Про внесення змін до Закону України "Про захист персональних даних" (щодо удосконалення правового регулювання у цій сфері) (Друге читання)
| 0. |
Проект |
| 1. |
ЗАКОН УКРАЇНИ |
| 2. |
Про внесення змін до Закону України |
| 3. |
“Про захист персональних даних” |
| 4. |
Верховна Рада України п о с т а н о в л я є: |
| 5. |
І. Внести до Закону України «Про захист персональних даних» (Відомості Верховної Ради України, 2010 р., № 34, ст. 481) такі зміни: |
| 6. |
1. Статтю 1 викласти в такій редакції: |
| 7. |
«Стаття 1. Сфера дії Закону |
| 8. |
Цей Закон захищає основоположні права та свободи фізичних осіб, зокрема право на невтручання в особисте життя під час обробки персональних даних. |
| 9. |
Цей Закон поширюється на діяльність з обробки персональних даних, яка провадиться повністю або частково із застосуванням автоматичних засобів, а також на обробку персональних даних, які містяться в картотеці чи призначені до внесення в картотеку, із застосуванням неавтоматичних засобів. |
| 10. |
Цей Закон не поширюється на діяльність з обробки персональних даних: |
| 11. |
що провадиться фізичною особою виключно для особистих чи побутових потреб або з метою художньої чи літературної творчості; |
| 12. |
що провадиться журналістом для своїх професійних цілей.». |
| 13. |
2. У статті 2: |
| 14. |
в абзаці третьому слова «у цій базі даних» виключити; |
| 15. |
абзац п’ятий викласти в такій редакції: |
| 16. |
«згода суб’єкта персональних даних — добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання;»; |
| 17. |
абзац шостий після слів «дають змогу» доповнити словами «прямо чи опосередковано»; |
| 18. |
абзац сьомий викласти в такій редакції: |
| 19. |
«обробка персональних даних — будь-яка дія або сукупність дій, пов’язаних із збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу, незалежно від того, чи здійснюються вони автоматично;»; |
| 20. |
доповнити статтю абзацом восьмим такого змісту: |
| 21. |
«одержувач – фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;». |
| 22. |
У зв’язку з цим абзаци восьмий — одинадцятий вважати абзацами дев’ятим — дванадцятим; |
| 23. |
доповнити абзац десятий після слів «ці дані» словами «від імені володільця». |
| 24. |
3. У статті 4: |
| 25. |
абзац сьомий частини першої виключити; |
| 26. |
у частині третій слово «якої» замінити словом «яких»; |
| 27. |
доповнити статтю частинами четвертою і п’ятою такого змісту: |
| 28. |
«4. Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору в письмовій формі. |
| 29. |
5. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, що визначені в договорі.». |
| 30. |
4. Частини третю і четверту статті 5 виключити. |
| 31. |
5. У статті 6: |
| 32. |
у частині першій: |
| 33. |
доповнити частину абзацом другим такого змісту: |
| 34. |
«Обробка персональних даних здійснюється відкрито і прозоро із застосуванням способів та засобів, які є відповідними визначеним цілям такої обробки.». |
| 35. |
У зв’язку з цим абзац другий вважати абзацом третім; |
| 36. |
доповнити абзац третій після слів «зміненої мети,» словами «якщо нова мета обробки є несумісною з попередньою»; |
| 37. |
частину другу викласти в такій редакції: |
| 38. |
«Персональні дані мають бути точними, достовірними та оновлюватися, в міру потреби, визначеної метою їх обробки.»; |
| 39. |
у частині третій: |
| 40. |
після слів «бути відповідними,» доповнити частину словом «адекватними»; |
| 41. |
абзац другий виключити; |
| 42. |
частину дев’яту викласти в такій редакції: |
| 43. |
«Обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише за умови забезпечення їх належного захисту.»; |
| 44. |
абзац перший частини десятої викласти в такій редакції: |
| 45. |
«Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, який забезпечує формування державної політики у сфері захисту персональних даних.». |
| 46. |
6. У статті 7: |
| 47. |
частину першу після слів «професійних спілках,» доповнити словами «звинувачення у скоєнні злочину або засудження до кримінального покарання,»; |
| 48. |
у частині другій: |
| 49. |
пункт 2 після слів «виконання обов’язків» доповнити словом «володільця», а після слів «до закону» — словами «із забезпеченням відповідного захисту»; |
| 50. |
пункт 3 після слів «для захисту» доповнити словами «життєво важливих»; |
| 51. |
пункт 4 після слова «здійснюється» доповнити словами «із забезпеченням відповідного захисту»; |
| 52. |
пункт 6 викласти в такій редакції: |
| 53. |
«необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування, або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лікарську таємницю;». |
| 54. |
7. У частині другій статті 8: |
| 55. |
у пунктах 1 і 6 слова «цієї бази» замінити словами «персональних даних»; |
| 56. |
у пунктах 2 і 3 слова «що містяться у відповідній базі персональних даних» виключити; |
| 57. |
пункт 5 викласти в такій редакції: |
| 58. |
«пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;»; |
| 59. |
пункт 8 викласти в такій редакції: |
| 60. |
«8) звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних;»; |
| 61. |
доповнити частину пунктами 10—13 такого змісту: |
| 62. |
«10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди; |
| 63. |
11) відкликати згоду на обробку персональних даних; |
| 64. |
12) знати механізм автоматичної обробки персональних даних; |
| 65. |
13) на захист від автоматизованого рішення, яке має для нього правові наслідки.». |
| 66. |
8. У статті 9: |
| 67. |
частину другу доповнити абзацами такого змісту: |
| 68. |
«Володілець персональних даних звільняється від обов’язку реєстрації баз персональних даних: |
| 69. |
ведення яких пов’язано із забезпеченням та реалізацією трудових відносин; |
| 70. |
членів громадських, релігійних організацій, професійних спілок, |
| 71. |
а також політичних партій.»; |
| 72. |
частину третю після абзацу шостого доповнити абзацами такого змісту: |
| 73. |
«інформацію про склад персональних даних, які обробляються; |
| 74. |
інформацію про третіх осіб, яким передаються персональні дані; |
| 75. |
інформацію про транскордонну передачу персональних даних;». |
| 76. |
У зв’язку з цим абзаци сьомий і восьмий вважати відповідно абзацами десятим і одинадцятим; |
| 77. |
абзац другий частини четвертої виключити; |
| 78. |
в абзаці третьому слово «десяти» замінити словом «тридцяти». |
| 79. |
9. У частинах першій і другій статті 10 слово «бази» виключити. |
| 80. |
10. Статтю 11 викласти в такій редакції: |
| 81. |
«Стаття 11. Підстави для обробки персональних даних |
| 82. |
1. Підставами для обробки персональних даних є: |
| 83. |
1) згода суб’єкта персональних даних на обробку його персональних даних; |
| 84. |
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень; |
| 85. |
3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних або для здійснення заходів, які передують укладенню правочину на вимогу суб’єкта персональних даних; |
| 86. |
4) захист життєво важливих інтересів суб’єкта персональних даних; |
| 87. |
5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.». |
| 88. |
11. У статті 12: |
| 89. |
у частині першій слова «та внесення їх до бази персональних даних» виключити; |
| 90. |
частину другу викласти в такій редакції: |
| 91. |
«У випадках, передбачених пунктами 2—5 частини першої статті 11 цього Закону, суб’єкту персональних даних протягом десяти робочих днів з дня збору його персональних даних повідомляється про володільця персональних даних, права такого суб’єкта, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані.»; |
| 92. |
частини третю та четверту виключити. |
| 93. |
12. У статті 14: |
| 94. |
у частині першій слова «з баз персональних даних» виключити; |
| 95. |
частину другу після слів «і лише» доповнити словами « (якщо це необхідно)». |
| 96. |
13. У статті 15: |
| 97. |
назву статті викласти в такій редакції: |
| 98. |
«Стаття 15. Видалення або знищення персональних даних»; |
| 99. |
у частинах першій і другій слова «в базах персональних даних» в усіх відмінках виключити; |
| 100. |
частину першу після слів «персональних даних» доповнити словами «видаляються або». |
| 101. |
14. У статті 16: |
| 102. |
у пункті 4 частини четвертої слова «цієї бази» замінити словами «персональних даних»; |
| 103. |
пункт 6 частини четвертої після слова «мета» доповнити словами «та/або правові підстави»; |
| 104. |
у частині шостій слова «без зазначення мети запиту,» замінити словами «за умови надання інформації, визначеної у пункті 1 частини четвертої цієї статті,». |
| 105. |
15. У статті 18: |
| 106. |
у частині першій слова «інших органів державної влади та органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних,» виключити; |
| 107. |
у частині другій слово «бази» виключити. |
| 108. |
16. Частину другу статті 21 доповнити пунктом 4 такого змісту: |
| 109. |
«4) повідомлення суб’єкта персональних даних відповідно до вимог частини другої статті 12 цього Закону.». |
| 110. |
17. У пункті 2 частини першої статті 22 слова «та органи місцевого самоврядування» виключити. |
| 111. |
18. У статті 23: |
| 112. |
частину першу викласти в такій редакції: |
| 113. |
«1. Уповноважений державний орган з питань захисту персональних даних — центральний орган виконавчої влади, який забезпечує реалізацію державної політики у сфері захисту персональних даних. |
| 114. |
Уповноважений державний орган з питань захисту персональних даних є незалежним у реалізації повноважень, передбачених цим Законом.»; |
| 115. |
у частині другій: |
| 116. |
пункт 4 після слів «захист персональних даних» доповнити словами «шляхом проведення виїзних та безвиїзних перевірок володільців та/або розпорядників персональних даних»; |
| 117. |
доповнити частину пунктами 9—13 такого змісту: |
| 118. |
«9) надає володільцям та розпорядникам персональних даних і суб’єктам персональних даних інформацію щодо їх прав та обов’язків; |
| 119. |
10) здійснює моніторинг нових практик, тенденцій та технологій захисту персональних даних; |
| 120. |
11) видає рекомендації щодо практичного застосування положень законодавства про захист персональних даних; |
| 121. |
12) вносить пропозиції щодо формування політики у сфері захисту персональних даних в порядку, визначеному законодавством; |
| 122. |
13) погоджує корпоративні кодекси поведінки відповідно до частини другої статті 27 цього Закону.»; |
| 123. |
доповнити статтю частинами третьою — п’ятою такого змісту: |
| 124. |
«3. Голова уповноваженого державного органу з питань захисту персональних даних та його заступники призначаються відповідно до вимог, встановлених законодавством. |
| 125. |
4. Штатний розпис і кошторис уповноваженого державного органу з питань захисту персональних даних затверджує його Голова за погодженням з Міністром фінансів України. |
| 126. |
Голова уповноваженого державного органу з питань захисту персональних даних приймає в установленому порядку рішення про розподіл бюджетних коштів, розпорядником яких є уповноважений державний орган з питань захисту персональних даних. |
| 127. |
5. Звіт про виконання уповноваженим державним органом з питань захисту персональних даних завдань та планів роботи є загальнодоступним, публікується на його офіційному веб-сайті та подається Президенту України, Кабінетові Міністрів України та Верховній Раді України.». |
| 128. |
19. У статті 24: |
| 129. |
у назві статті слова «у базах персональних даних» виключити; |
| 130. |
частину другу після слів «від незаконної обробки» доповнити словами «, в тому числі від втрати, незаконного або випадкового знищення»; |
| 131. |
частину четверту виключити; |
| 132. |
у частині шостій слово «баз» виключити. |
| 133. |
20. Частину другу статті 27 після слів «у різних сферах,» доповнити словами «за погодженням з уповноваженим державним органом з питань захисту персональних даних». |
| 134. |
21. У статті 29: |
| 135. |
назву статті викласти в такій редакції: |
| 136. |
«Стаття 29. Міжнародне співробітництво та передача персональних даних»; |
| 137. |
частину третю викласти в такій редакції: |
| 138. |
«3. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України. |
| 139. |
Держави — учасниці Європейського економічного простору, а також держави, які підписали Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рівень захисту персональних даних. |
| 140. |
Кабінет Міністрів України визначає перелік держав, які забезпечують належний захист персональних даних. |
| 141. |
Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.»; |
| 142. |
доповнити статтю частиною четвертою такого змісту: |
| 143. |
«4. Персональні дані можуть передаватися іноземним суб’єктам відносин, пов’язаних з персональними даними, також у разі: |
| 144. |
1) надання суб’єктом персональних даних однозначної згоди на таку передачу; |
| 145. |
2) необхідності укладення чи виконання правочину між володільцем персональних даних та третьою особою — суб’єктом персональних даних на користь суб’єкта персональних даних; |
| 146. |
3) необхідності захисту життєво важливих інтересів суб’єктів персональних даних; |
| 147. |
4) необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення правової вимоги; |
| 148. |
5) надання володільцем персональних даних відповідних гарантій щодо невтручання в особисте і сімейне життя суб’єкта персональних даних.». |
| 149. |
22. У тексті Закону слова «володілець бази персональних даних» і «розпорядник бази персональних даних» у всіх відмінках замінити відповідно словами «володілець персональних даних» і «розпорядник персональних даних» у відповідному відмінку. |
| 150. |
ІІ. Прикінцеві положення |
| 151. |
1. Цей Закон набирає чинності з дня, наступного за днем його опублікування. |
| 152. |
2. Кабінету Міністрів України протягом одного місяця з дня набрання чинності цим Законом забезпечити приведення власних нормативно-правових актів у відповідність із цим Законом. |