Про внесення змін до Закону України "Про захист персональних даних"
(Відомості Верховної Ради (ВВР), 2013, № 51, ст.715)
Верховна Рада України постановляє:
I. Внести до Закону України "Про захист персональних даних" (Відомості Верховної Ради України, 2010 р., № 34, ст. 481; із змінами, внесеними Законом України від 23 лютого 2012 року № 4452-VI) такі зміни:
1. Статтю 1 викласти в такій редакції:
Цей Закон регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.
Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
Цей Закон не поширюється на діяльність з обробки персональних даних, яка здійснюється фізичною особою виключно для особистих чи побутових потреб.
Положення цього Закону не поширюються на діяльність з обробки персональних даних, яка здійснюється творчим чи літературним працівником, у тому числі журналістом, у професійних цілях, за умови забезпечення балансу між правом на невтручання в особисте життя та правом на самовираження".
2. У статті 2:
1) в абзаці третьому слова "у цій базі даних" виключити;
2) абзац п’ятий викласти в такій редакції:
"згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання";
3) абзац шостий після слів "дають змогу" доповнити словами "прямо чи опосередковано";
4) абзац сьомий викласти в такій редакції:
"обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем";
5) доповнити з урахуванням алфавітного порядку термінами такого змісту:
"картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами";
"одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа";
6) абзац одинадцятий після слів "ці дані" доповнити словами "від імені володільця".
3. У статті 4:
1) абзац сьомий частини першої виключити;
2) у частині третій слово "якої" замінити словом "яких";
3) доповнити частинами четвертою і п’ятою такого змісту:
"4. Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.
5. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі".
4. У статті 5:
1) у частині першій слова "які обробляються в базах персональних даних" виключити;
2) частини третю і четверту виключити.
5. У статті 6:
після абзацу першого доповнити новим абзацом такого змісту:
"Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки".
У зв’язку з цим абзац другий вважати абзацом третім;
абзац третій доповнити словами "якщо нова мета обробки є несумісною з попередньою";
2) частину другу викласти в такій редакції:
"2. Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки";
абзац перший після слів "бути відповідними" доповнити словом "адекватними";
4) частину дев’яту викласти в такій редакції:
"9. Обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише за умови забезпечення їх належного захисту";
абзац перший викласти в такій редакції:
"10. Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, що забезпечує формування державної політики у сфері захисту персональних даних";
6. У статті 7:
1) частину першу після слів "професійних спілках" доповнити словами "звинувачення у скоєнні злочину або засудження до кримінального покарання";
пункт 2 після слів "виконання обов’язків" доповнити словом "володільця", а після слів "до закону" - словами "із забезпеченням відповідного захисту";
пункт 3 після слів "для захисту" доповнити словами "життєво важливих";
пункт 4 після слова "здійснюється" доповнити словами "із забезпеченням відповідного захисту";
пункт 6 викласти в такій редакції:
"6) необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лікарську таємницю".
7. У частині другій статті 8:
у пунктах 1 і 6 слова "цієї бази" замінити словами "персональних даних";
у пунктах 2 і 3 слова "що містяться у відповідній базі персональних даних" виключити;
пункти 5 і 8 викласти в такій редакції:
"5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних";
"8) звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних, або до суду";
доповнити пунктами 10-13 такого змісту:
"10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
11) відкликати згоду на обробку персональних даних;
12) знати механізм автоматичної обробки персональних даних;
13) на захист від автоматизованого рішення, яке має для нього правові наслідки".
8. У статті 9:
1) частину другу доповнити абзацами другим - четвертим такого змісту:
"Володілець персональних даних звільняється від обов’язку реєстрації баз персональних даних:
ведення яких пов’язано із забезпеченням та реалізацією трудових відносин;
членів громадських, релігійних організацій, професійних спілок, політичних партій";
2) частину третю після абзацу шостого доповнити трьома новими абзацами такого змісту:
"інформацію про склад персональних даних, які обробляються;
інформацію про третіх осіб, яким передаються персональні дані;
інформацію про транскордонну передачу персональних даних".
У зв’язку з цим абзаци сьомий і восьмий вважати відповідно абзацами десятим і одинадцятим;
в абзаці третьому слово "десяти" замінити словом "тридцяти".
9. У частинах першій і другій статті 10 слово "бази" виключити.
10. Статтю 11 викласти в такій редакції:
"Стаття 11. Підстави для обробки персональних даних
1. Підставами для обробки персональних даних є:
1) згода суб’єкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
4) захист життєво важливих інтересів суб’єкта персональних даних;
5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес".
11. У статті 12:
1) у частині першій слова "та внесення їх до бази персональних даних" виключити;
2) частину другу викласти в такій редакції:
"2. У момент збору персональних даних або у випадках, передбачених пунктами 2-5 частини першої статті 11 цього Закону, протягом десяти робочих днів з дня збору персональних даних суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб’єкта, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані";
3) частини третю і четверту виключити.
12. У статті 14:
1) у частині першій слова "з баз персональних даних" виключити;
2) частину другу після слів "і лише" доповнити словами "(якщо це необхідно)".
13. У статті 15:
1) назву викласти в такій редакції:
"Стаття 15. Видалення або знищення персональних даних";
2) частину першу після слів "персональних даних" доповнити словами "видаляються або";
3) у тексті статті слова "в базах персональних даних" в усіх відмінках і числах виключити.
14. У статті 16:
у пункті 4 слова "цієї бази" замінити словами "персональних даних";
пункт 6 після слова "мета" доповнити словами "та/або правові підстави для";
2) у частині шостій слова "без зазначення мети запиту" замінити словами "за умови надання інформації, визначеної у пункті 1 частини четвертої цієї статті".
15. У статті 18:
1) частину першу викласти в такій редакції:
"1. Рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржено до суду";
2) у частині другій слово "бази" виключити.
16. Частину другу статті 21 доповнити пунктом 4 такого змісту:
"4) повідомлення суб’єкта персональних даних відповідно до вимог частини другої статті 12 цього Закону".
17. У пункті 2 частини першої статті 22 слова "та органи місцевого самоврядування" виключити.
18. У статті 23:
1) частину першу викласти в такій редакції:
"1. Уповноважений державний орган з питань захисту персональних даних - центральний орган виконавчої влади, що забезпечує реалізацію державної політики у сфері захисту персональних даних.
Уповноважений державний орган з питань захисту персональних даних є незалежним у реалізації повноважень, передбачених цим Законом";
пункт 4 після слів "захист персональних даних" доповнити словами "шляхом проведення виїзних та безвиїзних перевірок володільців та/або розпорядників персональних даних";
доповнити пунктами 9-13 такого змісту:
"9) надає володільцям та розпорядникам персональних даних і суб’єктам персональних даних інформацію щодо їх прав та обов’язків;
10) здійснює моніторинг нових практик, тенденцій і технологій захисту персональних даних;
11) видає рекомендації щодо практичного застосування положень законодавства про захист персональних даних;
12) вносить пропозиції щодо формування політики у сфері захисту персональних даних у порядку, визначеному законодавством;
13) погоджує корпоративні кодекси поведінки відповідно до частини другої статті 27 цього Закону";
3) доповнити частинами третьою - п’ятою такого змісту:
"3. Голова уповноваженого державного органу з питань захисту персональних даних та його заступники призначаються відповідно до вимог, встановлених законодавством.
4. Штатний розпис і кошторис уповноваженого державного органу з питань захисту персональних даних затверджує його Голова за погодженням з Міністром фінансів України.
Голова уповноваженого державного органу з питань захисту персональних даних приймає в установленому порядку рішення про розподіл бюджетних коштів, розпорядником яких є уповноважений державний орган з питань захисту персональних даних.
5. Звіт про виконання уповноваженим державним органом з питань захисту персональних даних завдань та планів роботи є загальнодоступним, публікується на його офіційному веб-сайті і подається Президенту України, Кабінету Міністрів України та Верховній Раді України".
19. У статті 24:
1) у назві слова "у базах персональних даних" виключити;
2) частину другу після слів "від незаконної обробки" доповнити словами "у тому числі від втрати, незаконного або випадкового знищення";
3) частину четверту виключити;
4) у частині шостій слово "баз" виключити.
20. Частину другу статті 27 доповнити словами "за погодженням з уповноваженим державним органом з питань захисту персональних даних".
21. У статті 29:
1) назву викласти в такій редакції:
"Стаття 29. Міжнародне співробітництво та передача персональних даних";
2) частину третю викласти в такій редакції:
"3. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України.
Держави - учасниці Європейського економічного простору, а також держави, які підписали Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рівень захисту персональних даних.
Кабінет Міністрів України визначає перелік держав, які забезпечують належний захист персональних даних.
Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані";
3) доповнити частиною четвертою такого змісту:
"4. Персональні дані можуть передаватися іноземним суб’єктам відносин, пов’язаних з персональними даними, також у разі:
1) надання суб’єктом персональних даних однозначної згоди на таку передачу;
2) необхідності укладення чи виконання правочину між володільцем персональних даних та третьою особою - суб’єктом персональних даних на користь суб’єкта персональних даних;
3) необхідності захисту життєво важливих інтересів суб’єктів персональних даних;
4) необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення правової вимоги;
5) надання володільцем персональних даних відповідних гарантій щодо невтручання в особисте і сімейне життя суб’єкта персональних даних".
22. У тексті Закону слова "володілець бази персональних даних" і "розпорядник бази персональних даних" у всіх відмінках і числах замінити відповідно словами "володілець персональних даних" і "розпорядник персональних даних" у відповідному відмінку і числі.
1. Цей Закон набирає чинності з дня, наступного за днем його опублікування.
2. Кабінету Міністрів України:
протягом одного місяця з дня набрання чинності цим Законом забезпечити приведення своїх нормативно-правових актів у відповідність із цим Законом;
забезпечити перегляд та приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом.