ІV. Порядок поширення персональних даних

4.1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу володільцем бази персональних даних розпоряднику бази персональних даних чи третій особі.

4.2. Поширення персональних даних рекомендується здійснювати за правилами, встановленими розділом ІІ цих Рекомендацій з урахуванням особливостей, встановлених цим розділом.

4.3. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.

4.4. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону.

4.5. Не вимагається отримання згоди в суб’єкта персональних даних для передачі бази персональних даних розпоряднику бази персональних даних чи особі, яка виконує для володільця бази персональних даних технічні роботи, пов’язані з обробкою персональних даних, без доступу до змісту персональних даних. У такому випадку відповідальність за шкоду, завдану неправомірною обробкою цих даних, несе володілець бази персональних даних.

4.6. Передача бази персональних даних здійснюється за договором, укладеним у письмовій формі між володільцем бази персональних даних та особою, якій передаються персональні дані, якщо окремими нормативно-правовими актами не передбачений інший порядок передачі персональних даних.

З метою забезпечення вимог Закону при передачі бази персональних даних до Договору рекомендується включати наступні умови:

– опис персональних даних, що передається (при цьому повинно бути зазначено, чи не містять персональні дані відомостей, передбачених статтею 7 Закону, для яких встановлено особливі вимоги щодо обробки);

– мета, з якою є можлива обробка персональних даних;

– правова підстава знаходження персональних даних у розпорядженні особи, яка передає дані, та гарантія щодо наявності згоди суб’єктів персональних даних на передачу їхніх персональних даних чи інших підстав, встановлених законом;

– зобов’язання особи, яка отримує персональні дані, не здійснювати обробку персональних даних з іншою метою, ніж передбачено умовами договору;

– зобов’язання щодо знищення персональних даних отримувачем даних після виконання договору (якщо умови договору не встановлюють іншого порядку та строку обробки персональних даних).