Відмінності між версіями «Захист персональних даних»

Матеріал з WikiLegalAid
Перейти до: навігація, пошук
(Обробка персональних даних.)
Рядок 1: Рядок 1:
 
== Нормативна база ==
 
== Нормативна база ==
 
 
* [http://zakon5.rada.gov.ua/laws/254%D0%BA/96-%D0%B2%D1%80 Конституція України]
 
* [http://zakon5.rada.gov.ua/laws/254%D0%BA/96-%D0%B2%D1%80 Конституція України]
* [http://zakon5.rada.gov.ua/laws/show/2297-17 Законом  України «Про захист персональних даних»  від 01 червня 2010 року № 2297-VI]  
+
* [http://zakon4.rada.gov.ua/laws/show/995_004 Конвенція про захист прав людини і основоположних свобод від 04 листопада 1950 року]
* [http://zakon5.rada.gov.ua/laws/show/v0152740-12 Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 2 червня 2011 року № 3454-VI.]
+
* [http://zakon5.rada.gov.ua/laws/show/2297-17 Закон України "Про захист персональних даних"]  
* [http://zakon4.rada.gov.ua/laws/show/995_004 Конвенції про захист прав людини і основоположних свобод 1950 року]
+
* [http://zakon2.rada.gov.ua/laws/show/2939-17 Закон України "Про доступ до публічної інформації"]
* [http://zakon2.rada.gov.ua/laws/show/3206-17 Законом України «Про засади запобігання і протидії корупції» від 7 квітня 2011 року № 3206-VI.]
+
* [http://zakon3.rada.gov.ua/laws/show/80731-10 Кодекс України про адміністративні правопорушення]  
  
== Вступ ==
+
== Поняття "персональні дані" ==
Питання захисту персональних даних регулюється Законом  України        «Про захист персональних даних»  від 01 червня 2010 року  № 2297-VI (далі - Закон). Відповідно до ст. 2 цього Закону під персональними даними розуміють  відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.<br />
+
'''Персональні дані''' - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Під час розгляду даного питання варто визначити  суб’єктний та об’єктний склади відносин, пов’язаних з  персональними даними.
+
{| class="wikitable"
 
+
|-
== Суб'єктом персональних даних ==
+
| '''''До відома:''''' [http://zakon2.rada.gov.ua/laws/show/n0076323-11 роз'яснення Міністерства юстиції України від 21 грудня 2011 року "Деякі питання практичного застосування Закону України "Про захист персональних даних"]  
Суб'єктом персональних даних є фізична особа, персональні дані якої обробляються і яка має право (ст. 8 Закону):
+
|}
 +
== Суб'єкти відносин, пов'язаних із персональними даними ==
 +
Суб'єктом персональних даних є <u>фізична особа</u>, персональні дані якої обробляються і яка має право:
 
# знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;  
 
# знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;  
 
# отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;  
 
# отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;  
 
# на доступ до своїх персональних даних;  
 
# на доступ до своїх персональних даних;  
# отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;  
+
# отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;  
# пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;  
+
# пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;  
 
# пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;  
 
# пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;  
 
# на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;  
 
# на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;  
Рядок 30: Рядок 31:
 
Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.<br />
 
Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.<br />
 
Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.<br />
 
Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.<br />
''Третьою особою'' є  будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.
+
''Третьою особою'' є  будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.
  
== Об’єкти захисту ==
+
== Об'єкти захисту ==
Об’єктами захисту є персональні дані.<br />
+
Об'єктами захисту є персональні дані.<br />
Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.<br />
+
Персональні дані можуть бути віднесені ''до конфіденційної інформації'' про особу законом або відповідною особою. <br />
Персональні дані, зазначені у декларації про майно, доходи, витрати і зобов’язання фінансового характеру не належать до інформації з обмеженим доступом, крім відомостей, визначених Законом України «Про засади запобігання і протидії корупції» від 7 квітня 2011 року № 3206-VI.<br />
+
Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов'язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.<br />
 
Не належить до інформації з обмеженим доступом інформація про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, крім випадків, передбачених статтею 6 Закону України "Про доступ до публічної інформації".<br />
 
Не належить до інформації з обмеженим доступом інформація про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, крім випадків, передбачених статтею 6 Закону України "Про доступ до публічної інформації".<br />
 
Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з обмеженим доступом.
 
Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з обмеженим доступом.
  
== Обробка персональних даних. ==
+
== Обробка персональних даних ==
Відповідно  до Закону персональні дані підлягають обробці, під даним поняттям розуміються ''будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.''<br />
+
Персональні дані підлягають '''обробці''' (будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.''<br />
Обробка персональних даних відповідно до частини 5 статті 6 Закону здійснюється за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.<br />
+
Обробка персональних даних здійснюється за <u>згодою суб'єкта персональних даних</u>, тобто за добровільним волевиявленням фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловленим у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди, або у випадках, передбачених законами України, у порядку, встановленому законодавством.<br />
Так, відповідно до абзацу четвертого статті 2 Закону '''згодою суб’єкта персональних  даних'''  є добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди..<br />
+
Обробка даних про фізичну особу без її згоди ''не допускається'', крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини, або якщо обробка персональних даних є необхідною для захисту його життєво важливих інтересів. У такому випадку обробляти персональні дані без згоди суб'єкта персональних даних можна до часу, коли отримання згоди стане можливим.<br />
Обробка даних про фізичну особу без її згоди не допускається, крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. <br />
+
=== Підстави для обробки персональних даних: ===
Закон  також дозволяє здійснювати обробку персональних даних без згоди суб'єкта персональних даних, якщо обробка персональних даних є необхідною для захисту його життєво важливих інтересів. У такому випадку обробляти персональні дані без згоди суб’єкта персональних даних можна до часу, коли отримання згоди стане можливим.<br />
+
# згода суб'єкта персональних даних на обробку його персональних даних;
Будь-яка обробка персональних даних має містити законні підстави, на основі яких і буде здійснюватись. Так, Закон виділяє наступні ''підстави для обробки персональних даних'':
 
# згода суб’єкта персональних даних на обробку його персональних даних;
 
 
# дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
 
# дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
# укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
+
# укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних;
# захист життєво важливих інтересів суб’єкта персональних даних;
+
# захист життєво важливих інтересів суб'єкта персональних даних;
# необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
+
# необхідність виконання обов'язку володільця персональних даних, який передбачений законом;
# необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.<br />
+
# необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб'єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.<br />
 +
 
 
== Які  дії можуть вчинятися  під час обробки персональних  даних? ==
 
== Які  дії можуть вчинятися  під час обробки персональних  даних? ==
Відповідно до Закону України  «Про захист персональних даних» від 1 червня 2010 року  № 2297-VI передбачає такі види дій з персональними даними, як:
+
I. '''''Збирання:''''' суб'єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, мету збору персональних даних та осіб, яким передаються його персональні дані:
# збирання;
+
# в момент збору персональних даних, якщо персональні дані збираються у суб'єкта персональних даних;  
# накопичення;
+
# в інших випадках протягом 30 робочих днів з дня збору персональних даних. <br />
# зберігання;
+
II. '''''Накопичення персональних даних''''' - дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.<br />
# поширення;
+
III. '''''Зберігання персональних даних''''' - дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.<br />
# видалення або знищення.
+
IV. '''''Поширення персональних даних''''' - дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.<br />
'''Розглянемо тепер кожен з видів дій більш детально.'''  
 
''Збирання персональних даних'' є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.
 
Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, мету збору персональних даних та осіб, яким передаються його персональні дані:
 
# в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;  
 
# в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.  
 
''Накопичення персональних даних'' являє собою дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.<br />
 
''Зберігання персональних даних'' передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.<br />
 
''Поширення персональних даних'' передбачає дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних.<br />
 
Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.<br />
 
 
Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.<br />
 
Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.<br />
Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог Закону.<br />
+
Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог Закону України "Про захист персональних даних" (далі - Закон).<br />
Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог закону.
+
Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог Закону.
  
 
== Підстави для видалення або знищення персональних даних ==
 
== Підстави для видалення або знищення персональних даних ==
Підстави для видалення або знищення персональних даних:
+
# Закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
# закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
 
 
# припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом;
 
# припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом;
 
# видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
 
# видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
 
# набрання законної сили рішенням суду щодо видалення або знищення персональних даних.<br />
 
# набрання законної сили рішенням суду щодо видалення або знищення персональних даних.<br />
Якщо персональні дані були зібрані з порушенням вимог Закону, то вони підлягають видаленню або знищенню. Персональні дані, зібрані під час виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом, видаляються або знищуються відповідно до вимог закону.
+
Якщо персональні дані були зібрані з порушенням вимог Закону, то вони підлягають видаленню або знищенню. Персональні дані, зібрані під час виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом, видаляються або знищуються відповідно до вимог Закону.
  
 
== Порядок доступу до персональних даних ==
 
== Порядок доступу до персональних даних ==
 
Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону. Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України "Про доступ до публічної інформації".<br />
 
Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону. Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України "Про доступ до публічної інформації".<br />
Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити.<br />
+
Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.<br />
''Суб'єкт відносин, пов'язаних з персональними даними, подає запит щодо доступу до персональних даних володільцю персональних даних.
+
''Суб'єкт відносин, пов'язаних з персональними даними, подає запит відповідно до вимог Закону України "Про доступ до публічної інформації" щодо доступу до персональних даних володільцю персональних даних.''<br />
''<br />
+
Строк вивчення запиту на предмет його задоволення не може перевищувати 10 робочих днів з дня його надходження.<br />
Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.<br />
 
 
Протягом цього строку володілець персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.<br />
 
Протягом цього строку володілець персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.<br />
Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.<br />
+
Запит задовольняється протягом 30 календарних днів з дня його надходження, якщо інше не передбачено законом.<br />
Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, за умови надання інформації, визначеної у пункті 1 частини четвертої цієї статті, крім випадків, установлених законом.<br />
+
Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, за умови надання інформації, а саме: <u>прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника)</u>, - крім випадків, установлених законом.<br />
 
 
== Контролюючі органи ==
 
# Уповноважений Верховної Ради з прав людини
 
# суди
 
  
 
== Відповідальність за порушення законодавства про захист персональних даних ==
 
== Відповідальність за порушення законодавства про захист персональних даних ==
Відповідно до статті 28 Закону, порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом.<br />
+
Громадяни, посадові особи, громадяни – суб'єкти підприємницької діяльності притягуються до '''адміністративної відповідальності''' (стаття 188<sup>39</sup> Кодексу України про адміністративні правопорушення) за вчинення таких правопорушень:
З метою забезпечення виконання громадянами, органами державної влади та місцевого самоврядування, підприємствами, установами організаціями незалежно від форми власності вимог Закону Верховною Радою України було прийнято Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 2 червня 2011 року № 3454-VI.<br />
+
# неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
Відповідно до цього закону громадяни, посадові особи, громадяни – суб’єкти підприємницької діяльності притягуються до '''адміністративної відповідальності''' за вчинення таких правопорушень:
 
# неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
 
 
# неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;
 
# неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;
 
# ухилення від державної реєстрації бази персональних даних;
 
# ухилення від державної реєстрації бази персональних даних;
 
# недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;
 
# недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;
 
# невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.<br />
 
# невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.<br />
За порушення недоторканості приватного життя, а саме за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації винна особа притягується до '''кримінальної відповідальності.
+
За порушення недоторканості приватного життя, а саме за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації винна особа притягується до '''кримінальної відповідальності (стаття 182 [http://zakon3.rada.gov.ua/laws/show/2341-14 Кримінального кодексу України]).'''
'''
 
  
 
[[Категорія:Особисті немайнові права фізичної особи]]
 
[[Категорія:Особисті немайнові права фізичної особи]]
 
[[Категорія:Суди]]
 
[[Категорія:Суди]]

Версія за 16:25, 16 березня 2017

Нормативна база

Поняття "персональні дані"

Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

До відома: роз'яснення Міністерства юстиції України від 21 грудня 2011 року "Деякі питання практичного застосування Закону України "Про захист персональних даних"

Суб'єкти відносин, пов'язаних із персональними даними

Суб'єктом персональних даних є фізична особа, персональні дані якої обробляються і яка має право:

  1. знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
  2. отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
  3. на доступ до своїх персональних даних;
  4. отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
  5. пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
  6. пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
  7. на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
  8. звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
  9. застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
  10. вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
  11. відкликати згоду на обробку персональних даних;
  12. знати механізм автоматичної обробки персональних даних;
  13. на захист від автоматизованого рішення, яке має для нього правові наслідки.

Володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону.
Розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.
Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.
Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.
Третьою особою є будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

Об'єкти захисту

Об'єктами захисту є персональні дані.
Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою.
Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов'язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.
Не належить до інформації з обмеженим доступом інформація про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, крім випадків, передбачених статтею 6 Закону України "Про доступ до публічної інформації".
Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з обмеженим доступом.

Обробка персональних даних

Персональні дані підлягають обробці (будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
Обробка персональних даних здійснюється за згодою суб'єкта персональних даних, тобто за добровільним волевиявленням фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловленим у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
Обробка даних про фізичну особу без її згоди не допускається, крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини, або якщо обробка персональних даних є необхідною для захисту його життєво важливих інтересів. У такому випадку обробляти персональні дані без згоди суб'єкта персональних даних можна до часу, коли отримання згоди стане можливим.

Підстави для обробки персональних даних:

  1. згода суб'єкта персональних даних на обробку його персональних даних;
  2. дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
  3. укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних;
  4. захист життєво важливих інтересів суб'єкта персональних даних;
  5. необхідність виконання обов'язку володільця персональних даних, який передбачений законом;
  6. необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб'єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.

Які дії можуть вчинятися під час обробки персональних даних?

I. Збирання: суб'єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, мету збору персональних даних та осіб, яким передаються його персональні дані:

  1. в момент збору персональних даних, якщо персональні дані збираються у суб'єкта персональних даних;
  2. в інших випадках протягом 30 робочих днів з дня збору персональних даних.

II. Накопичення персональних даних - дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.
III. Зберігання персональних даних - дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
IV. Поширення персональних даних - дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.
Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог Закону України "Про захист персональних даних" (далі - Закон).
Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог Закону.

Підстави для видалення або знищення персональних даних

  1. Закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
  2. припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом;
  3. видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
  4. набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

Якщо персональні дані були зібрані з порушенням вимог Закону, то вони підлягають видаленню або знищенню. Персональні дані, зібрані під час виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом, видаляються або знищуються відповідно до вимог Закону.

Порядок доступу до персональних даних

Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону. Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України "Про доступ до публічної інформації".
Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
Суб'єкт відносин, пов'язаних з персональними даними, подає запит відповідно до вимог Закону України "Про доступ до публічної інформації" щодо доступу до персональних даних володільцю персональних даних.
Строк вивчення запиту на предмет його задоволення не може перевищувати 10 робочих днів з дня його надходження.
Протягом цього строку володілець персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.
Запит задовольняється протягом 30 календарних днів з дня його надходження, якщо інше не передбачено законом.
Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, за умови надання інформації, а саме: прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника), - крім випадків, установлених законом.

Відповідальність за порушення законодавства про захист персональних даних

Громадяни, посадові особи, громадяни – суб'єкти підприємницької діяльності притягуються до адміністративної відповідальності (стаття 18839 Кодексу України про адміністративні правопорушення) за вчинення таких правопорушень:

  1. неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
  2. неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;
  3. ухилення від державної реєстрації бази персональних даних;
  4. недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;
  5. невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.

За порушення недоторканості приватного життя, а саме за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації винна особа притягується до кримінальної відповідальності (стаття 182 Кримінального кодексу України).