ЗАКОН  УКРАЇНИ

Про захист персональних даних

Iз змiнами i доповненнями, внесеними
Законами України
вiд 23 лютого 2012 року N 4452-VI,
вiд 20 листопада 2012 року N 5491-VI,
вiд 16 травня 2013 року N 245-VII,
вiд 3 липня 2013 року N 383-VII,
вiд 27 березня 2014 року N 1170-VII,
вiд 13 травня 2014 року N 1262-VII,
вiд 9 квiтня 2015 року N 316-VIII,
вiд 3 вересня 2015 року N 675-VIII,
вiд 6 грудня 2016 року N 1774-VIII,
вiд 19 жовтня 2017 року N 2168-VIII,
вiд 3 грудня 2019 року N 324-IX

(У текстi Закону слова "володiлець бази персональних даних" i "розпорядник бази персональних даних" у всiх вiдмiнках i числах замiнено вiдповiдно словами "володiлець персональних даних" i "розпорядник персональних даних" у вiдповiдному вiдмiнку i числi згiдно iз Законом України вiд 20 листопада 2012 року N 5491-VI)

     Стаття 1. Сфера дiї Закону

     Цей Закон регулює правовi вiдносини, пов'язанi iз захистом i обробкою персональних даних, i спрямований на захист основоположних прав i свобод людини i громадянина, зокрема права на невтручання в особисте життя, у зв'язку з обробкою персональних даних.

     Цей Закон поширюється на дiяльнiсть з обробки персональних даних, яка здiйснюється повнiстю або частково iз застосуванням автоматизованих засобiв, а також на обробку персональних даних, що мiстяться у картотецi чи призначенi до внесення до картотеки, iз застосуванням неавтоматизованих засобiв.

     Частину третю статтi 1 виключено

(згiдно iз Законом України вiд 03.07.2013р. N 383-VII)

     Частину четверту статтi 1 виключено

(згiдно iз Законом України вiд 03.07.2013р. N 383-VII)
(стаття 1 у редакцiї Закону України вiд 20.11.2012р. N 5491-VI)

     Стаття 2. Визначення термiнiв

     У цьому Законi нижченаведенi термiни вживаються в такому значеннi:

     база персональних даних - iменована сукупнiсть упорядкованих персональних даних в електроннiй формi та/або у формi картотек персональних даних;

     володiлець персональних даних - фiзична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо iнше не визначено законом;

(абзац третiй статтi 2 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI, у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     згода суб'єкта персональних даних - добровiльне волевиявлення фiзичної особи (за умови її поiнформованостi) щодо надання дозволу на обробку її персональних даних вiдповiдно до сформульованої мети їх обробки, висловлене у письмовiй формi або у формi, що дає змогу зробити висновок про надання згоди. У сферi електронної комерцiї згода суб'єкта персональних даних може бути надана пiд час реєстрацiї в iнформацiйно-телекомунiкацiйнiй системi суб'єкта електронної комерцiї шляхом проставлення вiдмiтки про надання дозволу на обробку своїх персональних даних вiдповiдно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення вiдмiтки;

(абзац четвертий статтi 2 у редакцiї Закону України вiд 13.05.2014р. N 1262-VII, iз змiнами, внесеними згiдно iз Законом України вiд 03.09.2015р. N 675-VIII)

     абзац п'ятий статтi 2 виключено

(абзац п'ятий статтi 2 у редакцiї Закону України вiд 20.11.2012р. N 5491-VI, виключено згiдно iз Законом України вiд 03.07.2013р. N 383-VII)

     знеособлення персональних даних - вилучення вiдомостей, якi дають змогу прямо чи опосередковано iдентифiкувати особу;

(абзац шостий статтi 2 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     картотека - будь-якi структурованi персональнi данi, доступнi за визначеними критерiями, незалежно вiд того, чи такi данi централiзованi, децентралiзованi або роздiленi за функцiональними чи географiчними принципами;

(статтю 2 доповнено абзацом згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     обробка персональних даних - будь-яка дiя або сукупнiсть дiй, таких як збирання, реєстрацiя, накопичення, зберiгання, адаптування, змiна, поновлення, використання i поширення (розповсюдження, реалiзацiя, передача), знеособлення, знищення персональних даних, у тому числi з використанням iнформацiйних (автоматизованих) систем;

(абзац статтi 2 у редакцiї Закону України вiд 20.11.2012р. N 5491-VI)

     одержувач - фiзична чи юридична особа, якiй надаються персональнi данi, у тому числi третя особа;

(статтю 2 доповнено абзацом згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     персональнi данi - вiдомостi чи сукупнiсть вiдомостей про фiзичну особу, яка iдентифiкована або може бути конкретно iдентифiкована;

     розпорядник персональних даних - фiзична чи юридична особа, якiй володiльцем персональних даних або законом надано право обробляти цi данi вiд iменi володiльця;

(абзац одинадцятий статтi 2 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     суб'єкт персональних даних - фiзична особа, персональнi данi якої обробляються;

(абзац дванадцятий статтi 2 у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володiльця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якiй володiльцем чи розпорядником персональних даних здiйснюється передача персональних даних.

(абзац тринадцятий статтi 2 у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     Стаття 3. Законодавство про захист персональних даних

     Законодавство про захист персональних даних складають Конституцiя України, цей Закон, iншi закони та пiдзаконнi нормативно-правовi акти, мiжнароднi договори України, згода на обов'язковiсть яких надана Верховною Радою України.

     Стаття 4. Суб'єкти вiдносин, пов'язаних iз персональними даними

     1. Суб'єктами вiдносин, пов'язаних iз персональними даними, є:

     суб'єкт персональних даних;

     володiлець персональних даних;

     розпорядник персональних даних;

     третя особа;

     Уповноважений Верховної Ради України з прав людини (далi - Уповноважений);

(абзац шостий частини першої статтi 4 у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     абзац сьомий частини першої статтi 4 виключено

(згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     2. Володiльцем чи розпорядником персональних даних можуть бути пiдприємства, установи i органiзацiї усiх форм власностi, органи державної влади чи органи мiсцевого самоврядування, фiзичнi особи - пiдприємцi, якi обробляють персональнi данi вiдповiдно до закону.

     3. Розпорядником персональних даних, володiльцем яких є орган державної влади чи орган мiсцевого самоврядування, крiм цих органiв, може бути лише пiдприємство державної або комунальної форми власностi, що належить до сфери управлiння цього органу.

(частина третя статтi 4 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     4. Володiлець персональних даних може доручити обробку персональних даних розпоряднику персональних даних вiдповiдно до договору, укладеного в письмовiй формi.

(статтю 4 доповнено частиною четвертою згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     5. Розпорядник персональних даних може обробляти персональнi данi лише з метою i в обсязi, визначених у договорi.

(статтю 4 доповнено частиною п'ятою згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     Стаття 5. Об'єкти захисту

     1. Об'єктами захисту є персональнi данi.

     2. Персональнi данi можуть бути вiднесенi до конфiденцiйної iнформацiї про особу законом або вiдповiдною особою. Не є конфiденцiйною iнформацiєю персональнi данi, що стосуються здiйснення особою, яка займає посаду, пов'язану з виконанням функцiй держави або органiв мiсцевого самоврядування, посадових або службових повноважень.

     3. Персональнi данi, зазначенi у декларацiї про майно, доходи, витрати i зобов'язання фiнансового характеру, оформленiй за формою i в порядку, встановленими Законом України "Про засади запобiгання i протидiї корупцiї", не належать до iнформацiї з обмеженим доступом, крiм вiдомостей, визначених Законом України "Про засади запобiгання i протидiї корупцiї".

     Не належить до iнформацiї з обмеженим доступом iнформацiя про отримання у будь-якiй формi фiзичною особою бюджетних коштiв, державного чи комунального майна, крiм випадкiв, передбачених статтею 6 Закону України "Про доступ до публiчної iнформацiї".

     Законом може бути заборонено вiднесення iнших вiдомостей, що є персональними даними, до iнформацiї з обмеженим доступом.

(стаття 5 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI, у редакцiї Закону України вiд 27.03.2014р. N 1170-VII)

     Стаття 6. Загальнi вимоги до обробки персональних даних

     1. Мета обробки персональних даних має бути сформульована в законах, iнших нормативно-правових актах, положеннях, установчих чи iнших документах, якi регулюють дiяльнiсть володiльця персональних даних, та вiдповiдати законодавству про захист персональних даних.

     Обробка персональних даних здiйснюється вiдкрито i прозоро iз застосуванням засобiв та у спосiб, що вiдповiдають визначеним цiлям такої обробки.

(частину першу статтi 6 доповнено новим абзацом другим згiдно iз Законом України вiд 20.11.2012р. N 5491-VI, у зв'язку з цим абзац другий вважати абзацом третiм)

     У разi змiни визначеної мети обробки персональних даних на нову мету, яка є несумiсною з попередньою, для подальшої обробки даних володiлець персональних даних повинен отримати згоду суб'єкта персональних даних на обробку його даних вiдповiдно до змiненої мети, якщо iнше не передбачено законом.

(абзац третiй частини першої статтi 6 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI, у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     2. Персональнi данi мають бути точними, достовiрними та оновлюватися в мiру потреби, визначеної метою їх обробки.

(частина друга статтi 6 у редакцiї Закону України вiд 20.11.2012р. N 5491-VI)

     3. Склад та змiст персональних даних мають бути вiдповiдними, адекватними та ненадмiрними стосовно визначеної мети їх обробки.

(абзац перший частини третьої статтi 6 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     Абзац другий частини третьої статтi 6 виключено

(згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     4. Первинними джерелами вiдомостей про фiзичну особу є: виданi на її iм'я документи; пiдписанi нею документи; вiдомостi, якi особа надає про себе.

     5. Обробка персональних даних здiйснюється для конкретних i законних цiлей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

     6. Не допускається обробка даних про фiзичну особу, якi є конфiденцiйною iнформацiєю, без її згоди, крiм випадкiв, визначених законом, i лише в iнтересах нацiональної безпеки, економiчного добробуту та прав людини.

(частина шоста статтi 6 iз змiнами, внесеними згiдно iз Законом України вiд 27.03.2014р. N 1170-VII)

     7. Якщо обробка персональних даних є необхiдною для захисту життєво важливих iнтересiв суб'єкта персональних даних, обробляти персональнi данi без його згоди можна до часу, коли отримання згоди стане можливим.

     8. Персональнi данi обробляються у формi, що допускає iдентифiкацiю фiзичної особи, якої вони стосуються, не довше, нiж це необхiдно для законних цiлей, у яких вони збиралися або надалi оброблялися.

     Подальша обробка персональних даних в iсторичних, статистичних чи наукових цiлях може здiйснюватися за умови забезпечення їх належного захисту.

(частина восьма статтi 6 у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     9. Частину дев'яту статтi 6 виключено

(частина дев'ята статтi 6 у редакцiї Закону України вiд 20.11.2012р. N 5491-VI, виключено згiдно iз Законом України вiд 03.07.2013р. N 383-VII)

     10. Типовий порядок обробки персональних даних затверджується Уповноваженим.

(частина десята статтi 6 iз змiнами, внесеними згiдно iз Законами України вiд 23.02.2012р. N 4452-VI, вiд 20.11.2012р. N 5491-VI, у редакцiї ЗаконiвУкраїни вiд 03.07.2013р. N 383-VII, вiд 13.05.2014р. N 1262-VII)

     Стаття 7. Особливi вимоги до обробки персональних даних

     1. Забороняється обробка персональних даних про расове або етнiчне походження, полiтичнi, релiгiйнi або свiтогляднi переконання, членство в полiтичних партiях та професiйних спiлках, засудження до кримiнального покарання, а також даних, що стосуються здоров'я, статевого життя, бiометричних або генетичних даних.

(частина перша статтi 7 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI, у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     2. Положення частини першої цiєї статтi не застосовується, якщо обробка персональних даних:

     1) здiйснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;

     2) необхiдна для здiйснення прав та виконання обов'язкiв володiльця у сферi трудових правовiдносин вiдповiдно до закону iз забезпеченням вiдповiдного захисту;

(пункт 2 частини другої статтi 7 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     3) необхiдна для захисту життєво важливих iнтересiв суб'єкта персональних даних або iншої особи у разi недiєздатностi або обмеження цивiльної дiєздатностi суб'єкта персональних даних;

(пункт 3 частини другої статтi 7 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     4) здiйснюється iз забезпеченням вiдповiдного захисту релiгiйною органiзацiєю, громадською органiзацiєю свiтоглядної спрямованостi, полiтичною партiєю або професiйною спiлкою, що створенi вiдповiдно до закону, за умови, що обробка стосується виключно персональних даних членiв цих об'єднань або осiб, якi пiдтримують постiйнi контакти з ними у зв'язку з характером їх дiяльностi, та персональнi данi не передаються третiй особi без згоди суб'єктiв персональних даних;

(пункт 4 частини другої статтi 7 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     5) необхiдна для обґрунтування, задоволення або захисту правової вимоги;

     6) необхiдна в цiлях охорони здоров'я, встановлення медичного дiагнозу, для забезпечення пiклування чи лiкування або надання медичних послуг, функцiонування електронної системи охорони здоров'я за умови, що такi данi обробляються медичним працiвником або iншою особою закладу охорони здоров'я чи фiзичною особою - пiдприємцем, яка одержала лiцензiю на провадження господарської дiяльностi з медичної практики, та її працiвниками, на яких покладено обов'язки щодо забезпечення захисту персональних даних та на яких поширюється дiя законодавства про лiкарську таємницю, працiвниками центрального органу виконавчої влади, що реалiзує державну полiтику у сферi державних фiнансових гарантiй медичного обслуговування населення, на яких покладено обов'язки щодо забезпечення захисту персональних даних;

(пункт 6 частини другої статтi 7 у редакцiї Законiв України вiд 20.11.2012р. N 5491-VI, вiд 19.10.2017р. N 2168-VIII)

     7) стосується вирокiв суду, виконання завдань оперативно-розшукової чи контррозвiдувальної дiяльностi, боротьби з тероризмом та здiйснюється державним органом в межах його повноважень, визначених законом;

(пункт 7 частини другої статтi 7 iз змiнами, внесеними згiдно iз Законом України вiд 16.05.2013р. N 245-VII, у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     8) стосується даних, якi були явно оприлюдненi суб'єктом персональних даних.

(пункт 8 частини другої статтi 7 iз змiнами, внесеними згiдно iз Законом України вiд 03.07.2013р. N 383-VII)

     Стаття 8. Права суб'єкта персональних даних

     1. Особистi немайновi права на персональнi данi, якi має кожна фiзична особа, є невiд'ємними i непорушними.

     2. Суб'єкт персональних даних має право:

     1) знати про джерела збирання, мiсцезнаходження своїх персональних даних, мету їх обробки, мiсцезнаходження або мiсце проживання (перебування) володiльця чи розпорядника персональних даних або дати вiдповiдне доручення щодо отримання цiєї iнформацiї уповноваженим ним особам, крiм випадкiв, встановлених законом;

(пункт 1 частини другої статтi 8 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI, у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     2) отримувати iнформацiю про умови надання доступу до персональних даних, зокрема iнформацiю про третiх осiб, яким передаються його персональнi данi;

(пункт 2 частини другої статтi 8 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     3) на доступ до своїх персональних даних;

(пункт 3 частини другої статтi 8 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     4) отримувати не пiзнiш як за тридцять календарних днiв з дня надходження запиту, крiм випадкiв, передбачених законом, вiдповiдь про те, чи обробляються його персональнi данi, а також отримувати змiст таких персональних даних;

(пункт 4 частини другої статтi 8 у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     5) пред'являти вмотивовану вимогу володiльцю персональних даних iз запереченням проти обробки своїх персональних даних;

(пункт 5 частини другої статтi 8 у редакцiї Закону України вiд 20.11.2012р. N 5491-VI)

     6) пред'являти вмотивовану вимогу щодо змiни або знищення своїх персональних даних будь-яким володiльцем та розпорядником персональних даних, якщо цi данi обробляються незаконно чи є недостовiрними;

(пункт 6 частини другої статтi 8 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     7) на захист своїх персональних даних вiд незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист вiд надання вiдомостей, що є недостовiрними чи ганьблять честь, гiднiсть та дiлову репутацiю фiзичної особи;

     8) звертатися iз скаргами на обробку своїх персональних даних до Уповноважений або до суду;

(пункт 8 частини другої статтi 8 у редакцiї Закону України вiд 20.11.2012р. N 5491-VI, iз змiнами, внесеними згiдно iз Законом України вiд 03.07.2013р. N 383-VII)

     9) застосовувати засоби правового захисту в разi порушення законодавства про захист персональних даних;

     10) вносити застереження стосовно обмеження права на обробку своїх персональних даних пiд час надання згоди;

(частину другу статтi 8 доповнено пунктом 10 згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     11) вiдкликати згоду на обробку персональних даних;

(частину другу статтi 8 доповнено пунктом 11 згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     12) знати механiзм автоматичної обробки персональних даних;

(частину другу статтi 8 доповнено пунктом 12 згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     13) на захист вiд автоматизованого рiшення, яке має для нього правовi наслiдки.

(частину другу статтi 8 доповнено пунктом 13 згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     3. Частину третю статтi 8 виключено

(згiдно iз Законом України вiд 03.07.2013р. N 383-VII)

     Стаття 9. Повiдомлення про обробку персональних даних

     1. Володiлець персональних даних повiдомляє Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав i свобод суб'єктiв персональних даних, упродовж тридцяти робочих днiв з дня початку такої обробки.

     Види обробки персональних даних, яка становить особливий ризик для прав i свобод суб'єктiв персональних даних, та категорiї суб'єктiв, на яких поширюється вимога щодо повiдомлення, визначаються Уповноваженим.

     2. Повiдомлення про обробку персональних даних подається за формою та в порядку, визначеними Уповноваженим.

     3. Володiлець персональних даних зобов'язаний повiдомляти Уповноваженого про кожну змiну вiдомостей, що пiдлягають повiдомленню, упродовж десяти робочих днiв з дня настання такої змiни.

     4. Iнформацiя, що повiдомляється вiдповiдно до цiєї статтi, пiдлягає оприлюдненню на офiцiйному веб-сайтi Уповноваженого в порядку, визначеному Уповноваженим.

(стаття 9 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI, у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     Стаття 10. Використання персональних даних

     1. Використання персональних даних передбачає будь-якi дiї володiльця щодо обробки цих даних, дiї щодо їх захисту, а також дiї щодо надання часткового або повного права обробки персональних даних iншим суб'єктам вiдносин, пов'язаних iз персональними даними, що здiйснюються за згодою суб'єкта персональних даних чи вiдповiдно до закону.

(частина перша статтi 10 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     2. Використання персональних даних володiльцем здiйснюється у разi створення ним умов для захисту цих даних. Володiльцю забороняється розголошувати вiдомостi стосовно суб'єктiв персональних даних, доступ до персональних даних яких надається iншим суб'єктам вiдносин, пов'язаних з такими даними.

(частина друга статтi 10 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     3. Використання персональних даних працiвниками суб'єктiв вiдносин, пов'язаних з персональними даними, повинно здiйснюватися лише вiдповiдно до їхнiх професiйних чи службових або трудових обов'язкiв. Цi працiвники зобов'язанi не допускати розголошення у будь-який спосiб персональних даних, якi їм було довiрено або якi стали вiдомi у зв'язку з виконанням професiйних чи службових або трудових обов'язкiв, крiм випадкiв, передбачених законом. Таке зобов'язання чинне пiсля припинення ними дiяльностi, пов'язаної з персональними даними, крiм випадкiв, установлених законом.

(частина третя статтi 10 iз змiнами, внесеними згiдно iз Законом України вiд 27.03.2014р. N 1170-VII)

     4. Вiдомостi про особисте життя фiзичної особи не можуть використовуватися як чинник, що пiдтверджує чи спростовує її дiловi якостi.

     Стаття 11. Пiдстави для обробки персональних даних

     1. Пiдставами для обробки персональних даних є:

     1) згода суб'єкта персональних даних на обробку його персональних даних;

     2) дозвiл на обробку персональних даних, наданий володiльцю персональних даних вiдповiдно до закону виключно для здiйснення його повноважень;

     3) укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здiйснення заходiв, що передують укладенню правочину на вимогу суб'єкта персональних даних;

     4) захист життєво важливих iнтересiв суб'єкта персональних даних;

     5) необхiднiсть виконання обов'язку володiльця персональних даних, який передбачений законом;

(частину першу статтi 11 доповнено новим пунктом 5 згiдно iз Законом України вiд 03.07.2013р. N 383-VII, у зв'язку з цим пункт 5 вважати пунктом 6)

     6) необхiднiсть захисту законних iнтересiв володiльця персональних даних або третьої особи, якiй передаються персональнi данi, крiм випадкiв, коли потреби захисту основоположних прав i свобод суб'єкта персональних даних у зв'язку з обробкою його даних переважають такi iнтереси.

(пункт 6 частини першої статтi 11 у редакцiї Закону України вiд 03.07.2013р. N 383-VII)
(стаття 11 у редакцiї Закону України вiд 20.11.2012р. N 5491-VI)

     Стаття 12. Збирання персональних даних

     1. Збирання персональних даних є складовою процесу їх обробки, що передбачає дiї з пiдбору чи впорядкування вiдомостей про фiзичну особу.

(частина перша статтi 12 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     2. Суб'єкт персональних даних повiдомляється про володiльця персональних даних, склад та змiст зiбраних персональних даних, свої права, визначенi цим Законом, мету збору персональних даних та осiб, яким передаються його персональнi данi:

     в момент збору персональних даних, якщо персональнi данi збираються у суб'єкта персональних даних;

     в iнших випадках протягом тридцяти робочих днiв з дня збору персональних даних.

(частина друга статтi 12 у редакцiї Законiв України вiд 20.11.2012р. N 5491-VI, вiд 03.07.2013р. N 383-VII)

     3. Частину третю статтi 12 виключено

(згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     4. Частину четверту статтi 12 виключено

(згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     Стаття 13. Накопичення та зберiгання персональних даних

     1. Накопичення персональних даних передбачає дiї щодо поєднання та систематизацiї вiдомостей про фiзичну особу чи групу фiзичних осiб або внесення цих даних до бази персональних даних.

     2. Зберiгання персональних даних передбачає дiї щодо забезпечення їх цiлiсностi та вiдповiдного режиму доступу до них.

     Стаття 14. Поширення персональних даних

     1. Поширення персональних даних передбачає дiї щодо передачi вiдомостей про фiзичну особу за згодою суб'єкта персональних даних.

(частина перша статтi 14 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     2. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, i лише (якщо це необхiдно) в iнтересах нацiональної безпеки, економiчного добробуту та прав людини.

(частина друга статтi 14 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     3. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює цi данi.

     4. Сторона, якiй передаються персональнi данi, повинна попередньо вжити заходiв щодо забезпечення вимог цього Закону.

     Стаття 15. Видалення або знищення персональних даних

(назва статтi 15 у редакцiї Закону України вiд 20.11.2012р. N 5491-VI)

     1. Персональнi данi видаляються або знищуються в порядку, встановленому вiдповiдно до вимог закону.

(частина перша статтi 15 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     2. Персональнi данi пiдлягають видаленню або знищенню у разi:

(абзац перший частини другої статтi 15 iз змiнами, внесеними згiдно iз Законами України вiд 20.11.2012р. N 5491-VI, вiд 03.07.2013р. N 383-VII)

     1) закiнчення строку зберiгання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;

     2) припинення правовiдносин мiж суб'єктом персональних даних та володiльцем чи розпорядником бази, якщо iнше не передбачено законом;

     3) видання вiдповiдного припису Уповноваженого або визначених ним посадових осiб секретарiату Уповноваженого;

(пiдпункт 3 частини другої статтi 15 у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     4) набрання законної сили рiшенням суду щодо видалення або знищення персональних даних.

(частину другу статтi 15 доповнено пiдпунктом 4 згiдно iз Законом України вiд 03.07.2013р. N 383-VII)

     3. Персональнi данi, зiбранi з порушенням вимог цього Закону, пiдлягають видаленню або знищенню у встановленому законодавством порядку.

(частина третя статтi 15 iз змiнами, внесеними згiдно iз Законами України вiд 20.11.2012р. N 5491-VI, вiд 03.07.2013р. N 383-VII)

     4. Персональнi данi, зiбранi пiд час виконання завдань оперативно-розшукової чи контррозвiдувальної дiяльностi, боротьби з тероризмом, видаляються або знищуються вiдповiдно до вимог закону.

(частина четверта статтi 15 iз змiнами, внесеними згiдно iз Законами України вiд 20.11.2012р. N 5491-VI, вiд 03.07.2013р. N 383-VII)

     Стаття 16. Порядок доступу до персональних даних

     1. Порядок доступу до персональних даних третiх осiб визначається умовами згоди суб'єкта персональних даних на обробку цих даних, наданої володiльцю персональних даних, або вiдповiдно до вимог закону. Порядок доступу третiх осiб до персональних даних, якi перебувають у володiннi розпорядника публiчної iнформацiї, визначається Законом України "Про доступ до публiчної iнформацiї", крiм даних, що отримує вiд iнших органiв центральний орган виконавчої влади, що забезпечує формування та реалiзує державну фiнансову та бюджетну полiтику, пiд час здiйснення верифiкацiї та монiторингу державних виплат.

(частина перша статтi 16 iз змiнами, внесеними згiдно iз Законом України вiд 27.03.2014р. N 1170-VII, вiд 06.12.2016р. N 1774-VIII, у редакцiї Закону України вiд 03.12.2019р. N 324-IX)

     2. Доступ до персональних даних третiй особi не надається, якщо зазначена особа вiдмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити.

     3. Суб'єкт вiдносин, пов'язаних з персональними даними, подає запит щодо доступу (далi - запит) до персональних даних володiльцю персональних даних.

     4. У запитi зазначаються:

     1) прiзвище, iм'я та по батьковi, мiсце проживання (мiсце перебування) i реквiзити документа, що посвiдчує фiзичну особу, яка подає запит (для фiзичної особи - заявника);

     2) найменування, мiсцезнаходження юридичної особи, яка подає запит, посада, прiзвище, iм'я та по батьковi особи, яка засвiдчує запит; пiдтвердження того, що змiст запиту вiдповiдає повноваженням юридичної особи (для юридичної особи - заявника);

     3) прiзвище, iм'я та по батьковi, а також iншi вiдомостi, що дають змогу iдентифiкувати фiзичну особу, стосовно якої робиться запит;

     4) вiдомостi про базу персональних даних, стосовно якої подається запит, чи вiдомостi про володiльця чи розпорядника персональних даних;

(пункт 4 частини четвертої статтi 16 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     5) перелiк персональних даних, що запитуються;

     6) мета та/або правовi пiдстави для запиту.

(пункт 6 частини четвертої статтi 16 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     5. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днiв з дня його надходження.

     Протягом цього строку володiлець персональних даних доводить до вiдома особи, яка подає запит, що запит буде задоволено або вiдповiднi персональнi данi не пiдлягають наданню, iз зазначенням пiдстави, визначеної у вiдповiдному нормативно-правовому актi.

     Запит задовольняється протягом тридцяти календарних днiв з дня його надходження, якщо iнше не передбачено законом.

     6. Суб'єкт персональних даних має право на одержання будь-яких вiдомостей про себе у будь-якого суб'єкта вiдносин, пов'язаних з персональними даними, за умови надання iнформацiї, визначеної у пунктi 1 частини четвертої цiєї статтi, крiм випадкiв, установлених законом.

(частина шоста статтi 16 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     Стаття 17. Вiдстрочення або вiдмова у доступi до персональних даних

     1. Вiдстрочення доступу суб'єкта персональних даних до своїх персональних даних не допускається.

     2. Вiдстрочення доступу до персональних даних третiх осiб допускається у разi, якщо необхiднi данi не можуть бути наданi протягом тридцяти календарних днiв з дня надходження запиту. При цьому загальний термiн вирiшення питань, порушених у запитi, не може перевищувати сорока п'яти календарних днiв.

     Повiдомлення про вiдстрочення доводиться до вiдома третьої особи, яка подала запит, у письмовiй формi з роз'ясненням порядку оскарження такого рiшення.

     У повiдомленнi про вiдстрочення зазначаються:

     1) прiзвище, iм'я та по батьковi посадової особи;

     2) дата вiдправлення повiдомлення;

     3) причина вiдстрочення;

     4) строк, протягом якого буде задоволене запит.

     3. Вiдмова у доступi до персональних даних допускається, якщо доступ до них заборонено згiдно iз законом.

     У повiдомленнi про вiдмову зазначаються:

     1) прiзвище, iм'я, по батьковi посадової особи, яка вiдмовляє у доступi;

     2) дата вiдправлення повiдомлення;

     3) причина вiдмови.

     Стаття 18. Оскарження рiшення про вiдстрочення або вiдмову в доступi до персональних даних

     1. Рiшення про вiдстрочення або вiдмову у доступi до персональних даних може бути оскаржено до Уповноваженого Верховної Ради України з прав людини або суду.

(частина перша статтi 18 у редакцiї Закону України вiд 20.11.2012р. N 5491-VI, iз змiнами, внесеними згiдно iз Законом України вiд 03.07.2013р. N 383-VII)

     2. Якщо запит зроблено суб'єктом персональних даних щодо даних про себе, обов'язок доведення в судi законностi вiдмови у доступi покладається на володiльця персональних даних, до якого подано запит.

(частина друга статтi 18 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     Стаття 19. Оплата доступу до персональних даних

     1. Доступ суб'єкта персональних даних до даних про себе здiйснюється безоплатно.

     2. Доступ iнших суб'єктiв вiдносин, пов'язаних з персональними даними, до персональних даних певної фiзичної особи чи групи фiзичних осiб може бути платним у разi додержання умов, визначених цим Законом. Оплатi пiдлягає робота, пов'язана з обробкою персональних даних, а також робота з консультування та органiзацiї доступу до вiдповiдних даних.

     3. Розмiр плати за послуги з надання доступу до персональних даних органами державної влади визначається Кабiнетом Мiнiстрiв України.

     4. Органи державної влади та органи мiсцевого самоврядування мають право на безперешкодний i безоплатний доступ до персональних даних вiдповiдно до їх повноважень.

     Стаття 20. Змiни i доповнення до персональних даних

     1. Володiльцi чи розпорядники баз персональних даних зобов'язанi вносити змiни до персональних даних на пiдставi вмотивованої письмової вимоги суб'єкта персональних даних.

     2. Володiльцi чи розпорядники персональних даних зобов'язанi вносити змiни до персональних даних також за зверненням iнших суб'єктiв вiдносин, пов'язаних iз персональними даними, якщо на це є згода суб'єкта персональних даних чи вiдповiдна змiна здiйснюється згiдно з приписом Уповноваженого або визначених ним посадових осiб секретарiату Уповноваженого чи за рiшенням суду, що набрало законної сили.

(частина друга статтi 20 у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     3. Змiна персональних даних, якi не вiдповiдають дiйсностi, проводиться невiдкладно з моменту встановлення невiдповiдностi.

     Стаття 21. Повiдомлення про дiї з персональними даними

     1. Про передачу персональних даних третiй особi володiлець персональних даних протягом десяти робочих днiв повiдомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або iнше не передбачено законом.

     2. Повiдомлення, зазначенi у частинi першiй цiєї статтi, не здiйснюються у разi:

     1) передачi персональних даних за запитами при виконаннi завдань оперативно-розшукової чи контррозвiдувальної дiяльностi, боротьби з тероризмом;

     2) виконання органами державної влади та органами мiсцевого самоврядування своїх повноважень, передбачених законом;

     3) здiйснення обробки персональних даних в iсторичних, статистичних чи наукових цiлях;

     4) повiдомлення суб'єкта персональних даних вiдповiдно до вимог частини другої статтi 12 цього Закону.

(частину другу статтi 21 доповнено пунктом 4 згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     3. Про змiну, видалення чи знищення персональних даних або обмеження доступу до них володiлець персональних даних протягом десяти робочих днiв повiдомляє суб'єкта персональних даних, а також суб'єктiв вiдносин, пов'язаних iз персональними даними, яким цi данi було передано.

(частина третя статтi 21 iз змiнами, внесеними згiдно iз Законом України вiд 03.07.2013р. N 383-VII)

     Стаття 22. Контроль за додержанням законодавства про захист персональних даних

     1. Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здiйснюють такi органи:

     1) Уповноважений;

     2) суди.

(стаття 22 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI, у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     Стаття 23. Повноваження Уповноваженого Верховної Ради України з прав людини у сферi захисту персональних даних

     1. Уповноважений має такi повноваження у сферi захисту персональних даних:

     1) отримувати пропозицiї, скарги та iншi звернення фiзичних i юридичних осiб з питань захисту персональних даних та приймати рiшення за результатами їх розгляду;

     2) проводити на пiдставi звернень або за власною iнiцiативою виїзнi та безвиїзнi, плановi, позаплановi перевiрки володiльцiв або розпорядникiв персональних даних в порядку, визначеному Уповноваженим, iз забезпеченням вiдповiдно до закону доступу до примiщень, де здiйснюється обробка персональних даних;

     3) отримувати на свою вимогу та мати доступ до будь-якої iнформацiї (документiв) володiльцiв або розпорядникiв персональних даних, якi необхiднi для здiйснення контролю за забезпеченням захисту персональних даних, у тому числi доступ до персональних даних, вiдповiдних баз даних чи картотек, iнформацiї з обмеженим доступом;

     4) затверджувати нормативно-правовi акти у сферi захисту персональних даних у випадках, передбачених цим Законом;

     5) за пiдсумками перевiрки, розгляду звернення видавати обов'язковi для виконання вимоги (приписи) про запобiгання або усунення порушень законодавства про захист персональних даних, у тому числi щодо змiни, видалення або знищення персональних даних, забезпечення доступу до них, надання чи заборони їх надання третiй особi, зупинення або припинення обробки персональних даних;

     6) надавати рекомендацiї щодо практичного застосування законодавства про захист персональних даних, роз'яснювати права i обов'язки вiдповiдних осiб за зверненням суб'єктiв персональних даних, володiльцiв або розпорядникiв персональних даних, структурних пiдроздiлiв або вiдповiдальних осiб з органiзацiї роботи iз захисту персональних даних, iнших осiб;

     7) взаємодiяти iз структурними пiдроздiлами або вiдповiдальними особами, якi вiдповiдно до цього Закону органiзовують роботу, пов'язану iз захистом персональних даних при їх обробцi; оприлюднювати iнформацiю про такi структурнi пiдроздiли та вiдповiдальних осiб;

     8) звертатися з пропозицiями до Верховної Ради України, Президента України, Кабiнету Мiнiстрiв України, iнших державних органiв, органiв мiсцевого самоврядування, їх посадових осiб щодо прийняття або внесення змiн до нормативно-правових актiв з питань захисту персональних даних;

     9) надавати за зверненням професiйних, самоврядних та iнших громадських об'єднань чи юридичних осiб висновки щодо проектiв кодексiв поведiнки у сферi захисту персональних даних та змiн до них;

     10) складати протоколи про притягнення до адмiнiстративної вiдповiдальностi та направляти їх до суду у випадках, передбачених законом;

     11) iнформувати про законодавство з питань захисту персональних даних, проблеми його практичного застосування, права i обов'язки суб'єктiв вiдносин, пов'язаних iз персональними даними;

     12) здiйснювати монiторинг нових практик, тенденцiй та технологiй захисту персональних даних;

     13) органiзовувати та забезпечувати взаємодiю з iноземними суб'єктами вiдносин, пов'язаних iз персональними даними, у тому числi у зв'язку з виконанням Конвенцiї про захист осiб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї, iнших мiжнародних договорiв України у сферi захисту персональних даних;

     14) брати участь у роботi мiжнародних органiзацiй з питань захисту персональних даних.

     2. Уповноважений Верховної Ради України з прав людини включає до своєї щорiчної доповiдi про стан додержання та захисту прав i свобод людини i громадянина в Українi звiт про стан додержання законодавства у сферi захисту персональних даних.

(стаття 23 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI, у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     Стаття 24. Забезпечення захисту персональних даних

     1. Володiльцi, розпорядники персональних даних та третi особи зобов'язанi забезпечити захист цих даних вiд випадкових втрати або знищення, вiд незаконної обробки, у тому числi незаконного знищення чи доступу до персональних даних.

     2. В органах державної влади, органах мiсцевого самоврядування, а також у володiльцях чи розпорядниках персональних даних, що здiйснюють обробку персональних даних, яка пiдлягає повiдомленню вiдповiдно до цього Закону, створюється (визначається) структурний пiдроздiл або вiдповiдальна особа, що органiзовує роботу, пов'язану iз захистом персональних даних при їх обробцi.

     Iнформацiя про зазначений структурний пiдроздiл або вiдповiдальну особу повiдомляється Уповноваженому Верховної Ради України з прав людини, який забезпечує її оприлюднення.

     3. Структурний пiдроздiл або вiдповiдальна особа, що органiзовує роботу, пов'язану iз захистом персональних даних при їх обробцi:

     1) iнформує та консультує володiльця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;

     2) взаємодiє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його секретарiату з питань запобiгання та усунення порушень законодавства про захист персональних даних.

     4. Фiзичнi особи - пiдприємцi, у тому числi лiкарi, якi мають вiдповiдну лiцензiю, адвокати, нотарiуси особисто забезпечують захист персональних даних, якими вони володiють, згiдно з вимогами закону.

(стаття 24 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI, у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     Стаття 25. Обмеження дiї цього Закону

     1. Обмеження дiї статей 6, 7 i 8 цього Закону може здiйснюватися у випадках, передбачених законом, наскiльки це необхiдно у демократичному суспiльствi в iнтересах нацiональної безпеки, економiчного добробуту або захисту прав i свобод суб'єктiв персональних даних чи iнших осiб.

     2. Дозволяється обробка персональних даних без застосування положень цього Закону, якщо така обробка здiйснюється:

     1) фiзичною особою виключно для особистих чи побутових потреб;

     2) виключно для журналiстських та творчих цiлей, за умови забезпечення балансу мiж правом на повагу до особистого життя та правом на свободу вираження поглядiв.

(стаття 25 у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     3. Дiя цього Закону не поширюється на вiдносини щодо отримання архiвної iнформацiї репресивних органiв.

(статтю 25 доповнено частиною третьою згiдно iз Законом України вiд 09.04.2015р. N 316-VIII)

     Стаття 26. Фiнансування робiт iз захисту персональних даних

     Фiнансування робiт та заходiв щодо забезпечення захисту персональних даних здiйснюється за рахунок коштiв Державного бюджету України та мiсцевих бюджетiв, коштiв суб'єктiв вiдносин, пов'язаних iз персональними даними.

     Стаття 27. Застосування положень цього Закону

     1. Положення щодо захисту персональних даних, викладенi в цьому Законi, можуть доповнюватися чи уточнюватися iншими законами, за умови, що вони встановлюють вимоги щодо захисту персональних даних, що не суперечать вимогам цього Закону.

     2. Професiйнi, самовряднi та iншi громадськi об'єднання чи юридичнi особи можуть розробляти кодекси поведiнки з метою забезпечення ефективного захисту прав суб'єктiв персональних даних, додержання законодавства про захист персональних даних з урахуванням специфiки обробки персональних даних у рiзних сферах. При розробленнi такого кодексу поведiнки або внесеннi змiн до нього вiдповiдне об'єднання чи юридична особа може звернутися за висновком до Уповноваженого.

(частина друга статтi 27 iз змiнами, внесеними згiдно iз Законом України вiд 20.11.2012р. N 5491-VI, у редакцiї Закону України вiд 03.07.2013р. N 383-VII)

     Стаття 28. Вiдповiдальнiсть за порушення законодавства про захист персональних даних

     Порушення законодавства про захист персональних даних тягне за собою вiдповiдальнiсть, встановлену законом.

     Стаття 29. Мiжнародне спiвробiтництво та передача персональних даних

     1. Спiвробiтництво з iноземними суб'єктами вiдносин, пов'язаних iз персональними даними, регулюється Конституцiєю України, цим Законом, iншими нормативно-правовими актами та мiжнародними договорами України.

     2. Якщо мiжнародним договором України, згода на обов'язковiсть якого надана Верховною Радою України, встановлено iншi правила, нiж тi, що передбаченi законодавством України, то застосовуються правила мiжнародного договору України.

     3. Передача персональних даних iноземним суб'єктам вiдносин, пов'язаних iз персональними даними, здiйснюється лише за умови забезпечення вiдповiдною державою належного захисту персональних даних у випадках, встановлених законом або мiжнародним договором України.

     Держави - учасницi Європейського економiчного простору, а також держави, якi пiдписали Конвенцiю Ради Європи про захист осiб у зв'язку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рiвень захисту персональних даних.

     Кабiнет Мiнiстрiв України визначає перелiк держав, якi забезпечують належний захист персональних даних.

     Персональнi данi не можуть поширюватися з iншою метою, нiж та, з якою вони були зiбранi.

(частина третя статтi 29 у редакцiї Закону України вiд 20.11.2012р. N 5491-VI)

     4. Персональнi данi можуть передаватися iноземним суб'єктам вiдносин, пов'язаних з персональними даними, також у разi:

     1) надання суб'єктом персональних даних однозначної згоди на таку передачу;

     2) необхiдностi укладення чи виконання правочину мiж володiльцем персональних даних та третьою особою - суб'єктом персональних даних на користь суб'єкта персональних даних;

     3) необхiдностi захисту життєво важливих iнтересiв суб'єктiв персональних даних;

     4) необхiдностi захисту суспiльного iнтересу, встановлення, виконання та забезпечення правової вимоги;

     5) надання володiльцем персональних даних вiдповiдних гарантiй щодо невтручання в особисте i сiмейне життя суб'єкта персональних даних.

(статтю 29 доповнено частиною четвертою згiдно iз Законом України вiд 20.11.2012р. N 5491-VI)

     Стаття 30. Прикiнцевi положення

     1. Цей Закон набирає чинностi з 1 сiчня 2011 року.

     2. Кабiнету Мiнiстрiв України протягом шести мiсяцiв з дня набрання чинностi цим Законом:

     забезпечити прийняття нормативно-правових актiв, передбачених цим Законом;

     забезпечити приведення своїх нормативно-правових актiв у вiдповiднiсть iз цим Законом.

Президент України В. ЯНУКОВИЧ

м. Київ
1 червня 2010 року
N 2297-VI

Copyright © 2021 НТФ «Інтес»
Всі права захищені.