Закон України

“Про захист персональних даних”

Дата набуття чинності:
1 січня 2011 року

Закон регулює відносини, пов'язані із захистом персональних даних під час їх обробки. Дія Закону не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах:
  • фізичною особою - виключно для непрофесійних особистих чи побутових потреб;
  • журналістом - у зв'язку з виконанням ним службових чи професійних обов'язків;
  • професійним творчим працівником - для здійснення творчої діяльності.

Згідно статті 2 Закону персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Обробка персональних даних – це будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.

Відповідно до статті 4 Закону суб'єктами відносин, пов'язаних із персональними даними, є:
  • суб'єкт персональних даних;
  • володілець бази персональних даних;
  • розпорядник бази персональних даних;
  • третя особа;
  • уповноважений державний орган з питань захисту персональних даних;
  • інші органи державної влади та органи місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних.

Об'єктами захисту є персональні дані, які обробляються в базах персональних даних. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом (стаття 5 Закону).

Загальні вимоги до обробки персональних даних встановлені статтею 6 Закону. Так, зокрема, передбачено що:
  • мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.
  • персональні дані мають бути точними, достовірними, у разі необхідності - оновлюватися.
  • первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.
  • обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
  • не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини тощо.
Стаття 7 Закону забороняє обробку персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя. Однак це положення Закону не застосовується, якщо обробка персональних даних:
  • здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;
  • необхідна для здійснення прав та виконання обов'язків у сфері трудових правовідносин відповідно до закону;
  • необхідна для захисту інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;
  • здійснюється релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;
  • необхідна для обґрунтування, задоволення або захисту правової вимоги;
  • необхідна в цілях охорони здоров'я, для забезпечення піклування чи лікування за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров'я, на якого покладено обов'язки щодо забезпечення захисту персональних даних;
  • стосується обвинувачень у вчиненні злочинів, вироків суду, здійснення державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
  • стосується даних, які були оприлюднені суб'єктом персональних даних.

Права суб’єкта персональних даних передбачені статтею 8 Закону.

База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення. (стаття 9 Закону).

Згідно статті 10 Закону використання персональних даних передбачає будь-які дії володільця бази щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до закону.

Підставами виникнення права на використання персональних даних є:
  • згода суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;
  • дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.

Статті 12 – 15 Закону визначають порядок:
  • збирання персональних даних;
  • накопичення та зберігання персональних даних;
  • поширення персональних даних;
  • знищення персональних даних.

Порядок доступу до персональних даних встановлений статтею 16 Закону.

Про передачу персональних даних третій особі володілець бази персональних даних протягом 10 робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом (стаття 21 Закону).

Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:
  • уповноважений державний орган з питань захисту персональних даних (центральний орган виконавчої влади, до повноважень якого належить захист персональних даних, що утворюється відповідно до законодавства);
  • інші органи державної влади та органи місцевого самоврядування.

Відповідно до статті 24 Закону держава гарантує захист персональних даних. Суб'єкти відносин, пов'язаних із персональними даними, зобов'язані забезпечити захист цих даних від незаконної обробки, а також від незаконного доступу до них. Забезпечення захисту персональних даних у базі персональних даних покладається на володільця цієї бази.  Володілець бази персональних даних в електронній формі забезпечує її захист відповідно до закону. В органах державної влади та органах місцевого самоврядування, організаціях, установах і на підприємствах усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону. Фізичні особи - підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист баз персональних даних, якими вони володіють, згідно з вимогами закону.

Якщо Ви побачили помилку в тексті, виділіть її мишкою та натисніть Ctrl-Enter. Будемо вдячні!

вгору