випадках протягом тридцяти робочих днів з дня збору персональних даних
Стаття 13. Накопичення та зберігання персональних даних
Накопичення персональних даних — це об'єднання та систематизація інформації про особу чи групу осіб, або їх внесення до бази даних.
Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та
відповідного режиму доступу до них
Стаття 14. Поширення персональних даних
Поширення персональних даних - це передача інформації про фізичну особу за її згодою.
Поширення персональних даних без згоди суб'єкта дозволяється за законом і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Виконання вимог встановленого режиму захисту персональних даних забезпечує
сторона, що поширює ці дані.
Сторона, якій передаються персональні дані, повинна попередньо вжити заходів
щодо забезпечення вимог цього Закону
Стаття 15. Видалення або знищення персональних даних
Персональні дані видаляються або знищуються в порядку, встановленому відповідно
до вимог закону
Персональні дані підлягають видаленню або знищенню у разі
Закінчення строку зберігання даних - визначається згодою суб'єкта або законом.
Припинення відносин між суб'єктом та володільцем/розпорядником даних - якщо не визначено інше законом.
Видання припису Уповноваженого чи його посадових осіб з секретаріату.
набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
Персональні дані, зібрані з порушенням цього Закону, видаляються або знищуються згідно з законом.
Дані, зібрані під час оперативно-розшукової, контррозвідувальної діяльності чи боротьби з тероризмом, видаляються чи знищуються відповідно до закону.
Стаття 16. Порядок доступу до персональних даних
Доступ до персональних даних третіх осіб визначається згодою суб'єкта або законом. Доступ до даних розпорядника публічної інформації регулюється законом "Про доступ до публічної інформації".
Суб'єкт подає запит на доступ до своїх персональних даних володільцю даних.
Строк вивчення запиту на предмет його задоволення не може перевищувати десяти
робочих днів з дня його надходження
Доступ до даних третій особі відмовляється, якщо вона не згодна виконувати вимоги закону або не може їх забезпечити.
Суб'єкт персональних даних має право на отримання інформації про себе у будь-якого суб'єкта відносин, пов'язаних з даними, за визначених у законі умовах.
У запиті зазначаються
перелік персональних даних, що запитуються
Інформація про базу персональних даних або володільця/розпорядника даних.
прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит
Прізвище, ім'я, по батькові, місце проживання (або перебування) та реквізити ідентифікаційного документа подаються як запит на доступ до персональних даних.
мета та/або правові підстави для запиту
Найменування та місцезнаходження юридичної особи, посада та ім'я особи, яка засвідчує запит, та підтвердження відповідності вмісту запиту повноваженням юридичної особи.
Стаття 17. Відстрочення або відмова у доступі до персональних даних
Відстрочення доступу суб'єкта персональних даних до своїх персональних даних не
допускається.
Відстрочення доступу до персональних даних третіх осіб можливе, якщо їх неможливо надати протягом 30 днів. Загальний термін вирішення питань у запиті не може перевищувати 45 днів.
У повідомленні про відмову зазначаються
прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі
дата відправлення повідомлення
причина відмови
У повідомленні про відстрочення зазначаються
прізвище, ім'я та по батькові посадової особи
дата відправлення повідомлення
причина відстрочення
строк, протягом якого буде задоволено запит
Стаття 18. Оскарження рішення про відстрочення або відмову в доступі до
персональних даних
Рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржено до Уповноваженого Верховної Ради України з прав людини або суду.
Якщо суб'єкт даних звертається до суду через відмову у доступі до своїх даних, обов'язок довести законність відмови лежить на володільці персональних даних.
Стаття 19. Оплата доступу до персональних даних
Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно
Плата за доступ до персональних даних встановлюється Кабінетом Міністрів України.
Доступ до персональних даних може бути платним для інших суб'єктів за умови дотримання закону. Оплата передбачає роботу з обробки та організацію доступу до даних.
Органи влади мають право на безоплатний доступ до персональних даних згідно з їхніми повноваженнями
Стаття 20. Зміни і доповнення до персональних даних
Володільці/розпорядники даних повинні вносити зміни до даних за вимогою суб'єкта даних.
Невідповідність персональних даних коригується негайно після її виявлення.
Володільці/розпорядники даних мають вносити зміни до даних за зверненням інших суб'єктів, якщо є згода суб'єкта даних або відповідно до припису Уповноваженого чи судового рішення.
Стаття 21. Повідомлення про дії з персональними даними
Володілець персональних даних повідомляє суб'єкта про передачу його даних третій особі у 10 робочих днів, якщо це вимагають умови згоди або закон.
Володілець персональних даних повідомляє суб'єктів про зміну, видалення або знищення персональних даних або обмеження доступу до них протягом 10 робочих днів.
Повідомлення, зазначені у частині першій цієї статті, не здійснюються у разі:
Передача персональних даних за запитами в рамках оперативно-розшукової, контррозвідувальної діяльності та боротьби з тероризмом.
виконання органами державної влади та органами місцевого самоврядування своїх
повноважень, передбачених законом
здійснення обробки персональних даних в історичних, статистичних чи наукових цілях
повідомлення суб’єкта персональних даних відповідно до вимог частини другої
статті 12 цього Закону
Стаття 22. Контроль за додержанням законодавства про захист персональних
даних
Контроль за додержанням законодавства про захист персональних даних у межах
повноважень, передбачених законом, здійснюють такі органи
суди
Уповноважений
Стаття 23. Повноваження Уповноваженого Верховної Ради України з прав людини у сфері захисту персональних даних
Уповноважений має такі повноваження у сфері захисту персональних даних
Приймати та розглядати звернення з питань захисту персональних даних від фізичних та юридичних осіб, а також ухвалювати рішення на їх основі
Проводити перевірки володільців та розпорядників персональних даних на підставі звернень або власної ініціативи в порядку, визначеному Уповноваженим, забезпечуючи законний доступ до приміщень обробки даних
затверджувати нормативно-правові акти у сфері захисту персональних даних у
випадках, передбачених цим Законом
Вимагати дотримання вимог щодо захисту персональних даних після перевірки.
Звертатися до держорганів щодо правових актів про захист персональних даних.
Складати протоколи про порушення і передавати їх до суду за законом.
Рекомендувати та пояснювати права й обов'язки за законодавством щодо захисту персональних даних.
Мати доступ до необхідної інформації від володільців чи розпорядників персональних даних для контролю за їх захистом, включаючи персональні дані та бази даних з обмеженим доступом.
Співпраця з підрозділами з організації захисту персональних даних та їх публікація.
Надавати висновки щодо кодексів поведінки з персональних даних за запитом громадських та юридичних організацій.
Забезпечення взаємодії з іноземними суб'єктами з персональними даними, у т.ч. виконання міжнародних договорів.
здійснювати моніторинг нових практик, тенденцій та технологій захисту
персональних даних
Інформувати про закони та практичне застосування захисту персональних даних, права та обов'язки суб'єктів.
брати участь у роботі міжнародних організацій з питань захисту персональних даних.
Уповноважений з прав людини включає до щорічної доповіді про права та свободи в Україні звіт щодо дотримання законодавства щодо захисту персональних даних.
Стаття 24. Забезпечення захисту персональних даних
Захист персональних даних від втрати, знищення та незаконної обробки.
Створюють структурні підрозділи для захисту персональних даних.
Структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із
захистом персональних даних при їх обробці
інформує та консультує володільця або розпорядника персональних даних з питань
додержання законодавства про захист персональних даних
Взаємодіє з Уповноваженим з прав людини щодо захисту персональних даних.
Фізичні особи - підприємці, лікарі, адвокати, нотаріуси особисто захищають свої персональні дані.
Стаття 25. Обмеження дії цього Закону
Обмеження статей 6, 7 і 8 можливе в інтересах національної безпеки та інших законних цілей.
Дозволяється обробка персональних даних без застосування положень цього Закону,
якщо така обробка здійснюється
фізичною особою виключно для особистих чи побутових потреб
Дозвіл на використання для журналістських та творчих цілей з урахуванням прав особистого життя та свободи слова.
Дія цього Закону не поширюється на відносини щодо отримання архівної інформації репресивних органів
Стаття 26. Фінансування робіт із захисту персональних даних
Фінансування захисту персональних даних - бюджет України та місцевих бюджетів.
Стаття 27. Застосування положень цього Закону
Інші закони можуть доповнювати захист персональних даних, якщо вони відповідають вимогам цього Закону.
Громадські об'єднання та юридичні особи можуть розробляти кодекси поведінки для захисту персональних даних за умови дотримання законодавства та різноманітності сфери. При цьому вони можуть звернутися до Уповноваженого для отримання висновку.
Стаття 28. Відповідальність за порушення законодавства про захист
персональних даних
Порушення законодавства про захист персональних даних тягне за собою
відповідальність, встановлену законом
Стаття 29. Міжнародне співробітництво та передача персональних даних
Співпраця з іноземними суб'єктами, що стосується персональних даних, регулюється внутрішнім законодавством та міжнародними угодами.
При відмінності між міжнародним договором та внутрішнім законодавством, застосовуються положення міжнародного договору.
Передача персональних даних іноземним суб’єктам відносин можлива лише при забезпеченні належного захисту, як вимагає закон або міжнародний договір.
Персональні дані можуть передаватися іноземним суб’єктам відносин, пов’язаних з
персональними даними, також у разі
надання суб’єктом персональних даних однозначної згоди на таку передачу
Необхідність укладення або виконання угоди між володільцем персональних даних і суб'єктом персональних даних.
необхідності захисту життєво важливих інтересів суб’єктів персональних даних
необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення
правової вимоги
надання володільцем персональних даних відповідних гарантій щодо невтручання в
особисте і сімейне життя суб’єкта персональних даних.
Стаття 30. Прикінцеві положення
Цей Закон набирає чинності з 1 січня 2011 року
Передача персональних даних іноземним суб’єктам у воєнний період та після його закінчення може бути дозволена для медичної допомоги, якщо забезпечено захист даних за законодавством країни медичного працівника.
Кабінету Міністрів України протягом шести місяців з дня набрання чинності цим
Законом:
забезпечити прийняття нормативно-правових актів, передбачених цим Законом;
забезпечити приведення своїх нормативно-правових актів у відповідність із цим
Законом