Суб'єкти відносин, пов'язані із персональними даними, зобов'язані:
- не допускати розголошення персональних даних;
- виконувати вимоги встановленого відповідно до законодавства режиму доступу до персональних даних та захисту персональних даних.
Суб'єктами відносин, пов'язаних із персональними даними відповідно до зазначеного Закону, зможуть бути фізичні та/або юридичні особи інших держав та міжнародні організації.
Об'єктами захисту є персональні дані, які обробляються за допомогою інформаційних (автоматизованих) систем та/або картотек персональних даних.
Персональні дані за режимом доступу є інформацією з обмеженим доступом.
Віднесення персональних даних до категорії відомостей, які становлять державну або іншу визначену законом таємницю, і доступ до них здійснюються відповідно до закону.
Персональні дані фізичної особи, яка претендує чи займає виборну посаду (в представницьких органах) або посаду державного службовця першої категорії, не відноситиметься до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону.
Персональні дані зможуть оброблятися тільки за умови, що:
- обробка персональних даних здійснюється за письмовою згодою власника персональних даних або відповідно до законів України;
- персональні дані обробляються відповідно до свого прямого призначення, яке визначається повноваженнями суб'єкта відносин, пов'язаних із персональними даними, і не використовуються для інших цілей, не сумісних із цим призначенням;
- персональні дані повинні бути точними, у разі необхідності — оновлюватися;
- персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший, ніж це необхідно відповідно до їх законного призначення.
Не допускатиметься обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.Обробка персональних даних в інформаційних ^автоматизова-них) системах здійснюватиметься відповідно до вимог, встановлених зазначеним Законом та Законом України "Про захист інформації в інформаційно-телекомунікаційних системах".
Первинними джерелами відомостей про фізичну особу є видані на її ім'я документи; підписані нею документи; відомості про фізичну особу на матеріальних носіях інформації, що обробляються суб'єктами відносин, пов'язаними з персональними даними, які діють відповідно до законодавства України та в межах своїх повноважень.
Джерелами відомостей про фізичну особу є бази персональних даних, які зареєстровані в установленому законодавством порядку.
Право власності на персональні дані є невід'ємне, непорушне і невідчужуване. Право власності на свої персональні дані має кожна фізична особа. Розпорядження персональними даними особи, яка повністю або частково обмежена в дієздатності, здійснює її повноважний представник.
Право власності на персональні дані фізичної особи, яка померла, належить особам, які визначені її спадкоємцями в частині персональних даних. Кожна фізична особа має право ознайомитися у суб'єкта відносин, пов'язаних із персональними даними, зі своїми персональними даними, що обробляються цим суб'єктом, чи дати доручення ознайомитися з ними уповноваженим ним особам, крім випадків, встановлених законом.
Користування персональними даними передбачає будь-які дії їх власника щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншими суб'єктами відносин, пов'язаних із персональними даними.
Використання персональних даних передбачає дії їх власника щодо користування ними або дії володільця персональних даних, якому їх власником чи законом надано часткове або повне право обробки персональних даних, а також покладені обов'язки щодо їх захисту. Використання персональних даних передбачає також право володільця персональних даних на надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, за згодою власника персональних даних чи відповідно до закону.
Використання персональних даних їх володільцем передбачає створення ним умов для захисту цих даних. Володільцю персональних даних забороняється розголошувати відомості стосовно власників персональних даних, доступ до персональних даних яких здійснюється іншими суб'єктами відносин, пов'язаних із такими даними.
Використання персональних даних працівниками суб'єктів відносин, пов'язаних із персональними даними, повинне здійснюватися тільки відповідно до їх службових або трудових обов'язків.
Особи, яким було надано доступ до персональних даних у порядку, встановленому законодавством, зобов'язані не допускати розголошення будь-яким способом персональних даних, які їм довірені або стали відомі у зв'язку з виконанням службових або трудових обов'язків. Таке зобов'язання зберігає чинність після припинення їх діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
Відомості щодо особистого життя фізичної особи не можуть використовуватися як обумовлювання, яке підтверджує чи не підтверджує її ділові здібності.
Підставами виникнення права на використання персональних даних буде:
- письмова згода фізичної особи на обробку її персональних даних, надана у довільній формі;
- письмовий договір про введення відомостей про фізичну особу до бази персональних даних. Власник персональних даних матиме право робити в договорі застереження щодо обмеження обробки його персональних даних;
- дозвіл на обробку персональних даних, наданий відповідно до закону суб'єкту відносин, пов'язаних із персональними даними, виключно для виконання його повноважень.
Збирання персональних даних передбачає будь-які дії щодо зосередження певних відомостей про фізичну особу з будь-яких джерел та розміщення їх у базі персональних даних.
При первісному розміщенні відомостей про фізичну особу до складу бази персональних даних їх власник повідомляється протягом одного місяця про мету розміщення даних.
Повідомлення не здійснюється, якщо персональні дані збираються:
- для забезпечення захисту персональних даних;
- у випадках, визначених законом в інтересах національної безпеки, економічного добробуту та прав людини;
- для тимчасового, на строк не більше трьох місяців, їх зберігання у базі персональних даних. У разі подальшої обробки персональних даних понад зазначеного тримісячного строку їх введення до бази персональних даних їх власник повідомляється протягом одного місяця про мету обробки цих даних;
- із загальнодоступних джерел.
Відомості про фізичну особу, що зібрані з будь-яких джерел, а також інформація про їх джерела надаються власнику персональних даних за його вимогою.
Накопичення персональних даних передбачає будь-які дії щодо поєднання та систематизацію відомостей про фізичну особу чи групу фізичних осіб або введенняцих даних до бази персональних даних. Забороняється накопичення персональних даних, якщо мета їх збирання не відповідає законам.
Зберігання персональних даних передбачає будь-які дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
У разі зберігання персональних даних з метою їх поширення в знеособленій формі необхідно зберігати окремі відмінності, за якими конкретні відомості про фізичну особу можуть бути поставлені у відповідність з певним суб'єктом відносин, пов'язаних із персональними даними.
Поширення персональних даних передбачає будь-які дії щодо
передачі відомостей про фізичну особу між суб'єктами відносин, пов'язаних із персональними даними, для їх обробки.
Поширення персональних даних здійснюватиметься безпосередньо власником персональних даних або уповноваженим ним суб'єктом, крім випадків здійснення органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом.
Поширення персональних даних без згоди власника персональних даних або уповноваженого ним суб'єкта дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Відповідальність за виконання вимог встановленого режиму захисту даних про фізичну особу несе сторона, що поширює персональні дані.
Будь-який суб'єкт відносин, пов'язаних із персональними даними, матиме право звернутися до будь-якого іншого суб'єкта таких відносин стосовно персональних даних певної фізичної особи. Доступ до персональних даних здійснюється згідно з режимом доступу, встановленим згідно з законодавством. Доступ до персональних даних не надаватиметься, якщо суб'єкт відносин пов'язаних із персональними даними, відмовляється взяти на себе зобов'язання щодо забезпечення умов захисту персональних даних.
Держава здійснює контроль за додержанням режиму доступу до персональних даних. Контроль за додержанням режиму доступу до персональних даних здійснюється уповноваженим органом з питань захисту персональних даних. Завдання контролю за додержанням режиму доступу полягає у забезпеченні виконання вимог законодавства про персональні дані всіма суб'єктами відносин, пов'язаних із персональними даними, недопущення ними несанкціонованого доступу до персональних даних.
Суб'єкт відносин, пов'язаних із персональними даними, подає запит щодо доступу (надалі - запит) до персональних даних іншому суб'єкту відносин, пов'язаних із персональними даними.
Запит повинен містити такі відомості:
- прізвище, ім'я та по батькові, місце проживання та реквізити документа, що посвідчує фізичну особу, яка подає запит;