Проект закону “Про внесення змін до деяких законодавчих актів України щодо захисту персональних даних “


Проект
вноситься народними
депутатами України

   Шевчуком О.Б.

 Сухим Я.М.

Курилом В.С.

 

ЗАКОН УКРАЇНИ

Про внесення змін до деяких законодавчих актів України
щодо захисту персональних даних

Верховна Рада України  п о с т а н о в л я є:

І. Внести зміни до таких законодавчих актів України:

 1. У Законі України «Про захист персональних даних» (Відомості Верховної Ради України (ВВР), 2010, № 34, ст. 481):
1) частину першу статті 1 викласти у такій редакції:
«Цей Закон регулює відносини, пов’язані із захистом та обробкою персональних даних, з метою захисту основних прав фізичних осіб на особисте життя та його таємницю, а також інших прав і свобод гарантованих Конституцією України, іншими законами та підзаконними нормативно-правовими актами при обробці персональних даних»;
2) у статті 2:
абзац п’ятий частини першої викласти у такій редакції:
«згода суб’єкта персональних даних – будь-яке добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних, що може бути надане у письмовій, електронній або у будь-якій іншій, передбаченій чинним законодавством формі»;
у абзаці дев’ятому частини першої слова «ці дані» замінити словами «дані в цій базі персональних даних»;
3) у статті 6:
абзац другий частини першої викласти у такій редакції:
«У разі зміни мети обробки персональних даних, з якою вони були зібрані, суб’єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети.»;
частину п’яту викласти у наступній редакції:
«5. Обробка персональних даних здійснюється для конкретних і законних цілей, обумовлених законною діяльністю володільця чи розпорядника бази персональних даних.»;
у частині шостій слова «і лише» замінити словом «або»;
4) у статті 7:
абзац перший частини другої викласти у наступній редакції:
«2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних здійснюється за умови дотримання вимог частини 1 статті 11 цього закону та:»;

у пункті другому частини другої слова «відповідно до закону» вилучити;

5) у статті 9:

частину першу доповнити новим абзацом такого змісту:
«Не потребують державної реєстрації бази персональних даних, які:

  1. містять виключно персональні дані суб’єктів, що перебувають у трудових відносинах з володільцем бази персональних даних;
  2. отримані володільцем бази персональних даних у зв’язку з здійсненням дій, пов’язаних з укладенням, виконанням та/або припиненням правочину, стороною якого, представником сторони, вигодонабувачем, поручителем за яким або іншою пов’язаною з таким правочином особою є суб’єкт персональних даних у випадку, якщо такі персональні дані обробляються виключно у зв’язку з таким правочином;

3) містять виключно інформацію з загальнодоступних джерел.»;

у абзаці шостому частини третьої слова «сформульовану відповідно до вимог статей 6 і 7 цього Закону» вилучити;

у абзаці сьомому частини третьої слово «інших» вилучити;

6) у статті 10:

у частині першій слова «передбачає будь-які дії володільця бази щодо обробки цих даних,» замінити словами «є складовою процесу обробки цих даних, що передбачає, зокрема»;

друге речення частини другої вилучити;

7) у статті 11:

у назві слово «використання» замінити словом «обробку»;

частину першу викласти в новій редакції наступного змісту:
«1. Підставами виникнення права на обробку персональних даних є:
1) згода суб’єкта персональних даних — будь-яке добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних, що може бути надане у письмовій, електронній або у будь-якій іншій, передбаченій чинним законодавством формі;
2) здійснення дій, пов’язаних з укладенням, виконанням та/або припиненням правочину, представником сторони, стороною якого, вигодонабувачем, поручителем за яким або іншою пов’язаною з таким правочином особою є суб’єкт персональних даних у випадку, якщо такі персональні дані обробляються виключно у зв’язку з таким правочином;
3) необхідність захисту життєво важливих інтересів суб’єкта персональних даних;
4) необхідність реалізації законних повноважень або виконання зобов’язання, що виникає в силу закону, володільцем бази персональних даних або особою, якій розкриваються персональні дані;
5) необхідність захисту законних інтересів володільця бази персональних даних або осіб, яким розкриваються персональні дані, за винятком випадків, коли така обробка буде порушувати життєво важливі інтереси суб’єкта персональних даних;
6) вільне волевиявлення (та відсутність заперечення) до набрання чинності цим законом.
7) наявність персональних даних в загальнодоступних джерелах.»;

8) у статті 12:

у частині другій слова «протягом десяти робочих днів з дня» замінити словом «після»;

у частині другій слова «виключно в письмовій формі» замінити словами «якщо цього вимагають умови його згоди»;

у частині четвертій слова «про фізичну особу» замінити словами «суб’єкта персональних даних»;

частину четверту після слів «джерела надаються» доповнити словом «цьому»;

9) у частині другій статті 14 слова «і лише» замінити словом «або»;

10) пункт другий абзацу першого частини другої статті 15 доповнити словами «або внутрішніми документами володільця чи розпорядника;»;

11) у частині другій статті 16 слова «або неспроможна їх забезпечити» вилучити; 

12) у статті 20:

частину другу після слів «до персональних даних» доповнити словом «зокрема,»;

частину другу після слів «зміна здійснюється» доповнити словами «відповідно до закону або»;

13) у статті 21:

частину першу викласти у такій редакції:
«1. Про передачу персональних даних третій особі, а також про зміну, знищення або обмеження доступу до персональних даних володілець бази персональних даних повідомляє суб’єкта персональних даних, якщо цього вимагають умови його згоди.»;

частину третю вилучити;

14) частину четверту статті 24 викласти у наступній редакції:
«4. Володілець бази персональних даних в електронній формі належним чином забезпечує її захист.»;

15) у статті 29:

у частині третій слова «за наявності відповідного дозволу» вилучити;

у частині третій друге речення вилучити;

доповнити частинами четвертою — сьомою наступного змісту:
«4. Персональні дані є належним чином захищеними при їх транскордонній передачі, у тому  числі, якщо:
1) країна, до якої передаються персональні дані, є стороною Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, або;
2) між Україною та державою, до якої передаються персональні дані, існує міжнародний договір щодо захисту персональних даних, або;
3) на території держави, в яку передаються персональні дані, існує законодавство, що регулює обробку та захист персональних даних в обсязі, не меншому, ніж це необхідно для захисту прав і законних інтересів суб’єктів персональних даних, передбачених чинним законодавством України, при чому особа, що здійснює транскордонну передачу, зобов’язана, при необхідності, довести існування такого законодавства;
5. Транскордонна передача персональних даних може бути заборонена у випадках, визначених чинним законодавством України.
6. Транскордонна передача персональних даних на території іноземних держав, що не забезпечують належного захисту персональних даних, може здійснюватись у випадках:
1) наявності згоди в письмовій формі від суб’єкта персональних даних на таку передачу;
2) здійснення дій, пов’язаних з укладенням, виконанням та/або припиненням правочину, представником сторони, стороною якого, вигодонабувачем, поручителем за яким або іншою пов’язаною з таким правочином особою є суб’єкт персональних даних у випадку, якщо такі персональні дані обробляються виключно у зв’язку з таким правочином;
3) необхідності захисту життєво важливих інтересів суб’єкта персональних даних.
4) в інших випадках, прямо передбачених чинним законодавством України.
7. При транскордонній передачі персональних даних на території іноземних держав, що не забезпечують належного захисту персональних даних, сторона, що передає персональні дані, зобов’язана забезпечити дотримання стороною, що отримує персональні дані, вимог цього закону в частині захисту прав і законних інтересів суб’єктів, персональні дані яких передаються. Дотримання вимог закону може забезпечуватись, зокрема, шляхом підписання договору про захист персональних даних між стороною, що передає персональні дані та стороною, що отримує персональні дані.»

2. У Законі України «Про інформацію» (Відомості Верховної Ради України (ВВР), 2011, N 32, ст.313 ):

частину першу статті 1 доповнити новим абзацом такого змісту:
«загальнодоступні джерела — джерела інформації (у тому числі засоби масової інформації та Інтернет) з яких інформація може бути вільно отримана будь-якою особою на законних підставах і таке отримання не обумовлено будь-якою згодою, дозволом чи запитом.».

II. Прикінцеві положення.

1. Цей Закон набирає чинності з дня, наступного за днем його опублікування.

2. Кабінету Міністрів України у тримісячний термін з дня набрання чинності цим Законом привести свої нормативно-правові акти у відповідність із цим Законом.

Голова Верховної Ради
             України                                                                                     В.М.Литвин