Представники громадських організацій просять Верховну Раду переглянути Закон “Про захист персональних даних”

27.08.2012

                                                                                                                               Комітету Верховної Ради України з питань науки і освіти

Офісу Ради Європи в Україні

 

Звернення

щодо перегляду Закону України “Про захист персональних даних”

 

Практичне застосування Закону України “Про захист персональних даних” (далі - Закон), що діє з початку 2011 року, засвідчило наявність низки проблем, зокрема, пов’язаних з обмеженням доступу до публічної інформації з посиланням на конфіденційність персональних даних, надмірними адміністративними вимогами до обробки персональних даних (реєстрація баз даних), обмеженим переліком підстав для правомірної обробки таких даних.

На проблемність окремих положень Закону, а також їх невідповідність європейським стандартам вказується також у висновку експертів Ради Європи від 19 січня 2012 р.[1] та юридичному аналізі, підготовленому міжнародною організацією “Артикль 19”, від 26 липня 2012 р.[2]

Зазначені проблеми ускладнюються набуттям чинності 1 липня 2012 р. змін до законодавчих актів, якими було посилено відповідальність за порушення у сфері обробки персональних даних.

Це обумовлює необхідність внесення комплексних змін до Закону та, зокрема, узгодження його із законодавчими актами щодо доступу до публічної інформації.

На розгляді Верховної Ради України знаходиться кілька законопроектів про внесення змін до Закону “Про захист персональних даних” (реєстр. №№ 9790, 10472, 10472-1). На нашу думку, законопроект №10472-1, поданий Кабінетом Міністрів 28 травня 2012 р., може бути ухвалений в першому читанні за умови його обов’язкового доопрацювання до остаточного прийняття.

У зв’язку з цим, ми, експерти та представники громадських організацій, звертаємося до Верховної Ради України, зокрема Комітету з питань науки і освіти, а також до експертів Ради Європи, які можуть проводити аналіз зазначених законопроектів, з проханням урахувати пропозиції, що містяться в додатку до цього звернення.

23 серпня 2012 р.

Підписали:

-          Дмитро Котляр, незалежний експерт

-          Роман Головенко, Інститут масової інформації

-          Олександр Павліченко, Українська фундація правової допомоги

-          Тарас Шевченко, Інститут медіа права

-          Віктор Таран, Центр політичних студій та аналітики

-          Світлана Заліщук, Центр UA

-          Олексій Хмара, Творче об’єднання “ТОРО” - Transparency International Україна

-          Анатолій Пінчук, ВГО “Українська стратегія”

-          Леся Шевченко, Фундація "Відкрите суспільство"

-          Ірина Бекешкіна, Фонд "Демократинчі ніціаиви" ім. Ілька Кучеріва

-          Тарас Петрів, Фундація "Суспільність"

-          Олександр Сушко, Інститут Євро-Атлантичного співробітництва

-          Роман Романов, член Консультативної ради при Уповноваженому Верховної Ради України з прав людини

-          Аркадій Бущенко, Українська Гельсінська спілка з прав людини

 

Додаток до звернення

 

Пропозиції до проекту Закону України “Про внесення змін до Закону України «Про захист персональних даних»” (№10472-1)

 

 

1. Законопроектом пропонується викласти в новій редакції формулювання щодо сфери дії Закону “Про захист персональних даних” (далі - Закон) в його статті 1, а саме встановити, що: “Цей Закон захищає основоположні права та свободи фізичних осіб, зокрема право на невтручання в особисте життя під час обробки персональних даних.”

Це, на нашу думку, не зовсім коректне формулювання, оскільки захист інших прав та свобод фізичних осіб, безвідносно до захисту персональних даних, не входить до сфери дії Закону. Хоча запропоноване в Законопроекті формулювання є буквальним перекладом відповідного положення Директиви ЄС 95/46[3], більш коректним видається положення Конвенції Ради Європи №108 про захист осіб у зв’язку з автоматизованою обробкою персональних даних[4]. До того ж, зазначені положення Директиви та Конвенції визначені як “цілі” відповідних документів, а не як сфера їхньої дії. Такий же підхід варто обрати і в українському законі.

 

У зв’язку з цим пропонується:

 

1) доповнити Закон преамбулою такого змісту:

 

Цей Закон спрямований на захист основоположних прав і свобод фізичних осіб, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.;

 

2) вилучити частину першу статті 1 Закону.

 

 

2. Законопроектом №10472-1 пропонується викласти в новій редакції положення щодо винятків зі сфери дії Закону (стаття 1). При цьому зберігається помилка чинної редакції, відповідно до якої Закон не поширюється на обробку персональних даних, що проводиться журналістом для своїх професійних цілей. Це не відповідає Директиві ЄС 95/46 щодо захисту осіб у зв’язку з обробкою персональних даних, відповідно до статті 9 якої, держави забезпечують виключення з вимог Директиви для обробки персональних даних, що здійснюється, зокрема, “в журналістських цілях”. У Директиві відсутня прив’язка до професії чи посади журналіста. В одному з рішень Суду ЄС зазначається, що цей виняток стосується не тільки засобів масової інформації, але “будь-якої особи, що займається журналізмом”; що не має значення засіб, що використовується для поширення інформації; що виняток застосовується, якщо “метою є донесення до суспільства інформації, думок чи ідей”[5]. Такі формулювання також пропонується закріпити в новій Постанові ЄС щодо захисту осіб стосовно обробки персональних даних (далі – проект Постанови ЄС)[6], яка повинна замінити Директиву ЄС 95/46 (див. пункт 121 вступної частини проекту Постанови ЄС).

 

У зв’язку з цим пропонується викласти відповідний виняток у статті 1 Закону таким чином:

 

“Цей Закон не поширюється на обробку персональних даних:

що здійснюється виключно у журналістських цілях.”

 

 

3. Законопроектом із статті 5 Закону пропонується вилучити частини третю (“Законом може бути заборонено віднесення персональних даних певних категорій громадян чи їх вичерпного переліку до інформації з обмеженим доступом”) та четверту (“Персональні дані фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії, не належать до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону.”).

При цьому залишається без змін частина друга цієї статті: “Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.".

Це призведе до втрати зв’язку між положеннями Закону “Про захист персональних даних” та законодавством про доступ до публічної інформації. Останнє містить норми, які прямо забороняють відносити певні відомості до інформації з обмеженим доступом (наприклад, чч. 5-6 ст. 6 Закону “Про доступ до публічної інформації”). Ці норми прямо кореспондують із ч. 3 ст. 5 Закону “Про захист персональних даних”. Вилучення зазначеної частини із Закону, поряд із збереженням норми про автоматичне віднесення всіх персональних даних до інформації з обмеженим доступом, матиме наслідком дальше погіршення ситуації із доступом до публічної інформації. Адже на практиці посилання на Закон “Про захист персональних даних” часто використовується для відмови в доступі до інформації; з вилученням зазначених положень це буде робити ще легше.

Розгляд законопроекту про внесення змін до Закону про захист персональних даних дає можливість виправити закладений в ньому неправильний підхід, за яким будь-які персональні дані автоматично визнаються конфіденційними, та встановити належний баланс між правом на доступ до інформації і правом на захист приватності.

Насамперед, слід виправити норму, що всі персональні дані є інформацією з обмеженим доступом. Це суперечить Конституції України (ст. 32), відповідно до якої забороняється збирання, зберігання, використання та поширення “конфіденційної інформації про особу”. З цього випливає, що не вся інформація про особу є конфіденційною. Це підтверджується Рішенням Конституційного Суду України від 20.01.2012, згідно з яким не вся інформація про особу є конфіденційною. Конфіденційною не є передбачена законами інформація, що стосується здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень[7].

Такий підхід також не відповідає європейським стандартам, зокрема практиці Європейського суду з прав людини (ЄСПЛ). Так, у багатьох своїх рішеннях ЄСПЛ встановив, що право на приватність публічних діячів може бути обмежено з огляду на посаду, яку вони займають чи їхній публічний статус, а також виходячи з важливості певної інформації для суспільної дискусії тощо[8].

Це також суперечить визначенню конфіденційної інформації, що міститься в Законі “Про доступ до публічної інформації” (ст. 7: “Конфіденційна інформація - інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов”).

Водночас, помилка ототожнення інформації про особу та конфіденційної інформації повторюється у ч. 2 ст. 21 Закону “Про інформацію” (“Конфіденційною є інформація про фізичну особу...”). Хоча в іншому положенні цього ж Закону (ч. 2 ст. 11) повторюється конституційна норма про заборону поширення без згоди особи лише конфіденційної інформації про неї та визначено перелік інформації, яка відноситься до конфіденційної (з чого також випливає, що не вся інформація про особу є конфіденційною). Тому це положення також слід виправити.

 

У зв’язку із зазначеним пропонується:

 

1) викласти статтю 5 Закону “Про захист персональних даних” у такій редакції:

 

"Стаття 5. Об'єкти захисту

1. Об'єктами захисту є персональні дані, які обробляються в базах персональних даних.

2. Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень. Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з обмеженим доступом."

 

2) викласти перше речення частини другої статті 21 Закону "Про інформацію" в такій редакції:

 

"2. Конфіденційною є інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень."

 

 

4. Законопроектом пропонується зберегти обов’язкову реєстрацію баз персональних даних. При цьому передбачається встановити лише два винятки із зазначеного обов’язку (ч. 2 ст. 9). Не підлягатимуть реєстрації лише бази даних, ведення яких пов’язано із забезпеченням та реалізацією трудових відносин, а також бази даних членів громадських, релігійних організацій, професійних спілок, а також політичних партій.

Вимога щодо обов’язкової реєстрації баз персональних даних, запроваджена Законом, призвела до надмірного і необґрунтованого навантаження на суб’єкти господарювання та інших осіб, які здійснють у своїй діяльності обробку персональних даних. Досвід застосування цієї вимоги Закону засвідчив неготовність уповноваженого державного органу з питань захисту персональних даних до здійснення відповідної реєстрації та відсутність будь-якої реальної користі від такої реєстрації для захисту персональних даних. Таким чином, вимога обов’язкової реєстрації баз персональних даних засвідчила свою неефективність та недоцільність.

Слід зазначити, що реєстрація баз персональних даних не вимагається Конвенцією Ради Європи №108. Директива ЄС 95/46, що містить вимогу повідомлення уповноваженого органу перед початком здійснення обробки персональних даних (з можливістю для держав-членів встановити цілу низку винятків із цієї вимоги), зараз переглядається. При цьому проект нового юридичного інструменту ЄС з цього питання (проект Постанови ЄС), що був представлений Європейською Комісією, взагалі не містить вимоги щодо обов’язкової нотифікації.

З огляду на це пропонується відмовитися від обов’язкової реєстрації баз персональних даних та вилучити відповідні положення із Закону України “Про захист персональних даних”.

 

 

5. Законопроектом пропонується значно розширити перелік підстав для правомірної обробки персональних даних, що міститься в статті 11 Закону. Це загалом позитивна зміна, яку слід вітати, оскільки вона спрямована на приведення Закону у відповідність до європейський стандартів та відмову від необґрунтованого звуження підстав для обробки персональних даних. Водночас пропонована редакція не повною мірою відповідає зазначеним стандартам, а саме статті 7 Директиви ЄС 95/46 (стаття 6 проекту Постанови ЄС), а саме:

- відсутня така підстава для обробки персональних даних як “обробка, що необхідна для виконання юридичного обов’язку володільця персональних даних”;

- у пункті 5 нової редакції статті 11 Закону міститься згадка випадку “коли суб’єкт персональних даних вимагає припинити обробку його персональних даних”, який відсутній у зазначених документах ЄС. Це може призвести до того, що навіть в разі наявності законного інтересу, що є підставою для правомірної обробки даних, така обробка може бути заборонена через вимогу суб’єкта персональних даних.

Крім того, на нашу думку, останню підставу для обробки персональних даних (наявність законного інтересу володільця чи третіх осіб) слід доповнити прикладом такої ситуації, а саме коли обробка відповідає законному інтересу в доступі до публічної інформації. Це допоможе конкретизувати це положення та спростить його застосування на практиці.

 

У зв’язку з цим пропонується замінити пункт 5 статті 11 Закону в редакції Законопроекту такими двома пунктами:

 

5) необхідність виконання юридичного обов’язку володільця персональних даних;

6) необхідність захисту законного інтересу володільця персональних даних або третьої особи, зокрема щодо доступу до публічної інформації, крім випадку, коли потреби захисту персональних даних переважають такий інтерес.

 

 

6. Законопроект залишає без змін положення Закону щодо доступу третіх осіб до персональних даних (статті 16-20), які не узгоджуються із Законом “Про доступ до публічної інформації”.

У зв’язку з цим пропонується доповнити частину першу статті 16 Закону реченням другим такого змісту:

 

1. ... Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України “Про доступ до публічної інформації”.

 

 

7. Законопроектом не вирішується проблема забезпечення інституційної незалежності уповноваженого державного органу із захисту персональних даних, що є одним з головних недоліків чинного Закону “Про захист персональних даних”. Проектом лише пропонується додати, що цей орган “є незалежним у реалізації повноважень, передбачених цим Законом”. Це навряд чи є достатнім для зміни існуючої ситуації, коли органом, що здійснює державний захист персональних даних, є орган виконавчої влади, що підпорядковується Міністерству юстиції. Аналіз невідповідності існуючої моделі уповноваженого органу європейським стандартам викладений у висновку експертів Ради Європи від 12.01.2012[9] та юридичному аналізі міжнародної організації “Артикль 19” від 26.07.2012[10].

З огляду на існуючі конституційні обмеження та адміністративну систему України, на нашу думку, такою моделлю незалежного державного органу із захисту персональних даних в Україні могло б бути:

1) створення державного колегіального органу із спеціальним статусом та порядком формування, подібним до національних комісій, що здійснюють державне регулювання в окремих сферах;

2) покладення відповідних функцій на Уповноваженого Верховної Ради з прав людини.

 

 

[1] Документ DGI/DP/expertiseUKR(2012).

 

[2] http://www.article19.org/data/files/medialibrary/3391/12-07-26-LA-ukraine.pdf.

 

[3] Стаття 1: “In accordance with this Directive, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data.

 

[4] Стаття 1: The purpose of this convention is to secure in the territory of each Party for every individual, whatever his nationality or residence, respect for his rights and fundamental freedoms, and in particular his right to privacy, with regard to automatic processing of personal data relating to him”.

 

[5] Рішення Великої палати Суду ЄС у справі № C-73/07, 16 грудня 2008 р., параграфи 58-62, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62007J0073:EN:HTML.

 

[6] Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), 25.01.2012, COM(2012) 11 final, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:EN:PDF.

 

[7] Абзац другий пункту 1 резолютивної частини Рішення Конституційного Суду України від 20 січня 2012 року №2-рп/2012.

 

[8] Див., серед багатьох інших, рішення у справах Von Hannover v. Germany (№59320/00), Sciacca v. Italy (№50774/99), Hachette Filipacchi Associés v.France (№12268/03), Editions Plon v. France (№58148/00), Lyashko v. Ukraine (№21040/02).

 

[9] Документ DGI/DP/expertiseUKR(2012), http://astol.com.ua/PDF/DGI-DP-expertiseUKR.pdf.

 

[10] http://www.article19.org/data/files/medialibrary/3391/12-07-26-LA-ukraine.pdf.

 

Пропозиції щодо доопрацювання проекту Закону “Про внесення змін до Закону України «Про захист персональних даних»” (№10472-1)

 

 

Текст чинного Закону

Редакція Законопроекту №10472-1

Пропозиції експертів та ГО

До Закону “Про захист персональних даних”

Преамбула відсутня.

Преамбула відсутня.

Цей Закон спрямований на захист основоположних прав і свобод фізичних осіб, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.

Стаття 1. Сфера дії Закону

      Цей Закон регулює відносини, пов'язані із захистом персональних даних під час їх обробки.

     Дія цього Закону не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах:

     фізичною особою - виключно для непрофесійних особистих чи побутових потреб;

     журналістом - у зв'язку з виконанням ним службових чи професійних обов'язків;

     професійним творчим працівником - для здійснення творчої діяльності.

 

 

 

 

 

Стаття 1. Сфера дії Закону

      Цей Закон захищає основоположні права та свободи фізичних осіб, зокрема право на невтручання в особисте життя під час обробки персональних даних.

     Цей Закон поширюється на діяльність з обробки персональних даних, яка провадиться повністю або частково із застосуванням автоматичних засобів, а також на обробку персональних даних, які містяться в картотеці чи призначені до внесення в картотеку, із застосуванням неавтоматичних засобів.

      Цей Закон не поширюється на діяльність з обробки персональних даних:

     що провадиться фізичною особою виключно для особистих чи побутових потреб або з метою художньої чи літературної творчості;

     що провадиться журналістом для своїх професійних цілей.

Стаття 1. Сфера дії Закону

      Цей Закон захищає основоположні права та свободи фізичних осіб, зокрема право на невтручання в особисте життя під час обробки персональних даних.

     Цей Закон поширюється на діяльність з обробки персональних даних, яка провадиться повністю або частково із застосуванням автоматичних засобів, а також на обробку персональних даних, які містяться в картотеці чи призначені до внесення в картотеку, із застосуванням неавтоматичних засобів.

      Цей Закон не поширюється на діяльність з обробки персональних даних:

     що провадиться фізичною особою виключно для особистих чи побутових потреб або з метою художньої чи літературної творчості;

що здійснюється виключно у журналістських цілях.

 

Стаття 2. Визначення термінів

У цьому Законі нижченаведені терміни вживаються в такому значенні:

Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;

Стаття 2. Визначення термінів

У цьому Законі нижченаведені терміни вживаються в такому значенні:

Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;

Стаття 2. Визначення термінів

У цьому Законі нижченаведені терміни вживаються в такому значенні:

Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;

Стаття 5. Об'єкти захисту

1. Об'єктами захисту є персональні дані, які обробляються в базах персональних даних.

2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.

3. Законом може бути заборонено віднесення персональних даних певних категорій громадян чи їх вичерпного переліку до інформації з обмеженим доступом.

4. Персональні дані фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії, не належать до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону.

 

Стаття 5. Об'єкти захисту

1. Об'єктами захисту є персональні дані, які обробляються в базах персональних даних.

2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.

3. Законом може бути заборонено віднесення персональних даних певних категорій громадян чи їх вичерпного переліку до інформації з обмеженим доступом.

4. Персональні дані фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії, не належать до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону.

 

 

Стаття 5. Об'єкти захисту

1. Об'єктами захисту є персональні дані, які обробляються в базах персональних даних.

2. Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень. Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з обмеженим доступом.

 

Стаття 9. Реєстрація баз персональних даних

1. База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

Положення про Державний реєстр баз персональних даних та порядок його ведення затверджуються Кабінетом Міністрів України.

2. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.

 

 

 

 

 

 

 

3. Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до уповноваженого державного органу з питань захисту персональних даних.

Заява повинна містити:

звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;

інформацію про володільця бази персональних даних;

інформацію про найменування і місцезнаходження бази персональних даних;

інформацію про мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог статей 6 і 7 цього Закону;

 

 

 

 

інформацію про інших розпорядників бази персональних даних;

підтвердження зобов'язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.

4. Уповноважений державний орган з питань захисту персональних даних у порядку, затвердженому Кабінетом Міністрів України:

повідомляє заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання;

приймає рішення про реєстрацію бази персональних даних протягом десяти робочих днів з дня надходження заяви.

Володільцю бази персональних даних видається документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних.

5. Уповноважений державний орган з питань захисту персональних даних відмовляє в реєстрації бази персональних даних, якщо заява про реєстрацію не відповідає вимогам частини третьої цієї статті.

6. Володілець бази персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни.

7. Уповноважений державний орган з питань захисту персональних даних протягом десяти робочих днів з дня надходження повідомлення про зміну відомостей, необхідних для реєстрації відповідної бази, повинен прийняти рішення щодо зазначеної зміни та повідомити про це володільця бази персональних даних.

Стаття 9. Реєстрація баз персональних даних

1. База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

Положення про Державний реєстр баз персональних даних та порядок його ведення затверджуються Кабінетом Міністрів України.

2. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.

Володілець персональних даних звільняється від обов’язку реєстрації баз персональних даних:

ведення яких пов’язано із забезпеченням та реалізацією трудових відносин;

членів громадських, релігійних організацій, професійних спілок, а також політичних партій.

3. Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до уповноваженого державного органу з питань захисту персональних даних.

Заява повинна містити:

звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;

інформацію про володільця бази персональних даних;

інформацію про найменування і місцезнаходження бази персональних даних;

інформацію про мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог статей 6 і 7 цього Закону;

інформацію про склад персональних даних, які обробляються;

інформацію про третіх осіб, яким передаються персональні дані;

інформацію про транскордонну передачу персональних даних;

інформацію про інших розпорядників бази персональних даних;

підтвердження зобов'язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.

4. Уповноважений державний орган з питань захисту персональних даних у порядку, затвердженому Кабінетом Міністрів України:

повідомляє заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання;

приймає рішення про реєстрацію бази персональних даних протягом тридцяти робочих днів з дня надходження заяви.

Володільцю бази персональних даних видається документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних.

5. Уповноважений державний орган з питань захисту персональних даних відмовляє в реєстрації бази персональних даних, якщо заява про реєстрацію не відповідає вимогам частини третьої цієї статті.

6. Володілець бази персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни.

7. Уповноважений державний орган з питань захисту персональних даних протягом десяти робочих днів з дня надходження повідомлення про зміну відомостей, необхідних для реєстрації відповідної бази, повинен прийняти рішення щодо зазначеної зміни та повідомити про це володільця бази персональних даних.

Вилучити статтю

Стаття 11. Підстави виникнення права на використання персональних даних

1. Підставами виникнення права на використання персональних даних є:

1) згода суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.

2. Володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі.

3. Розпорядник бази персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.

Стаття 11. Підстави для обробки персональних даних

1. Підставами для обробки персональних даних є:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних або для здійснення заходів, які передують укладенню правочину на вимогу суб’єкта персональних даних;

4) захист життєво важливих інтересів суб’єкта персональних даних;

5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.

Стаття 11. Підстави для обробки персональних даних

1. Підставами для обробки персональних даних є:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних або для здійснення заходів, які передують укладенню правочину на вимогу суб’єкта персональних даних;

4) захист життєво важливих інтересів суб’єкта персональних даних;

5) необхідність виконання юридичного зобов’язання володільця персональних даних;

 

 

 

6) необхідність захисту законного інтересу володільця персональних даних або третьої особи, зокрема щодо доступу до публічної інформації, крім випадку, коли потреби захисту персональних даних переважають такий інтерес.

Стаття 16. Порядок доступу до персональних даних

1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.

...

Стаття 16. Порядок доступу до персональних даних

1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.

...

Стаття 16. Порядок доступу до персональних даних

1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону. Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України “Про доступ до публічної інформації”.

...

Стаття 23. Уповноважений державний орган з питань захисту персональних даних

1. Уповноважений державний орган з питань захисту персональних даних - центральний орган виконавчої влади, до повноважень якого належить захист персональних даних, що утворюється відповідно до законодавства.

 

 

2. Уповноважений державний орган з питань захисту персональних даних:

1) забезпечує реалізацію державної політики у сфері захисту персональних даних;

2) реєструє бази персональних даних;

3) веде Державний реєстр баз персональних даних;

4) здійснює в межах своїх повноважень контроль за додержанням вимог законодавства про захист персональних даних із забезпеченням відповідно до закону доступу до інформації, пов'язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка;

5) видає обов'язкові для виконання законні вимоги (приписи) про усунення порушень законодавства про захист персональних даних;

6) розглядає пропозиції, запити, звернення, вимоги та скарги фізичних і юридичних осіб;

7) організовує та забезпечує взаємодію з іноземними суб'єктами відносин, пов'язаних із персональними даними;

8) бере участь у роботі міжнародних організацій з питань захисту персональних даних.

Стаття 23. Уповноважений державний орган з питань захисту персональних даних

1. Уповноважений державний орган з питань захисту персональних даних - центральний орган виконавчої влади, який забезпечує реалізацію державної політики у сфері захисту персональних даних.

      Уповноважений державний орган з питань захисту персональних даних є незалежним у реалізації повноважень, передбачених цим Законом.

2. Уповноважений державний орган з питань захисту персональних даних:

1) забезпечує реалізацію державної політики у сфері захисту персональних даних;

2) реєструє бази персональних даних;

3) веде Державний реєстр баз персональних даних;

4) здійснює в межах своїх повноважень контроль за додержанням вимог законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців та/або розпорядників персональних даних із забезпеченням відповідно до закону доступу до інформації, пов'язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка;

5) видає обов'язкові для виконання законні вимоги (приписи) про усунення порушень законодавства про захист персональних даних;

6) розглядає пропозиції, запити, звернення, вимоги та скарги фізичних і юридичних осіб;

7) організовує та забезпечує взаємодію з іноземними суб'єктами відносин, пов'язаних із персональними даними;

8) бере участь у роботі міжнародних організацій з питань захисту персональних даних;

9) надає володільцям та розпорядникам персональних даних і суб’єктам персональних даних інформацію щодо їх прав та обов’язків;

10) здійснює моніторинг нових практик, тенденцій  та технологій захисту персональних даних;

11) видає рекомендації щодо практичного застосування положень законодавства про захист персональних даних;

12) вносить пропозиції щодо формування політики у сфері захисту персональних даних в порядку, визначеному законодавством;

13) погоджує корпоративні кодекси поведінки відповідно до частини другої статті 27 цього Закону.

3. Голова уповноваженого державного органу з питань захисту персональних даних та його заступники призначаються відповідно до вимог, встановлених законодавством.

      4. Штатний розпис і кошторис уповноваженого державного органу з питань захисту персональних даних затверджує його Голова за погодженням з Міністром фінансів України.

      Голова уповноваженого державного органу з питань захисту персональних даних приймає в установленому порядку рішення про розподіл бюджетних коштів, розпорядником яких є уповноважений державний орган
з питань захисту персональних даних.

5. Звіт про виконання уповноваженим державним органом з питань захисту персональних даних завдань
та планів роботи є загальнодоступним, публікується на його офіційному веб-сайті та подається Президенту України, Кабінетові Міністрів України та Верховній Раді України.

Викласти статтю в іншій редакції, передбачивши створення незалежного державного органу із захисту персональних даних відповідно до європейський стандартів (див. Пропозиції). Також слід вилучити згадки про реєстрацію баз персональних даних.

До Закону “Про інформацію”

Стаття 21. Інформація з обмеженим доступом

1. Інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація.

2. Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом.

...

Відсутні пропозиції змін

Стаття 21. Інформація з обмеженим доступом

1. Інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація.

2. Конфіденційною є інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом.

...

 

 

коментарі


щоб розмістити повідомлення чи коментар на сайт, вам потрібно увійти під своїм логіном

C