Прийнятий за основу новий закон про персональні дані

Законопроєкт відноситься до євроінтеграційниих.

20 листопада 2024 року Верховна Рада прийняла за основу проєкт Закону №8153 «Про захист персональних даних».

Закон поширюється на відносини, пов’язані з обробкою персональних даних із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

Дія Закону не поширюється на обробку персональних даних фізичними особами для особистих чи побутових потреб, які не пов’язані зі здійсненням професійної чи будь-якої іншої діяльності, що має на меті отримання прибутку.

Обробка персональних даних для особистих чи побутових потреб охоплює, зокрема, ведення кореспонденції та збереження поштових (електронних) адрес, підтримання соціальних контактів, а також комунікація у мережі Інтернет, яка здійснюється в контексті такої діяльності.

Принципи обробки даних:

1) Законність, добросовісність та прозорість. Персональні дані повинні оброблятись на підставах, передбачених цим Законом. Персональні дані повинні оброблятися у спосіб, що передбачає належну поінформованість суб’єкта персональних даних про обробку його персональних даних (збір, використання та іншу обробку, її спосіб та обсяг), з метою забезпечення усунення непередбачуваного для суб’єкта персональних даних негативного впливу на нього від обробки персональних даних.

2) Обмеження мети. Персональні дані повинні збиратися для точно визначених,  явних і леґітимних цілей та не оброблятись у спосіб, що є несумісним з цими цілями. Контролер, зокрема, зобов’язаний визначити мету обробки персональних даних до початку їх збору та не може змінювати її після збору персональних даних без згоди суб’єкта персональних даних.

3) Мінімізація персональних даних. Склад та зміст персональних даних, що обробляються, повинен бути достатнім, адекватним відповідним і ненадмірним відповідно до визначеної мети їх обробки. Не допускається збір та обробка персональних даних, що: є надмірними відповідно до визначеної мети; призводять до надмірного втручання в приватне життя фізичної особи.

4) Точність персональних даних. Дані повинні бути точними та, в разі потреби, оновлюватись відповідно до цілі їх обробки. У разі виявлення, що персональні дані є не точними з огляду на мету їх обробки, такі персональні дані повинні бути без необґрунтованої затримки уточнені або знищені.

5) Обмеження зберігання. Дані повинні зберігатись у формі, що дозволяє ідентифікацію суб’єкта персональних даних не довше, ніж це необхідно для цілей, в яких вони обробляються, крім випадків, встановлених законом за умови дотримання сукупності наступних критеріїв: випадки мають бути встановлені законом; становити необхідні та пропорційні заходи у демократичному суспільстві для забезпечення захисту конкретних цінностей , зокрема забезпечення громадської безпеки, важливих суспільних, економічних або фінансових інтересів); забезпечувати дотримання прав і свобод суб’єкта персональних даних. Персональні дані можуть зберігатись більший період часу для цілей архівування в суспільних інтересах, цілей наукового чи історичного дослідження або статистичних цілей за умови вжиття технічних та організаційних заходів, які вимагаються для забезпечення дотримання прав і свобод суб’єкта персональних даних.

6) Цілісність і конфіденційність. Дані повинні оброблятися із вжиттям належних технічних та організаційних заходів в такий спосіб, що ґарантує їх належну безпеку, включаючи захист від несанкціонованої або неправомірної обробки, випадкової втрати, знищення або пошкодження.

7) Підзвітність. Контролер несе відповідальність за дотримання принципів, та зобов’язаний вживати для цього усі належні організаційні та технічні заходи.

Закон України «Про електронні комунікаційні послуги» доповнений положеннями, згідно з якими забороняється здійснення небажаних викликів або направлення повідомлень абоненту.

Абонент має право звернутись до постачальника електронних комунікаційних мереж та/або послуг із запитом про встановлення контактних даних іншого абонента, який здійснює небажані виклики та повідомлення.

Абонент подає запит в письмовій формі, який має містити:

1) власні контактні дані: номер, прізвище, ім’я, по батькові (за наявності);

2) номер абонента, який здійснює небажані виклики;

3) відомості, які підтверджують, що до абонента здійснюються небажані виклики з номера, щодо якого здійснено запит;

4) письмове зобов’язання абонента використовувати дані іншого абонента, який здійснює небажані дзвінки, з метою захисту своїх інтересів у суді та не використовувати дані з іншою метою.

Постачальник електронних комунікаційних мереж та/або послуг зобов’язаний протягом 10 днів надати відповідь абоненту про задоволення запиту або відмову у задоволенні. Постачальник електронних комунікаційних мереж та/або послуг має право відмовити у задоволенні запиту у випадку, якщо запит не містить усіх необхідних відомостей.

У разі задоволення запиту постачальник електронних комунікаційних мереж та/або послуг повинен надати абоненту, який подав запит, інформацію про номер кінцевого (термінального) обладнання та ім’я (назву) абонента, який здійснює небажані виклики чи повідомлення, у разі наявності адресу реєстрації місця проживання та/або адресу реєстрації юридичної особи

У разі задоволення запиту постачальник електронних комунікаційних мереж та/або послуг зобов’язаний зберігати інформацію про запит, який було задоволено, та відповідь на нього протягом трьох років з дня надання інформації абоненту у обсязі, необхідному для ідентифікації абонента та підтвердження здійснення ним небажаних викликів на номер абонента, який подав запит.

Постачальник електронних комунікаційних мереж та/або послуг зобов'язаний повідомити абонента, чиї дані були надані у відповідь на запит, про надання таких персональних даних протягом трьох робочих днів з дня їх надання.

Повідомлення повинно містити номер та ім’я (назву) абонента, якому були надані його дані, інформацію про підстави та цілі надання такої інформації.