ІІ. Загальні правила та умови обробки персональних даних

2.1. Персональні дані, незалежно від природи, змісту, способів та форми обробки відомостей, застосування загальних чи особливих вимог обробки, а також незалежно від ступеню зв’язку з фізичною особою, повинні оброблятися відповідно до встановлених законодавством України принципів обробки персональних даних.

2.2. Принципами обробки персональних даних є:

1) принцип законності: персональні дані повинні оброблятись лише на законних підставах;

2) принцип сумісності: персональні дані повинні отримуватись із конкретними законними цілями та оброблятися відповідно до них;

3) принцип адекватності і ненадмірності: персональні дані повинні бути адекватними, ненадмірності, відповідати цілям обробки;

4) принцип точності: персональні дані повинні бути точними та актуальними;

5) принцип строковості зберігання: персональні дані не повинні зберігатися довше ніж це передбачено згодою суб’єкта персональних даних чи вимогами законів України;

6) принцип дотримання прав фізичної особи: персональні данні повинні оброблятись з дотриманням прав суб’єкта персональних даних, зокрема права на доступ до даних;

7) принцип захищеності: персональні дані повинні оброблятись з дотриманням вимог щодо захисту даних;

8) принцип транскордонної захищеності: персональні дані не повинні передаватись іноземним суб’єктам відносин, пов’язаних із персональними даними, без належного захисту.

2.3. Загальними підставами виникнення права на обробку персональних даних є:

 

2.3.1. згода суб’єкта персональних даних на обробку його персональних даних. Суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;

2.3.2. здійснення дій, пов’язаних з укладенням, виконанням та/або припиненням правочину стороною (представником сторони), вигодонабувачем або поручителем за яким є суб’єкт персональних даних;

2.3.3. необхідність захисту життєво важливих інтересів суб’єкта персональних даних;

2.3.4. необхідність реалізації законних повноважень або виконання зобов’язання, що виникає в силу закону, володільцем бази персональних даних або особою, якій розкриваються персональні данні;

2.3.5. необхідність захисту законних інтересів володільця бази персональних даних або осіб, яким розкриваються персональні дані, за винятком випадків, коли така обробка буде порушувати життєво важливі інтереси суб’єкта персональних даних;

2.3.6. вільне волевиявлення суб’єкта персональних даних на обробку його даних до набрання чинності Законом України «Про захист персональних даних» (за відсутності заперечення чи будь-якого застереження суб’єкта персональних даних на обробку його даних).

2.4. Підставами виникнення права на обробку персональних даних, щодо яких встановлено особливі вимоги до обробки, визначені частиною другою статті 7 Закону.

2.5. Формами надання згоди суб’єкта персональних даних можуть бути:

а) документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення суб’єкта персональних даних засвідчується його підписом;

б) електронний документ, включаючи обов’язкові реквізити документа, що дають змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних засвідчується електронним підписом суб’єкта персональних даних;

в) відмітка на електронній сторінці документу чи в електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень, які в свою чергу:

– не дозволяють обробку персональних даних до того часу, поки суб’єкт персональних даних не виконає дії, що підтверджують надання ним відповідної згоди;

– забезпечують реєстрацію дій суб’єкта персональних даних та цілісність протоколів реєстрації таких дій.

г) інші форми, що не суперечать законодавству України.

2.6. Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб’єкта відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом.

2.7. Суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних.

2.8. Володільцю бази персональних даних рекомендується забезпечувати збереження документу, що свідчить про згоду суб’єкта персональних даних протягом строку обробки персональних даних.