В законодавстві України немає вичерпного переліку даних, які вважаються персональними. Однак розпізнати їх можна за трьома критеріями:
- це відомості чи сукупність відомостей (прізвище, ім’я, по батькові, паспортні дані, дата і місце народження, сімейний стан, банківські дані, дані про майно);
- це відомості про фізичну особу (громадянина, іноземця, особу без громадянства — але не про компанії і установи);
- це дані, які ідентифікують прямо або опосередковано (маючи дані, можна встановити, що мова йде про конкретну людину).
Обробкою персональних даних є будь-яка дія або сукупність дій: збір, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення, реалізація, передача, знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
Існує категорія особливо чутливих даних, обробка яких заборонена. Це дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, про призначення кримінального покарання, а також дані, що стосуються здоров’я, статевого життя, біометричні або генетичні показники.
Звичайно, з будь-якого правила є винятки. Наприклад, якщо обробка здійснюється за однозначної згоди фізичної особи або ці дані були явно опубліковані суб’єктом персональних даних, вказана вище заборона не діє.
До суб’єктів правовідносин, пов’язаних з персональними даними, віднесені:
- суб’єкт персональних даних — фізична особа, чиї дані обробляються;
- власник персональних даних;
- розпорядник персональними даними;
- третя особа;
- Уповноважений Верховної Ради України з прав людини.
Власник персональних даних — фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедуру їх обробки. Власник може обробляти персональні дані як самостійно, так і доручивши це розпоряднику на підставі письмового договору.
Розпорядник персональними даними — фізична або юридична особа, яка володіє персональними даними або має законодавче право обробляти ці дані від імені власника.