ЗАКОН  УКРАЇНИ

Про внесення змiн до деяких законодавчих актiв України щодо удосконалення системи захисту персональних даних

     Верховна Рада України постановляє:

     I. Внести змiни до таких законодавчих актiв України:

     1. У Кодексi України про адмiнiстративнi правопорушення (Вiдомостi Верховної Ради УРСР, 1984 р., додаток до N 51, ст. 1122):

     1) у статтi 18819:

     у назвi слова "Уповноваженого Верховної Ради України з прав людини" виключити;

     абзац перший викласти в такiй редакцiї:

     "Невиконання законних вимог Рахункової палати або створення перешкод у її роботi, або надання їй завiдомо неправдивої iнформацiї, а так само недодержання встановлених законодавством строкiв надання iнформацiї народному депутату України, Рахунковiй палатi";

     2) текст статтi 18839 викласти в такiй редакцiї:

     "Неповiдомлення або несвоєчасне повiдомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про змiну вiдомостей, якi пiдлягають повiдомленню згiдно iз законом, повiдомлення неповних чи недостовiрних вiдомостей -

     тягнуть за собою накладення штрафу на громадян вiд ста до двохсот неоподатковуваних мiнiмумiв доходiв громадян i на посадових осiб, громадян - суб'єктiв пiдприємницької дiяльностi - вiд двохсот до чотирьохсот неоподатковуваних мiнiмумiв доходiв громадян.

     Невиконання законних вимог (приписiв) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осiб секретарiату Уповноваженого Верховної Ради України з прав людини щодо запобiгання або усунення порушень законодавства про захист персональних даних -

     тягнуть за собою накладення штрафу на громадян вiд двохсот до трьохсот неоподатковуваних мiнiмумiв доходiв громадян i на посадових осiб, громадян - суб'єктiв пiдприємницької дiяльностi - вiд трьохсот до однiєї тисячi неоподатковуваних мiнiмумiв доходiв громадян.

     Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цiєї статтi, за яке особу вже було пiддано адмiнiстративному стягненню, -

     тягне за собою накладення штрафу на громадян вiд трьохсот до п'ятисот неоподатковуваних мiнiмумiв доходiв громадян i на посадових осiб, громадян - суб'єктiв пiдприємницької дiяльностi - вiд п'ятисот до двох тисяч неоподатковуваних мiнiмумiв доходiв громадян.

     Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб'єкта персональних даних, -

     тягне за собою накладення штрафу на громадян вiд ста до п'ятисот неоподатковуваних мiнiмумiв доходiв громадян i на посадових осiб, громадян - суб'єктiв пiдприємницької дiяльностi - вiд трьохсот до однiєї тисячi неоподатковуваних мiнiмумiв доходiв громадян.

     Повторне протягом року вчинення порушення, передбаченого частиною четвертою цiєї статтi, за яке особу вже було пiддано адмiнiстративному стягненню, -

     тягне за собою накладення штрафу вiд однiєї тисячi до двох тисяч неоподатковуваних мiнiмумiв доходiв громадян";

     3) у статтi 18840:

     у назвi слова "посадових осiб спецiально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних" замiнити словами "Уповноваженого Верховної Ради України з прав людини";

     абзац перший викласти в такiй редакцiї:

     "Невиконання законних вимог Уповноваженого Верховної Ради України з прав людини або представникiв Уповноваженого Верховної Ради України з прав людини";

     4) у пунктi 1 частини першої статтi 255:

     в абзацi "секретарiату Уповноваженого Верховної Ради України з прав людини (стаття 18819)" слово i цифри "(стаття 18819)" замiнити словом i цифрами "(статтi 18839, 18840)";

     абзац "спецiально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних (статтi 18839, 18840)" виключити.

     2. У Законi України "Про захист персональних даних" (Вiдомостi Верховної Ради України, 2010 р., N 34, ст. 481; 2012 р., N 50, ст. 564; iз змiнами, внесеними Законом України вiд 20 листопада 2012 року N 5491-VI):

     1) частини третю та четверту статтi 1 виключити;

     2) у статтi 2:

     абзац третiй викласти в такiй редакцiї:

     "володiлець персональних даних - фiзична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо iнше не визначено законом";

     абзац п'ятий виключити;

     абзаци дванадцятий та тринадцятий викласти в такiй редакцiї:

     "суб'єкт персональних даних - фiзична особа, персональнi данi якої обробляються;

     третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володiльця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якiй володiльцем чи розпорядником персональних даних здiйснюється передача персональних даних";

     3) абзац шостий частини першої статтi 4 викласти в такiй редакцiї:

     "Уповноважений Верховної Ради України з прав людини (далi - Уповноважений)";

     4) у статтi 6:

     абзац третiй частини першої викласти в такiй редакцiї:

     "У разi змiни визначеної мети обробки персональних даних на нову мету, яка є несумiсною з попередньою, для подальшої обробки даних володiлець персональних даних повинен отримати згоду суб'єкта персональних даних на обробку його даних вiдповiдно до змiненої мети, якщо iнше не передбачено законом";

     частину восьму викласти в такiй редакцiї:

     "8. Персональнi данi обробляються у формi, що допускає iдентифiкацiю фiзичної особи, якої вони стосуються, не довше, нiж це необхiдно для законних цiлей, у яких вони збиралися або надалi оброблялися.

     Подальша обробка персональних даних в iсторичних, статистичних чи наукових цiлях може здiйснюватися за умови забезпечення їх належного захисту";

     частину дев'яту виключити;

     частину десяту викласти в такiй редакцiї:

     "10. Типовий порядок обробки персональних даних визначається уповноваженим органом з питань захисту персональних даних";

     5) у статтi 7:

     частину першу викласти в такiй редакцiї:

     "1. Забороняється обробка персональних даних про расове або етнiчне походження, полiтичнi, релiгiйнi або свiтогляднi переконання, членство в полiтичних партiях та професiйних спiлках, засудження до кримiнального покарання, а також даних, що стосуються здоров'я, статевого життя, бiометричних або генетичних даних";

     у частинi другiй:

     пункт 7 викласти в такiй редакцiї:

     "7) стосується вирокiв суду, виконання завдань оперативно-розшукової чи контррозвiдувальної дiяльностi, боротьби з тероризмом та здiйснюється державним органом в межах його повноважень, визначених законом";

     пункт 8 пiсля слiв "якi були" доповнити словом "явно";

     6) у статтi 8:

     у частинi другiй:

     пункт 1 викласти в такiй редакцiї:

     "1) знати про джерела збирання, мiсцезнаходження своїх персональних даних, мету їх обробки, мiсцезнаходження або мiсце проживання (перебування) володiльця чи розпорядника персональних даних або дати вiдповiдне доручення щодо отримання цiєї iнформацiї уповноваженим ним особам, крiм випадкiв, встановлених законом";

     пункт 4 викласти в такiй редакцiї:

     "4) отримувати не пiзнiш як за тридцять календарних днiв з дня надходження запиту, крiм випадкiв, передбачених законом, вiдповiдь про те, чи обробляються його персональнi данi, а також отримувати змiст таких персональних даних";

     у пунктi 8 слова "органiв державної влади та посадових осiб, до повноважень яких належить забезпечення персональних даних" замiнити словом "Уповноважений";

     частину третю виключити;

     7) статтю 9 викласти в такiй редакцiї:

     "Стаття 9. Повiдомлення про обробку персональних даних

     1. Володiлець персональних даних повiдомляє Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав i свобод суб'єктiв персональних даних, упродовж тридцяти робочих днiв з дня початку такої обробки.

     Види обробки персональних даних, яка становить особливий ризик для прав i свобод суб'єктiв персональних даних, та категорiї суб'єктiв, на яких поширюється вимога щодо повiдомлення, визначаються Уповноваженим.

     2. Повiдомлення про обробку персональних даних подається за формою та в порядку, визначеними Уповноваженим.

     3. Володiлець персональних даних зобов'язаний повiдомляти Уповноваженого про кожну змiну вiдомостей, що пiдлягають повiдомленню, упродовж десяти робочих днiв з дня настання такої змiни.

     4. Iнформацiя, що повiдомляється вiдповiдно до цiєї статтi, пiдлягає оприлюдненню на офiцiйному веб-сайтi Уповноваженого в порядку, визначеному Уповноваженим";

     8) у частинi першiй статтi 11:

     пiсля пункту 4 доповнити новим пунктом такого змiсту:

     "5) необхiднiсть виконання обов'язку володiльця персональних даних, який передбачений законом".

     У зв'язку з цим пункт 5 вважати пунктом 6;

     пункт 6 викласти в такiй редакцiї:

     "6) необхiднiсть захисту законних iнтересiв володiльця персональних даних або третьої особи, якiй передаються персональнi данi, крiм випадкiв, коли потреби захисту основоположних прав i свобод суб'єкта персональних даних у зв'язку з обробкою його даних переважають такi iнтереси";

     9) частину другу статтi 12 викласти в такiй редакцiї:

     "2. Суб'єкт персональних даних повiдомляється про володiльця персональних даних, склад та змiст зiбраних персональних даних, свої права, визначенi цим Законом, мету збору персональних даних та осiб, яким передаються його персональнi данi:

     в момент збору персональних даних, якщо персональнi данi збираються у суб'єкта персональних даних;

     в iнших випадках протягом тридцяти робочих днiв з дня збору персональних даних";

     10) у статтi 15:

     у частинi другiй:

     абзац перший пiсля слiв "данi пiдлягають" доповнити словами "видаленню або";

     пiдпункт 3 викласти в такiй редакцiї:

     "3) видання вiдповiдного припису Уповноваженого або визначених ним посадових осiб секретарiату Уповноваженого";

     доповнити пiдпунктом 4 такого змiсту:

     "4) набрання законної сили рiшенням суду щодо видалення або знищення персональних даних";

     частину третю пiсля слова "пiдлягають" доповнити словами "видаленню або";

     частину четверту пiсля слiв "боротьби з тероризмом" доповнити словами "видаляються або";

     11) частину першу статтi 18 пiсля слiв "може бути оскаржено до" доповнити словами "Уповноваженого Верховної Ради України з прав людини або";

     12) у статтi 20:

     у частинi першiй слово "баз" виключити;

     частину другу викласти в такiй редакцiї:

     "2. Володiльцi чи розпорядники персональних даних зобов'язанi вносити змiни до персональних даних також за зверненням iнших суб'єктiв вiдносин, пов'язаних iз персональними даними, якщо на це є згода суб'єкта персональних даних чи вiдповiдна змiна здiйснюється згiдно з приписом Уповноваженого або визначених ним посадових осiб секретарiату Уповноваженого чи за рiшенням суду, що набрало законної сили";

     13) частину третю статтi 21 пiсля слiв "Про змiну" доповнити словом "видалення";

     14) текст статтi 22 викласти в такiй редакцiї:

     "1. Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здiйснюють такi органи:

     1) Уповноважений;

     2) суди";

     15) статтi 23 - 25 викласти в такiй редакцiї:

     "Стаття 23. Повноваження Уповноваженого Верховної Ради України з прав людини у сферi захисту персональних даних

     1. Уповноважений має такi повноваження у сферi захисту персональних даних:

     1) отримувати пропозицiї, скарги та iншi звернення фiзичних i юридичних осiб з питань захисту персональних даних та приймати рiшення за результатами їх розгляду;

     2) проводити на пiдставi звернень або за власною iнiцiативою виїзнi та безвиїзнi, плановi, позаплановi перевiрки володiльцiв або розпорядникiв персональних даних в порядку, визначеному Уповноваженим, iз забезпеченням вiдповiдно до закону доступу до примiщень, де здiйснюється обробка персональних даних;

     3) отримувати на свою вимогу та мати доступ до будь-якої iнформацiї (документiв) володiльцiв або розпорядникiв персональних даних, якi необхiднi для здiйснення контролю за забезпеченням захисту персональних даних, у тому числi доступ до персональних даних, вiдповiдних баз даних чи картотек, iнформацiї з обмеженим доступом;

     4) затверджувати нормативно-правовi акти у сферi захисту персональних даних у випадках, передбачених цим Законом;

     5) за пiдсумками перевiрки, розгляду звернення видавати обов'язковi для виконання вимоги (приписи) про запобiгання або усунення порушень законодавства про захист персональних даних, у тому числi щодо змiни, видалення або знищення персональних даних, забезпечення доступу до них, надання чи заборони їх надання третiй особi, зупинення або припинення обробки персональних даних;

     6) надавати рекомендацiї щодо практичного застосування законодавства про захист персональних даних, роз'яснювати права i обов'язки вiдповiдних осiб за зверненням суб'єктiв персональних даних, володiльцiв або розпорядникiв персональних даних, структурних пiдроздiлiв або вiдповiдальних осiб з органiзацiї роботи iз захисту персональних даних, iнших осiб;

     7) взаємодiяти iз структурними пiдроздiлами або вiдповiдальними особами, якi вiдповiдно до цього Закону органiзовують роботу, пов'язану iз захистом персональних даних при їх обробцi; оприлюднювати iнформацiю про такi структурнi пiдроздiли та вiдповiдальних осiб;

     8) звертатися з пропозицiями до Верховної Ради України, Президента України, Кабiнету Мiнiстрiв України, iнших державних органiв, органiв мiсцевого самоврядування, їх посадових осiб щодо прийняття або внесення змiн до нормативно-правових актiв з питань захисту персональних даних;

     9) надавати за зверненням професiйних, самоврядних та iнших громадських об'єднань чи юридичних осiб висновки щодо проектiв кодексiв поведiнки у сферi захисту персональних даних та змiн до них;

     10) складати протоколи про притягнення до адмiнiстративної вiдповiдальностi та направляти їх до суду у випадках, передбачених законом;

     11) iнформувати про законодавство з питань захисту персональних даних, проблеми його практичного застосування, права i обов'язки суб'єктiв вiдносин, пов'язаних iз персональними даними;

     12) здiйснювати монiторинг нових практик, тенденцiй та технологiй захисту персональних даних;

     13) органiзовувати та забезпечувати взаємодiю з iноземними суб'єктами вiдносин, пов'язаних iз персональними даними, у тому числi у зв'язку з виконанням Конвенцiї про захист осiб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї, iнших мiжнародних договорiв України у сферi захисту персональних даних;

     14) брати участь у роботi мiжнародних органiзацiй з питань захисту персональних даних.

     2. Уповноважений Верховної Ради України з прав людини включає до своєї щорiчної доповiдi про стан додержання та захисту прав i свобод людини i громадянина в Українi звiт про стан додержання законодавства у сферi захисту персональних даних.

     Стаття 24. Забезпечення захисту персональних даних

     1. Володiльцi, розпорядники персональних даних та третi особи зобов'язанi забезпечити захист цих даних вiд випадкових втрати або знищення, вiд незаконної обробки, у тому числi незаконного знищення чи доступу до персональних даних.

     2. В органах державної влади, органах мiсцевого самоврядування, а також у володiльцях чи розпорядниках персональних даних, що здiйснюють обробку персональних даних, яка пiдлягає повiдомленню вiдповiдно до цього Закону, створюється (визначається) структурний пiдроздiл або вiдповiдальна особа, що органiзовує роботу, пов'язану iз захистом персональних даних при їх обробцi.

     Iнформацiя про зазначений структурний пiдроздiл або вiдповiдальну особу повiдомляється Уповноваженому Верховної Ради України з прав людини, який забезпечує її оприлюднення.

     3. Структурний пiдроздiл або вiдповiдальна особа, що органiзовує роботу, пов'язану iз захистом персональних даних при їх обробцi:

     1) iнформує та консультує володiльця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;

     2) взаємодiє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його секретарiату з питань запобiгання та усунення порушень законодавства про захист персональних даних.

     4. Фiзичнi особи - пiдприємцi, у тому числi лiкарi, якi мають вiдповiдну лiцензiю, адвокати, нотарiуси особисто забезпечують захист персональних даних, якими вони володiють, згiдно з вимогами закону.

     Стаття 25. Обмеження дiї цього Закону

     1. Обмеження дiї статей 6, 7 i 8 цього Закону може здiйснюватися у випадках, передбачених законом, наскiльки це необхiдно у демократичному суспiльствi в iнтересах нацiональної безпеки, економiчного добробуту або захисту прав i свобод суб'єктiв персональних даних чи iнших осiб.

     2. Дозволяється обробка персональних даних без застосування положень цього Закону, якщо така обробка здiйснюється:

     1) фiзичною особою виключно для особистих чи побутових потреб;

     2) виключно для журналiстських та творчих цiлей, за умови забезпечення балансу мiж правом на повагу до особистого життя та правом на свободу вираження поглядiв";

     16) частину другу статтi 27 викласти в такiй редакцiї:

     "2. Професiйнi, самовряднi та iншi громадськi об'єднання чи юридичнi особи можуть розробляти кодекси поведiнки з метою забезпечення ефективного захисту прав суб'єктiв персональних даних, додержання законодавства про захист персональних даних з урахуванням специфiки обробки персональних даних у рiзних сферах. При розробленнi такого кодексу поведiнки або внесеннi змiн до нього вiдповiдне об'єднання чи юридична особа може звернутися за висновком до Уповноваженого".

     3. В абзацi дев'ятому статтi 1 Закону України "Про ратифiкацiю Конвенцiї про захист осiб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенцiї про захист осiб у зв'язку з автоматизованою обробкою персональних даних стосовно органiв нагляду та транскордонних потокiв даних" (Вiдомостi Верховної Ради України, 2010 р., N 46, ст. 542) слова "Мiнiстерство юстицiї України" замiнити словами "Уповноважений Верховної Ради України з прав людини".

     II. Прикiнцевi та перехiднi положення

     1. Цей Закон набирає чинностi з 1 сiчня 2014 року.

     2. Володiльцi персональних даних, якi на момент набрання чинностi цим Законом здiйснюють обробку персональних даних, що пiдлягає повiдомленню, подають вiдповiдне повiдомлення у встановленому цим Законом порядку упродовж шести мiсяцiв з дня набрання чинностi цим Законом.

     3. Кабiнету Мiнiстрiв України протягом трьох мiсяцiв з дня набрання чинностi цим Законом:

     1) привести свої нормативно-правовi акти у вiдповiднiсть iз цим Законом;

     2) забезпечити перегляд та приведення мiнiстерствами та iншими органами виконавчої влади їх нормативно-правових актiв у вiдповiднiсть iз цим Законом;

     3) забезпечити у встановленому законодавством порядку передачу Уповноваженому Верховної Ради України з прав людини Державного реєстру баз персональних даних та заяв про реєстрацiю баз персональних даних, поданих до набрання чинностi цим Законом.

     4. Кабiнету Мiнiстрiв України передбачати у проектах законiв України про Державний бюджет України на вiдповiдний рiк видатки на забезпечення Уповноваженим Верховної Ради України з прав людини контролю у сферi додержання законодавства про захист персональних даних в обсязi, необхiдному для належного виконання повноважень, передбачених цим Законом.

     5. Уповноваженому Верховної Ради України з прав людини протягом трьох мiсяцiв з дня набрання чинностi цим Законом прийняти нормативно-правовi акти, передбаченi цим Законом.

Президент України В. ЯНУКОВИЧ

м. Київ
3 липня 2013 року
N 383-VII