ЗАКОН УКРАЇНИ
Про захист персональних даних
(Відомості Верховної Ради України (ВВР), 2010, № 34, ст. 481)
{Із змінами, внесеними згідно із Законами
№ 4452-VI від 23.02.2012, ВВР, 2012, № 50, ст.564
№ 5491-VI від 20.11.2012}
{У тексті Закону слова "володілець бази персональних даних" і "розпорядник бази персональних даних" у всіх відмінках і числах замінено відповідно словами "володілець персональних даних" і "розпорядник персональних даних" у відповідному відмінку і числі згідно із Законом № 5491-VI від 20.11.2012}
Стаття 1. Сфера дії Закону
Цей Закон регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.
Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
Цей Закон не поширюється на діяльність з обробки персональних даних, яка здійснюється фізичною особою виключно для особистих чи побутових потреб.
Положення цього Закону не поширюються на діяльність з обробки персональних даних, яка здійснюється творчим чи літературним працівником, у тому числі журналістом, у професійних цілях, за умови забезпечення балансу між правом на невтручання в особисте життя та правом на самовираження.
{Стаття 1 в редакції Закону № 5491-VI від 20.11.2012}
Стаття 2. Визначення термінів
У цьому Законі нижченаведені терміни вживаються в такому значенні:
база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
володілець персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
{Абзац третій статті 2 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012}
Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;
згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання;
{Абзац п'ятий статті 2 в редакції Закону № 5491-VI від 20.11.2012}
знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;
{Абзац шостий статті 2 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012}
картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;
{Статтю 2 доповнено терміном згідно із Законом № 5491-VI від 20.11.2012}
обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
{Абзац сьомий статті 2 в редакції Закону № 5491-VI від 20.11.2012}
одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;
{Статтю 2 доповнено терміном згідно із Законом № 5491-VI від 20.11.2012}
персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
{Абзац одинадцятий статті 2 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012}
суб'єкт персональних даних - фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних відповідно до закону.
Стаття 3. Законодавство про захист персональних даних
Законодавство про захист персональних даних складають Конституція України, цей Закон, інші закони та підзаконні нормативно-правові акти, міжнародні договори України, згода на обов'язковість яких надана Верховною Радою України.
Стаття 4. Суб'єкти відносин, пов'язаних із персональними даними
1. Суб'єктами відносин, пов'язаних із персональними даними, є:
суб'єкт персональних даних;
володілець персональних даних;
розпорядник персональних даних;
третя особа;
уповноважений державний орган з питань захисту персональних даних.
{Абзац сьомий частини першої статті 4 виключено на підставі Закону № 5491-VI від 20.11.2012}
2. Володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону.
3. Розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.
{Частина третя статті 4 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012}
4. Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.
{Статтю 4 доповнено частиною четвертою згідно із Законом № 5491-VI від 20.11.2012}
5. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.
{Статтю 4 доповнено частиною п'ятою згідно із Законом № 5491-VI від 20.11.2012}
Стаття 5. Об'єкти захисту
1. Об'єктами захисту є персональні дані.
{Частина перша статті 5 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012}
2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.
{Частину третю статті 5 виключено на підставі Закону № 5491-VI від 20.11.2012}
{Частину четверту статті 5 виключено на підставі Закону № 5491-VI від 20.11.2012}
Стаття 6. Загальні вимоги до обробки персональних даних
1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.
Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.
{Частину першу статті 6 доповнено новим абзацом згідно із Законом № 5491-VI від 20.11.2012}
У разі зміни визначеної мети обробки персональних даних суб'єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети, якщо нова мета обробки є несумісною з попередньою.
{Абзац третій частини першої статті 6 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012}
2. Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки.
{Частина друга статті 6 в редакції Закону № 5491-VI від 20.11.2012}
3. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.
{Абзац перший частини третьої статті 6 із змінами, внесеними згідно із Законом № 5491-VI від 20.11.2012}
{Абзац другий частини третьої статті 6 виключено на підставі Закону № 5491-VI від 20.11.2012}
4. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.
5. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
6. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
7. Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.
8. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.
9. Обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише за умови забезпечення їх належного захисту.
{Частина дев'ята статті 6 в редакції Закону № 5491-VI від 20.11.2012}
10. Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, що забезпечує формування державної політики у сфері захисту персональних даних.
{Абзац перший частини десятої статті 6 в редакції Закону № 5491-VI від 20.11.2012}
{Абзац другий частини десятої статті 6 виключено на підставі Закону № 5491-VI від 20.11.2012}
Порядок обробки персональних даних у сфері забезпечення функціонування системи гарантування вкладів фізичних осіб затверджується Фондом гарантування вкладів фізичних осіб.
{Частину десяту статті 6 доповнено абзацом третім згідно із Законом № 4452-VI від 23.02.2012}