ЗАКОН  УКРАЇНИ

Про внесення змiн до Закону України "Про захист персональних даних"

     Верховна Рада України постановляє:

     I. Внести до Закону України "Про захист персональних даних" (Вiдомостi Верховної Ради України, 2010 р., N 34, ст. 481; iз змiнами, внесеними Законом України вiд 23 лютого 2012 року N 4452-VI) такi змiни:

     1. Статтю 1 викласти в такiй редакцiї:

     "Стаття 1. Сфера дiї Закону

     Цей Закон регулює правовi вiдносини, пов'язанi iз захистом i обробкою персональних даних, i спрямований на захист основоположних прав i свобод людини i громадянина, зокрема права на невтручання в особисте життя, у зв'язку з обробкою персональних даних.

     Цей Закон поширюється на дiяльнiсть з обробки персональних даних, яка здiйснюється повнiстю або частково iз застосуванням автоматизованих засобiв, а також на обробку персональних даних, що мiстяться у картотецi чи призначенi до внесення до картотеки, iз застосуванням неавтоматизованих засобiв.

     Цей Закон не поширюється на дiяльнiсть з обробки персональних даних, яка здiйснюється фiзичною особою виключно для особистих чи побутових потреб.

     Положення цього Закону не поширюються на дiяльнiсть з обробки персональних даних, яка здiйснюється творчим чи лiтературним працiвником, у тому числi журналiстом, у професiйних цiлях, за умови забезпечення балансу мiж правом на невтручання в особисте життя та правом на самовираження".

     2. У статтi 2:

     1) в абзацi третьому слова "у цiй базi даних" виключити;

     2) абзац п'ятий викласти в такiй редакцiї:

     "згода суб'єкта персональних даних - добровiльне волевиявлення фiзичної особи (за умови її поiнформованостi) щодо надання дозволу на обробку її персональних даних вiдповiдно до сформульованої мети їх обробки, висловлене у письмовiй формi або у формi, що дає змогу зробити висновок про її надання";

     3) абзац шостий пiсля слiв "дають змогу" доповнити словами "прямо чи опосередковано";

     4) абзац сьомий викласти в такiй редакцiї:

     "обробка персональних даних - будь-яка дiя або сукупнiсть дiй, таких як збирання, реєстрацiя, накопичення, зберiгання, адаптування, змiна, поновлення, використання i поширення (розповсюдження, реалiзацiя, передача), знеособлення, знищення персональних даних, у тому числi з використанням iнформацiйних (автоматизованих) систем";

     5) доповнити з урахуванням алфавiтного порядку термiнами такого змiсту:

     "картотека - будь-якi структурованi персональнi данi, доступнi за визначеними критерiями, незалежно вiд того, чи такi данi централiзованi, децентралiзованi або роздiленi за функцiональними чи географiчними принципами";

     "одержувач - фiзична чи юридична особа, якiй надаються персональнi данi, у тому числi третя особа";

     6) абзац одинадцятий пiсля слiв "цi данi" доповнити словами "вiд iменi володiльця".

     3. У статтi 4:

     1) абзац сьомий частини першої виключити;

     2) у частинi третiй слово "якої" замiнити словом "яких";

     3) доповнити частинами четвертою i п'ятою такого змiсту:

     "4. Володiлець персональних даних може доручити обробку персональних даних розпоряднику персональних даних вiдповiдно до договору, укладеного в письмовiй формi.

     5. Розпорядник персональних даних може обробляти персональнi данi лише з метою i в обсязi, визначених у договорi".

     4. У статтi 5:

     1) у частинi першiй слова "якi обробляються в базах персональних даних" виключити;

     2) частини третю i четверту виключити.

     5. У статтi 6:

     1) у частинi першiй:

     пiсля абзацу першого доповнити новим абзацом такого змiсту:

     "Обробка персональних даних здiйснюється вiдкрито i прозоро iз застосуванням засобiв та у спосiб, що вiдповiдають визначеним цiлям такої обробки".

     У зв'язку з цим абзац другий вважати абзацом третiм;

     абзац третiй доповнити словами "якщо нова мета обробки є несумiсною з попередньою";

     2) частину другу викласти в такiй редакцiї:

     "2. Персональнi данi мають бути точними, достовiрними та оновлюватися в мiру потреби, визначеної метою їх обробки";

     3) у частинi третiй:

     абзац перший пiсля слiв "бути вiдповiдними" доповнити словом "адекватними";

     абзац другий виключити;

     4) частину дев'яту викласти в такiй редакцiї:

     "9. Обробка персональних даних в iсторичних, статистичних чи наукових цiлях може здiйснюватися лише за умови забезпечення їх належного захисту";

     5) у частинi десятiй:

     абзац перший викласти в такiй редакцiї:

     "10. Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, що забезпечує формування державної полiтики у сферi захисту персональних даних";

     абзац другий виключити.

     6. У статтi 7:

     1) частину першу пiсля слiв "професiйних спiлках" доповнити словами "звинувачення у скоєннi злочину або засудження до кримiнального покарання";

     2) у частинi другiй:

     пункт 2 пiсля слiв "виконання обов'язкiв" доповнити словом "володiльця", а пiсля слiв "до закону" - словами "iз забезпеченням вiдповiдного захисту";

     пункт 3 пiсля слiв "для захисту" доповнити словами "життєво важливих";

     пункт 4 пiсля слова "здiйснюється" доповнити словами "iз забезпеченням вiдповiдного захисту";

     пункт 6 викласти в такiй редакцiї:

     "6) необхiдна в цiлях охорони здоров'я, встановлення медичного дiагнозу, для забезпечення пiклування чи лiкування або надання медичних послуг за умови, що такi данi обробляються медичним працiвником або iншою особою закладу охорони здоров'я, на якого покладено обов'язки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лiкарську таємницю".

     7. У частинi другiй статтi 8:

     у пунктах 1 i 6 слова "цiєї бази" замiнити словами "персональних даних";

     у пунктах 2 i 3 слова "що мiстяться у вiдповiднiй базi персональних даних" виключити;

     пункти 5 i 8 викласти в такiй редакцiї:

     "5) пред'являти вмотивовану вимогу володiльцю персональних даних iз запереченням проти обробки своїх персональних даних";

     "8) звертатися iз скаргами на обробку своїх персональних даних до органiв державної влади та посадових осiб, до повноважень яких належить забезпечення захисту персональних даних, або до суду";

     доповнити пунктами 10 - 13 такого змiсту:

     "10) вносити застереження стосовно обмеження права на обробку своїх персональних даних пiд час надання згоди;

     11) вiдкликати згоду на обробку персональних даних;

     12) знати механiзм автоматичної обробки персональних даних;

     13) на захист вiд автоматизованого рiшення, яке має для нього правовi наслiдки".

     8. У статтi 9:

     1) частину другу доповнити абзацами другим - четвертим такого змiсту:

     "Володiлець персональних даних звiльняється вiд обов'язку реєстрацiї баз персональних даних:

     ведення яких пов'язано iз забезпеченням та реалiзацiєю трудових вiдносин;

     членiв громадських, релiгiйних органiзацiй, професiйних спiлок, полiтичних партiй";

     2) частину третю пiсля абзацу шостого доповнити трьома новими абзацами такого змiсту:

     "iнформацiю про склад персональних даних, якi обробляються; iнформацiю про третiх осiб, яким передаються персональнi данi; iнформацiю про транскордонну передачу персональних даних".

     У зв'язку з цим абзаци сьомий i восьмий вважати вiдповiдно абзацами десятим i одинадцятим;

     3) у частинi четвертiй:

     абзац другий виключити;

     в абзацi третьому слово "десяти" замiнити словом "тридцяти".

     9. У частинах першiй i другiй статтi 10 слово "бази" виключити.

     10. Статтю 11 викласти в такiй редакцiї:

     "Стаття 11. Пiдстави для обробки персональних даних

     1. Пiдставами для обробки персональних даних є:

     1) згода суб'єкта персональних даних на обробку його персональних даних;

     2) дозвiл на обробку персональних даних, наданий володiльцю персональних даних вiдповiдно до закону виключно для здiйснення його повноважень;

     3) укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здiйснення заходiв, що передують укладенню правочину на вимогу суб'єкта персональних даних;

     4) захист життєво важливих iнтересiв суб'єкта персональних даних;

     5) необхiднiсть захисту законних iнтересiв володiльцiв персональних даних, третiх осiб, крiм випадкiв, коли суб'єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий iнтерес".

     11. У статтi 12:

     1) у частинi першiй слова "та внесення їх до бази персональних даних" виключити;

     2) частину другу викласти в такiй редакцiї:

     "2. У момент збору персональних даних або у випадках, передбачених пунктами 2 - 5 частини першої статтi 11 цього Закону, протягом десяти робочих днiв з дня збору персональних даних суб'єкт персональних даних повiдомляється про володiльця персональних даних, склад та змiст зiбраних персональних даних, права такого суб'єкта, визначенi цим Законом, мету збору персональних даних та осiб, яким передаються його персональнi данi";

     3) частини третю i четверту виключити.

     12. У статтi 14:

     1) у частинi першiй слова "з баз персональних даних" виключити;

     2) частину другу пiсля слiв "i лише" доповнити словами "(якщо це необхiдно)".

     13. У статтi 15:

     1) назву викласти в такiй редакцiї:

     "Стаття 15. Видалення або знищення персональних даних";

     2) частину першу пiсля слiв "персональних даних" доповнити словами "видаляються або";

     3) у текстi статтi слова "в базах персональних даних" в усiх вiдмiнках i числах виключити.

     14. У статтi 16:

     1) у частинi четвертiй:

     у пунктi 4 слова "цiєї бази" замiнити словами "персональних даних";

     пункт 6 пiсля слова "мета" доповнити словами "та/або правовi пiдстави для";

     2) у частинi шостiй слова "без зазначення мети запиту" замiнити словами "за умови надання iнформацiї, визначеної у пунктi 1 частини четвертої цiєї статтi".

     15. У статтi 18:

     1) частину першу викласти в такiй редакцiї:

     "1. Рiшення про вiдстрочення або вiдмову у доступi до персональних даних може бути оскаржено до суду";

     2) у частинi другiй слово "бази" виключити.

     16. Частину другу статтi 21 доповнити пунктом 4 такого змiсту:

     "4) повiдомлення суб'єкта персональних даних вiдповiдно до вимог частини другої статтi 12 цього Закону".

     17. У пунктi 2 частини першої статтi 22 слова "та органи мiсцевого самоврядування" виключити.

     18. У статтi 23:

     1) частину першу викласти в такiй редакцiї:

     "1. Уповноважений державний орган з питань захисту персональних даних - центральний орган виконавчої влади, що забезпечує реалiзацiю державної полiтики у сферi захисту персональних даних.

     Уповноважений державний орган з питань захисту персональних даних є незалежним у реалiзацiї повноважень, передбачених цим Законом";

     2) у частинi другiй:

     пункт 4 пiсля слiв "захист персональних даних" доповнити словами "шляхом проведення виїзних та безвиїзних перевiрок володiльцiв та/або розпорядникiв персональних даних";

     доповнити пунктами 9 - 13 такого змiсту:

     "9) надає володiльцям та розпорядникам персональних даних i суб'єктам персональних даних iнформацiю щодо їх прав та обов'язкiв;

     10) здiйснює монiторинг нових практик, тенденцiй i технологiй захисту персональних даних;

     11) видає рекомендацiї щодо практичного застосування положень законодавства про захист персональних даних;

     12) вносить пропозицiї щодо формування полiтики у сферi захисту персональних даних у порядку, визначеному законодавством;

     13) погоджує корпоративнi кодекси поведiнки вiдповiдно до частини другої статтi 27 цього Закону";

     3) доповнити частинами третьою - п'ятою такого змiсту:

     "3. Голова уповноваженого державного органу з питань захисту персональних даних та його заступники призначаються вiдповiдно до вимог, встановлених законодавством.

     4. Штатний розпис i кошторис уповноваженого державного органу з питань захисту персональних даних затверджує його Голова за погодженням з Мiнiстром фiнансiв України.

     Голова уповноваженого державного органу з питань захисту персональних даних приймає в установленому порядку рiшення про розподiл бюджетних коштiв, розпорядником яких є уповноважений державний орган з питань захисту персональних даних.

     5. Звiт про виконання уповноваженим державним органом з питань захисту персональних даних завдань та планiв роботи є загальнодоступним, публiкується на його офiцiйному веб-сайтi i подається Президенту України, Кабiнету Мiнiстрiв України та Верховнiй Радi України".

     19. У статтi 24:

     1) у назвi слова "у базах персональних даних" виключити;

     2) частину другу пiсля слiв "вiд незаконної обробки" доповнити словами "у тому числi вiд втрати, незаконного або випадкового знищення";

     3) частину четверту виключити;

     4) у частинi шостiй слово "баз" виключити.

     20. Частину другу статтi 27 доповнити словами "за погодженням з уповноваженим державним органом з питань захисту персональних даних".

     21. У статтi 29:

     1) назву викласти в такiй редакцiї:

     "Стаття 29. Мiжнародне спiвробiтництво та передача персональних даних";

     2) частину третю викласти в такiй редакцiї:

     "3. Передача персональних даних iноземним суб'єктам вiдносин, пов'язаних iз персональними даними, здiйснюється лише за умови забезпечення вiдповiдною державою належного захисту персональних даних у випадках, встановлених законом або мiжнародним договором України.

     Держави - учасницi Європейського економiчного простору, а також держави, якi пiдписали Конвенцiю Ради Європи про захист осiб у зв'язку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рiвень захисту персональних даних.

     Кабiнет Мiнiстрiв України визначає перелiк держав, якi забезпечують належний захист персональних даних.

     Персональнi данi не можуть поширюватися з iншою метою, нiж та, з якою вони були зiбранi";

     3) доповнити частиною четвертою такого змiсту:

     "4. Персональнi данi можуть передаватися iноземним суб'єктам вiдносин, пов'язаних з персональними даними, також у разi:

     1) надання суб'єктом персональних даних однозначної згоди на таку передачу;

     2) необхiдностi укладення чи виконання правочину мiж володiльцем персональних даних та третьою особою - суб'єктом персональних даних на користь суб'єкта персональних даних;

     3) необхiдностi захисту життєво важливих iнтересiв суб'єктiв персональних даних;

     4) необхiдностi захисту суспiльного iнтересу, встановлення, виконання та забезпечення правової вимоги;

     5) надання володiльцем персональних даних вiдповiдних гарантiй щодо невтручання в особисте i сiмейне життя суб'єкта персональних даних".

     22. У текстi Закону слова "володiлець бази персональних даних" i "розпорядник бази персональних даних" у всiх вiдмiнках i числах замiнити вiдповiдно словами "володiлець персональних даних" i "розпорядник персональних даних" у вiдповiдному вiдмiнку i числi.

     II. Прикiнцевi положення

     1. Цей Закон набирає чинностi з дня, наступного за днем його опублiкування.

     2. Кабiнету Мiнiстрiв України:

     протягом одного мiсяця з дня набрання чинностi цим Законом забезпечити приведення своїх нормативно-правових актiв у вiдповiднiсть iз цим Законом;

     забезпечити перегляд та приведення мiнiстерствами та iншими центральними органами виконавчої влади їх нормативно-правових актiв у вiдповiднiсть iз цим Законом.

Президент України

В. ЯНУКОВИЧ

м. Київ
20 листопада 2012 року
N 5491-VI