В начале заседания большинство присутствующих заявили, что они категорически против 24-й статьи законопроекта о государственном регистре. (По версии Минсвязи, регистр призван обеспечить непротиворечивость данных в различных операторских системах. Предполагается, что вся информация будет сверена, и это «позволит выявить ошибки в записях и исключит разночтения»). «Госрегистр – инородное тело в нашем законе. Нам надо дать определение понятия "госрегистр"», – заявил депутат фракции «Родина» Александр Крутов, указывая на то, что в законопроекте нет конкретных пояснений на этот счет. Однако Владимир Плигин всячески убеждал сомневающихся в том, что система учета обязательно нужна. «Другое дело, какая: централизованная или нет», – заметил он. «Мы считаем, что для создания таких систем должно быть законодательное регулирование, – настаивал замминистра информационных технологий и связи Дмитрий Милованцев, – Или вы узнаете о создании регистра де-факто. Просто процедура будет называться иначе «О порядке сверки данных». Реакция оппонентов не заставила себя ждать. «В таком случае мы вас отдадим под суд», – пригрозил в ответ депутат Крутов.
Однако по мнению главы рабочей группы, Владимира Плигина, «правда» на этот раз оказалась на стороне Минсвязи. «Считать и учитывать все равно будут, сейчас это делается де-факто. Совсем отказываться от этих статей некорректно. Законодательно все это необходимо оформлять. Иначе мы отдадим все правительству, которое вынуждено будет регулировать ситуацию подзаконными актами», – заметил Владимир Плигин и добавил, что нарушений даже при регулировании правительством меньше не станет.
В итоге стороны пришли к компромиссному решению. Госрегистр все-таки будет. Но каким именно – определит еще один, отдельный федеральный закон.
«Давайте разработаем нормальный закон. Это будет совершенно другой закон с другими позициями», – предложил депутат Чуев, это примирительное высказывание примирило всех присутствующих на обсуждении.
Разобравшись с Госрегистром, участники круглого стола занялись системой внесения туда данных, а точнее, идентификаторами – 23-й статьей о присвоении личных номеров гражданам страны. «Этот закон не вводит нового идентификатора», – заранее предупредил представитель Минсвязи Милованцев. После чего эксперты и депутаты посовещались и решили, что в законопроекте применительно к идентификатору не останется формулировки «уникальный и постоянный». Тем более, что, как отметила эксперт от комитета безопасности Елена Волгинская, «уникальным» он никак быть не может: под понятие идентификатора уже подпадают и ИНН, и страховой номер в системе обязательного пенсионного страхования и многое другое.
А саму 23-ю статью «О введении идентификаторов персональных данных, которые присваиваются каждому человеку» в итоге решили переименовать в «Способы учета персональных данных». Как пояснил Плигин, самого слова «идентфикатор» ко второму чтению тоже в документе не останется, потому как звучит оно «не по-русски».
http://www.gazeta.ru/2006/03/06/oa_191172.shtml
За регистр вновь вступился Владимир Плигин, заявив, что «все равно ведь считать и учитывать будем не де-юре, так де-факто». Поэтому нужно решать, как это делать. «Или это будет как в Голландии, где учет персональных данных прописывает отдельный закон, – сказал Плигин. – Или по германской системе, где создание единой базы данных находится под запретом, а все решается под конкретные цели на местном уровне». Подискутировав некоторое время, участники рабочей группы решили, что государственный регистр будет прописан в специальном законе.
http://www.newizv.ru/news/2006-03-07/41929/
Краткий комментарий к новой редакции законопроекта «О персональных данных»
Законопроект «О персональных данных», представленный в новой редакции комитетом Плигина 10 марта 2006 года, несет еще большую опасность для граждан и государственного суверенитета России, чем вариант, принятый в первом чтении 25 ноября 2005 года.
1. Авторы по-прежнему пытаются навязать использование так называемых «идентификаторов персональных данных» (ч.1 ст. 25), которые в первую очередь идентифицируют личность гражданина (см. наше Приложение) и, таким образом, заменяют имя человека. Это так же следует из самого текста законопроекта: «использование идентификаторов персональных данных для определения принадлежности персональных данных… конкретному лицу» (ч.1 ст.25); «персональные данные должны храниться в форме, позволяющей осуществлять идентификацию субъектов персональных данных» (ч.6 ст.6). При этом, ч.2 ст. 25 полностью противоречит ч.1 ст.25, так как присвоение идентификаторов персональных данных как раз-то и оскорбляет чувства миллионов граждан и унижает их человеческое достоинство.
2. Антиконституционная направленность законопроекта еще более усилена (см. ст.ст.10, 11). Сбор биометрической и конфиденциальной персональной информации о людях без их согласия грубо нарушает конституционные права граждан — право на свободу, неприкосновенность личности и частной жизни, личную и семейную тайну и т. д. (ст.ст. 21, 23, 24, 28, 55 Конституции РФ).
При этом так же обращают на себя внимание п.1 и п.4 ст.1: «персональные данные – любая информация, относящаяся к определенному или поддающемуся определению физическому лицу; согласие субъекта персональных данных - любое свободно данное конкретное и сознательное указание о своей воле, которым субъект персональных данных оповещает о своем согласии на обработку своих персональных данных».
3. Вводятся ряд новых положений, при которых любые гражданско-правовые договора на оказание каких-либо услуг или выполнение гражданами своих обязанностей должны обязательно сопровождаться предоставлением своих персональных данных для их обработки (п.5 ч.1 ст.7; ч.2 ст.7; п.4 ч.2 ст.12; ч.2 ст.15). Таким образом, фактически вводится в действие апокалиптический принцип, при котором «никому нельзя будет ни покупать, ни продавать» (Апок. 13,17) без предоставления персональных данных или их идентификатора.
Приобретение гражданином своих прав и обязанностей в обществе от своего имени будет заменено испрашиванием своих прав (даже естественных!) у автоматизированной системы посредством предъявления уникального идентификатора персональных данных (личного кода), удостоверяемого унизительными процедурами снятия биометрических параметров. Это превращает человека в смарт-карту, в придаток компьютера и делает незащищенным от любых высокотехнологичных вмешательств в его тело.
4. Законопроект по-прежнему прямо устанавливает возможность трансграничной передачи любых персональных данных (в том числе и частным лицам) и обработки их за пределами России: «трансграничная передача персональных данных - предоставление оператором органу власти или лицу другого государства доступа к персональным данным» (п.17 ст.1). Таким образом, нет никаких гарантий защиты этих данных от использования их специальными и военными службами иностранных государств, что создает непосредственную угрозу национальной безопасности Российской Федерации.
Важно так же отметить, что в понятийном аппарате законопроекта отсутствуют такие понятия, как:
идентифицировать;
идентификация;
идентификатор персональных данных (первые три понятия раскрыты в прилагаемом нами ниже Приложении);
реестр.
Кроме того, в тексте множество неточностей, внутренних противоречий, абсолютно абсурдных положений и голословных утверждений.
Таким образом, необходимы независимые лингвистическая и правовая экспертизы нового варианта законопроекта «О персональных данных».
Приложение.
В терминологии, применяемой в области информатики, идентификатор — имя, однозначно обозначающее или именующее объект информационной системы (в данном случае, человека) с целью выделения его из других, ему подобных.1,2 Как правило, оно представляет собою последовательность цифр, но может выражаться и в буквенно-цифровом виде. Вышеизложенное показывает, что человек, в системе тотального учета, контроля и управления, становится вещью среди вещей, уподобляясь товару.
В последнее время появилось множество новых названий цифровых идентификаторов -социальный номер, пенсионный страховой номер, системный номер, УИЛ (универсальный идентификатор личности), УТИК (уникальный технологический идентификационный код), ИПД (идентификатор персональных данных) и другие. Смысл же присвоения любого из этих идентификаторов один: дать человеку новое имя в компьютерной системе.
Идентификация — отождествление, установление совпадения чего-либо с чем-либо. Идентифицировать - значит отождествлять, уподоблять одно другому, сравнивать равное с равным3. Таким образом, человек, принимая личный идентификационный код, отождествляет себя с ним, также как и отождествляет с ним человека компьютерная система. Код становится для системы фактическим именем человека, на которое он вынужден отзываться. Происходит замена имени на номер — цифровой или буквенно-цифровой код.
Одновременно с присвоением идентификатора человеку точно такой же идентификатор присваивается его электронному файлу-досье — ячейке памяти в базе данных компьютерной системы, где собирается, хранится и автоматически анализируется самая разная информация о конкретном человеке, в том числе, и сугубо конфиденциального характера. Электронные досье, как и идентификаторы, могут называться по-разному — лицевой счет застрахованного лица, номер учетной записи, номер личного дела, учетный номер сведений о гражданине и так далее. Суть же их одна — это файл-досье, в котором собирается и автоматически анализируется информация о конкретном человеке. Поэтому лгут те чиновники, которые заявляют, что номер присваивается не человеку, а только некоему документу — его счету, делу, записи и так далее.
На самом же деле компьютерная система сравнивает (идентифицирует) номер человека с номером счета, дела, записи. Иначе говоря, находит по номеру человека, среди многих других номеров в базе данных, номер, равный номеру человека, который обозначает его досье — счет, дело, запись. Только так сведения о человеке могут попасть в его электронное досье или же могут быть получены из досье для каких-то целей. Поэтому идентификатор еще называют ключом доступа или ключевым полем к файлу-досье конкретного человека в базе данных. Имя и фамилию человеку сменить можно, а номер человека является несменяемым, пожизненным и посмертным. Таким образом идентификатор персональных данных не просто заменяет имя и фамилию человека, но фактически становится именем его «электронного двойника», обладающего всей полнотой прав человеческой личности.
Необходимо также знать, что на практике применяется процесс автоматической идентификации человека — это сбор, обработка и использование информации о человеке независимо от самого человека, его воли, желания, даже его понимания и осознания того, что о нем собирается информация... При этом необходимо понимать, что человек никак не может повлиять на процесс автоматической идентификации или остановить его.
Сбор и обработка информации о человеке и окружающем его мире в автоматическом режиме ведет к тому, что владелец информационной системы, обеспечивающей автоматическую идентификацию человека, знает о человеке больше, чем сам человек, так как знает обстоятельства, неизвестные человеку, о которых человек может и не догадываться и так никогда и не узнать, но которые можно использовать при принятии того или иного решения. А значит можно моделировать ситуацию, управлять поведением человека: направлять человека на совершение действий, угодных владельцу информационной системы. Таким образом можно ограничить волю человека и воздействовать на человека по религиозно-мировоззренческим признакам. Так практически будут растоптаны все права и свободы человеческой личности. Это дает колоссальные возможности для того, чтобы манипулировать людьми, причём совершенно анонимно и бесконтрольно.
Более того, с «нелояльными» хозяину системы гражданами можно проводить «профилактическую работу», а то и вовсе изолировать их от общества, превратив в изгоев, подлежащих уничтожению.
Как это осуществить на деле? Весьма просто. С введением электронных документов, являющихся одновременно платежными средствами, медицинскими и транспортными картами, а также несущими многие другие функции, легко следить не только за физическими действиями человека, но и контролировать его душевное состояние. В совокупности с тотальным контролем электронных коммуникаций — от телефона до компьютерных сетей (подслушивание, запись и автоматический анализ информационных сообщений) в режиме реального времени можно вести всеобъемлющее досье на каждого человека, «опасного» для хозяев информационно-управляющей компьютерной системы.
Всепроникающей системе будет известно, с кем человек встречается и о чем говорит по телефону, какую он читает литературу, каковы его политические взгляды, религиозная принадлежность, состояние здоровья и другие сугубо личные стороны жизни, уже не говоря о том, что будут строго фиксироваться все его финансовые операции.
Любые отклонения от «правил поведения», «норм и лимитов», установленных хозяевами системы, приведут к «удалению» того или иного «объекта» из системы. Человек будет лишен доступа к материальным благам и информационным ресурсам. Причем никому ничего нельзя будет доказать. Человеческим отношениям уже не будет места в системе, которая будет оперировать только цифрами. Понятия снисходительности, прощения, человечности, каких-либо уступок ради Бога электронной машине неизвестны. Если ранее человек мог о чем-то упросить пусть сурового, но живого чиновника, то в обществе нового типа его некому даже будет выслушать...
Бездушная компьютерная система в автоматическом режиме будет непрерывно судить человека по собственным критериям (с возможностью ужесточения их для каждого отдельного человека). Человек будет вынужден жить с оглядкой, со страхом задумываясь, не «провинился» ли он в чем-нибудь перед системой.
Система будет полностью управлять жизнью человека, да еще «ставить ему оценки» за его поведение. По этим оценкам человек будет занимать то или иное место в обществе. Система будет поощрять и наказывать. Она будет воспитывать в человеке определенные качества, отнюдь не евангельские. В «идеале» человек должен стать единым целым с системой, превратиться в ее управляемый придаток.
Использование биометрических параметров служит для подтверждения принадлежности предъявленного системе идентификационного номера именно конкретному человеку. Унизительные процедуры сбора биометрических параметров человека (как и присвоение ему цифрового имени в качестве средства автоматической идентификации) для помещения их в электронные документы и базы данных напрямую попирают достоинство личности и превращают в фикцию другие конституционные нормы — право на свободу и личную неприкосновенность, право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, свободу совести и религиозные убеждения (ст.ст. 21, 23, 24, 28 Конституции РФ), не подлежащие ограничению даже в условиях временного ввода чрезвычайного положения (ст.ст. 55, 56 Конституции РФ).
При этом грубейшим образом нарушается один из основополагающих принципов международного права — презумпция невиновности. Таким образом, декларируемая в законопроектах «защита» граждан и их прав на самом деле оборачивается полной потерей всех прав и свобод человека.
Концептуальной альтернативой предлагаемым законопроектом «О персональных данных» информационным системам должно быть использование только информационно-справочных массивов персональных данных на самом нижнем уровне сбора этих данных (в паспортных столах, выдающих документы, удостоверяющие личность; в территориальных налоговых органах; в поликлиниках и т.п.) без передачи персональных данных куда бы то ни было без добровольного согласия граждан, без присвоения им пожизненных идентификаторов и под личную ответственность конкретных представителей этих органов. Дальнейшая аналитическая обработка персональных данных должна носить только статистический характер. Достижения научно-технического прогресса должны служить во благо человечеству, а не приводить к грубейшему нарушению прав и свобод граждан и не создавать условий для утраты государством национального суверенитета. В качестве примера такой информационно-справочной системы может служить правовая справочная система «Гарант», не имеющая никаких специальных идентификаторов нормативных документов.
1. Microsoft Press. Толковый словарь по вычислительной технике. М. Издательский отдел «Русская редакция». 1995.
2. Першиков В. И., Савинков В. М. Толковый словарь по информатике. М. 1995.
3. Толковый словарь русского языка под редакцией профессора Д.Н. Ушакова. Советская энциклопедия. М. 1934. cтолбец 1198.
В.М. Ильин
- профессор, действительный
член Международной Академии
«Информация, связь, управление в технике,
природе, обществе»
В.П. Филимонов
- действительный член Петровской Академии наук и искусств.
А ВОТ И САМ
ПРОДУКТ "ДУМСКО-ОБЩЕСТВЕННОГО ТВОРЧЕСТВА"
Основные скользкие моменты выделены жирным
шрифтом
Проект
№ 217352-4
во втором чтении
РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Основные понятия, используемые в настоящем Федеральном законе
В настоящем Федеральном законе используются следующие понятия:
1) персональные данные – любая информация, относящаяся к определенному или поддающемуся определению физическому лицу;
2) субъект персональных данных – гражданин Российской Федерации, иностранный гражданин или лицо без гражданства, персональные данные которого обрабатываются или могут быть обработаны;
3) обработка персональных данных - отдельные действия или операции, выполняемые с персональными данными, или совокупность выполняемых с применением средств автоматизации или без их применения таких действий, как сбор, запись, организация, накопление, хранение, обновление или изменение, извлечение, использование, раскрытие посредством передачи, распространения или предоставления иного доступа, группировка, обезличивание, блокирование, уничтожение персональных данных;
4) согласие субъекта персональных данных - любое свободно данное конкретное и сознательное указание о своей воле, которым субъект персональных данных оповещает о своем согласии на обработку своих персональных данных
5) информационно – телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
6) информационная система персональных данных – совокупность персональных данных, содержащихся в базах данных, информационных технологий и технических средств, обеспечивающих их поиск, хранение, обработку, предоставление или распространение;
7) оператор – федеральный орган государственной власти, орган государственной власти субъекта Российской Федерации, иной государственный орган (далее – государственный орган), орган местного самоуправления, юридическое или физическое лицо, осуществляющее на законных основаниях самостоятельно либо совместно с другими лицами работу с информационной системой персональных данных и определяющим в соответствии с федеральным законом цели, содержание и применение результатов обработки персональных данных;
8) конфиденциальность персональных данных – ограничение доступа к персональным данным в соответствии с настоящим Федеральным законом и иными федеральными законами
10) доступ к персональным данным - раскрытие персональных данных ограниченному кругу третьих лиц с согласия субъекта персональных данных или на ином законном основании при условии сохранения конфиденциальности этих данных;
11) передача персональных данных – раскрытие персональных данных оператором третьему лицу на основании договора в объемах и на условиях, установленных договором, включая условие принятия этим лицом установленных договором мер по охране ее конфиденциальности, а также раскрытие персональных данных оператором органу государственной власти, иному государственному органу или органу местного самоуправления в целях выполнения ими функций, определенных законодательством Российской Федерации;
12) распространение персональных данных – раскрытие персональных данных неопределенному кругу лиц любым образом, включая обнародование персональных данных через средства массовой информации, размещение их в информационно-телекоммуникационных сетях или свободный доступ к персональным данным по запросу;
13) использование персональных данных – использование персональных данных оператором для принятия решений или осуществления действий в отношении субъекта персональных данных;
14) блокирование персональных данных - временное прекращение обработки персональных данных;
15) уничтожение персональных данных - действия, в результате которых невозможно в дальнейшем восстановить содержание персональных данных в информационной системе либо в результате которых уничтожаются материальные носители, содержащие персональные данные;
16) обезличивание персональных данных - действия, в результате которых образуются данные, не позволяющие идентифицировать субъект персональных данных;
17) трансграничная передача персональных данных - предоставление оператором органу власти или лицу другого государства доступа к персональным данным;
18) третье лицо - лицо, не являющееся субъектом персональных данных или оператором.
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение реализации конституционного права человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну, а также иных прав человека и гражданина при обработке персональных данных, осуществляемое путем:
1) установления общих принципов сбора и обработки персональных данных;
2) определения прав субъектов персональных данных и гарантий их соблюдения;
3) определения прав, обязанностей и ответственности операторов информационных систем персональных данных, а также иных лиц при обработке персональных данных;
4) установления основ правового статуса, определения полномочий, прав и обязанностей уполномоченного органа по защите прав субъектов персональных данных;
5) установления основ общественного контроля за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона;
6) установления условий трансграничной передачи персональных данных.
Статья 3. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются общественные отношения, связанные со сбором и обработкой персональных данных с применением средств автоматизации или без их применения.
Нормативными правовыми актами Российской Федерации могут быть установлены особенности обработки персональных данных, осуществляемой без применения средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) защите персональных данных, отнесенных в установленном порядке к государственной тайне.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и состоит из настоящего Федерального закона и иных федеральных законов, устанавливающих случаи и особенности порядка обработки персональных данных.
2. Законодательством Российской Федерации, регулирующим отношения в сфере обороны страны, безопасности государства и охраны правопорядка, могут быть установлены особенности сбора и обработки персональных данных в государственных органах.
3. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Статья 5. Нормативные правовые акты по вопросам обработки персональных данных
1. Государственные органы издают в пределах своей компетенции в случаях, предусмотренных федеральным законом, нормативные правовые акты по вопросам обработки персональных данных.
2. Нормативные правовые акты государственных органов по вопросам обработки персональных данных не могут содержать положений, устанавливающих обязанности либо иным образом ограничивающих права субъектов персональных данных.
3. Нормативные правовые акты государственных органов по вопросам обработки персональных данных подлежат официальному опубликованию. Неопубликованные нормативные правовые акты государственных органов по вопросам обработки персональных данных не применяются за исключением нормативных правовых актов или их отдельных положений, содержащих сведения, составляющие государственную тайну.
Глава 2. ОБЩИЕ ПРИНЦИПЫ И УСЛОВИЯ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 6. Принципы сбора и обработки персональных данных
1. Обработка персональных данных должна осуществляться добросовестным и законным способом.
2. Персональные данные должны собираться для законных, предварительно определенных и заявленных целей и в дальнейшем не обрабатываться каким-либо образом, не совместимым с указанными целями.
Цель обработки персональных данных должна соответствовать полномочиям и компетенции оператора.
Дальнейшая обработка персональных данных для статистических, исторических и иных научных целей является допустимой при соблюдении прав субъектов персональных данных, установленных настоящим Федеральным законом.
3. Запрещается объединение баз персональных данных, созданных для несовместимых целей.
4. Объем и характер обрабатываемых персональных данных, а также способ обработки должны соответствовать целям обработки.
Персональные данные не должны быть избыточными для достижения целей обработки.
5. Персональные данные должны быть точными и, если необходимо, актуальными; должны быть предприняты любые обоснованные шаги, чтобы неточные или неполные данные, применительно к целям, для которых они собирались или для которых они впоследствии обрабатывались, уничтожались или уточнялись.
6. Персональные данные должны храниться в форме, позволяющей осуществлять идентификацию субъектов персональных данных, не дольше, чем этого требуют цели обработки, и подлежат уничтожению по достижении целей или утраты необходимости в их достижении.
Статья 7. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором при наличии хотя бы одного из следующих условий:
1) субъект персональных данных дал свое согласие на ее проведение;
2) персональные данные обрабатываются на основании закона или иного нормативного правового акта, предусматривающего такую обработку, устанавливающего ее цель, условия получения персональных данных и субъектов, персональные данные которых подлежат обработке;
3) персональные данные обязательно обезличиваются в процессе их обработки для статистических целей;
4) обработка персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных;
5) обработка необходима для исполнения гражданско-правового договора, в котором субъект персональных данных является стороной или для принятия мер до заключения такого договора по просьбе субъекта персональных данных;
6) обработка необходима для выполнения возложенного законом обязательства, субъектом которого является оператор;
7) обработка необходима в целях обеспечения законных интересов оператора или третьих лиц, которым раскрыты персональные данные, кроме случаев, когда кроме случаев, когда интересы субъекта персональных данных по реализации его конституционных прав и свобод превалируют над интересами оператора или третьих лиц;
8) обработка осуществляется в целях журналистики либо в целях художественного или литературного творчества при условии, что реализация этих целей не нарушает права и свободы субъекта персональных данных.
2. Оператор вправе на основании договора об оказании услуг по обработке персональных данных поручить обработку персональных данных другому лицу при условии обеспечения им конфиденциальности персональных данных, подвергающихся обработке. Требование об обеспечении конфиденциальности персональных данных является существенным условием договора об оказании услуг по обработке персональных данных.
Статья 8. Конфиденциальность персональных данных
1. Операторами и иными лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, указанных в части 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется в случае:
1) обезличивания персональных данных;
2) когда персональные данные явно сделаны общедоступными субъектом персональных данных.
Статья 9. Согласие субъекта персональных данных предоставлять свои персональные данные
1. Субъект персональных данных самостоятельно принимает решение о предоставлении кому-либо своих персональных данных.
Федеральными законами могут быть установлены случаи обязательного предоставления субъектом своих персональных данных.
2. Обработка персональных данных может проводиться только с согласия субъекта этих персональных данных, за исключением случаев, установленных настоящим Федеральным законом.
Обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных лежит на операторе.
Настоящим Федеральным законом устанавливаются случаи, когда требуется получение письменного согласия субъекта персональных данных на обработку его персональных данных.
3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать:
1) сведения, позволяющие идентифицировать субъекта персональных данных;
2) сведения, позволяющие идентифицировать оператора, получающего согласие субъекта персональных данных;
3) цель сбора и обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) период действия согласия субъекта персональных данных и порядка его отзыва.
4. В случае недееспособности субъекта персональных данных согласие, требуемое в соответствии с настоящим Федеральным законом, дает его законный представитель.
5. В случае смерти субъекта персональных данных согласие, требуемое в соответствии с настоящим Федеральным законом, дают его наследники.
6. Лицо, обрабатывающее общедоступные персональные данные, по требованию уполномоченного органа по защите прав субъектов персональных данных должно представить доказательства, что обрабатываемые персональные данные относятся к общедоступной информации.
Статья 10. Особые категории персональных данных
1. Обработка особых категорий персональных данных, касающихся расового или этнического происхождения, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается, за исключением случаев, установленных частями 2 и 3 настоящей статьи.
2. Запрет, установленный в части 1 настоящей статьи, не применяется в случае, если:
1) субъект персональных данных дал письменное согласие на обработку его персональных данных;
2) обработка персональных данных, относящихся к состоянию здоровья, необходима для защиты жизненно важных интересов субъекта персональных данных, иного лица или соответствующей группы лиц, если субъект персональных данных физически или юридически неспособен дать свое согласие;
3) обработка персональных данных осуществляется для достижения законных целей некоммерческих организаций в случае, если такая обработка имеет место в отношении членов этих организаций и при условии, что обработанные персональные данные не будут передаваться третьим лицам без согласия субъектов персональных данных;
4) обработка относится к персональным данным, которые явно сделаны общедоступными субъектом данных, или являются необходимыми для внесения, поддержания или защиты судебных исков;
5) обработка персональных данных требуется в целях превентивной медицины (оздоровления), установления медицинского диагноза, предоставления медицинских и медико-социальных услуг, а также если такие данные обрабатываются лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять профессиональную тайну;
6) обработка необходима в целях реализации прав и исполнения обязательств оператора в соответствии с законодательством о труде;
7) обработка осуществляется в случаях, предусмотренных законодательством Российской Федерации о государственной тайне, о безопасности, о противодействии терроризму, об оперативно-розыскной деятельности, об уголовном, гражданском и административном судопроизводстве, о государственной службе, уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости осуществляется государственными органами в пределах полномочий, предоставленных им законом, а также иными субъектами под контролем указанных органов, в порядке определяемом Правительством Российской Федерации и Верховным Судом Российской Федерации.
4. Обработка особых категорий персональных данных, производившаяся в случаях, допускаемых частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если исчезают причины, вследствие которых производилась обработка.
При этом оператор обязан произвести уничтожение особых категорий персональных данных, если субъект персональных данных не дает согласия на их обработку.
Статья 11. Биометрические персональные данные
1. Сведения, характеризующие физиологические особенности организма человека, на основе которых его можно идентифицировать (биометрические персональные данные), включая отпечатки пальцев, отпечатки ладони, цифровой образ лица, сетчатки глаза, могут обрабатываться только при наличии письменного согласия субъекта персональных данных за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться уполномоченными государственными органами без согласия субъекта персональных данных в случаях, предусмотренных законодательством Российской Федерации о государственной тайне, о безопасности, о противодействии терроризму, об оперативно-розыскной деятельности, об уголовном, гражданском и административном судопроизводстве, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, а также законодательством о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Статья 12. Трансграничная передача персональных данных
1. Трансграничная передача персональных данных осуществляется при соблюдении требований, установленных настоящим Федеральным законом к обработке и передаче персональных данных, с учетом особенностей, установленных настоящей статьей.
2. Трансграничная передача персональных данных может осуществляться в следующих случаях:
1) при наличии письменного согласия субъекта персональных данных;
2) в случаях, предусмотренных международными договорами Российской Федерации по визовым вопросам;
3) в случаях, предусмотренных федеральным законом, если это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
4) обработка необходима для исполнения гражданско-правового договора, в котором субъект персональных данных является стороной или для принятия мер до заключения такого договора по просьбе субъекта персональных данных;
5) в случаях, когда трансграничная передача персональных данных необходима для защиты жизни, здоровья, прав и законных интересов субъекта персональных данных.
3. Трансграничная передача персональных данных может быть запрещена или ограничена нормативным правовым актом Российской Федерации:
1) если такая трансграничная передача создает угрозу национальной безопасности Российской Федерации;
2) при наличии явной угрозы нарушения прав субъектов персональных данных либо предоставления пониженных гарантий прав субъектов персональных данных по сравнению с гарантиями, установленными законодательством Российской Федерации, включая гарантии соблюдения конфиденциальности персональных данных.
3. При трансграничной передаче персональных данных оператор должен убедиться в том, что в соответствии с международными договорами либо законодательством другого государства, органу власти или лицу которого передаются персональные данные, обеспечивается адекватный уровень защиты прав субъектов персональных данных.
4. Оператор вправе передавать персональные данные органу власти или лицу другого государства, не обеспечивающего адекватный уровень защиты прав субъектов персональных данных, только при условии получения письменного согласия субъекта персональных данных на эту передачу либо в случае, если получение такого согласия физически невозможно, а передача персональных данных необходима для защиты жизни и здоровья субъекта персональных данных.
Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 13. Право на доступ к персональным данным
1. Субъект персональных данных имеет право знать о наличии у оператора относящихся к нему персональных данных, быть с ними ознакомлен, а также требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
2. Информация о наличии персональных данных должна быть предоставлена субъекту персональных данных оператором в доступной форме и не должна содержать персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ субъекта персональных данных к своим персональным данным предоставляется оператором на основании письменного запроса, исходящего от субъекта персональных данных или его законного представителя, содержащего данные документа, удостоверяющего личность субъекта персональных данных, и его собственноручную подпись. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение по запросу следующей информации:
1) подтверждение факта обработки персональных данных, а также цель данной обработки;
2) способы обработки персональных данных;
3) сведения о лицах, имеющих доступ к его персональным данным или которым может быть предоставлен такой доступ, в объемах, необходимых для определения этих лиц;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, включая сроки их хранения;
6) сведения о том, какие правовые последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право доступа субъекта персональных данных к персональным данным о себе ограничивается:
1) в отношении персональных данных, обрабатываемых в целях обороны страны, безопасности государства и охраны правопорядка, в том числе в отношении персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности;
2) в отношении персональных данных, обрабатываемых органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения;
3) если информация, перечисленная в части 4 настоящей статьи, ранее была сделана доступной субъекту персональных данных;
4) если персональные данные используются для научных или статистических исследований;
5) если предоставление информации требует непропорциональных усилий;
6) если информация, указанная в части 4 настоящей статьи, не может быть предоставлена на основании закона.
В случаях, предусмотренных пунктом 1 части 5 настоящей статьи, информация о персональных данных может быть предоставлена субъекту персональных данных, если такая возможность предусмотрена федеральным законом.
Статья 14. Обработка персональных данных в связи с распространением рекламы, в целях прямого маркетинга, в агитационных и иных аналогичных материалах
1. Не допускается без согласия субъекта персональных данных обработка его персональных данных в связи с распространением рекламы, в целях прямого маркетинга (продвижение на рынке товаров и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи), в агитационных и иных аналогичных материалах.
2. Субъект персональных данных имеет право бесплатно высказывать возражение против обработки своих персональных данных в целях прямого маркетинга (продвижение на рынке товаров и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи).
Указанное возражение может также быть высказано, если у субъекта персональных данных есть основания полагать, что его персональные данные могут или будут использоваться оператором в таких целях.
3. Субъект персональных данных вправе получать уведомление прежде, чем персональные данные будут впервые раскрыты третьим лицам в целях прямого маркетинга, если это не требует непропорциональных усилий.
Статья 15. Принятие решений на основании исключительно автоматизированной обработки персональных данных
1. Запрещается принятие на основании исключительно автоматической обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных, может быть принято на основании исключительно автоматической обработки персональных данных в связи с заключением или исполнением гражданско-правового договора, одной из сторон которого является субъект персональных данных, если условиями договора предусмотрена возможность принятия такого решения. Оператор обязан разъяснить субъекту персональных данных порядок принятия и правовые последствия решения, а также предоставить возможность высказать против него мотивированное возражение.
3. При получении возражения, указанного в части 2 настоящей статьи, оператор обязан рассмотреть его в течение семи рабочих дней и уведомить субъекта персональных данных о результатах рассмотрения.
Статья 16. Право на обжалование
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением права на неприкосновенность частной жизни, в том числе с нарушением требований настоящего Федерального закона, и не удовлетворяет его требования устранить нарушения, он вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА
Статья 17. Получение оператором персональных данных
1. При получении персональных данных от субъекта персональных данных оператор обязан предоставить субъекту персональных данных информацию, предусмотренную частью 4 статьи 13.
Если обязанность предоставления персональных данных установлена федеральным законом, оператор должен сообщить субъекту персональных данных о правовых последствиях отказа предоставить персональные данные.
2. Если персональные данные были получены не у субъекта данных оператор до момента использования персональных данных или раскрытия их третьим лицам обязан предоставить субъекту персональных данных по меньшей мере следующую информацию, кроме случаев, когда он уже обладает ею:
1) сведения, идентифицирующие оператора или его представителя;
2) цель обработки данных и правовое обоснование такой цели;
3) предполагаемые пользователи персональных данных;
4) сведения о правах субъекта персональных данных, установленных настоящим Федеральным законом.
3. Часть 2 не применяется в случаях, когда:
1) предоставление такой информации оказывается невозможным, кроме случаев, когда интересы субъекта персональных данных по реализации его конституционных прав и свобод превалируют над интересами оператора или третьих лиц; или
2) предоставление такой информации может повлечь непропорциональные усилия (в частности, для обработки в статистических целях или в целях исторических либо научных исследований); или
3) если получение или раскрытие персональных данных прямо определяются законом.
4. Защита результатов обработки обезличенных данных в случае их отнесения к сведениям, составляющим государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
Статья 18. Безопасность обработки персональных данных
1. Оператор обязан принимать необходимые меры технического (программно-технического) и организационного характера, в том числе с использованием шифровальных (криптографических) средств, для защиты персональных данных от случайного или неправомерного уничтожения, изменения, блокирования, копирования, раскрытия или доступа, а также иных неправомерных действий субъектов в процессе обработки.
2. Правительство Российской Федерации определяет меры по обеспечению безопасности обработки персональных данных в информационных системах персональных данных.
3. При использовании и хранении биометрических персональных данных вне информационных систем персональных данных могут использоваться только такие носители информации и технологии ее хранения, которые обеспечивают защищенность этих данных от случайного или неправомерного уничтожения, изменения, блокирования, копирования или доступа.
Статья 19. Обязанности оператора по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверности персональных данных или неправомерности действий с ними оператора по заявлению субъекта персональных данных оператор обязан заблокировать его персональные данные с момента получения такого заявления на период его проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор обязан на основании документов, представленных субъектом персональных данных, исправить их и снять блокирование.
3. В случае установления неправомерности действий с персональными данными либо достижения цели их обработки оператор обязан уничтожить соответствующие данные в срок, не превышающий 3 дней с даты такого установления, и официально уведомить об этом субъекта персональных данных, если иное не предусмотрено федеральными законами.
Статья 20. Обязанности оператора персональных данных, касающиеся ответа на запрос субъекта персональных данных
1. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение 10 дней с даты получения запроса в порядке, предусмотренном статьей 12 настоящего Федерального закона.
2. В случае отказа в предоставлении субъекту персональных данных по его требованию информации о наличии персональных данных о нем, а также самих персональных данных оператор обязан дать письменный мотивированный ответ, содержащий ссылку на положение, указанное в статье 12 настоящего Федерального закона или в иных федеральных законах, являющееся основанием для такого отказа, в срок, не превышающий 7 дней с даты получения запроса субъекта персональных данных.
Статья 21. Регистрация информационных систем персональных данных
1. Оператор до начала обработки персональных данных обязан зарегистрировать информационную систему персональных данных в уполномоченном органе по защите прав субъектов персональных данных.
Обработка персональных данных без регистрации информационной системы персональных данных не допускается, за исключением случаев, установленных в настоящей статье.
2. Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка исключительно персональных данных:
1) относящихся к государственной тайне в соответствии с законодательством Российской Федерации о государственной тайне;
2) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
3) необходимых для достижения законных целей некоммерческих организаций и их объединений и относящихся к членам этих организаций и их объединений, при условии, что персональные данные не раскрываются третьей стороне без письменного согласия субъектов персональных данных;
4) объявленных субъектом персональных данных общедоступными либо распространенных на ином законном основании;
5) включающих только фамилию, имя и отчество субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию оператора или в иных аналогичных целях.
Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка персональных данных без использования средств автоматизации, если нормативным правовым актом Российской Федерации установлены иные требования, обеспечивающие безопасность обработки персональных данных при такой обработке.
Не требуется регистрация информационной системы персональных данных, содержащей особые категории персональных данных, относящиеся к членам политической или религиозной организации и собранных этими организациями.
Не требуется регистрация информационной системы персональных данных, имеющей статус федеральной автоматизированной информационной системы, закрепленный федеральным законом.
3. Регистрация информационных систем персональных данных производится бесплатно.
4. Регистрация информационной системы персональных данных осуществляется на основании заявления оператора, в котором должна содержаться следующая информация:
1) сведения, идентифицирующие оператора;
2) цель обработки персональных данных;
3) категории обрабатываемых персональных данных;
4) категория субъектов, персональные данные которых обрабатываются;
5) правовое основание создания информационной системы персональных данных;
6) описание мер по обеспечению безопасности обработки персональных данных, которые оператор обязуется осуществлять при эксплуатации информационной системы персональных данных;
7) дата начала обработки персональных данных;
8) срок или условие прекращения обработки персональных данных.
Указанная информация включается в реестр информационных систем персональных данных.
5. Заявление о регистрации информационной системы персональных данных должно быть направлено в письменной форме и подписано уполномоченным лицом (либо в электронной форме и подписано электронной подписью в соответствии с законодательством Российской Федерации).
6. Уполномоченный орган по защите прав субъектов персональных данных отказывает в регистрации базы персональных данных в случае предоставления не полной или недостоверной информации, указанной в части 5 настоящей статьи.
7. В случае возникновения изменений в сведениях, содержащихся в заявлении о регистрации информационной системы персональных данных, оператор в течение 3 дней с даты возникновения таких изменений письменно уведомляет уполномоченный орган по защите прав субъектов персональных данных о произошедших изменениях.
Глава 5. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 22. Уполномоченный орган по защите прав субъектов персональных данных
1. Президент Российской Федерации определяет уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания и способов обработки персональных данных цели их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите персональных данных имеет право:
1) бесплатно получать от физических и юридических лиц информацию, необходимую для реализации своих полномочий;
2) осуществлять проверку сведений, сообщаемых операторами при регистрации информационных систем персональных данных либо поручать осуществление такой проверки иным государственным органам в пределах их полномочий;
3) рассматривать заявления субъектов персональных данных и иных лиц в отношении обработки персональных данных;
4) требовать уточнения (исправления), блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
5) в установленном законодательством Российской Федерации порядке принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением настоящего Федерального закона;
6) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
7) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке;
8) направлять в органы прокуратуры, другие правоохранительные органы по подведомственности материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
9) информировать государственные органы и граждан о положении дел в области защиты персональных данных;
10) делать предложения по совершенствованию нормативного правового регулирования защиты прав субъектов персональных данных;
11) составлять протоколы в порядке административного производства о нарушениях настоящего Федерального закона в части сбора и иной обработки персональных данных.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться их конфиденциальность.
5. Уполномоченный орган по защите прав субъекта персональных данных обязан:
1) организовывать в Российской Федерации защиту прав субъектов персональных данных в соответствии с требованиями настоящего Федерального закона;
2) принимать решения и вести учет жалоб, связанных с обработкой персональных данных;
3) регистрировать базы персональных данных;
4) предлагать и осуществлять действия, направленные на более эффективную защиту персональных данных;
5) совместно с федеральным органом исполнительной власти в области архивов принимать решение о передаче баз персональных данных на хранение в государственные архивы.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации и Федеральному Собранию Российской Федерации.
Отчет публикуется в средствах массовой информации.
Статья 23. Наблюдательный совет при уполномоченном органе по защите прав субъектов персональных данных
1. В целях осуществления общественного контроля за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона создается наблюдательный совет при уполномоченном органе по защите прав субъектов персональных данных.
2. В состав наблюдательного совета в равных количествах входят:
представители палат Федерального Собрания Российской Федерации;
представители Уполномоченного по правам человека в Российской Федерации;
представители Общественной Палаты Российской Федерации;
представители общественных объединений, объединений некоммерческих организаций, религиозных организаций.
3. Порядок формирования и деятельности наблюдательного совета устанавливаются уполномоченным органом по защите прав субъектов персональных данных. Наблюдательный совет осуществляет свою деятельность на общественных началах. Заседания наблюдательного совета проводятся по мере необходимости, но не реже чем один раз в течение шести месяцев.
4. Наблюдательный совет осуществляет свою деятельность в соответствии с принципами коллегиальности и равноправия его членов.
5. Наблюдательный совет:
организует общественный контроль за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона;
изучает правоприменительную и судебную практику по вопросам обработки персональных данных;
направляет членов наблюдательного совета для участия в выработке проектов федеральных законов и иных нормативных правовых актов по вопросам обработки персональных данных с правом совещательного голоса ;
рассматривает обращения граждан и юридических лиц по вопросам обработки персональных данных;
заслушивает должностных лиц по вопросам ;
вносит предложения об изменении и о дополнении федеральных законов и иных нормативных правовых актов по вопросам обработки персональных данных;
проводит экспертизу проектов нормативных правовых актов по вопросам обработки персональных данных;
принимает меры по защите интересов субъектов персональных данных.
Статья 24. Реестр информационных систем персональных данных
1. Информация, предоставленная в соответствии с частью 4 статьи 16 настоящего Федерального закона, дата регистрации информационной системы персональных данных (или ее аннулирования) должны быть занесены в реестр информационных систем персональных данных, который ведется уполномоченным органом по защите прав субъектов персональных данных.
2. Информация, содержащаяся в реестре информационных систем персональных данных, за исключением сведений о средствах обеспечения безопасности обработки персональных данных, является общедоступной.
Статья 25. Учет персональных данных в государственных и муниципальных информационных системах персональных данных
1. Государственные органы и органы местного самоуправления организуют учет персональных данных, содержащихся в государственных и муниципальных информационных системах персональных данных, способами, соответствующими целям реализации полномочий указанных органов с соблюдением требований, установленных настоящим Федеральным законом. Федеральными законами могут быть установлены особенности учета персональных данных, включая использование идентификаторов персональных данных для обозначения принадлежности персональных данных, содержащихся в соответствующей информационной государственной или муниципальной системе персональных данных, конкретному лицу.
2. Не допускается использование государственными органами и органами местного самоуправления способов учета персональных данных в государственных и муниципальных информационных системах персональных данных, оскорбляющих чувства граждан или унижающих человеческое достоинство.
3. Никто не вправе:
1) отказывать субъекту персональных данных в заключении договора или в совершении иных юридически значимых действий в пользу субъекта персональных данных или иных лиц, основываясь исключительно на способе учета персональных данных в государственной или муниципальной информационной системе персональных данных;
2) требовать от субъекта персональных данных раскрытия идентификатора персональных данных, если иное не установлено федеральным законом;
3) передавать или иным способом сообщать идентификаторы персональных данных третьим лицам, если иное не установлено федеральным законом.
4. В государственных и муниципальных информационных системах персональных данных должны обеспечиваться реализация права субъектов персональных данных на ознакомление с их персональными данными, содержащимися в соответствующих информационных системах персональных данных, а также иных прав субъектов персональных данных в связи с обработкой их персональных данных в государственных и муниципальных информационных системах персональных данных, актуальность и непротиворечивость персональных данных. При обработке персональных данных в государственных или муниципальных информационных системах персональных данных не допускается дублирование функций государственных органов и органов местного самоуправления, обеспечение доступа к персональным данным, содержащимся в государственных и муниципальных информационных системах персональных данных, лиц, не которым право такого доступа не предоставлено в соответствии с федеральным законом, а также накопление избыточных персональных данных.
5. Для достижения целей, предусмотренных частью 4 настоящей статьи персональные данные, содержащиеся в различных государственных и муниципальных информационных системах, подлежат сверке и актуализации средствами государственного регистра населения, правовой статус и порядок деятельности которого устанавливаются федеральным законом с учетом правил обработки персональных данных, установленных настоящим Федеральным законом.
6. Не допускается создание государственных и муниципальных информационных систем персональных данных, не соответствующих полномочиям государственных органов и органов местного самоуправления, установленных в соответствии с федеральным законом.
Статья 26. Ответственность за нарушение требований о защите персональных данных
1. В случае нарушения оператором требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных может аннулировать регистрацию информационной системы персональных данных либо потребовать устранения нарушения.
После аннулирования регистрации информационной системы персональных данных обработка персональных данных в ней запрещается.
Персональные данные, обработанные до аннулирования регистрации, подлежат уничтожению, если иное не установлено нормативными правовыми актами Российской Федерации применительно к персональным данным, содержащимся в информационных системах персональных данных государственных органов и органов местного самоуправления.
Оператор, регистрация информационной системы персональных данных которого аннулирована, обязан в срок, не превышающий 5 рабочих дней с даты аннулирования регистрации, уведомить уполномоченный орган по защите прав субъектов персональных данных об уничтожении персональных данных, обработанных до аннулирования регистрации.
2. В случае нарушения права на неприкосновенность частной жизни при обработке персональных данных оператор несет предусмотренную законодательством Российской Федерации ответственность.
Статья 27. Заключительные и переходные положения
1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования, за исключением абзаца второго части 1 статьи 16 настоящего Федерального закона.
2. Абзац второй части 1 статьи 18 настоящего Федерального закона вступает в силу с 1 января 2007 года.
3. Обработка персональных данных, включенных в информационные системы персональных данных до вступления в силу настоящего Федерального закона, осуществляется в соответствии с настоящим Федеральным законом.
4. Информационные системы персональных данных, созданные до вступления в силу настоящего Федерального закона с применением средств автоматизированной обработки, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. Информационные системы персональных данных, созданные до вступления в силу настоящего Федерального закона без применения средств автоматизированной обработки, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2015 года.
5. Нормативные правовые акты по вопросам обработки персональных данных, принятые до вступления в силу настоящего Федерального закона, впредь до их приведения в соответствие с настоящим Федеральным законом применяются в части, не противоречащей настоящему Федеральному закону.
Президент
Российской Федерации