ЗАКОН УКРАЇНИ
Про захист персональних даних
(Відомості Верховної Ради України (ВВР), 2010, № 34, ст. 481)( Із змінами, внесеними згідно із Законами № 4452-VI від 23.02.2012, ВВР, 2012, № 50, ст.564 № 5491-VI від 20.11.2012, ВВР, 2013, № 51, ст.715 № 245-VII від 16.05.2013, ВВР, 2014, № 12, ст.178 )( У тексті Закону слова "володілець бази персональних даних" і "розпорядник бази персональних даних" у всіх відмінках і числах замінено відповідно словами "володілець персональних даних" і "розпорядник персональних даних" у відповідному відмінку і числі згідно із Законом № 5491-VI від 20.11.2012 )
Стаття 1. Сфера дії Закону
Цей Закон регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.
Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
Цей Закон не поширюється на діяльність з обробки персональних даних, яка здійснюється фізичною особою виключно для особистих чи побутових потреб.
Положення цього Закону не поширюються на діяльність з обробки персональних даних, яка здійснюється творчим чи літературним працівником, у тому числі журналістом, у професійних цілях, за умови забезпечення балансу між правом на невтручання в особисте життя та правом на самовираження.
( Стаття 1 в редакції Закону № 5491-VI від 20.11.2012 )
Стаття 2. Визначення термінів
У цьому Законі нижченаведені терміни вживаються в такому значенні:
база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
володілець персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
( Абзац третій статті 2 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;
згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання;
( Абзац п'ятий статті 2 в редакції Закону № 5491-VI від 20.11.2012 )
знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;
( Абзац шостий статті 2 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;
( Статтю 2 доповнено терміном згідно із Законом № 5491-VI від 20.11.2012 )
обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
( Абзац статті 2 в редакції Закону № 5491-VI від 20.11.2012 )
одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;
( Статтю 2 доповнено терміном згідно із Законом № 5491-VI від 20.11.2012 )
персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
( Абзац одинадцятий статті 2 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
суб'єкт персональних даних - фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних відповідно до закону.
Стаття 3. Законодавство про захист персональних даних
Законодавство про захист персональних даних складають Конституція України, цей Закон, інші закони та підзаконні нормативно-правові акти, міжнародні договори України, згода на обов'язковість яких надана Верховною Радою України.
Стаття 4. Суб'єкти відносин, пов'язаних із персональними даними
1. Суб'єктами відносин, пов'язаних із персональними даними, є:
суб'єкт персональних даних;
володілець персональних даних;
розпорядник персональних даних;
третя особа;
уповноважений державний орган з питань захисту персональних даних.
( Абзац сьомий частини першої статті 4 виключено на підставі Закону № 5491-VI від 20.11.2012 )
2. Володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону.
3. Розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.
( Частина третя статті 4 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
4. Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.
( Статтю 4 доповнено частиною четвертою згідно із Законом № 5491-VI від 20.11.2012 )
5. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.
( Статтю 4 доповнено частиною п'ятою згідно із Законом № 5491-VI від 20.11.2012 )
Стаття 5. Об'єкти захисту
1. Об'єктами захисту є персональні дані.
( Частина перша статті 5 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.
( Частину третю статті 5 виключено на підставі Закону № 5491-VI від 20.11.2012 )( Частину четверту статті 5 виключено на підставі Закону № 5491-VI від 20.11.2012 )
Стаття 6. Загальні вимоги до обробки персональних даних
1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.
Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.
( Частину першу статті 6 доповнено новим абзацом згідно із Законом № 5491-VI від 20.11.2012 )
У разі зміни визначеної мети обробки персональних даних суб'єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети, якщо нова мета обробки є несумісною з попередньою.
( Абзац третій частини першої статті 6 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
2. Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки.
( Частина друга статті 6 в редакції Закону № 5491-VI від 20.11.2012 )
3. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.
( Абзац перший частини третьої статті 6 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )( Абзац другий частини третьої статті 6 виключено на підставі Закону № 5491-VI від 20.11.2012 )
4. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.
5. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
6. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
7. Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.
8. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.
9. Обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише за умови забезпечення їх належного захисту.
( Частина дев'ята статті 6 в редакції Закону № 5491-VI від 20.11.2012 )
10. Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, що забезпечує формування державної політики у сфері захисту персональних даних.
( Абзац перший частини десятої статті 6 в редакції Закону № 5491-VI від 20.11.2012 )( Абзац другий частини десятої статті 6 виключено на підставі Закону № 5491-VI від 20.11.2012 )
Порядок обробки персональних даних у сфері забезпечення функціонування системи гарантування вкладів фізичних осіб затверджується Фондом гарантування вкладів фізичних осіб.
( Частину десяту статті 6 доповнено абзацом третім згідно із Законом № 4452-VI від 23.02.2012 )
Стаття 7. Особливі вимоги до обробки персональних даних
1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, звинувачення у скоєнні злочину або засудження до кримінального покарання, а також даних, що стосуються здоров'я чи статевого життя.
( Частина перша статті 7 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних:
1) здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;
2) необхідна для здійснення прав та виконання обов'язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту;
( Пункт 2 частини другої статті 7 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
3) необхідна для захисту життєво важливих інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;
( Пункт 3 частини другої статті 7 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
4) здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;
( Пункт 4 частини другої статті 7 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
5) необхідна для обґрунтування, задоволення або захисту правової вимоги;
6) необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лікарську таємницю;
( Пункт 6 частини другої статті 7 в редакції Закону № 5491-VI від 20.11.2012 )
7) стосується повідомлень про підозру у вчиненні кримінальних правопорушень, вироків суду, здійснення державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
( Пункт 7 частини другої статті 7 із змінами, внесеними згідно із Законом № 245-VII від 16.05.2013 )
8) стосується даних, які були оприлюднені суб'єктом персональних даних.
Стаття 8. Права суб'єкта персональних даних
1. Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.
2. Суб'єкт персональних даних має право:
1) знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
( Пункт 1 частини другої статті 8 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
( Пункт 2 частини другої статті 8 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
3) на доступ до своїх персональних даних;
( Пункт 3 частини другої статті 8 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;
5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
( Пункт 5 частини другої статті 8 в редакції Закону № 5491-VI від 20.11.2012 )
6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
( Пункт 6 частини другої статті 8 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8) звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних, або до суду;
( Пункт 8 частини другої статті 8 в редакції Закону № 5491-VI від 20.11.2012 )
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
( Частину другу статті 8 доповнено пунктом 10 згідно із Законом № 5491-VI від 20.11.2012 )
11) відкликати згоду на обробку персональних даних;
( Частину другу статті 8 доповнено пунктом 11 згідно із Законом № 5491-VI від 20.11.2012 )
12) знати механізм автоматичної обробки персональних даних;
( Частину другу статті 8 доповнено пунктом 12 згідно із Законом № 5491-VI від 20.11.2012 )
13) на захист від автоматизованого рішення, яке має для нього правові наслідки.
( Частину другу статті 8 доповнено пунктом 13 згідно із Законом № 5491-VI від 20.11.2012 )
3. Розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник.
Стаття 9. Реєстрація баз персональних даних
1. База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
Положення про Державний реєстр баз персональних даних та порядок його ведення затверджуються Кабінетом Міністрів України.
2. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.
Володілець персональних даних звільняється від обов’язку реєстрації баз персональних даних:
( Частину другу статті 9 доповнено абзацом другим згідно із Законом № 5491-VI від 20.11.2012 )
ведення яких пов’язано із забезпеченням та реалізацією трудових відносин;
( Частину другу статті 9 доповнено абзацом третім згідно із Законом № 5491-VI від 20.11.2012 )
членів громадських, релігійних організацій, професійних спілок, політичних партій.
( Частину другу статті 9 доповнено абзацом четвертим згідно із Законом № 5491-VI від 20.11.2012 )
3. Заява про реєстрацію бази персональних даних подається володільцем персональних даних до уповноваженого державного органу з питань захисту персональних даних.
Заява повинна містити:
звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;
інформацію про володільця персональних даних;
інформацію про найменування і місцезнаходження бази персональних даних;
інформацію про мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог статей 6 і 7 цього Закону;
інформацію про склад персональних даних, які обробляються;
( Частину третю статті 9 доповнено новим абзацом згідно із Законом № 5491-VI від 20.11.2012 )
інформацію про третіх осіб, яким передаються персональні дані;
( Частину третю статті 9 доповнено новим абзацом згідно із Законом № 5491-VI від 20.11.2012 )
інформацію про транскордонну передачу персональних даних;
( Частину третю статті 9 доповнено новим абзацом згідно із Законом № 5491-VI від 20.11.2012 )
інформацію про інших розпорядників персональних даних;
підтвердження зобов'язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.
4. Уповноважений державний орган з питань захисту персональних даних у порядку, затвердженому Кабінетом Міністрів України:
( Абзац другий частини четвертої статті 9 виключено на підставі Закону № 5491-VI від 20.11.2012 )
приймає рішення про реєстрацію бази персональних даних протягом тридцяти робочих днів з дня надходження заяви.
( Абзац третій частини четвертої статті 9 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
Володільцю персональних даних видається документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних.
5. Уповноважений державний орган з питань захисту персональних даних відмовляє в реєстрації бази персональних даних, якщо заява про реєстрацію не відповідає вимогам частини третьої цієї статті.
6. Володілець персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни.
7. Уповноважений державний орган з питань захисту персональних даних протягом десяти робочих днів з дня надходження повідомлення про зміну відомостей, необхідних для реєстрації відповідної бази, повинен прийняти рішення щодо зазначеної зміни та повідомити про це володільця персональних даних.
Стаття 10. Використання персональних даних
1. Використання персональних даних передбачає будь-які дії володільця щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до закону.
( Частина перша статті 10 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
2. Використання персональних даних володільцем здійснюється у разі створення ним умов для захисту цих даних. Володільцю забороняється розголошувати відомості стосовно суб'єктів персональних даних, доступ до персональних даних яких надається іншим суб'єктам відносин, пов'язаних з такими даними.
( Частина друга статті 10 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
3. Використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
4. Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості.
Стаття 11. Підстави для обробки персональних даних
1. Підставами для обробки персональних даних є:
1) згода суб’єкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
4) захист життєво важливих інтересів суб’єкта персональних даних;
5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.
( Стаття 11 в редакції Закону № 5491-VI від 20.11.2012 )
Стаття 12. Збирання персональних даних
1. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.
( Частина перша статті 12 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
2. У момент збору персональних даних або у випадках, передбачених пунктами 2-5 частини першої статті 11 цього Закону, протягом десяти робочих днів з дня збору персональних даних суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб’єкта, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані.
( Частина друга статті 12 в редакції Закону № 5491-VI від 20.11.2012 )( Частину третю статті 12 виключено на підставі Закону № 5491-VI від 20.11.2012 )( Частину четверту статті 12 виключено на підставі Закону № 5491-VI від 20.11.2012 )
Стаття 13. Накопичення та зберігання персональних даних
1. Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.
2. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
Стаття 14. Поширення персональних даних
1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних.
( Частина перша статті 14 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
2. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
( Частина друга статті 14 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
3. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.
4. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону.
Стаття 15. Видалення або знищення персональних даних
( Назва статті 15 в редакції Закону № 5491-VI від 20.11.2012 )
1. Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог закону.
( Частина перша статті 15 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
2. Персональні дані підлягають знищенню у разі:
1) закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
2) припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом;
3) набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.
3. Персональні дані, зібрані з порушенням вимог цього Закону, підлягають знищенню у встановленому законодавством порядку.
4. Персональні дані, зібрані під час виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом, знищуються відповідно до вимог закону.
( Текст статті 15 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
Стаття 16. Порядок доступу до персональних даних
1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону.
2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити.
3. Суб'єкт відносин, пов'язаних з персональними даними, подає запит щодо доступу (далі - запит) до персональних даних володільцю персональних даних.
4. У запиті зазначаються:
1) прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);
2) найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);
3) прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
( Пункт 4 частини четвертої статті 16 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
5) перелік персональних даних, що запитуються;
6) мета та/або правові підстави для запиту.
( Пункт 6 частини четвертої статті 16 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
5. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.
Протягом цього строку володілець персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.
Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.
6. Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, за умови надання інформації, визначеної у пункті 1 частини четвертої цієї статті, крім випадків, установлених законом.
( Частина шоста статті 16 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
Стаття 17. Відстрочення або відмова у доступі до персональних даних
1. Відстрочення доступу суб'єкта персональних даних до своїх персональних даних не допускається.
2. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п'яти календарних днів.
Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.
У повідомленні про відстрочення зазначаються:
1) прізвище, ім'я та по батькові посадової особи;
2) дата відправлення повідомлення;
3) причина відстрочення;
4) строк, протягом якого буде задоволено запит.
3. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом.
У повідомленні про відмову зазначаються:
1) прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;
2) дата відправлення повідомлення;
3) причина відмови.
Стаття 18. Оскарження рішення про відстрочення або відмову в доступі до персональних даних
1. Рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржено до суду.
( Частина перша статті 18 в редакції Закону № 5491-VI від 20.11.2012 )
2. Якщо запит зроблено суб'єктом персональних даних щодо даних про себе, обов'язок доведення в суді законності відмови у доступі покладається на володільця персональних даних, до якого подано запит.
( Частина друга статті 18 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
Стаття 19. Оплата доступу до персональних даних
1. Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.
2. Доступ інших суб'єктів відносин, пов'язаних з персональними даними, до персональних даних певної фізичної особи чи групи фізичних осіб може бути платним у разі додержання умов, визначених цим Законом. Оплаті підлягає робота, пов'язана з обробкою персональних даних, а також робота з консультування та організації доступу до відповідних даних.
3. Розмір плати за послуги з надання доступу до персональних даних органами державної влади визначається Кабінетом Міністрів України.
4. Органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до їх повноважень.
Стаття 20. Зміни і доповнення до персональних даних
1. Володільці чи розпорядники баз персональних даних зобов'язані вносити зміни до персональних даних на підставі вмотивованої письмової вимоги суб'єкта персональних даних.
2. Дозволяється внесення змін до персональних даних за зверненням інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних чи відповідна зміна здійснюється за рішенням суду, що набрало законної сили.
3. Зміна персональних даних, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності.
Стаття 21. Повідомлення про дії з персональними даними
1. Про передачу персональних даних третій особі володілець персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом.
2. Повідомлення, зазначені у частині першій цієї статті, не здійснюються у разі:
1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;
3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;
4) повідомлення суб’єкта персональних даних відповідно до вимог частини другої статті 12 цього Закону.
( Частину другу статті 21 доповнено пунктом 4 згідно із Законом № 5491-VI від 20.11.2012 )
3. Про зміну чи знищення персональних даних або обмеження доступу до них володілець персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані було передано.
Стаття 22. Контроль за додержанням законодавства про захист персональних даних
1. Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:
1) уповноважений державний орган з питань захисту персональних даних;
2) інші органи державної влади.
( Пункт 2 частини першої статті 22 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
2. Парламентський контроль за додержанням прав людини на захист персональних даних здійснює Уповноважений Верховної Ради України з прав людини відповідно до закону.
Стаття 23. Уповноважений державний орган з питань захисту персональних даних
1. Уповноважений державний орган з питань захисту персональних даних - центральний орган виконавчої влади, що забезпечує реалізацію державної політики у сфері захисту персональних даних.
Уповноважений державний орган з питань захисту персональних даних є незалежним у реалізації повноважень, передбачених цим Законом..
( Частина перша статті 23 в редакції Закону № 5491-VI від 20.11.2012 )
2. Уповноважений державний орган з питань захисту персональних даних:
1) забезпечує реалізацію державної політики у сфері захисту персональних даних;
2) реєструє бази персональних даних;
3) веде Державний реєстр баз персональних даних;
4) здійснює в межах своїх повноважень контроль за додержанням вимог законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців та/або розпорядників персональних даних із забезпеченням відповідно до закону доступу до інформації, пов'язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка;
( Пункт 4 частини другої статті 23 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
5) видає обов'язкові для виконання законні вимоги (приписи) про усунення порушень законодавства про захист персональних даних;
6) розглядає пропозиції, запити, звернення, вимоги та скарги фізичних і юридичних осіб;
7) організовує та забезпечує взаємодію з іноземними суб'єктами відносин, пов'язаних із персональними даними;
8) бере участь у роботі міжнародних організацій з питань захисту персональних даних;
9) надає володільцям та розпорядникам персональних даних і суб’єктам персональних даних інформацію щодо їх прав та обов’язків;
( Частину другу статті 23 доповнено пунктом 9 згідно із Законом № 5491-VI від 20.11.2012 )
10) здійснює моніторинг нових практик, тенденцій і технологій захисту персональних даних;
( Частину другу статті 23 доповнено пунктом 10 згідно із Законом № 5491-VI від 20.11.2012 )
11) видає рекомендації щодо практичного застосування положень законодавства про захист персональних даних;
( Частину другу статті 23 доповнено пунктом 11 згідно із Законом № 5491-VI від 20.11.2012 )
12) вносить пропозиції щодо формування політики у сфері захисту персональних даних у порядку, визначеному законодавством;
( Частину другу статті 23 доповнено пунктом 12 згідно із Законом № 5491-VI від 20.11.2012 )
13) погоджує корпоративні кодекси поведінки відповідно до частини другої статті 27 цього Закону.
( Частину другу статті 23 доповнено пунктом 13 згідно із Законом № 5491-VI від 20.11.2012 )
3. Голова уповноваженого державного органу з питань захисту персональних даних та його заступники призначаються відповідно до вимог, встановлених законодавством.
( Статтю 23 доповнено частиною третьою згідно із Законом № 5491-VI від 20.11.2012 )
4. Штатний розпис і кошторис уповноваженого державного органу з питань захисту персональних даних затверджує його Голова за погодженням з Міністром фінансів України.
Голова уповноваженого державного органу з питань захисту персональних даних приймає в установленому порядку рішення про розподіл бюджетних коштів, розпорядником яких є уповноважений державний орган з питань захисту персональних даних.
( Статтю 23 доповнено частиною четвертою згідно із Законом № 5491-VI від 20.11.2012 )
5. Звіт про виконання уповноваженим державним органом з питань захисту персональних даних завдань та планів роботи є загальнодоступним, публікується на його офіційному веб-сайті і подається Президенту України, Кабінету Міністрів України та Верховній Раді України.
( Статтю 23 доповнено частиною п'ятою згідно із Законом № 5491-VI від 20.11.2012 )
Стаття 24. Забезпечення захисту персональних даних
( Назва статті 24 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
1. Держава гарантує захист персональних даних.
2. Суб'єкти відносин, пов'язаних із персональними даними, зобов'язані забезпечити захист цих даних від незаконної обробки, у тому числі від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них.
( Частина друга статті 24 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
3. Забезпечення захисту персональних даних у базі персональних даних покладається на володільця цієї бази.
( Частину четверту статті 24 виключено на підставі Закону № 5491-VI від 20.11.2012 )
5. В органах державної влади та органах місцевого самоврядування, організаціях, установах і на підприємствах усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону.
6. Фізичні особи - підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють, згідно з вимогами закону.
( Частина шоста статті 24 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
Стаття 25. Обмеження дії окремих статей цього Закону
1. Обмеження прав, передбачених статтями 8, 11 і 17 цього Закону, здійснюється лише в інтересах:
1) національної безпеки, економічного добробуту та прав людини;
2) захисту прав і свобод фізичних осіб, персональні дані яких обробляються, чи прав інших суб'єктів відносин, пов'язаних із персональними даними, а також з метою боротьби із злочинністю;
3) забезпечення суб'єктів відносин, пов'язаних із персональними даними, зведеною знеособленою інформацією щодо персональних даних відповідно до законодавства.
2. Суб'єкти відносин, пов'язаних із персональними даними, здійснюють свої повноваження в межах, установлених Конституцією та законами України.
Стаття 26. Фінансування робіт із захисту персональних даних
Фінансування робіт та заходів щодо забезпечення захисту персональних даних здійснюється за рахунок коштів Державного бюджету України та місцевих бюджетів, коштів суб'єктів відносин, пов'язаних із персональними даними.
Стаття 27. Застосування положень цього Закону
1. Положення щодо захисту персональних даних, викладені в цьому Законі, можуть доповнюватися чи уточнюватися іншими законами, за умови, що вони встановлюють вимоги щодо захисту персональних даних, що не суперечать вимогам цього Закону.
2. Професійні об'єднання можуть розробляти корпоративні кодекси поведінки з метою забезпечення ефективного захисту прав суб'єктів персональних даних, сприяння додержанню законодавства, враховуючи специфіку обробки персональних даних у різних сферах, за погодженням з уповноваженим державним органом з питань захисту персональних даних.
( Частина друга статті 27 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012 )
Стаття 28. Відповідальність за порушення законодавства про захист персональних даних
Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом.
Стаття 29. Міжнародне співробітництво та передача персональних даних
( Назва статті 29 в редакції Закону № 5491-VI від 20.11.2012 )
1. Співробітництво з іноземними суб'єктами відносин, пов'язаних із персональними даними, регулюється Конституцією України, цим Законом, іншими нормативно-правовими актами та міжнародними договорами України.
2. Якщо міжнародним договором України, згода на обов'язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені законодавством України, то застосовуються правила міжнародного договору України.
3. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України.
Держави - учасниці Європейського економічного простору, а також держави, які підписали Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рівень захисту персональних даних.
Кабінет Міністрів України визначає перелік держав, які забезпечують належний захист персональних даних.
Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.
( Частина третя статті 29 в редакції Закону № 5491-VI від 20.11.2012 )
4. Персональні дані можуть передаватися іноземним суб’єктам відносин, пов’язаних з персональними даними, також у разі:
1) надання суб’єктом персональних даних однозначної згоди на таку передачу;
2) необхідності укладення чи виконання правочину між володільцем персональних даних та третьою особою - суб’єктом персональних даних на користь суб’єкта персональних даних;
3) необхідності захисту життєво важливих інтересів суб’єктів персональних даних;
4) необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення правової вимоги;
5) надання володільцем персональних даних відповідних гарантій щодо невтручання в особисте і сімейне життя суб’єкта персональних даних.
( Статтю 29 доповнено частиною четвертою згідно із Законом № 5491-VI від 20.11.2012 )
Стаття 30. Прикінцеві положення
1. Цей Закон набирає чинності з 1 січня 2011 року.
2. Кабінету Міністрів України протягом шести місяців з дня набрання чинності цим Законом:
забезпечити прийняття нормативно-правових актів, передбачених цим Законом;
забезпечити приведення своїх нормативно-правових актів у відповідність із цим Законом.
Президент України | В.ЯНУКОВИЧ |
м. Київ 1 червня 2010 року № 2297-VI |