Верховна Рада України

I. Внести до Закону України "Про захист персональних даних" (Відомості Верховної Ради України, 2010 р., № 34, ст. 481; із змінами, внесеними Законом України від 23 лютого 2012 року № 4452-VI) такі зміни:

1. Статтю 1 викласти в такій редакції:

"Стаття 1. Сфера дії Закону

Цей Закон регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.

Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

Цей Закон не поширюється на діяльність з обробки персональних даних, яка здійснюється фізичною особою виключно для особистих чи побутових потреб.

Положення цього Закону не поширюються на діяльність з обробки персональних даних, яка здійснюється творчим чи літературним працівником, у тому числі журналістом, у професійних цілях, за умови забезпечення балансу між правом на невтручання в особисте життя та правом на самовираження".

2. У статті 2:

1) в абзаці третьому слова "у цій базі даних" виключити;

2) абзац п’ятий викласти в такій редакції:

"згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання";

3) абзац шостий після слів "дають змогу" доповнити словами "прямо чи опосередковано";

4) абзац сьомий викласти в такій редакції:

"обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем";

5) доповнити з урахуванням алфавітного порядку термінами такого змісту:

"картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами";

"одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа";

6) абзац одинадцятий після слів "ці дані" доповнити словами "від імені володільця".

3. У статті 4:

1) абзац сьомий частини першої виключити;

2) у частині третій слово "якої" замінити словом "яких";

3) доповнити частинами четвертою і п’ятою такого змісту:

"4. Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.

5. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі".

4. У статті 5:

1) у частині першій слова "які обробляються в базах персональних даних" виключити;

2) частини третю і четверту виключити.

5. У статті 6:

1) у частині першій:

після абзацу першого доповнити новим абзацом такого змісту:

"Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки".

У зв’язку з цим абзац другий вважати абзацом третім;

абзац третій доповнити словами "якщо нова мета обробки є несумісною з попередньою";

2) частину другу викласти в такій редакції:

"2. Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки";

3) у частині третій:

абзац перший після слів "бути відповідними" доповнити словом "адекватними";

абзац другий виключити;

4) частину дев’яту викласти в такій редакції:

"9. Обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише за умови забезпечення їх належного захисту";

5) у частині десятій:

абзац перший викласти в такій редакції:

"10. Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, що забезпечує формування державної політики у сфері захисту персональних даних";

абзац другий виключити.

6. У статті 7:

1) частину першу після слів "професійних спілках" доповнити словами "звинувачення у скоєнні злочину або засудження до кримінального покарання";

2) у частині другій:

пункт 2 після слів "виконання обов’язків" доповнити словом "володільця", а після слів "до закону" - словами "із забезпеченням відповідного захисту";

пункт 3 після слів "для захисту" доповнити словами "життєво важливих";

пункт 4 після слова "здійснюється" доповнити словами "із забезпеченням відповідного захисту";

пункт 6 викласти в такій редакції:

"6) необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лікарську таємницю".

7. У частині другій статті 8:

у пунктах 1 і 6 слова "цієї бази" замінити словами "персональних даних";

у пунктах 2 і 3 слова "що містяться у відповідній базі персональних даних" виключити;

пункти 5 і 8 викласти в такій редакції:

"5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних";

"8) звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних, або до суду";

доповнити пунктами 10-13 такого змісту:

"10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

11) відкликати згоду на обробку персональних даних;

12) знати механізм автоматичної обробки персональних даних;

13) на захист від автоматизованого рішення, яке має для нього правові наслідки".

8. У статті 9:

1) частину другу доповнити абзацами другим - четвертим такого змісту:

"Володілець персональних даних звільняється від обов’язку реєстрації баз персональних даних:

ведення яких пов’язано із забезпеченням та реалізацією трудових відносин;

членів громадських, релігійних організацій, професійних спілок, політичних партій";

2) частину третю після абзацу шостого доповнити трьома новими абзацами такого змісту:

"інформацію про склад персональних даних, які обробляються;

інформацію про третіх осіб, яким передаються персональні дані;

інформацію про транскордонну передачу персональних даних".

У зв’язку з цим абзаци сьомий і восьмий вважати відповідно абзацами десятим і одинадцятим;

3) у частині четвертій:

абзац другий виключити;

в абзаці третьому слово "десяти" замінити словом "тридцяти".

9. У частинах першій і другій статті 10 слово "бази" виключити.

10. Статтю 11 викласти в такій редакції:

"Стаття 11. Підстави для обробки персональних даних

1. Підставами для обробки персональних даних є:

1) згода суб’єкта персональних даних на обробку його персональних даних;