ВР внесла изменения в Закон о защите персональных данных
Верховная Рада Украины Законом от 20 ноября 2012 года № 5491-VI (далее — Закон) предусматривает внести в Закон Украины от 01.06.2012 года № 2297-VI «О защите персональных данных» (далее — Закон № 2297) следующие изменения.
Во-первых, изменения в сфере действия Закона № 2297, согласно которым он:
— регулирует правовые отношения, связанные с защитой и обработкой персональных данных и направлен на защиту основных прав и свобод человека и гражданина, в частности права на невмешательство в личную жизнь, в связи с обработкой персональных данных;
— распространяется на деятельность по обработке персональных данных, которая осуществляется полностью или частично с применением автоматизированных средств, а также на обработку персональных данных, содержащихся в картотеке или подлежащих внесению в картотеку, с применением неавтоматизированных средств.
— не распространяется на:
• деятельность по обработке персональных данных, которая осуществляется физическим лицом исключительно для личных или бытовых нужд,
• деятельность по обработке персональных данных, которая осуществляется творческим или литературным работником, в том числе журналистом, в профессиональных целях, при условии обеспечения баланса между правом на невмешательство в личную жизнь и правом на самовыражение.
Во-вторых, изменения в терминах, в частности:
— согласие субъекта персональных данных — добровольное волеизъявление физического лица (при условии его осведомленности) относительно предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки, выраженное в письменной форме или в форме, которая позволяет сделать вывод о его предоставления;
— обработка персональных данных — любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптация, изменение, восстановление, использование и распространение (распространение, реализация, передача), обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем;
— получатель — физическое или юридическое лицо, которому предоставляются персональные данные, в том числе третье лицо, и т. п.
В-третьих, указывается, что владелец персональных данных может поручить обработку персональных данных распорядителю персональных данных в соответствии с договором, заключенным в письменной форме, а распорядитель персональных данных может обрабатывать персональные данные только в целях и в объеме, определенных в договоре.
Согласно изменениям, предусмотренным Законом, объектами защиты являются персональные данные, кроме обезличенных персональных данных, которые по режиму доступа являются информацией с ограниченным доступом.
Указывается, что заявление о регистрации БПД также должно содержать: информацию о составе персональных данных, которые обрабатываются; информацию о третьих лицах, которым передаются персональные данные; информацию о трансграничной передаче персональных данных. По поданному заявлению уполномоченный госорган принимает решение о регистрации БПД в течение 30 рабочих дней со дня поступления такого заявления.
Владелец персональных данных освобождается от обязанности регистрации БПД:
— ведение которых связано с обеспечением и реализацией трудовых отношений;
— членов общественных, религиозных организаций, профессиональных союзов, политических партий.
Следует заметить, что к основаниям для обработки персональных данных относятся:
1) согласие субъекта персональных данных на обработку его персональных данных;
2) разрешение на обработку персональных данных, предоставленное владельцу персональных данных в соответствии с законом исключительно для осуществления его полномочий;
3) заключение и выполнение сделки, стороной которой является субъект персональных данных или которая заключена в пользу субъекта персональных данных или для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта персональных данных;
4) защита жизненно важных интересов субъекта персональных данных;
5) необходимость защиты законных интересов владельцев персональных данных, третьих лиц, кроме случаев, когда субъект персональных данных требует прекратить обработку его персональных данных и потребности защиты персональных данных преобладают над таким интересом.
Обратите внимание, что в момент сбора персональных данных в течение 10 рабочих днейсо дня сбора персональных данных субъект персональных данных уведомляется о владельце персональных данных, составе и содержании собранных персональных данных, правах такого субъекта, определенных настоящим Законом, цели сбора персональных данных и лицах, которым передаются его персональные данные.
Также Законом предусмотрено увеличение прав субъекта персональных данных.
Настоящий Закон вступает в силу со дня, следующего за днем его опубликования.
