ЗАКОН УКРАЇНИ

Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних

Верховна Рада України постановляє:
I. Внести зміни до таких законодавчих актів України:
1. У Кодексі України про адміністративні правопорушення (80731-10) (Відомості Верховної Ради УРСР, 1984 р., додаток до № 51, ст. 1122):
1) у статті 188-19:
у назві слова "Уповноваженого Верховної Ради України з прав людини" виключити;
абзац перший викласти в такій редакції:
"Невиконання законних вимог Рахункової палати або створення перешкод у її роботі, або надання їй завідомо неправдивої інформації, а так само недодержання встановлених законодавством строків надання інформації народному депутату України, Рахунковій палаті";
2) текст статті 188-39 викласти в такій редакції:
"Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей -
тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.
Невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних -
тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян.
Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, -
тягне за собою накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від п’ятисот до двох тисяч неоподатковуваних мінімумів доходів громадян.
Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, -
тягне за собою накладення штрафу на громадян від ста до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян.
Повторне протягом року вчинення порушення, передбаченого частиною четвертою цієї статті, за яке особу вже було піддано адміністративному стягненню, -
тягне за собою накладення штрафу від однієї тисячі до двох тисяч неоподатковуваних мінімумів доходів громадян";
3) у статті 188-40:
у назві слова "посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних" замінити словами "Уповноваженого Верховної Ради України з прав людини";
абзац перший викласти в такій редакції:
"Невиконання законних вимог Уповноваженого Верховної Ради України з прав людини або представників Уповноваженого Верховної Ради України з прав людини";
4) у пункті 1 частини першої статті 255:
в абзаці "секретаріату Уповноваженого Верховної Ради України з прав людини (стаття 188-19)" слово і цифри "(стаття 188-19)" замінити словом і цифрами "(статті 188-39, 188-40)";
абзац "спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних (статті 188-39, 188-40)" виключити.
2. У Законі України "Про захист персональних даних" (2297-17) (Відомості Верховної Ради України, 2010 р., № 34, ст. 481; 2012 р., № 50, ст. 564; із змінами, внесеними Законом України від 20 листопада 2012 року № 5491-VI):
1) частини третю та четверту статті 1 виключити;
2) у статті 2:
абзац третій викласти в такій редакції:
"володілець персональних даних - фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом";
абзац п’ятий виключити;
абзаци дванадцятий та тринадцятий викласти в такій редакції:
"суб’єкт персональних даних - фізична особа, персональні дані якої обробляються;
третя особа - будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних";
3) абзац шостий частини першої статті 4 викласти в такій редакції:
"Уповноважений Верховної Ради України з прав людини (далі - Уповноважений)";
4) у статті 6:
абзац третій частини першої викласти в такій редакції:
"У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до зміненої мети, якщо інше не передбачено законом";
частину восьму викласти в такій редакції:
"8. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.
Подальша обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися за умови забезпечення їх належного захисту";
частину дев’яту виключити;
частину десяту викласти в такій редакції:
"10. Типовий порядок обробки персональних даних визначається уповноваженим органом з питань захисту персональних даних";
5) у статті 7:
частину першу викласти в такій редакції:
"1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних";
у частині другій:
пункт 7 викласти в такій редакції:
"7) стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом та здійснюється державним органом в межах його повноважень, визначених законом";
пункт 8 після слів "які були" доповнити словом "явно";
6) у статті 8:
у частині другій:
пункт 1 викласти в такій редакції:
"1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом";
пункт 4 викласти в такій редакції:
"4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних";
у пункті 8 слова "органів державної влади та посадових осіб, до повноважень яких належить забезпечення персональних даних" замінити словом "Уповноважений";
частину третю виключити;
7) статтю 9 викласти в такій редакції:
"Стаття 9. Повідомлення про обробку персональних даних
1. Володілець персональних даних повідомляє Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, упродовж тридцяти робочих днів з дня початку такої обробки.
Види обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо повідомлення, визначаються Уповноваженим.
2. Повідомлення про обробку персональних даних подається за формою та в порядку, визначеними Уповноваженим.
3. Володілець персональних даних зобов’язаний повідомляти Уповноваженого про кожну зміну відомостей, що підлягають повідомленню, упродовж десяти робочих днів з дня настання такої зміни.
4. Інформація, що повідомляється відповідно до цієї статті, підлягає оприлюдненню на офіційному веб-сайті Уповноваженого в порядку, визначеному Уповноваженим";
8) у частині першій статті 11:
після пункту 4 доповнити новим пунктом такого змісту:
"5) необхідність виконання обов’язку володільця персональних даних, який передбачений законом".
У зв’язку з цим пункт 5 вважати пунктом 6;
пункт 6 викласти в такій редакції:
"6) необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси";
9) частину другу статті 12 викласти в такій редакції:
"2. Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані:
в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;
в інших випадках протягом тридцяти робочих днів з дня збору персональних даних";
10) у статті 15:
у частині другій:
абзац перший після слів "дані підлягають" доповнити словами "видаленню або";
підпункт 3 викласти в такій редакції:
"3) видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого";
доповнити підпунктом 4 такого змісту:
"4) набрання законної сили рішенням суду щодо видалення або знищення персональних даних";
частину третю після слова "підлягають" доповнити словами "видаленню або";
частину четверту після слів "боротьби з тероризмом" доповнити словами "видаляються або";
11) частину першу статті 18 після слів "може бути оскаржено до" доповнити словами "Уповноваженого Верховної Ради України з прав людини або";
12) у статті 20:
у частині першій слово "баз" виключити;
частину другу викласти в такій редакції:
"2. Володільці чи розпорядники персональних даних зобов’язані вносити зміни до персональних даних також за зверненням інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода суб’єкта персональних даних чи відповідна зміна здійснюється згідно з приписом Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого чи за рішенням суду, що набрало законної сили";
13) частину третю статті 21 після слів "Про зміну" доповнити словом "видалення";
14) текст статті 22 викласти в такій редакції:
"1. Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:
1) Уповноважений;
2) суди";
15) статті 23 - 25 викласти в такій редакції:
"Стаття 23. Повноваження Уповноваженого Верховної Ради України з прав людини у сфері захисту персональних даних
1. Уповноважений має такі повноваження у сфері захисту персональних даних:
1) отримувати пропозиції, скарги та інші звернення фізичних і юридичних осіб з питань захисту персональних даних та приймати рішення за результатами їх розгляду;
2) проводити на підставі звернень або за власною ініціативою виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних в порядку, визначеному Уповноваженим, із забезпеченням відповідно до закону доступу до приміщень, де здійснюється обробка персональних даних;
3) отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних чи картотек, інформації з обмеженим доступом;
4) затверджувати нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених цим Законом;
5) за підсумками перевірки, розгляду звернення видавати обов’язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних, у тому числі щодо зміни, видалення або знищення персональних даних, забезпечення доступу до них, надання чи заборони їх надання третій особі, зупинення або припинення обробки персональних даних;
6) надавати рекомендації щодо практичного застосування законодавства про захист персональних даних, роз’яснювати права і обов’язки відповідних осіб за зверненням суб’єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб;
7) взаємодіяти із структурними підрозділами або відповідальними особами, які відповідно до цього Закону організовують роботу, пов’язану із захистом персональних даних при їх обробці; оприлюднювати інформацію про такі структурні підрозділи та відповідальних осіб;
8) звертатися з пропозиціями до Верховної Ради України, Президента України, Кабінету Міністрів України, інших державних органів, органів місцевого самоврядування, їх посадових осіб щодо прийняття або внесення змін до нормативно-правових актів з питань захисту персональних даних;
9) надавати за зверненням професійних, самоврядних та інших громадських об’єднань чи юридичних осіб висновки щодо проектів кодексів поведінки у сфері захисту персональних даних та змін до них;
10) складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом;
11) інформувати про законодавство з питань захисту персональних даних, проблеми його практичного застосування, права і обов’язки суб’єктів відносин, пов’язаних із персональними даними;
12) здійснювати моніторинг нових практик, тенденцій та технологій захисту персональних даних;
13) організовувати та забезпечувати взаємодію з іноземними суб’єктами відносин, пов’язаних із персональними даними, у тому числі у зв’язку з виконанням Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних (994_326) та Додаткового протоколу (994_363) до неї, інших міжнародних договорів України у сфері захисту персональних даних;
14) брати участь у роботі міжнародних організацій з питань захисту персональних даних.
2. Уповноважений Верховної Ради України з прав людини включає до своєї щорічної доповіді про стан додержання та захисту прав і свобод людини і громадянина в Україні звіт про стан додержання законодавства у сфері захисту персональних даних.
Стаття 24. Забезпечення захисту персональних даних
1. Володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
2. В органах державної влади, органах місцевого самоврядування, а також у володільцях чи розпорядниках персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до цього Закону, створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.
Інформація про зазначений структурний підрозділ або відповідальну особу повідомляється Уповноваженому Верховної Ради України з прав людини, який забезпечує її оприлюднення.
3. Структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці:
1) інформує та консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;
2) взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.
4. Фізичні особи - підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють, згідно з вимогами закону.
Стаття 25. Обмеження дії цього Закону
1. Обмеження дії статей 6, 7 і 8 цього Закону може здійснюватися у випадках, передбачених законом, наскільки це необхідно у демократичному суспільстві в інтересах національної безпеки, економічного добробуту або захисту прав і свобод суб’єктів персональних даних чи інших осіб.
2. Дозволяється обробка персональних даних без застосування положень цього Закону, якщо така обробка здійснюється:
1) фізичною особою виключно для особистих чи побутових потреб;
2) виключно для журналістських та творчих цілей, за умови забезпечення балансу між правом на повагу до особистого життя та правом на свободу вираження поглядів";
16) частину другу статті 27 викласти в такій редакції:
"2. Професійні, самоврядні та інші громадські об’єднання чи юридичні особи можуть розробляти кодекси поведінки з метою забезпечення ефективного захисту прав суб’єктів персональних даних, додержання законодавства про захист персональних даних з урахуванням специфіки обробки персональних даних у різних сферах. При розробленні такого кодексу поведінки або внесенні змін до нього відповідне об’єднання чи юридична особа може звернутися за висновком до Уповноваженого".
3. В абзаці дев’ятому статті 1 Закону України "Про ратифікацію Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних" (2438-17) (Відомості Верховної Ради України, 2010 р., № 46, ст. 542) слова "Міністерство юстиції України" замінити словами "Уповноважений Верховної Ради України з прав людини".
II. Прикінцеві та перехідні положення
1. Цей Закон набирає чинності з 1 січня 2014 року.
2. Володільці персональних даних, які на момент набрання чинності цим Законом здійснюють обробку персональних даних, що підлягає повідомленню, подають відповідне повідомлення у встановленому цим Законом порядку упродовж шести місяців з дня набрання чинності цим Законом.
3. Кабінету Міністрів України протягом трьох місяців з дня набрання чинності цим Законом:
1) привести свої нормативно-правові акти у відповідність із цим Законом;
2) забезпечити перегляд та приведення міністерствами та іншими органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом;
3) забезпечити у встановленому законодавством порядку передачу Уповноваженому Верховної Ради України з прав людини Державного реєстру баз персональних даних та заяв про реєстрацію баз персональних даних, поданих до набрання чинності цим Законом.
4. Кабінету Міністрів України передбачати у проектах законів України про Державний бюджет України на відповідний рік видатки на забезпечення Уповноваженим Верховної Ради України з прав людини контролю у сфері додержання законодавства про захист персональних даних в обсязі, необхідному для належного виконання повноважень, передбачених цим Законом.
5. Уповноваженому Верховної Ради України з прав людини протягом трьох місяців з дня набрання чинності цим Законом прийняти нормативно-правові акти, передбачені цим Законом.
Президент України
В.ЯНУКОВИЧ
м. Київ
3 липня 2013 року
№ 383-VII