Про захист персональних даних ЗАКОН УКРАЇНИ

Про захист персональних даних

Розділ I

ЗАГАЛЬНІ ПОЛОЖЕННЯ

Стаття 1. Сфера дії Закону

Дія цього Закону поширюється на відносини пов’язані із обробленням відомостей про певну фі-зичну особу в органах державної влади та органах місцевого самоврядування, організаціях, установах і підприємствах усіх форм власності, а також фізичними особами, які виконують професійні обов’язки приватно практикуючих адвоката, нотаріуса, лікаря тощо.

Стаття 2. Визначення термінів

У цьому Законі терміни вживаються в такому значенні:

автоматизоване оброблення персональних даних - сукупність операцій з персональними даними, які здійснюються повністю або частково за допомогою автоматизованих систем;

база персональних даних - іменована сукупність упорядкованих відомостей про фізичну особу в електронному вигляді чи картотеках ;

власник персональних даних - фізична особа, яка має виключне право власності на персональні дані про себе;

володілець персональних даних - суб’єкт відносин, пов’язаних з персональними даними, якому надано часткове або повне право на використання відомостей про власника персональних даних;

документ, що посвідчує фізичну особу - паспорт громадянина України (посвідчення особи громадянина України), а також документ, що підтверджує громадянство іноземця, посвід-чує особу іноземця або особу без громадянства, виданий уповноваженим органом іноземної держави або статутною організацією ООН, дає право виїзду за кордон і визнається Україною;

ідентифікація персональних даних - встановлення тотожності певної фізичної особи ві-домостям про неї, які визначають її особистість;

оброблення персональних даних — будь-яка дія або сукупність дій, здійснених або не здійсне-них через процеси в автоматизованій системі, які пов’язані із збиранням (набуттям, придбан-ням), реєстрацією, накопиченням, збереженням, використанням і поширенням (розповсюджен-ням, реалізацією) відомостей про фізичну особу;

персональні дані - окремі відомості про фізичну особу чи сукупність таких відомостей, що іде-нтифіковані або можуть бути ідентифіковані;

письмова згода - згода власника персональних даних на будь-які дії щодо оброблення його пе-рсональних даних, яка оформлена у письмовому вигляді;

письмовий договір - договір про включення відомостей про фізичну особу до бази персональ-них даних, який оформлений у вигляді офіційного документу;

право власності на персональні дані - встановлене законом право фізичної особи на володін-ня, користування, розпорядження відомостями про себе, а також право забороняти іншим суб’єктам їх використання, крім випадків, передбачених законодавством України;

розпорядник автоматизованої системи - фізична або юридична особа, яка має право розпоря-джатися автоматизованою системою за угодою з її власником або за його дорученням;

фізичні особи - громадяни України, які проживають в Україні або за її межами, іноземці та осо-би без громадянства, які постійно проживають в Україні.

Стаття 3. Суб’єкти відносин, пов’язаних з персональними даними,

та їх основні зобов’язання

Суб’єктами відносин, пов’язаних з персональними даними, є:

фізичні особи;

юридичні особи;

органи державної влади та органи місцевого самоврядування, організації, установи і під-приємства усіх форм власності;

уповноважений з питань захисту персональних даних;

спеціально уповноважений центральний орган виконавчої влади з питань захисту персональ-них даних.

Суб’єкти відносин, пов’язаних з персональними даними зобов’язані:

не допускати розголошення відомостей про фізичну особу, які їм будуть доведені або ста-нуть відомими у зв’язку з виконанням службових обов’язків;

виконувати вимоги встановленого режиму доступу до персональних даних;

повідомляти посадових осіб органів державної влади та органів місцевого самоврядування, організацій, установ і підприємств усіх форм власності про обставини, що перешкоджають дотри-манню встановленого режиму захисту відомостей про фізичну особу.

Суб’єктами відносин, пов’язаних з персональними даними відповідно до цього Закону, можуть бути інші держави та міжнародні організації.

Стаття 4. Об’єкти захисту

Об’єктами захисту є персональні дані, які обробляються за допомогою систем автоматизовано-го оброблення чи за допомогою систем щодо оброблення картотек персональних даних.

Персональні дані за режимом доступу є інформацією з обмеженим доступом.

Персональні дані фізичної особи, яка претендує чи займає вибірну посаду (в представницьких органах) або посаду державного службовця першої категорії не відносяться до інформації з обмеже-ним доступом.

Стаття 5. Загальні вимоги до виконання дій з персональними даними

У процесі виконання дій з персональними даними обов’язкове дотримання таких вимог:

оброблення персональних даних, а також знищення і ознайомлення з даними третьої сторони, здійснюється за письмовою згодою власника персональних даних або відповідно до діючих законів України;

персональні дані обробляються відповідно до свого прямого, законного призначення щодо функціональних обов’язків суб’єктів відносин, пов’язаних з персональними даними, і не використовуються для інших цілей, не сумісних з цим призначенням;

персональні дані, які обробляються згідно з певним призначенням, повинні відповідати прямому, законному призначенню, і не могуть оброблятися без конкретного призначення;

персональні дані повинні бути точними, у разі необхідності — оновлюватися;

персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.

Не допускається оброблення даних про фізичну особу без її згоди, крім випадків, визначе-них цим Законом, і лише в інтересах національної, економічної і громадської безпеки чи з метою захисту прав людини.

Автоматизоване оброблення персональних даних, а рівно і утворення баз персональних даних, що мають загально державний характер може здійснюватися виключно на підставі цього Закону.

Стаття 6. Джерела і бази персональних даних

Джерелами відомостей про фізичну особу є видані на її ім’я документи; підписані нею доку-менти; відомості про фізичну особу на матеріальних носіях інформації, що обробляються орга-нами державної влади та органами місцевого самоврядування, організаціями, установами і підприємствами усіх форм власності і фізичними особами, які діють відповідно до законодавст-ва України та в межах своїх повноважень.

Джерелами відомостей про фізичну особу є бази персональних даних в електронному ви-гляді, які зареєстровані в установленому порядку.

Розділ II

ВЛАСНІСТЬ НА ПЕРСОНАЛЬНІ ДАНІ

Стаття 7. Право власності на персональні дані

Право власності на персональні дані є абсолютне, невід’ємне, недоторканне і невідчу-жуване.

Право власності на свої персональні дані має кожна фізична особа.

Розпорядження персональними даними особи, яка повністю або частково обмежена в дієздатності здійснює її повноважний представник.

Право власності на персональні дані фізичної особи, що померла належить особам, які можуть бути визначені її спадкоємцями.

Кожна фізична особа має право ознайомитися в органах державної влади та органах місцевого самоврядування, організаціях, установах і на підприємствах усіх форм власності із своїми персона-льними даними, що обробляються, чи доручити ознайомитися з ними іншим суб’єктам відно-син, пов’язаних з персональними даними, крім випадків, визначених законодавством.

Право власності на персональні дані охороняється Законом.

Стаття 8. Користування персональними даними

Користування персональними даними передбачає будь-які дії їх власника щодо оброблен-ня цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права об-роблення персональних даних іншими суб’єктами відносин, пов’язаних з персональними даними певної фізичної особи.

Розділ III

ДІЇ З ПЕРСОНАЛЬНИМИ ДАНИМИ

Стаття 9. Використання персональних даних

Використання персональних даних передбачає дії їх власника щодо користування ними або дії володільця персональних даних, якому їх власником чи законом України надано часткове або повне право оброблення персональних даних, а також покладені обов’язки щодо їх захисту. Ви-користання персональних даних передбачає також право володільця персональних даних на надан-ня часткового або повного права оброблення персональних даних іншими суб’єктами відносин, пов’язаних з персональними даними, за згодою власника персональних даних чи відповідно до зако-ну України.

Використання персональних даних їх володільцем передбачає створення ним умов для захисту цих даних. Володільцю персональних даних забороняється розголошувати відомості стосовно власників персональних даних, доступ до персональних даних яких здійснюється з боку інших суб’єктів відносин, пов’язаних з такими даними.

Використання персональних даних в органах державної влади та органах місцевого само-врядування, організаціях, установах і на підприємствах усіх форм власності і фізичними особами повинне здійснюватися тільки відповідно до їх функціональних обов’язків.

Посадові особи, які використовують персональні дані фізичних осіб, зобов’язані до-тримуватися вимог щодо нерозголошення отриманих відомостей. Таке зобов’язання має силу після закінчення їх діяльності в органах державної влади та органах місцевого самовряду-вання, організаціях, установах і підприємствах усіх форм власності.

Відомості щодо особистого життя фізичної особи не можуть використовуватися як обумовлювання, яке підтверджує чи не підтверджує її ділові здібності.

Стаття 10. Підстави виникнення права на використання

персональних даних

Підставами виникнення права на використання персональних даних є:

письмова згода фізичної особи на оброблення її персональних даних;

письмовий договір про включення відомостей про фізичну особу до бази персональних даних. Власник персональних даних має право робити в договорі застереження щодо обмеження оброб-лення його персональних даних. Розходження в інтересах власника персональних даних та інших суб’єктів відносин, пов’язаних з персональними даними, усуваються в судовому порядку;

наданий законом дозвіл на оброблення персональних даних, а також знищення (ліквідування) відомостей про фізичну особу з метою виконання суворо функціональних повноважень суб’єктом відносин, пов’язаних з персональними даними.

Стаття 11. Збирання персональних даних

Збирання персональних даних передбачає будь-які дії щодо зосередження окремих та різноманітних відомостей про фізичну особу з будь-яких джерел та розміщення їх у базі персона-льних даних.

При первісному розміщенні відомостей про фізичну особу до складу бази персональних даних їх власник повідомляється протягом одного місяця про мету розміщення даних.

Повідомлення не здійснюється, якщо дані призначаються виключно для забезпечення за-хисту персональних даних, чи збираються в інтересах національної, економічної і громадської без-пеки чи з метою захисту прав людини, або коли персональні дані передбачається зберігати тимча-сово і протягом 3 місяців після внесення їх до бази персональних даних, а також коли вони взяті із загальнодоступних джерел.

Відомості про фізичну особу, що зібрані з будь-яких джерел, а також інформація про їх дже-рела надаються власнику персональних даних за його вимогою.

Стаття 12. Накопичення персональних даних

Накопичення персональних даних передбачає будь-які дії щодо поєднання та системати-зацію відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази пер-сональних даних.

Забороняється накопичення персональних даних, якщо мета їх збирання не відповідає законам України.

Стаття 13. Зберігання персональних даних

Зберігання персональних даних передбачає будь-які дії щодо забезпечення належного стану цілісності та відповідного режиму доступу до них.

У разі зберігання персональних даних з метою їх поширення в знеособленій формі необ-хідно зберігати окремі відмінності, за якими конкретні відомості про фізичну особу можуть бути поставлені у відповідність до певного суб’єкта відносин, пов’язаних з персональними даними.

Стаття 14. Поширення персональних даних

Поширення персональних даних передбачає будь-які дії щодо передачі відомостей про фізичну особу між суб’єктами відносин, пов’язаних з персональними даними, для їх оброблення.

Поширення персональних даних здійснюється безпосередньо власником персональних даних або уповноваженим ним суб’єктом, крім випадків здійснення органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених чинним законодавством Укра-їни.

Поширення персональних даних дозволяється, якщо є необхідність у виконанні завдань, які належать до компетенції органів державної влади та органів місцевого самоврядування, організа-цій, установ і підприємств усіх форм власності, стосовно захисту національної, економічної і громадської безпеки чи з метою захисту прав людини. Відповідальність за виконання вимог вста-новленого режиму захисту даних про фізичну особу несе сторона, що поширює персональні дані.

Розділ IV

ДОСТУП ДО ПЕРСОНАЛЬНИХ ДАНИХ

Стаття 15. Режим доступу до персональних даних

Будь-який суб’єкт відносин, пов’язаних з персональними даними, має право звернутися до будь-якого іншого суб’єкту таких відносин стосовно персональних даних конкретної фізичної особи.

Доступ до персональних даних здійснюється згідно з порядком (режимом доступу), установле-ним цим Законом та іншими законодавчими актами.

Доступ до персональних даних не надається, коли суб’єкт відносин, пов’язаних з персональ-ними даними, відмовляється взяти на себе зобов’язання щодо забезпечення умов захисту персо-нальних даних.

Держава здійснює контроль за додержанням режиму доступу до персональних даних.

Контроль за додержанням режиму доступу до персональних даних здійснюється уповнважений з питань захисту персональних даних; спеціально уповноваженим центральним органом виконавчої влади з питань захисту персональних даних. Завдання контролю за додержанням режиму до-ступу полягає у забезпеченні виконання вимог законодавства України про персональні дані всіма суб’єктами відносин, пов’язаних з персональними даними, недопущення ними не-санкціонованого доступу до персональних даних.

Стаття 16. Запит на доступ до персональних даних

Суб’єкт відносин, пов’язаних з персональними даними, подає запит на доступ до персональ-них даних до іншого суб’єкта відносин, пов’язаних з персональними даними.

Запит повинен містити такі відомості:

прізвище, ім’я та по батькові, місце проживання та реквізити документа, що посвідчує фізичну особу, яка подає запит;

реквізити юридичної особи, від імені якої надається запит, посада прізвище, ім’я та по бать-кові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юри-дичної особи;

прізвище, ім’я та по батькові та інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;

відомості про систему автоматизованого оброблення персональних даних, стосовно яких здій-снюється запит, чи відомості про розпорядника автоматизованої системи;

перелік персональних даних, що запитуються;

мета запиту.

Строк вивчення запиту на предмет його задоволення не повинен перевищувати 10 днів.

Протягом цього терміну будь-який суб’єкт відносин, пов’язаних з персональними даними сповіщає особу, яка робить запит про те, що запит буде задоволено, або про те, що відповідні персо-нальні дані не підлягають наданню, із зазначенням положення правового акту.

Запит задовольняється протягом одного місяця.

Власник персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними згідно із законами України.

Стаття 17. Доступ до персональних даних, які становлять державну або іншу визна-чену законом таємницю

Віднесення персональних даних до категорії відомостей, які становлять державну або іншу визначену законом таємницю, і доступ до них здійснюється відповідно до законодавства.

Порядок обігу персональних даних, які становлять державну або іншу визначену законом таєм-ницю, та їх захисту визначається законодавством України за умови дотримання вимог, встановлених цим Законом.

Порядок і строк зміни грифу таємності персональних даних, які становлять державну або іншу визначену законом таємницю, визначаються відповідно до законодавства України.

Стаття 18. Відстрочення та відмова у задоволенні доступу до персональних даних

Відстрочення у задоволенні доступу до персональних даних допускається в тому ра-зі, коли необхідні дані не можуть бути надані протягом місяця. Повідомлення про відстрочення доводиться до відома фізичної або юридичної особи, яка зробила запит, у письмовій формі з роз’ясненням порядку оскарження того рішення.

У повідомленні про відстрочення зазначається:

прізвище, ім’я та по батькові посадової особи, яка відмовляє у задоволенні доступу у мі-сячний строк;

дату відправлення повідомлення;

причини відстрочення;

період, протягом якого буде задоволено запит.

Відмова задоволення доступу до персональних даних допускається у разі, якщо вони є держав-ною таємницею або якщо доступ до персональних даних заборонено згідно із законами України.

У повідомленні про відмову зазначається:

прізвище, ім’я, по батькові посадової особи, яка відмовляє у задоволенні доступу;

дату відправлення повідомлення;

причину відмови.

Стаття 19. Оскарження рішення про відстрочення чи відмову у задоволенні запиту на доступ до персональних даних

Рішення про відстрочення або відмову у задоволенні запиту на доступ до персональних да-них може бути оскаржено до уповноважений з питань захисту персональних даних, спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних або до суду.

Якщо запит зроблено власником персональних даних, обов’язок щодо доведення у суді закон-ності відстрочення чи відмови задоволення доступу його до персональних даних покладається на суб’єкта відносин, пов’язаних з персональними даними, до якого подано запит на доступ.

Стаття 20. Додаткові права власника персональних даних, що підлягають автоматизова-ному обробленню

Кожний власник персональних даних має право:

знати про місцезнаходження систем автоматизованого оброблення персональних даних, що обробляє його персональні дані, її призначення та адресні реквізити володільця або розпорядника автоматизованої системи;

має право на доступ до своїх персональних даних, які обробляються у архівних установах;

отримати у місячний строк відповідь про те, чи зберігаються його персональні дані у відповідній системи автоматизованого оброблення;

пред’являти мотивовану вимогу щодо зміни або знищення даних будь-яким володільцям персональних даних щодо оброблення персональних даних про нього, якщо ці дані обробля-ються незаконно чи є недостовірними;

звертатися до суду для захисту своїх прав.

Стаття 21. Оплата доступу до персональних даних

Доступ власника персональних даних до даних про себе здійснюється безоплатно.

Доступ інших суб’єктів відносин, пов’язаних з персональними даними до персональних даних певної фізичної особи чи групи фізичних осіб може бути платним. Оплаті підлягає робота, пов’язана із обробленням персональних даних, а також робота з консультування і організації досту-пу до відповідних даних.

Розмір плати за послуги з надання персональних даних органами державної влади та орга-нами місцевого самоврядування визначається Кабінетом Міністрів України.

Органи державної влади та органи місцевого самоврядування мають право на безперешкод-ний і безоплатний доступ до персональних даних відповідно до покладених на них функцій.

Розділ V

ВНЕСЕННЯ ЗМІН І ДОПОВНЕНЬ ДО

ПЕРСОНАЛЬНИХ ДАНИХ

Стаття 22. Зміни і доповнення до персональних даних

Зміни чи доповнення до персональних даних вносяться на підставі вмотивованої письмової вимоги власника персональних даних.

Дозволяється внесення зміни до персональних даних за зверненням інших суб’єктів відносин, пов’язаних з персональними даними, якщо на це є згода власника персональних даних чи відпо-відна зміна викликана рішенням суду.

Зміна персональних даних, які не відповідають дійсності, провадиться протягом чотирнадцяти робочих днів з моменту звернення власника персональних даних.

Стаття 23. Повідомлення про дії з персональними даними

Про зміну, доповнення, знищення персональних даних або обмеження до них доступу воло-дільці персональних даних повідомляють органи державної влади та органи місцевого самовря-дування, організації, установи і підприємства усіх форми власності, яким ці дані пере-даються, якщо це необхідно для захисту інтересів власника персональних даних.

Розділ VI

ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

Стаття 24. Право на захист персональних даних

Держава гарантує фізичній особи право на захист персональних даних.

Суб’єкти відносин, пов’язаних з персональними даними, повинні забезпечити захист прав власності на персональні дані.

Власник персональних даних має право на їх захист від несанкціонованого обро-блення та випадкової втрати, знищення, заподію шкоди у зв’язку з навмисним приховуванням, нена-данням чи несвоєчасним наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи.

Стаття 25. Уповноважений з питань захисту персональних даних

Уповноважений Верховної Ради України з прав людини призначає на посаду та знімає з посади Уповноваженого з питань захисту персональних даних.

Уповноважений з питань захисту персональних даних в своїй діяльності стосовно персональ-них даних є незалежною особою, яка керується законодавством України.

Завданням Уповноваженого з питань захисту персональних даних є захист прав та основних свобод особи в сфері персональних даних і суміщення захисту даних про особу зі свободою її поши-рення.

Основні функції Уповноваженого з питань захисту персональних даних є:

розробка пропозицій щодо формування державної політики в сфері захисту персональних да-них, звітів про виконану роботу і пропозицій по удосконаленню захисту персональних даних згідно з діючим законодавством;

контроль виконання законодавства з питань захисту персональних даних, з безперешкодним доступом до приміщень, в яких здійснюється обробка персональних даних,

повідомлення про результати перевірки, надання рекомендації щодо усунення недоліків, які є обов’язковими для виконання, надання приписів щодо припинення роботи баз персональних даних, систем автоматизованого оброблення персональних даних, у випадку виявлення порушень;

ведення реєстру баз персональних даних, систем автоматизованого оброблення персональ-них даних і систем оброблення картотек персональних даних;

розгляд запитів, звернень, вимог, скарг фізичних і юридичних осіб;

здійснення запитів до суб’єктів захисту персональних даних та отримування від них документів з любих питань щодо захисту персональних даних;

направлення до відповідних інстанцій протестів, запитів, роз'яснень, рекомендацій, вказівок для вирішення адміністративних і судових питань з метою забезпечення захисту прав на персональні да-ні;

щорічне подання на розгляд Верховної Ради України звіту щодо стану захисту персональних даних в Україні;

участь у роботі міжнародних організацій з питань захисту даних про особу.

Діяльність Уповноваженого з питань захисту персональних даних доповнює існуючі засоби за-хисту конституційних прав і свобод людини і громадянина, не відміняє їх і не тягне перегляду компе-тенції державних органів, які забезпечують захист і поновлення порушених прав і свобод у сфері пе-рсональних даних.

Органи державної влади та місцевого самоврядування, організації, установи і підприємства усіх форм власності зобов’язані чинити всебічну підтримку діяльності Уповноваженого з питань захисту персональних даних.

У разі нехтування протестів, запитів, роз’яснень, рекомендацій чи вказівок, які подаються до органів державної влади та органів місцевого самоврядування, організацій, установ і підприємств усіх форм власності, Уповноважений з питань захисту персональних даних має право звернутися до Президента України, Верховної Ради України або Кабінету Міністрів України.

Стаття 26. Спеціально уповноважений центральний орган виконавчої влади з питань за-хисту персональних даних

Основними завданнями спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних є:

підготовка пропозицій щодо формування державної політики в сфері захисту персональних да-них;

надання дозволу на здійснення діяльності в сфері захисту персональних даних;

реєстрація баз персональних даних, систем автоматизованого оброблення персональних даних і систем оброблення картотек персональних даних;

контроль виконання законодавства з питань захисту персональних даних, з безперешкодним доступом до приміщень, в яких здійснюється обробка персональних даних,

надання приписів щодо припинення роботи баз персональних даних, систем автоматизова-ного оброблення персональних даних, у випадку виявлення порушень;

здійснення запитів до суб’єктів захисту персональних даних та отримування від них документів з любих питань щодо захисту персональних даних;

розгляд пропозицій, запитів, звернень, вимог та скарг фізичних і юридичних осіб;

забезпечення взаємодії з іноземними суб’єктами відносин, пов’язаних з персональними даними;

участь міжнародних організацій з питань захисту персональних даних.

Порядок надання дозволу на здійснення діяльності в сфері захисту персональних даних, реєстрації баз персональних даних, систем автоматизованого оброблення персональних даних і систем оброблення картотек персональних даних, а також розміри плати за здійснення зазначе-них дій спеціально уповноваженим центральним органом виконавчої влади з питань захисту персональних даних визначається Кабінетом Міністрів України.

Стаття 27. Служби захисту персональних даних в органах державної влади та органах місцевого самоврядування, організаціях, установах і підприємствах усіх форм власності

В органах державної влади та органах місцевого самоврядування, організаціях, установах і підприємствах усіх форм власності призначається відповідальна особа, яка організовує роботу, пов'я-зану із захистом персональних даних при їх обробленні в автоматизованих системах та картотеках, і несе персональну відповідальність за ефективність захисту персональних даних у відповідної органі-зації, згідно вимог цього Закону.

Приватно практикуючі адвокати, нотаріуси, лікарі тощо несуть персональну відповідальність за організацію захисту персональних даних згідно вимог цього Закону.

Стаття 28. Технічний захист при обробленні персональних даних

Вимоги до технічного захисту персональних даних визначаються нормативно-правовими ак-тами України.

Системи автоматизованого оброблення персональних даних повинні мати відповідний сертифі-кат або атестат захищеності.

Персональні дані підлягають автоматизованому обробленню за наявності забезпечення відповідних заходів захисту і забезпечення автоматизованих систем засобами технічного захисту.

Відповідні заходи та засоби щодо технічного захисту повинні застосовуватися для захи-сту від випадкової втрати персональних даних і несанкціонованого їх оброблення, розповсюдження та використання.

Стаття 29. Обмеження дії окремих статей цього Закону

Обмеження прав, передбачених статями 10, 20 і 22 цього Закону здійснюється згідно з зако-нодавством України і передбачається в інтересах:

захисту національної, економічної і громадської безпеки чи з метою захисту прав людини;

захисту прав і свобод фізичних осіб, персональні дані яких підлягають обробленню, чи прав інших суб’єктів відносин, пов’язаних з персональними даними, а також з метою боротьби з адмініст-ративними порушеннями та злочинністю;

забезпечення статистичними, соціологічними і науково-дослідними відомостями органів дер-жавної влади, з урахуванням права власності на персональні дані та за умови їх знеособлення.

Суб’єкти відносин, пов’язаних з персональними даними здійснюють свої повноваження в установлених Конституцією України межах і відповідно до законодавства України.

Стаття 30. Фінансування робіт із захисту персональних даних

Фінансування заходів щодо забезпечення захисту персональних даних здійснюється за рахунок коштів державного та місцевого бюджетів, коштів суб’єктів відносин, пов’язаних з персональними даними.

Розділ VII

ВІДПОВІДАЛЬНІСТЬ

Стаття 31. Види відповідальності

Порушення законодавства України про захист персональних даних тягне за собою дисциплі-нарну, цивільно-правову, адміністративну або кримінальну відповідальність.

Стаття 32. Компенсація матеріальної і моральної шкоди

У разі коли власнику або володільцю персональних даних заподіяно матеріальну або мораль-ну шкоду внаслідок навмисного знищення персональних даних чи їх носіїв, або несанкціоно-ваного оброблення будь-яких відомостей про фізичну особу, винні особи зобов’язані компенсу-вати цю шкоду згідно із законодавством України. Розмір компенсації за нанесену шкоду визначається рішенням суду.

Порядок спростування персональних даних, що є недостовірними здійснюється згідно із зако-нодавством України.

Стаття 33. Оскарження протиправних дій

Дії, що пов’язані з правом власності на персональні дані та їх обробленням, можуть бути оскаржені в судовому порядку.

Жодна фізична особа не може бути позбавлена або примушена до позбавлення прав, що сто-суються її персональних даних без судового розгляду і без відповідної компенсації згідно з чинним законодавством.

Будь-яке переслідування за оскарження протиправних дій щодо порушень права власності на персональні дані є протизаконним.

Розділ VIII

МІЖНАРОДНЕ СПІВРОБІТНИЦТВО

Стаття 34. Співробітництво з іноземними суб’єктами відносин,

пов’язаних з персональними даними

Співробітництво з іноземними суб’єктами відносин, пов’язаних з персональними даними регулюються Конституцією України, цим Законом, іншими нормативно-правовими актами та чинними міжнародними договорами України.

Уповноважений питань захисту персональних даних, спеціально уповноважений центральний орган виконавчої влади з питань захисту персональних даних взаємодіють з уповноваженими органа-ми інших країн.

Стаття 35. Міжнародні договори

Міжнародне співробітництво з іноземними державами та міжнародними організація-ми у сфері захисту персональних даних з питань, що становлять взаємний інтерес, здійснюється на основі міжнародних договорів.

Якщо міжнародним договором України, ратифікованим Верховною Радою України, встановлено інші правила, ніж ті, що передбачені законодавством України, то застосовуються поло-ження міжнародного договору України.

Стаття 36. Передача персональних даних іноземним суб’єктам

відносин, пов’язаних з персональними даними

Передача персональних даних іноземним суб’єктам відносин, пов’язаних з персональними даними здійснюється лише на підставі врахування права власності на персональні дані і за наявності дозволу

спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональ-них даних, у випадках встановлених законодавством.

Персональні дані не можуть надаватися третім особам з іншою метою, ніж та з якою вони були зібрані.

Стаття 37. Підтримка громадян України, які проживають за кордоном

Громадяни України, які проживають на території іншої країни, мають можливість звернутися з проханням у зв’язку із захистом персональних даних, використовуючи посередництво спеціаль-но уповноваженого центрального органа виконавчої влади з питань захисту персональних даних.

Прохання у зв’язку із захистом персональних даних повинне містити відомості зазначені у статті 16 цього Закону, а також реквізити документа, що посвідчує фізичну особу.

Розділ ІХ. Прикінцеві положення

1. Цей Закон набуває чинності з дня його опублікування.

2. Кабінету Міністрів України протягом трьох місяців з дня набрання чинності цим Законом:

-підготувати та подати на розгляд Верховної Ради України відповідні пропозиції про внесення змін до законів України;

-забезпечити прийняття нормативно-правових актів, передбачених цим законом;

-забезпечити перегляд і скасування міністерствами та іншими центральними органами вико-навчої влади України їх нормативно-правових актів, що суперечать цьому Закону.

ПОЯСНЮВАЛЬНА ЗАПИСКА

до проекту Закону України

про захист персональних даних

Практична необхідність прийняття цього Закону обумовлена тим, що стан нормативно-правової бази не забезпечує захист прав людини щодо виконання положень статей 3, 32, 34 Консти-туції України стосовно персональних даних. Чинні на цей час більш як два десятки законів України, що пов’язані зі збиранням, зберіганням, використанням та поширенням інформації про особу (пер-сональних даних), не мають чіткого та скорельованого з європейським законодавством визначення персональних даних, хоч це поняття несе гносеологічне навантаження: саме на його базі повинні фо-рмуватися гіпотези норм, регулюючих відношення в процесі захисту тих або інших персональних даних. Сучасний стан суспільних відносин, який характеризується тім що рух інформації, товарів, осіб, послуг і капіталів пов’язано з використанням персональних даних (соціального, фінансового, правоохоронного, науково-технічного та ін. характеру) вимагає не тільки вільний рух інформації про особу, але й забезпечення їх захисту у відповідності до основних прав і свобод людини.

Зміцнення міжнародного соціального, економічного та науково-технічного співробітництва, розвиток інформаційних мереж, зростання транскордонних потоків персональних даних, з одного боку, та зусилля, що вживаються державою щодо розвитку демократичних процесів з іншого, визна-чають актуальність і об'єктивну необхідність захисту прав і свобод громадян України у цій сфері.

Ситуація у сфері захисту персональних даних у різних країнах свідчить про таку загальну тенденцію: розробляються та приймаються законодавчі та підзаконні акти, які регулюють відносини різних суб’єктів персональних даних; створюється інфраструктура щодо вирішення проблем техніч-ного та організаційного захисту даних про особу; організовується спеціальний інст