“Про інформацію персонального характеру”

Цей Закон визначає правові і організаційні засади поводження з інформацією персонального характеру у відповідності з міжнародними зобов’язаннями України з метою забезпечення ефективної реалізації конституційного права на приватність інформації персонального характеру і задоволення потреб суспільства щодо обробки персональних даних. Розділ I. ЗАГАЛЬНІ ПОЛОЖЕННЯ

Стаття 1. Визначення термінів

Для цілей цього Закону терміни і їх визначення вживаються в такому значенні:

інформація персонального характеру (персональні дані) – зафіксована на матеріальному носії будь-яка інформація про фізичну особу, що ідентифікована чи може бути ідентифікована (суб’єкт да-них). Такою, що може бути ідентифікована, вважається будь-яка фізична особа, чия особистість може бути встановлена безпосередньо чи опосередковано, зокрема, через ідентифікаційний номер або один чи декілька специфічних елементів фізичної, фізіологічної, психічної, економічної, культурної або соціальної тотожності;

вразливі дані – персональні дані, обробка яких несе підвищений ризик для суб’єкта даних. До вразливих даних відносяться персональні дані, які розкривають расове або етнічне походження чи національність, політичні погляди, релігійні або філософські переконання, членство у профспілках чи громадських організаціях, дані, які стосуються стану здоров’я чи надання медико-санітарної допомо-ги, сімейних і особистих стосунків приватного характеру чи статевого життя, відомості про притяг-нення суб’єкта даних до кримінальної, адміністративної або дисциплінарної відповідальності за про-типравні діяння; а також інші персональні дані, які з огляду на їх характер і обставини можуть визна-ватися вразливими законами України;

інформація, що становить інтерес для громадськості – відомості, пов’язані з виконанням орга-нами державної влади, місцевого самоврядування, державними установами і організаціями, а також посадовими особами цих органів, установ і організацій покладених на них за законодавством функцій і повноважень, їх доходами і видатками, за виключенням тих відомостей, що віднесені до державної таємниці;

приватність (персональних даних) – правовий режим інформації персонального характеру, який забезпечує права людини на самовизначення стосовно підстав, умов і обсягу операцій з обробки персональних даних, на контроль за здійсненням таких операцій, а також право на доступ, внесення змін, знищення і заперечення обробці персональних даних у випадках і в порядку, визначеному зако-нами України;

перелік категорій персональних даних – список категорій персональних даних, що обробля-ються чи підлягають обробці;

масив персональних даних – структурована за певними ознаками сукупність персональних да-них невизначеного кола суб’єктів даних, незалежно від використаних критеріїв чи принципів побудо-ви, виду матеріального носія інформації чи засобів їх обробки (архіви, картотеки, електроні бази да-них т. ін.);

матеріальний носій – матеріальний об’єкт, у тому числі фізичні поля, на якому чи в якому ві-дображаються персональні дані у вигляді символів, образів чи сигналів;

обробка персональних даних – будь-яка операція або сукупність операцій, здійснених через автоматизовані чи неавтоматизовані процеси і застосовані до персональних даних, такі як збирання, накопичення, модифікація, передача, блокування, анулювання, знеособлення, знищення;

відповідальна особа - фізична чи юридична особа, яка самостійно або разом з іншими особами визначає цілі і засоби обробки персональних даних відповідно до положень цього Закону або орган державної влади чи місцевого самоврядування України, цілі і засоби обробки персональних даних яким визначені у законодавстві відповідно до його компетенції;

обробник – фізична чи юридична особа, орган державної влади чи місцевого самоврядування України, що самостійно або спільно з іншим суб’єктом здійснює обробку персональних даних за за-вданням відповідальної особи;

третя особа – фізична чи юридична особа, орган державної влади чи місцевого самоврядуван-ня України, крім суб’єкта даних, відповідальної особи, обробника, державного органу нагляду за об-робкою персональних даних, Уповноваженого (представника Уповноваженого) Верховної Ради Укра-їни з прав людини та осіб, яким згідно з безпосереднім розпорядженням відповідальної особи чи об-робника надається повноваження здійснювати обробку;

одержувач - фізична чи юридична особа, орган державної влади чи місцевого самоврядування України, якому надаються персональні дані;

згода суб’єкта даних – будь-яке добровільне конкретне та письмово повідомлене волевияв-лення, через яке суб’єкт даних погоджується на обробку персональних даних. Таке волевиявлення суб’єкта даних буде вважатися згодою суб’єкта даних у разі попереднього повідомлення йому відо-мостей про умови обробки. Згода може бути відкликана суб’єкта даних у будь-який час;

збирання (персональних даних) – документально оформлена процедура одержання (набуття) персональних даних;

накопичення (персональних даних) – охоплення, запис, зберігання персональних даних на ма-теріальному носії;

актуалізація (персональних даних) – оперативне внесення змін чи доповнень до персональних даних;

передача (персональних даних) – надання третім особам можливості для ознайомлення з пер-сональними даними у будь-який спосіб;

блокування (персональних даних) – тимчасове припинення передачі, модифікації і знищення персональних даних;

знеособлення (персональних даних) – перетворення персональних даних таким чином, щоб інформація персонального характеру не могла бути в подальшому ототожнена з суб’єктом даних;

знищення (персональних даних) – дія, внаслідок якої стає неможливо дізнатися про зміст пер-сональних даних (інформацію персонального характеру);

використання (персональних даних) – дії, які спрямовані на одержання матеріальної (комер-ційне використання) чи нематеріальної (некомерційне використання) користі від обробки персональ-них даних.

Стаття 2. Законодавство про інформацію персонального характеру

Законодавство про інформацію персонального характеру базується на положеннях Конститу-ції України і міжнародних договорів, згоду на обов’язковість яких надала Верховна Рада України, і складається з цього Закону та інших нормативно-правових актів України.

Завданням законодавства про інформацію персонального характеру є регулювання відносин щодо обробки персональних даних шляхом:

встановлення порядку обробки персональних даних фізичними і юридичними особами, орга-нами державної влади і місцевого самоврядування України;

визначення прав і обов’язків осіб, яких стосується інформація персонального характеру, а та-кож визначення підстав і умов легітимного і пропорційного обмеження цих прав в інтересах націона-льної безпеки, економічного добробуту, прав людини;

визначення статусу, компетенції і повноважень органу державної влади, уповноваженого здій-снювати нагляд за додержанням встановленого порядку обробки персональних даних;

визначення порядку захисту прав суб’єктів даних у судовому порядку.

Стаття 3. Сфера застосування Закону

Цей Закон застосовується до:

а) обробки інформації персонального характеру, що стосується громадян України і фізичних осіб, які перебувають під юрисдикцією України;

б) обробки персональних даних, що здійснюється для відповідальних осіб, які перебувають під юрисдикцією України;

в) обробки персональних даних, що здійснюється відповідальними особами чи для них, які не перебувають під юрисдикцією України, коли технічні засоби, які використовуються у автоматизова-них чи неавтоматизованих процесах застосованих до обробки, розташовані на території України, од-нак лише тоді, коли ці технічні засоби використовуються не тільки для передачі персональних даних. Таким відповідальним особам забороняється обробка персональних даних, якщо тільки вони не дору-чать особі, яка перебуває під юрисдикцією України, діяти від їх імені у відповідності з законодавст-вом України про інформацію персонального характеру. З метою застосування цього законодавства вказана особа буде вважатися відповідальною особою.

Цей Закон не застосовується до обробки персональних даних, яка здійснюється фізичною осо-бою під час суто особистої чи побутової діяльності за умови, що такі дані не будуть передані третій особі.

Розділ IІ. УМОВИ ПРАВОМІРНОСТІ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

Стаття 4. Загальні принципи обробки персональних даних

Персональні дані повинні:

а) оброблятися на законних підставах;

б) збиратися для визначених і законних цілей і не оброблятися в подальшому у спосіб, несумі-сний з цими цілями; не вважається несумісною обробка в історичних, статистичних чи інших науко-вих цілях, коли відповідальна особа вжила необхідних заходів для забезпечення того, щоб подальша обробка здійснювалась лише для цих цілей. Не дозволяється накопичення персональних даних (об’єднання масивів), які обробляються заради різних цілей, крім випадків визначених цим Законом;

в) бути адекватними, відповідними і не надмірними до цілей, заради яких вони обробляються;

г) бути точними, тобто не призводити до помилок щодо інформації персонального характеру, що стосується суб’єкта даних, а неточні або неадекватні щодо цілей, заради яких вони обробляються, персональні дані повинні актуалізуватися або знищуватися;

д) зберігатися у формі, яка дозволяє ідентифікувати суб’єкта даних не довше, ніж це необхід-но для цілі, заради якої такі дані обробляються; персональні дані можуть зберігатися впродовж дов-шого періоду, але лише тоді, коли це здійснюється в історичних, статистичних чи інших наукових цілях, і відповідальна особа вжила необхідних заходів для забезпечення того, щоб подальша обробка здійснювалась лише для цих спеціальних цілей.

Стаття 5. Загальні підстави законності обробки персональних даних

Обробка персональних даних вважатиметься такою, що здійснюється на законних підставах, лише за умови додержання хоча б однієї з таких вимог:

а) суб’єкт даних надав на це згоду;

б) суб’єкт даних зробив такі дані загальнодоступними, зокрема шляхом їх повідомлення через засоби масової інформації;

в) обробка є необхідною для захисту життєво важливих інтересів суб’єкта даних або іншої особи, а суб’єкт даних нездатний дати свою згоду з незалежних від його волі причин;

г) це необхідно для встановлення, реалізації чи захисту прав інших осіб, які Єрунтуються на законі;

д) це необхідно з огляду на важливий громадський інтерес, на підставі висновку Уповноваже-ного Верховної Ради України з прав людини, за умови надання відповідних гарантій забезпечення додержання прав суб’єкта даних;

е) обробка здійснюється з науково-дослідницькою чи статистичною цілю в громадських інте-ресах і є необхідною для досягнення такої цілі, а для одержання згоди суб’єкта даних вимагатимуться непропорційні зусилля, при цьому відповідні гарантії надані для забезпечення того, щоб інтереси суб’єкта даних не були непропорційно уражені;

є) в інших випадках, визначених законами України в інтересах національної безпеки, економі-чного добробуту, прав людини.

Будь-яка особа, що діє від імені відповідальної особи або обробника, включаючи самого обро-бника, яка має доступ до персональних даних, не може здійснювати обробку персональних даних за виключенням, коли це буде дозволено відповідальною особою з додержанням вимог, передбачених частиною першою цієї статті.

Не повинна здійснюватися обробка персональних даних, коли це забороняється через зо-бов’язання про конфіденційність, що пов’язане з займаною посадою, професією чи передбачено зако-нодавством.

Початку обробки повинно передувати одержання відповідальною особою повідомлення дер-жавного органу нагляду за обробкою персональних даних про внесення масиву персональних даних до реєстру або одержання ліцензії у випадках, передбачених цим Законом.

Стаття 6. Захист обробки

Персональні дані відносяться до інформації з обмеженим доступом і їх обробка повинна здій-снюватися в режимі конфіденційності, якщо інше не передбачено законами України.

Режим конфіденційності персональних даних знімається у випадках:

а) знеособлення персональних даних;

б) за бажанням (письмовою згодою) суб’єкта даних;

в) в інших випадках, визначених законами України.

Відповідальна особа повинна вжити адекватні технічні й організаційні заходи для унеможлив-лення, запобігання чи припинення несанкціонованого доступу, передачі, перетворення або знищення персональних даних і від будь-якої іншої незаконної обробки як внаслідок необережності, так і на-вмисних дій третіх осіб, зокрема шляхом:

а) перешкоджання доступу будь-якої неуповноваженої особи до обладнання, яке використову-ється для обробки персональних даних, забезпечення розмежування доступу уповноважених осіб (об-робників) до персональних даних згідно з їх компетенцією, правами і обов’язками (контроль досту-пу);

б) запобігання можливості для неуповноважених осіб здійснювати читання, копіювання, зміни або вилучення матеріальних носіїв (контроль за носіями);

в) перешкоджання несанкціонованому доступу до масивів персональних даних, а також будь-якому ознайомленню, зміні або вилученню персональних даних з масивів персональних даних (конт-роль за підключенням);

г) запобігання можливості для неуповноважених осіб використовувати системи автоматизова-ної обробки даних за допомогою обладнання для передачі даних (контроль за використанням);

д) забезпечення можливості перевірки та встановлення, які персональні дані були введені до автоматизованої системи обробки даних, коли і які особи здійснили обробку, кому були передані пер-сональні дані (контроль за обробкою).

Відповідальна особа повинна обирати обробника, який надає достатні гарантії стосовно вжит-тя заходів для захисту і забезпечує додержання цих гарантій. Зобов’язання обробника щодо захисту обробки мають бути зроблені у письмовій формі.

На відносини щодо захисту обробки персональних даних здійснюваної через автоматизовані чи неавтоматизовані процеси поширюються положення Закону України “Про захист інформації в ав-томатизованих системах” та інших нормативних актів з захисту інформації.

Стаття 7. Обробка персональних даних про расове або етнічне

походження чи національність

Обробка персональних даних про расове або етнічне походження чи національність не дозво-ляється, крім випадків коли це необхідно органам державної влади і місцевого самоврядування під час здійснення ними повноважень в межах компетенції визначеної чинним законодавством для:

а) ідентифікації суб’єкта даних, коли без цього неможливо ідентифікувати чи вимагаються непропорційні зусилля для ідентифікації суб’єкта даних;

б) встановлення привілейованого статусу особи, що належить до національних чи етнічних, релігійних та мовних меншин, з метою ліквідації чи скорочення фактичної нерівноправності, коли це необхідно для досягнення такої цілі, і персональні дані стосуються лише країни народження суб’єкта даних, його пращурів в двох останніх поколіннях, чи інших критеріїв, покладених законодавством в основу належності такої особи до меншини, якщо тільки суб’єкт даних письмово не заперечує такій обробці.

Стаття 8. Обробка персональних даних про політичні погляди,

релігійні або філософські переконання, членство у

профспілках чи громадських організаціях

Обробка персональних даних про політичні погляди, релігійні або філософські переконання, членство у профспілках чи громадських організаціях не дозволяється, крім випадків коли наявна су-купність таких умов, що обробка:

а) здійснюється неприбутковою організацією політичної, філософської, релігійної або проф-спілкової чи іншої спрямованості під час своєї законної діяльності;

б) стосується суб’єктів даних, що є членами цієї організації;

в) є необхідною для досягнення законних цілей такої організації;

г) здійснюється таким чином, що дані не передаються третій стороні без згоди суб’єкта даних.

Не дозволяється обробка цієї категорії персональних даних, якщо суб’єкт даних письмово за-перечує обробці інформації персонального характеру, що його стосується.

Стаття 9. Обробка персональних даних, які стосуються здоров’я чи

надання медико-санітарної допомоги

Обробка персональних даних, які стосуються здоров’я чи надання медико-санітарної допомо-ги не дозволяється, крім випадків коли обробка здійснюється для:

а) медичних і фармацевтичних працівників, закладів охорони здоров’я чи соціального захисту, якщо це необхідно безпосередньо для надання медико-санітарної допомоги суб’єкту даних чи іншим особам, що потребують надання медико-санітарної допомоги;

б) установ, що призначають чи надають соціальні послуги та матеріальне забезпечення за обов’язковим чи добровільним медичним страхуванням, коли це необхідно для виконання зо-бов’язань, передбачених законодавством чи договором добровільного медичного страхування, якщо суб’єкт даних не буде заперечувати такій обробці;

в) закладів системи освіти, соціальної реабілітації, навчально-виховних закладів тощо, якщо це необхідно для виконання покладених на них за законодавством обов’язків;

г) виправно-трудових установ, якщо це необхідно для матеріально-побутового і медико-санітарного забезпечення осіб, позбавлених волі;

д) інших державних органів, установ і організацій, а також осіб, на які цими органами покла-даються певні обов’язки, у разі коли це потрібно для надання соціальної допомоги та матеріального забезпечення суб’єкта даних, який належить до певної категорії громадян чи може бути віднесений до певної категорії громадян і має на це право за законодавством, у зв’язку з непрацездатністю тощо, якщо суб’єкт даних не буде заперечувати такій обробці.

У зазначених випадках, персональні дані можуть піддаватися обробці лише особою, на яку покладено зобов’язання про конфіденційність, що пов’язане з займаною посадою, професією, перед-бачено законодавством або угодою з відповідальною особою, якій дозволяється обробка вказаних пе-рсональних даних.

Персональні дані, що стосуються спадкових характеристик (генетичні дані) можуть піддава-тися обробці лише тоді, коли обробка здійснюється щодо суб’єкта даних, від якого такі дані були одержані, чи коли це є необхідним для надання медико-санітарної допомоги, а суб’єкт даних за ста-ном здоров’я не може надати згоди.

Стаття 10. Обробка персональних даних, що стосуються притягнення

суб’єкта даних до кримінальної, адміністративної або

дисциплінарної відповідальності за протиправні діяння

Обробка персональних даних, що стосуються притягнення суб’єкта даних до кримінальної, адміністративної або дисциплінарної відповідальності не дозволяється, крім випадків коли обробка здійснюється для судів, органів прокуратури, служби безпеки, прикордонних військ, органів внутрі-шніх справ, управління державної охорони, органів державної податкової служби та інших державних органів і установ, на які за законом покладено зобов’язання застосовувати кримінальне, адміністрати-вне, дисциплінарне і виправно-трудове законодавство.

Обробка інших вразливих даних дозволяється також, коли без цього неможливо здійснити об-робку персональних даних, які безпосередньо пов’язані з конкретними скоєними злочинам чи проти-правною поведінкою суб’єкта даних. Однак обробка інформації персонального характеру, що стосу-ється сімейних і особистих стосунків приватного характеру чи статевого життя суб’єкта даних дозво-ляється лише тоді, коли без цього неможливо встановити факт вчинення злочину, за яке Криміналь-ним кодексом України передбачається покарання у вигляді обмеження чи позбавлення волі.

Персональні дані, які стосуються злочинів, повинні піддаватися обробці окремо від даних про інші види протиправної поведінки чи даних, які підлягають обробці для органів, вказаних у частині першій цієї статті, з іншою метою ніж боротьба із злочинністю. При цьому, персональні дані, які сто-суються злочинів, повинні бути розрізнені у залежності від рівня їх вірогідності, зважаючи на надій-ність джерела і достовірність змісту інформації, зокрема дані основані на фактах мають бути відо-кремлені від даних основаних на думках чи припущеннях, шляхом використання умовних позначень тощо.

Рівень достовірності персональних даних, які передаються, має бути перевірений до початку передачі, а самі дані під час передачі повинні бути розрізнені у залежності від рівня їх вірогідності.

Передача персональних даних, які стосуються кримінальних вчинків чи протиправної поведі-нки, третім особам не дозволяється, за виключенням, що :

а) передача в інтересах суб’єкта даних і він надав згоду на це;

б) передача є крайнє необхідною для усунення небезпеки, що загрожує інтересам держави, громадським інтересам, правам суб’єкта даних або інших осіб.

Заборона передачі персональних даних про притягнення суб’єкта даних до кримінальної, ад-міністративної або дисциплінарної відповідальності за протиправні діяння не застосовується до пере-дачі даних між структурними підрозділами цього органу чи органів, що застосовують для виконання покладених на них функцій кримінальне, адміністративне, дисциплінарне і виправно-трудове законо-давство.

Стаття 11. Ідентифікація суб’єкта даних під час обробки

Відповідальні особи повинні вжити технічних і організаційних заходів для забезпечення того, щоб персональні данні оброблялися у знеособленій формі, а ототожнення особистості суб’єкта даних (ідентифікацію) можна було б здійснити лише під час операцій з обробки, для яких ідентифікація є необхідною.

Номер, зазначення якого вимагається за законом для ідентифікації особистості, може викорис-товуватися під час обробки персональних даних у випадках, визначених законами України.

Не дозволяється використання одного і того ж номеру для ідентифікації особистості в оброб-ках, які здійснюються в різних цілях.

Розділ ІІІ. ПРАВА І ОБОВ’ЯЗКИ СУБ’ЄКТІВ ВІДНОСИН З ОБРОБКИ

Стаття 12. Загальні умови реалізації прав суб’єкта даних

Відповідальна особа повинна забезпечити режим приватності персональних даних і сприяти суб’єкту даних у реалізації ним своїх прав, які передбачені чинним законодавством України про ін-формацію персонального характеру.

Права суб’єктів даних, які не мають повної правосуб’єктності або за станом здоров’я чи з ін-ших поважних причин не можуть цього зробити самостійно має право здійснювати Уповноважений Верховної Ради України з прав людини.

Права померлого суб’єкта даних можуть здійснювати його спадкоємці та інші зацікавлені особи у порядку, передбаченому законодавством.

Відповідальна особа повинна вжити усіх необхідних заходів для захисту обробки під час реа-лізації суб’єктом даних своїх прав, зокрема, забезпечуючи належне встановлення особистості заявни-ка, що звертається до відповідальної особи на підставі статей 15, 16 і 18 цього Закону.

Стаття 13. Надання персональних даних суб’єктом даних

Суб’єкт даних на свій розсуд вирішує питання передачі інформації персонального характеру або надання згоди на передачу даних однієї відповідальною особою іншій відповідальній особі, за виключенням, що обов’язок передачі персональних даних передбачений законодавством, чи в інших випадках, вказаних у цьому Законі.

Суб’єкт даних передає дані в обсязі, що визначається чинним законодавством чи письмовою угодою з відповідальною особою. Така угода може бути укладена шляхом надання суб’єктом даних згоди на обробку даних у відповідь на одержане відповідно до статті 14 цього Закону повідомлення.

Згода суб’єкта даних на обробку даних може бути відкликана суб’єктом даних у будь-який час без повідомлення причин такого відкликання, крмі випадків, передачених законами України в інтере-сах національної безпеки, економічного добробуту, прав людини тощо.

Стаття 14. Повідомлення суб’єкта даних

Відповідальна особа чи її представник, у разі отримання даних від самого суб’єкта даних, по-винні перед отриманням даних, але не пізніше початку збирання даних повідомити йому у довільній формі інформацію про умови обробки, якщо до цього вона йому не була надана, принаймні, про:

а) відповідальну особу та обробника (назву, адресу, форму власності, телефон, прізвище, ім’я, по батькові керівника, адресу поштової електронної скриньки, факс, адресу серверу в телекомуніка-ційній мережі, за наявністю);

б) цілі, заради яких здійснюється обробка, включаючи можливість комерційного використан-ня персональних даних;

в) одержувачів чи категорії одержувачів даних;

г) методи чи алгоритми, що будуть використовуватися для обробки даних і їх передачі третій особі, у формі загального опису;

д) наслідки, які спричинить відмова відповідати на повідомлення чи заперечення можливості комерційного використання даних для суб’єкта даних;

е) наявність права доступу і права на виправлення інформації персонального характеру, що стосується суб’єкта даних, в тому обсязі, який з урахуванням конкретних обставин отримання даних є необхідним для гарантування правомірності обробки даних;

є) реєстровий номер масиву персональних даних, номер і дату видачі ліцензії, якщо обробка підлягає ліцензуванню.

Якщо персональні дані були отримані не від самого суб’єкта даних, відповідальна особа пови-нна в момент початку накопичення даних або у разі, коли є намір передати дані третій стороні, не піз-ніше дня першої передачі повідомити суб’єкту даних про намір здійснити обробку. При цьому, відо-мості про умови обробки, вказані у частині першій цієї статті, надаються (повідомляються) суб’єкту даних на його вимогу.

Положення частини 2 цієї статті не застосовуються до обробок персональних даних, коли по-відомлення суб’єкта даних виявляється неможливим чи вимагає непропорційних зусиль. У таких ви-падках, відповідальна особа повинна зберігати запис про здійснену обробку впродовж не менше од-ного року і на вимогу суб’єкта даних повідомити йому про джерело, з якого одержані персональні дані.

Положення частини 2 цієї статті не застосовуються до обробок персональних даних, якщо не-обхідність здійснення обробки передбачається у законодавстві. У таких випадках, відповідальна осо-ба на запит суб’єкта даних повинна повідомити, на підставі яких положень законодавства здійснюєть-ся обробка.

У разі збирання персональних даних внаслідок роботи автоматизованих процесів під час звер-нення чи виклику певної функції, в діалоговому режимі тощо, яка є необхідною для роботи автомати-зованої системи, суб’єкту даних має бути повідомлено про збирання персональних даних до або під час такого звернення чи виклику певної функції і надано інформацію про подальше використання пе-рсональних даних, але не пізніше початку обробки.

Стаття 15. Доступ суб’єкта даних до персональних даних

Суб’єкт даних має право звертатися до відповідальної особи із запитом про підтвердження об-робки інформації персонального характеру, що його стосується.

Відповідальна особа повинна впродовж 10 днів надати письмову відповідь чи здійснюється обробка інформації персонального характеру, що стосується суб’єкта даних. У разі якщо персональні дані обробляються, відповідь повинна крім підтвердження наявності обробки і змісту персональних даних містити також інформацію про умови обробки, зокрема про:

а) цілі обробки;

б) категорії даних, що обробляються;

в) одержувачів або категорії одержувачів персональних даних;

г) методи чи алгоритми, що використовуються для обробки даних і їх передачі третій особі, у формі загального опису.

Перед тим, як відповідно до другої частини цієї статті надати суб’єкту даних інформацію, що-до надання якої можливе правомірне заперечення третьої сторони, яке грунтується на інтересах наці-ональної безпеки, економічного добробуту України та прав людини, відповідальна особа повинна за-безпечити цій третій стороні можливість скористатися таким правом відповідно до статті 18 цього Закону.

У цьому випадку строк, передбачений в частині першій цієї статті подовжується на строк до одержання відповідальною відповіді цієї третьої особи, але не більший за 30 днів, про що повідомля-ється суб’єкту даних.

Стаття 16. Актуалізація, блокування чи знищення даних

Відповідальна особа повинна, за зверненням суб’єкта даних чи з власної ініціативи:

а) здійснити актуалізацію, блокувати чи знищити персональні дані, обробка яких не відповідає вимогам цього Закону, зокрема через їх неповноту, неточність чи невідповідність цілям обробки;

б) письмово повідомити третій стороні, якій були передані персональні дані, про актуалізацію, блокування чи знищення персональних даних, здійснених відповідно до пункту (а), якщо це не є не-можливим або не потребує непропорційних зусиль.

Суб’єкт даних повинен повідомити відповідальній особі інформацію, що необхідна для актуа-лізації персональних даних, яка здійснюється відповідно до першої частини цієї статті, якщо обов’язок її повідомлення передбачений законами України.

Відповідальна особа повинна письмово повідомити суб’єкту даних впродовж 10 днів з дня одержання звернення чи здійснено актуалізацію або знищення даних.

Відповідальна особа особи повинна здійснити блокування даних на термін до прийняття рі-шення за зверненням суб’єкта даних. Рішення відповідальної особи здійснити актуалізацію або зни-щення даних повинно бути реалізовано у строк, не триваліший ніж фактично необхідно з урахуван-ням обставин конкретного випадку, але в межах строку для надання відповіді, передбаченого в части-ні третій цієї статті.

Відмова відповідальної особи чи неможливість відповідальної особи здійснити актуалізацію, блокування або знищення даних повинна бути обЄрунтована посиланнями на норми законодавства і фактичні обставини, що обумовлюють таку відмову чи неможливість.

Відповідальна особа, яка здійснила актуалізацію, блокування чи знищення персональних да-них відповідно до положень цієї статті, зобов’язана якомога скоріше повідомити третіх осіб, яким бу-ли передані дані, про таку актуалізацію, блокування чи знищення, якщо це не є неможливим або не потребує непропорційних зусиль.

Відповідальна особа на запит суб’єкта даних повинна повідомити йому відомості про третіх осіб, яким були передані персональні дані, крім випадків, визначених цим Законом.

Стаття 17. Передача персональних даних за межі юрисдикції України

Передача персональних даних за межі юрисдикції України дозволяється у випадку, коли дер-жава, під юрисдикцією якої перебуває одержувач (кінцевий і проміжні за наявністю) і обробники пер-сональних даних, забезпечує додержання адекватного рівня забезпечення реалізації прав суб’єктів даних щодо поводження з персональними даними.

Адекватність рівня захисту прав суб’єктів даних оцінюється з урахуванням усіх обставин, що пов’язані з передачею персональних даних; зокрема, враховується характер даних, ціль, тривалість обробки, країна походження і країна кінцевого призначення персональних даних, положення законо-давства, що застосовуються до обробки і захисту обробки персональних даних. Рішення про адекват-ність рівня захисту прав суб’єктів даних в інших країнах приймає Уповноважений Верховної Ради України з прав людини за поданням державного органу нагляду за обробкою персональних даних. Перелік таких країн підлягає опублікуванню.

Передача персональних даних до країн, які не надають адекватного рівня забезпечення реалі-зації прав суб’єктів даних, дозволяється у випадках, якщо:

а) суб’єкт даних надав на це згоду;

б) передача необхідна для укладення або виконання угоди між суб’єктом даних і відповідаль-ною особою чи відповідальною особою і третьою особою в інтересах суб’єкта даних;

в) передача необхідна для забезпечення життєво важливих інтересів суб’єкта даних;

г) передача здійснюється щодо даних, які суб’єкт даних зробив загальнодоступними без запе-речень проти їх подальшої обробки та використання.

Передача персональних даних до країн, які не надають адекватного рівня захисту прав суб’єктів даних, дозволяється також за рішенням Уповноваженого Верховної Ради України з прав людини на підставі подання державного органу нагляду за обробкою персональних даних, за умови надання відповідних гарантій забезпечення додержання прав суб’єкта даних під час такої передачі.

Стаття 18. Заперечення суб’єкта даних обробці

Суб’єкт даних має право у будь-який час письмово звернутися до відповідальної особи із за-переченням обробці, яка здійснюється з порушенням вимог цього Закону.

Відповідальна особа повинна розглянути таке заперечення суб’єкта даних і повідомити суб’єкта даних про прийняте рішення впродовж місяця з дня одержання звернення. У разі обЄрунто-ваності заперечення, відповідальна особа повинна припинити вказану обробку негайно, якщо це не суперечить законодавству.

Відповідальна особа повинна до початку обробки чи використання персональних даних забез-печити, щоб суб’єкт даних був поінформований про його право заперечувати обробці.

Стаття 19. Оплата витрат, пов’язаних з розглядом звернень суб’єкта

Даних

Відповідальна особа не може вимагати від суб’єкта даних оплати витрат, пов’язаних з розгля-дом звернень суб’єкта даних, заявлених ним відповідно до положень цього Закону.

Стаття 20. Автоматизовані індивідуальні рішення

Кожний суб’єкт даних має право не погоджуватися з рішеннями і доводити їх недостовірність, якщо вони Єрунтуються виключно на автоматизованій обробці персональних даних, призначеної для оцінки певних характеристик особистості, таких як професійні якості, кредитоспроможність, надій-ність, особливості поведінки тощо, у разі якщо такі рішення несуть для нього правові наслідки або зачіпають його законні інтереси.

Положення першої частини цієї статті не застосовуються до автоматизованих індивідуальних рішень:

а) які приймаються під час укладення або виконання угоди, якщо прохання суб’єкта даних про укладення або виконання угоди було задоволено,

б) коли суб’єкту даних гарантується можливість заперечити проти оцінки, яка є результатом такого рішення, з метою захисту свого законного інтересу;

в) в інших випадках, передбачених законом, за умови гарантування захисту законного інтере-су суб’єкта даних.

У випадках, перелічених в другій частині цієї статті, відповідальна особа повинна до моменту одержання даних надати суб’єкту даних загальний опис методів чи алгоритмів, що будуть використо-вуватися для обробки даних.

Стаття 21. Регулювання обробки відповідальними особами

(саморегуляція)

Відповідальна особа чи відповідальні особи мають право готувати проекти і подавати на роз-гляд державного органу нагляду за обробкою персональних даних кодекси поводження з персональ-ними даними (зміни і доповнення до них), які враховують особливості галузей, в яких вони здійсню-ють свою діяльність, і покликані сприяти правильному застосуванню положень чинного законодавст-ва про інформацію персонального характеру.

Державний орган нагляду за обробкою персональних даних приймає до розгляду проекти, вказані у частині першій цієї статті, якщо відповідальні особи, які представляють відповідну галузь, значною мірою представлені і галузь, в якій пропонується запровадити дію такого кодексу, достатньо конкретно визначена в ньому.

За умови відповідності такого кодексу положенням законодавства про інформацію персональ-ного характеру і додержання вимог цієї статті, державний орган нагляду за обробкою персональних даних має право прийняти рішення про його погодження, що надає йому силу нормативно-правового акту.

У разі, якщо такий кодекс міс