Ключові принципи обробки ПД
законність обробки
конкретизація мети обробки
відкритість і прозорість обробки
якість даних
Українське законодавство не містить положень, які б безпосередньо виокремлювали і широко тлумачили принци обробки персональних даних.
Здійснюючи імплементацію міжнародних угод щодо персональних даних, законодавець очевидно намагався використати максимально прагматичний підхід до формулювання тексту закону і фактично поєднав принципи і підстави обробки персональних даних у вимогах до обробки персональних даних (ст. 6, 7 ЗУ «Про захист персональних даних»).
Однак ці принципи є фундаментальними засадами правового регулювання у сфері персональних даних, а їх правильне розуміння – необхідна умова запровадження якісних та ефективних національних правових механізмів захисту персональних даних. Тому для з’ясування глибинного змісту принципів обробки персональних даних необхідно звертатися до першоджерел правового регулювання у цій сфері, тобто до європейських правових стандартів захисту персональних даних – відповідних правових актів Ради Європи, Європейського Союзу та рішень європейських судів.
Ключові принципи обробки персональних даних
законність обробки
конкретизація мети
відкритість і прозорість обробки
якість даних :
–
відповідність даних меті обробки
– точність даних та вчасне оновлення даних
– достовірність даних
– обмеження періоду зберігання даних
–
захищеність даних
Законність обробки персональних даних 
За українським законодавством обробка персональних даних має здійснюватися для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством (ст. 6 ЗУ «Про захист персональних даних»).
У європейському праві обробка персональних даних вважається законною тільки якщо вона:
– переслідує законну мету;
– здійснюється з дотриманням вимог закону;
– є необхідною у демократичному суспільстві для досягнення законної мети.
Найширше тлумачення принципу законності обробки персональних даних надано Директивою 95/46/ЄС. У ній зміст принципу законності розкривається через чіткі критерії – виключний перелік умов, в яких обробка персональних даних визнається можливою.
Директива 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних»
Розділ ІІ Критерії законності обробки даних
Стаття 7
1. Держави-члени передбачають, що персональні дані можуть оброблятися тільки за умови, що:
(a) суб'єкт даних недвозначно дав свою згоду; чи
(b) обробка необхідна для виконання контракту, стороною якого є суб'єкт даних, чи для вживання заходів на прохання суб'єкта даних до підписання контракту; чи
(c) обробка необхідна для дотримання правового зобов'язання, яким зв'язаний контролер; чи
(d) обробка необхідна для захисту життєво важливих інтересів суб'єкта даних; чи
(e) обробка необхідна для виконання завдання, здійснюваного в суспільних інтересах, чи при виконанні офіційних повноважень, якими наділений контролер або третя сторона, якій надаються дані; чи
(f) обробка необхідна в цілях законних інтересів, переслідуваних контролером чи третьою стороною або сторонами, для яких надаються дані, крім випадків, коли над такими інтересами переважають інтереси основних прав і свобод суб'єкта даних, що вимагають захисту згідно з пунктом 1 статті 1.
Таким чином, принцип законності передбачає можливість обробки персональних даних як за згодою відповідної особи, так і без згоди, але виключно на підставі закону, яким і визначається необхідність такої обробки.
Слід зазначити, що з точки зору реалізації права людини на приватність, наявність можливості обробки персональних даних без згоди особи фактично є обмеженням цього права (втручанням у права), яке в демократичному суспільстві допускається лише у випадках і з дотриманням вимог чітко визначених законом. Тільки тоді таке обмеження є правомірним і не вважається порушенням прав людини.
При цьому «визначеність у законі» означає наявність певних вимог до самого закону з позицій його справедливості і якості, які гарантують непорушність прав людини. Закон, що визначає можливість втручання в права особи, повинен бути доступним для особи, права якої він обмежує, та чітким і передбачуваним в частині наслідків такого обмеження.
ЗУ «Про захист персональних даних» як базовий закон у сфері персональних даних може містити тільки узагальнені положення, що не дає змоги здійснити у ньому належну деталізацію всіх випадків обробки персональних даних, як того вимагають європейські принципи. Тому в конкретних випадках обробки персональних даних положення цього закону мають бути деталізовані в інших нормативно-правових актах та документах, які регламентують діяльність володільця персональних даних.
Відповідно до європейського розуміння принципу законності, разом із метою і підставами обробки персональних даних, загалом такі документи повинні визначати:
1) категорії суб’єктів персональних даних;
2) склад персональних даних;
3) порядок обробки персональних даних, а саме:
- спосіб збору, накопичення персональних даних;
- строк та умови зберігання персональних даних;
- умови та процедуру зміни, видалення або знищення персональних даних;
- умови та процедуру передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані;
- порядок реалізації прав суб’єкта персональних даних;
4) організаційні та технічні заходи забезпечення захисту персональних даних;
5) процедуру збереження інформації про операції, пов’язані з обробкою персональних даних та доступом до них тощо.
Конкретизація мети обробки персональних даних 
Іншими словами цей принцип можна виразити як визначеність та обмеженість мети обробки персональних даних.
Відповідно до ст. 6 ЗУ «Про захист персональних даних» мета обробки має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.
Мета обробки персональних даних повинна бути чіткою і законною, а також визначеною до початку їх збору.
Чіткість формулювання мети має забезпечувати встановлення базових меж обробки персональних даних, що, по-перше, надаватиме суб’єкту персональних даних уявлення про те, якого результату прагне досягти володілець, та, по-друге, не даватиме володільцю невизначених можливостей щодо обробки персональних даних.
Таким чином, чіткість визначення мети фактично є першочерговою вимогою і гарантією законності обробки персональних даних.
У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до зміненої мети, якщо інше не передбачено законом (ст. 6 ЗУ «Про захист персональних даних»).
Новою метою, зокрема, вважається передача персональних даних третій особі, якщо цього не передбачала згода суб’єкта персональних даних або закон.
Для подальшого використання персональних даних з іншою метою, яка не узгоджується з першопочатковою, також необхідні додаткові правові підстави. Винятком з цього правила є випадки подальшої обробки персональних даних у наукових, історичних, статистичних цілях (за умов належного захисту даних), оскільки до них не застосовуються визначені законодавством вимоги до обробки персональних даних (див. ч. 8 ст. 6, ст. 25 ЗУ «Про захист персональних даних»).
Необхідно також розуміти, що метою обробки персональних даних не може бути сама обробка. Тому мета не може формулюватися, наприклад як «необхідність ведення обліку», «накопичення якомога більшої кількості інформації» тощо. Обробка персональних даних завжди є засобом досягнення мети, але ні в якому разі не самою метою.
Відкритість і прозорість обробки персональних
даних 
Цей принцип гарантує особам можливості знати як і ким обробляються, використовуються їхні персональні дані.
Ст. 6 ЗУ «Про захист персональних даних» визначає, що обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.
Обробка персональних даних не може бути прихованою від суб’єкта персональних даних, суб’єкти персональних даних мають право на доступ до своїх даних, де б вони не оброблювалися, якщо інше не встановлено законом. Тож законом можуть передбачатися винятки з цього правила, якщо демократичне суспільство їх припускає, зокрема у випадку здійснення негласних слідчих (розшукових) дій.
Задля забезпечення принципу прозорості володілець персональних даних повинен повідомляти суб’єкта персональних даних про склад і зміст зібраних персональних даних, його права, визначені законом, мету збору персональних даних та третіх осіб, яким передаються його персональні дані. Повідомлення має відбуватися в порядку встановленому законодавством.
Що стосується сфери надання автоматизованих інтернет-послуг, то системи обробки персональних даних різноманітних сервісів під час реєстрації користувачів (створення аккаунтів) повинні забезпечувати суб’єктів персональних даних всією інформацією, необхідною для чіткого розуміння того, що відбуватиметься з їхніми персональними даними. Найчастіше така інформація подається розробниками і адміністраторами ресурсів як «політика конфіденційності».
Належне інформування щодо обробки персональних забезпечує право особи контролювати використання конфіденційної інформації про своє приватне життя та є однією з фундаментальних гарантій законності обробки персональних даних.
Якість даних 
Під якістю даних розуміється низка обов’язкових вимог до персональних даних що обробляються, дотримання яких володілець має забезпечити в процесі здійснення всіх операцій з обробки персональних даних.
Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних
Стаття 5. Якість даних
Персональні дані, що піддаються автоматизованій обробці, повинні:
a) отримуватися та оброблятися сумлінно та законно;
b) зберігатися для визначених і законних цілей та не використовуватися в спосіб, не сумісний із цими цілями;
c) бути адекватними, відповідними та ненадмірними стосовно цілей, для яких вони зберігаються;
d) бути точними та в разі необхідності оновлюватися;
e) зберігатись у формі, яка дозволяє ідентифікацію суб'єктів даних не довше, ніж це необхідно для мети, для якої такі дані зберігаються.
Якщо обробка персональних даних здійснюється з метою виконання повноважень державного органу, то оброблятися повинні лише ті персональні дані, які необхідні для належного виконання цих повноважень. З огляду на те, що в таких випадках обробка здійснюється тільки на підставах та в порядку, визначених законом, то саме нормативно-правовими актами повинні визначатися і якісні характеристики даних, які оброблятимуться.
Відповідність даних меті обробки. Склад і зміст персональних даних, а також процедури їх обробки, мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети обробки. Тобто володілець може обробляти тільки ті дані, без обробки яких неможливо досягти визначеної мети. Обробка усіх інших персональних даних буде незаконною.
Точність, достовірність та вчасне оновлення даних. Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки.
Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе.
Володілець персональних даних повинен докладати адекватних (розумних) зусиль для перевірки точності і актуальності даних.
У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені, крім випадків передбачених законом. Видалення та знищення персональних даних має здійснюватися у спосіб, що виключає подальшу можливість поновлення таких даних.
Обмеження періоду зберігання персональних даних. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися (ч. 8 ст. 6 ЗУ «Про захист персональних даних»).
Принцип обмеженого зберігання персональних даних фактично передбачає необхідність видалення даних, як тільки потреба у них зникне або мету, заради якої вони збиралися буде досягнуто.
Винятки з принципу обмеженого зберігання мають бути передбачені законодавством і вимагають встановлення спеціальних гарантій для суб’єктів персональних даних (наприклад, зберігання персональних даних з метою історичного, статистичного чи наукового використання).
Однак, вимога обмеження періоду зберігання персональних даних стосується тільки обробки даних у формі, що дозволяє ідентифікацію особи. Тому, у разі необхідності, подальше зберігання персональних даних можна здійснювати за умови їх знеособлення або псевдонімізації, що не суперечить принципу законності.
Захищеність даних. Персональні дані залежно від способу їх зберігання (паперового, електронноого) мають оброблятися у такий спосіб, який унеможливлює доступ до них сторонніх осіб.
З метою забезпечення безпечної обробки персональних даних володілець повинен передбачати, планувати і здійснювати комплекс адекватних заходів захисту, що належним чином забезпечить режим обробки персональних даних.
тільки у випадках, чітко передбачених законом
тільки на підставах, визначених законом
за наявності всіх перелічених умов одночасно
способам обробки
обсягу персональних даних, що збираються
усе вірно
чіткою
обмеженою
усе вірно
право особи в будь-який момент отримати доступ до своїх персональних даних
повідомлення особи володільцем про випадки обробки її персональних даних
створення відкритого реєстру випадків обробки персональних даних
персональні дані зберігаються не довше ніж це необхідно для цілей обробки
персональні дані, в формі, що допускає ідентифікацію особи, зберігаються не довше ніж це необхідно для цілей обробки
строк зберігання персональних даних у знеособленому вигляді встановлюється законом