ІІІ. Рекомендації щодо порядку збору персональних даних

3.1. При зборі персональних даних володілець бази персональних даних повинен отримати згоду в суб’єкта персональних даних на обробку його персональних даних, а також:

3.1.1. проінформувати суб’єкта персональних даних про мету обробки персональних даних;

3.1.2. надати суб’єкту інформацію про місцезнаходження володільця бази персональних даних, його контактні дані;

3.1.3. поінформувати суб’єкта персональних даних про його право відмовитися чи внести застереження щодо обробки персональних даних;

3.1.4. забезпечити суб’єкту персональних даних право на отримання доступу до його даних, а також на виправлення недостовірної інформації, що стосується його персональних даних;

3.1.5. у випадку, якщо мета збору передбачає передачу персональних даних третім особам, проінформувати суб’єкта персональних даних про можливість такої передачі, вказавши цих третіх осіб чи категорії таких осіб.

3.2. Обсяг персональних даних, які включаються володільцем бази персональних даних до бази персональних даних, визначається умовами згоди суб’єкта персональних даних або відповідно до Закону.

3.3. Умови згоди суб’єкта персональних даних можуть містити як опис персональних даних, обробка яких буде здійснюватися безпосередньо після надання згоди, так і опис персональних даних, збирання яких буде здійснюватися в процесі подальших взаємовідносин із суб’єктом персональних даних.

3.4. Метою обробки персональних даних може бути  забезпечення реалізації:

– трудових відносин;

– адміністративно-правових (зокрема відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;

– відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом;

– відносин у сфері економічних, фінансових послуг та страхування;

– відносин у сфері реклами та збору персональних даних у комерційних цілях;

– відносин у сфері телекомунікаційних послуг;

– відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;

– відносин у сфері освіти;

– відносин у сфері охорони здоров’я;

– відносин у сфері безпеки, зокрема питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;

– відносин у сфері транспорту;

– відносин у сфері науки, історичних досліджень та статистики;

– інших відносин, що вимагають обробки персональних даних.

3.5. Мета обробки персональних даних повинна відповідати видам (напрямкам) діяльності володільця бази персональних даних, визначених його установчими документами та/або законодавством.

3.6. За умови отримання згоди володілець бази персональних даних може вказувати декілька цілей обробки персональних даних, якщо такі цілі не суперечать одна одній.

3.7. За умови отримання згоди володілець бази персональних даних може застосовувати як конкретизовані формулювання щодо цілей обробки, так і зальні, передбачені п. 3.4 даних Рекомендацій.

3.8. Суб’єкту персональних даних протягом десяти робочих днів із дня включення його персональних даних до бази персональних даних повідомляється про його права, визначені Законом, мету збору даних та про осіб, яким передаються його персональні дані, у письмовій формі.

3.9. У розумінні цих Рекомендацій до письмової форми повідомлення застосовуються правила, які встановлені до письмової форми правочину, встановлені ст. 207 Цивільного кодексу України, тобто володілець бази персональних даних може використовувати засоби телетайпного, електронного чи іншого технічного засобу зв’язку (наприклад, e-mail чи sms-повідомлення).

Таке повідомлення може бути, зокрема, здійснене володільцем бази персональних даних у момент отримання персональних даних від суб’єкта персональних даних. Повідомлення не здійснюється, якщо персональні дані збираються зі загальнодоступних джерел.