Обробка персональних даних включає такі дії, як збір, реєстрацію, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (поширення, реалізацію, передачу), знеособлення, знищення персональних даних.
Обробка персональних даних може бути здійснена як неавтоматичними засобами з носіїв (у тому числі паперових), що становлять будь-який структурований масив персональних даних, доступний за певними критеріями, так і з використанням інформаційних (автоматизованих) систем.
До персональних даних можна віднести будь-які відомості, за якими ідентифікується або може бути ідентифікована фізична особа, у тому числі: прізвище, ім’я, по батькові, адреса, телефони, паспортні дані, національність, освіта, сімейний стан, релігійні та світоглядні переконання, стан здоров’я, матеріальне становище, дата та місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, у тому числі членами сім’ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи (за винятком даних щодо виконання повноважень особою, яка обіймає посаду, пов’язану із здійсненням функцій держави або органу місцевого самоврядування) та ін. Зазначений перелік не є вичерпним.
Така інформація про фізичну особу та членів її сім’ї є конфіденційною і може оброблятися (у тому числі поширюватися) тільки за їхньою згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Саме тому, незважаючи на забезпечення Конституцією України прав людини на невтручання у її особисте життя, правові відносини, пов’язані із захистом та обробкою персональних даних, були врегульовані Законом України «Про захист персональних даних».
Мета обробки персональних даних має бути сформульована у законах, інших нормативно-правових актах, положеннях, установчих або інших документах, що регулюють діяльність власника персональних даних, та відповідати законодавству про захист персональних даних. Обробка персональних даних здійснюється відкрито та прозоро із застосуванням засобів та у спосіб, що відповідають певним цілям такої обробки.
У разі зміни певної мети обробки персональних даних на нову мету, яка несумісна з попередньою, для подальшої обробки даних власник персональних даних повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до зміненої мети, якщо інше не передбачено законом.
Персональні дані повинні бути точними, достовірними та оновлюватись у міру необхідності, визначеною метою їх обробки. Склад та зміст персональних даних повинні бути відповідними, адекватними та ненадмірними щодо певної мети їх обробки. Обробка персональних даних здійснюється для конкретних та законних цілей, визначених за згодою суб’єкта персональних даних або у випадках, передбачених чинним законодавством.
Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише на користь національної безпеки, економічного добробуту та прав людини. Якщо обробка персональних даних необхідна захисту життєво важливих інтересів суб’єкта персональних даних, обробляти персональні дані без його згоди можна доти, коли отримання згоди стане можливим.
Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, яку вони стосуються, не довше, ніж це необхідно для законних цілей, для яких вони збиралися або надалі оброблялися. Подальше оброблення персональних даних в історичних, статистичних або наукових цілях може здійснюватися за умови забезпечення їх належного захисту.
Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних (крім випадків, встановлених законом) ).
Принципи обробки персональних даних:
- Обробка персональних даних має здійснюватися на законній та справедливій основі.
- Обробка персональних даних має обмежуватися досягненням конкретних, заздалегідь визначених та законних цілей. Не допускається обробка персональних даних, несумісна з метою збору персональних даних.
- Не допускається об’єднання баз даних, що містять персональні дані, обробка яких здійснюється в цілях, несумісних між собою.
Обробці підлягають лише персональні дані, що відповідають цілям їхньої обробки. - Зміст та обсяг оброблюваних персональних даних повинні відповідати заявленим цілям обробки. Персональні дані, що обробляються, не повинні бути надмірними по відношенню до заявлених цілей їх обробки.
- При обробці персональних даних повинні бути забезпечені точність персональних даних, їх достатність, а в необхідних випадках та актуальність щодо цілей обробки персональних даних. Оператор повинен вживати необхідних заходів або забезпечувати їх прийняття за видаленням або уточненням неповних або неточних даних.
- Зберігання персональних даних має здійснюватися у формі, що дозволяє визначити суб’єкта персональних даних, не довше, ніж цього вимагають мети обробки персональних даних, якщо термін зберігання персональних даних не встановлений законом, договором, стороною якого, вигодонабувачем або поручителем за яким є суб’єкт персональних даних. Оброблювані персональні дані підлягають знищенню чи знеособленню по досягненню цілей обробки або у разі втрати необхідності досягнення цих цілей, якщо інше не передбачено законом.
