Редакция проекта закона "О персональных данных" ко второму чтению в ГД

Проект № 217352-4
во втором чтении

ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются общественные отношения, связанные с обработкой персональных данных федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее – государственный орган), органами местного самоуправления и иными муниципальными органами, не входящими в систему органов местного самоуправления, юридическими и физическими лицами, осуществляемой с применением средств автоматизации или без применения таких средств, если обработка персональных данных соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке персональных данных, подлежащих включению в Единый государственный реестр индивидуальных предпринимателей, осуществляемой в связи деятельностью физического лица в качестве индивидуального предпринимателя;

4) защите персональных данных, отнесенных в установленном порядке к государственной тайне.

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является создание правовых гарантий защиты конституционных прав человека и гражданина при обработке его персональных данных, в том числе обеспечение защиты неприкосновенности частной жизни, личной и семейной тайны.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие понятия:

1) персональные данные – любая информация, относящаяся к определенному или поддающемуся определению физическому лицу, включая его фамилию, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, сведения о семейном, социальном, имущественном, служебном положении, образовании, профессии, доходах, а также другие сведения;

2) субъект персональных данных – физическое лицо, персональные данные которого обрабатываются или могут быть обработаны;

3) оператор – государственный орган, орган местного самоуправления, иной муниципальный орган, не входящий в систему органов местного самоуправления, юридическое или физическое лицо, осуществляющее обработку персональных данных и определяющее цели, содержание и применение результатов обработки персональных данных;

4) обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, передачу, обезличивание, блокирование, уничтожение персональных данных;

5) распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц либо на ознакомление с персональными данными неопределенного круга лиц, включая их обнародование через средства массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным для неограниченного круга лиц каким-либо иным способом;

6) передача персональных данных – передача персональных данных оператором ограниченному кругу лиц;

7) использование персональных данных – использование персональных данных оператором для принятия решений или совершения действий, порождающих юридические последствия в отношении субъекта персональных данных либо других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или иных лиц;

8) блокирование персональных данных - временное прекращение обработки персональных данных;

9) уничтожение персональных данных - действия, в результате которых невозможно в дальнейшем восстановить содержание персональных данных в информационной системе персональных данных, либо в результате которых уничтожаются материальные носители, содержащие персональные данные;

10) обезличивание персональных данных - действия, в результате которых образуются данные, не позволяющие определить субъекта персональных данных;

11) информационная система персональных данных – информационная система, включающая в себя совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных;

12) конфиденциальность персональных данных – обязательное для соблюдения оператором или третьим лицом, получившим доступ к персональным данным, требование не разглашать их и не передавать их полностью или частично кому-либо без согласия субъекта персональных данных;

13) трансграничная передача персональных данных – передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства или иному лицу иностранного государства;

14) общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных или с согласия субъекта персональных данных либо персональные данные, на которые в соответствии с федеральным законом не распространяется требование соблюдения конфиденциальности;

15) идентификатор персональных данных – формируемая в соответствии с законодательством Российской Федерации буквенно-символьная последовательность, используемая оператором в случаях, предусмотренных федеральным законом, для обозначения принадлежности персональных данных, содержащихся в государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и иных федеральных законов, устанавливающих случаи и особенности обработки персональных данных.

2. На основании и во исполнение федеральных законов государственные органы могут принимать в пределах своей компетенции нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, которые не могут содержать положений, ограничивающих права субъектов персональных данных.

3. Нормативные правовые акты государственных органов по отдельным вопросам, касающимся обработки персональных данных, подлежат официальному опубликованию. Неопубликованные нормативные правовые акты государственных органов по отдельным вопросам касающимся обработки персональных данных, не применяются за исключением нормативных правовых актов или их отдельных положений, содержащих сведения, составляющие государственную тайну.

4. Особенности обработки персональных данных, осуществляемой без применения средств автоматизации могут быть установлены Федеральными законами и иными нормативными правовыми актами с учетом положений настоящего Федерального закона.

5. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на основе следующих принципов:

1) добросовестности;

2) законности целей и способов обработки персональных данных;

3) соответствия целей обработки персональных данных целям, заявленным при их сборе;

4) соответствия способов обработки персональных данных целям обработки персональных данных;

5) соответствия целей обработки персональных данных полномочиям и компетенции оператора;

6) соответствия объема и характера обрабатываемых персональных данных целям обработки;

7) недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

8) достоверности персональных данных и их достаточности для целей обработки;

9) конфиденциальности обработки персональных данных;

10) недопустимости объединения баз информационных систем персональных данных, созданных для несовместимых между собой целей.

2. Персональные данные должны храниться в форме, позволяющей установить личность субъекта персональных данных, не дольше, чем этого требуют цели обработки, и подлежат уничтожению по достижении целей обработки или утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных, за исключением персональных данных, указанных в статьях 10 и 11 настоящего Федерального закона, может осуществляться оператором при наличии хотя бы одного из следующих условий:

1) субъект персональных данных дал свое согласие на обработку своих персональных данных;

2) персональные данные обрабатываются на основании федерального закона, предусматривающего обработку персональных данных, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

3) персональные данные обрабатываются в целях исполнения договора, одной из сторон которого является субъект персональных данных;

4) персональные данные обрабатываются для статистических целей при условии их обязательного обезличивания;

5) обработка персональных данных необходима для защиты прав и законных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

6) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

7) персональные данные обрабатываются в целях осуществления профессиональной деятельности журналиста, в целях литературного или иного художественного творчества, исторических или иных научных исследований при условии, что реализация этих целей не нарушает конституционные права и свободы субъекта персональных данных;

8) обрабатываются персональные данные, подлежащие опубликованию в соответствии с федеральным законом, включая персональные данные лиц, замещающих государственные должности, должности государственной гражданской службы, кандидатов на выборные государственные и муниципальные должности.

2. Обязательным условием обработки персональных данных является принятие оператором мер по обеспечению безопасности обработки персональных данных в соответствии со статьей 19 настоящего Федерального закона.

3. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных, подвергающихся обработке.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, указанных в части 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (справочники, адресные книги), в которые с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес места жительства, абонентский номер, сведения о профессии, а также иные персональные данные, сообщаемые субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на предоставление и обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении кому-либо своих персональных данных своей волей и в своем интересе за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Федеральными законами могут быть установлены случаи обязательного предоставления субъектом своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных – доказывания того, что обрабатываемые персональные данные являются общедоступными, лежит на операторе.

4. В случаях, предусмотренных настоящим федеральным законом, обработка персональных данных может осуществляться только с письменного согласия субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать:

1) фамилию, имя, отчество, адрес места жительства субъекта персональных данных, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (имя) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень конкретных действий с персональными данными, на совершение которых дается согласие, а также общее описание способов обработки персональных данных, используемых оператором;

6) срок обработки персональных данных, на который дается согласие, а также порядок отзыва субъектом персональных данных согласия на обработку персональных данных.

5. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменном виде законный представитель субъекта персональных данных.

6. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменном виде наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расового или этнического происхождения, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается, за исключением случаев, установленных частью 2 настоящей статьи.

2. Запрет, установленный в части 1 настоящей статьи, не применяется в случае, если:

1) субъект персональных данных дал письменное согласие на обработку его персональных данных;

2) осуществляется обработка персональных данных, которые сделаны по решению субъекта персональных данных общедоступными;

3) обработка персональных данных, относящихся к состоянию здоровья субъекта персональных данных, необходима для защиты его жизни и здоровья либо жизни и здоровья третьих лиц, если получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в целях превентивной медицины (оздоровления), установления медицинского диагноза, предоставления медицинских и медико-социальных услуг при условии, что персональные данные обрабатываются лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять профессиональную тайну;

5) общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации для достижения своих законных целей, предусмотренных учредительными документами указанных организаций, осуществляется обработка персональных данных членов (участников) соответствующего объединения (соответствующей организации) при условии, что обработанные персональные данные не будут передаваться третьим лицам без письменного согласия субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия по гражданскому, уголовному, административному или иному делу;

7) обработка осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также уголовно-исполнительным законодательством Российской Федерации;

3. Обработка персональных данных о судимости может осуществляться государственными органами, органами местного самоуправления и иными муниципальными органами, не входящими в систему органов местного самоуправления в пределах полномочий, предоставленных им в соответствии с законодательством, а также иными лицами в случаях и в порядке, определяемых в соответствии с федеральным законом.

4. Обработка специальных категорий персональных данных, производившаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если исчезают причины, вследствие которых производилась обработка.

Статья 11. Биометрические персональные данные
1. Сведения, характеризующие физиологические особенности организма человека, на основе которых можно установить его личность (биометрические персональные данные), включая отпечатки пальцев, отпечатки ладони, цифровой образ лица, сетчатки глаза, могут обрабатываться только при наличии письменного согласия субъекта персональных данных за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия по гражданскому, уголовному, административному или иному делу, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, а также законодательством о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что государством, на территорию которого передаются персональные данные, обеспечивается адекватный уровень защиты прав субъектов персональных данных.

2. Трансграничная передача персональных данных на территорию иностранных государств, обеспечивающих адекватный уровень защиты прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватный уровень защиты прав субъектов персональных, включая соблюдение конфиденциальности персональных данных, может осуществляться в следующих случаях:

1) при наличии письменного согласия субъекта персональных данных;

2) в случаях, предусмотренных международными договорами Российской Федерации по визовым вопросам, а также об оказании правовой помощи по гражданским и уголовным делам;

3) в случаях, предусмотренных федеральным законом, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

4) в целях исполнения договора, стороной которого является субъект персональных данных;

5) в случаях, когда трансграничная передача персональных данных необходима для защиты жизни, здоровья, прав и законных интересов субъекта персональных данных при невозможности получения его письменного согласия.

Статья 13. Особенности обработки персональных данных в государственных и муниципальных информационных системах персональных данных

1. Государственные органы и органы местного самоуправления, а также иные муниципальные органы, не входящие в систему органов местного самоуправления, вправе создавать в пределах своих полномочий, установленных в соответствии с федеральным законом, государственные и муниципальные информационные системы персональных данных. Создание государственных и муниципальных информационных систем персональных данных, не соответствующих установленных в соответствии с федеральным законом полномочиям государственных органов и органов местного самоуправления, а также иные муниципальные органы, не входящие в систему органов местного самоуправления, не допускается.

2. Государственные органы и органы местного самоуправления, а также иные муниципальные органы, не входящие в систему органов местного самоуправления, организуют обработку персональных данных, содержащихся в государственных и муниципальных информационных системах персональных данных, способами, соответствующими целям обработки таких персональных данных и обеспечивающими осуществление указанными органами своих полномочий.

3. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, включая использование для обозначения принадлежности конкретному лицу персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, идентификаторов персональных данных. Не допускается использование способов учета персональных данных в государственных и муниципальных информационных системах персональных данных, ограничивающих права субъектов персональных данных, оскорбляющих чувства граждан или унижающих человеческое достоинство.

4. Никто не вправе:

1) принуждать субъекта персональных данных к использованию идентификатора его персональных данных;

2) отказывать субъекту персональных данных в заключении договора или в совершении иных юридически значимых действий в интересах субъекта персональных данных или иных лиц, основываясь исключительно на отсутствии у него идентификатора персональных данных;

3) требовать от субъекта персональных данных сообщения идентификатора персональных данных;

4) передавать идентификаторы персональных данных третьим лицам, если иное не установлено федеральным законом.

5. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных и муниципальных информационных системах персональных данных могут создаваться государственные регистры населения, правовой статус и порядок работы с которыми устанавливаются федеральным законом с учетом правил обработки персональных данных, установленных настоящим Федеральным законом.

Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

1. Субъект персональных данных имеет право на получение сведений о наличии у оператора относящихся к нему персональных данных, а также на ознакомление с ними. Субъект вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме и не должны содержать персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ субъекта персональных данных к своим персональным данным предоставляется оператором на основании обращения или письменного запроса, исходящего от субъекта персональных данных или его законного представителя, содержащего данные основного документа, удостоверяющего личность субъекта персональных данных, и его собственноручную подпись. Запрос может быть направлен в электронной форме и подписан электронно-цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение по запросу информации, содержащей:

1) подтверждение факта обработки оператором персональных данных, а также цель такой обработки;

2) способы обработки персональных данных, применяемые операторами с применением или без применения средств автоматизации при обработке персональных данных;

3) сведения о лицах, имеющих доступ к персональным данным соответствующего субъекта персональных данных или о лицах, которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, включая сроки их хранения;

6) сведения о том, какие правовые последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право доступа субъекта персональных данных к персональным данным о себе ограничивается:

1) в отношении персональных данных, обрабатываемых в целях обороны страны, безопасности государства и охраны правопорядка, в том числе в отношении персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности;

2) в отношении персональных данных, обрабатываемых органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) в случаях, когда предоставление персональных данных нарушает конституционные права и свободы третьих лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения на рынке товаров, работ и услуг, а также политической агитации

Обработка персональных данных в целях продвижения на рынке товаров, работ и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации без предварительно полученного согласия субъекта персональных данных запрещается. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Запрещается принятие на основании исключительно автоматической обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных либо иным образом затрагивающих его права, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных, либо иным образом затрагивающее его права, может быть принято на основании исключительно автоматической обработки его персональных данных только при наличии согласия субъекта персональных данных либо в случаях, предусмотренных федеральным законом, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия и возможные правовые последствия решения, принимаемого на основании исключительно автоматической обработки его персональных данных, предоставить возможность высказать возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. При получении возражения, указанного в части 3 настоящей статьи, оператор обязан рассмотреть его в течение семи рабочих дней и уведомить субъекта персональных данных о результатах рассмотрения.

Статья 17. Право на обжалование

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона либо иным образом нарушает его права и охраняемые законом интересы, он вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, включая возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА

Статья 18. Получение оператором персональных данных

1. При получении персональных данных от субъекта персональных данных оператор обязан предоставить субъекту персональных данных информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор должен сообщить субъекту персональных данных о правовых последствиях отказа предоставить персональные данные.

3. Если персональные данные были получены не у субъекта персональных данных, за исключением случаев, когда персональные данные были переданы оператору на основании федерального закона, оператор обязан до начала обработки таких персональных данных предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес места нахождения оператора или его представителя;

2) цель обработки данных и правовое обоснование такой цели;

3) предполагаемые пользователи персональных данных;

4) сведения о правах субъекта персональных данных, установленных настоящим Федеральным законом.

Статья 19. Меры безопасности при обработки персональных данных

1. Оператор обязан принимать необходимые меры технического (программно-технического) и организационного характера, в том числе с использованием шифровальных (криптографических) средств, для защиты персональных данных от случайного или неправомерного доступа, уничтожения, изменения, блокирования, копирования, передачи, распространения персональных данных, а также от иных неправомерных действий в процессе обработки персональных данных.

2. Правительство Российской Федерации устанавливает требования по обеспечению безопасности обработки персональных данных в информационных системах персональных данных, требования к носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляют федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защите информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. При использовании и хранении биометрических персональных данных вне информационных систем персональных данных могут использоваться только такие носители информации и технологии ее хранения, которые обеспечивают защищенность этих данных от случайного или неправомерного уничтожения, изменения, блокирования, копирования или доступа.

Статья 20. Обязанности оператора персональных данных в связи с получением запроса субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность безвозмездного ознакомления с ними в течение 10 рабочих дней с даты получения запроса в порядке, предусмотренном статьей 14 настоящего Федерального закона.

2. В случае отказа в предоставлении субъекту персональных данных по его требованию информации о наличии персональных данных о нем, а также самих персональных данных оператор обязан дать письменный мотивированный ответ, содержащий ссылку на положение, указанное в статье 15 настоящего Федерального закона или в иных федеральных законах, являющееся основанием для такого отказа, в срок, не превышающий 7 рабочих дней с даты получения запроса субъекта персональных данных.

3. Оператор обязан безвозмездно предоставить субъекту персональных данных возможность ознакомления с его персональными данными, а также внести в них необходимые уточнения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, включенные в информационную систему персональных данных, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О произведенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить уполномоченному органу по защите права субъектов персональных данных информацию, необходимую ему для осуществления его деятельности, в течение 10 дней с даты получения запроса.

Статья 21. Обязанности оператора по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверности персональных данных или неправомерности действий с ними оператора по заявлению субъекта персональных данных оператор обязан заблокировать его персональные данные с момента получения такого заявления на период его проверки.

2. В случае подтверждения факта недостоверности персональных данных оператор обязан на основании документов, представленных субъектом персональных данных, исправить их и снять блокирование.

3. В случае установления неправомерности действий с персональными данными либо достижения цели их обработки оператор обязан уничтожить соответствующие данные в срок, не превышающий 3 дней с даты такого установления, и официально уведомить об этом субъекта персональных данных, если иное не предусмотрено федеральными законами.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить в порядке, установленном Правительством Российской Федерации, уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных настоящей статьей.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку следующих персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением гражданско-правовых договоров, в которых субъект персональных данных является стороной договора при условии, что персональные данные не распространяются и не передаются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанных договоров и заключения новых договоров с субъектом персональных данных;

3) необходимых для достижения законных целей общественных объединений и религиозных организаций и относящихся к членам (участникам) этих объединений или организаций при условии, что персональные данные не раскрываются третьей стороне без письменного согласия субъектов персональных данных;

4) сделанных по решению субъекта персональных данных общедоступными либо распространенных на ином законном основании;

5) включающих только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию оператора или в иных аналогичных целях.

3. Оператор вправе осуществлять обработку персональных данных без использования средств автоматизации без уведомления уполномоченного органа по защите прав субъектов персональных данных, если нормативным правовым актом Российской Федерации установлены иные требования по обеспечению безопасности обработки персональных данных без использования средств автоматизации.

4. Без уведомления уполномоченного органа по защите прав субъектов персональных данных осуществляется обработка персональных данных в информационных системах персональных данных, имеющих в соответствии с федеральным законом статус федеральной автоматизированной информационной системы.

5. Уведомление, указанное в части 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом либо в электронной форме и подписано электронно-цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес места нахождения оператора;

2) цель обработки персональных данных;

3) категории обрабатываемых персональных данных;

4) категория субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень конкретных действий с персональными данными, а также общее описание способов обработки персональных данных, используемых оператором;

7) описание мер по обеспечению безопасности обработки персональных данных, которые оператор обязуется осуществлять при обработке персональных данных;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

6. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления вносит сведения, указанные в части 5 настоящей статьи, а также сведения о дате направления указанного уведомления, в реестр операторов информационных систем персональных данных. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности обработки персональных данных, является общедоступной. Порядок ведения реестра операторов информационных систем персональных данных устанавливается Правительством Российской Федерации.

7. На оператора не могут возлагаться какие-либо расходы в связи с рассмотрением уведомления уполномоченным органом по защите персональных данных, а также в связи с внесением сведений в реестр операторов информационных систем персональных данных.

8. В случае предоставления неполных или недостоверных сведений, указанных в части 5 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать у оператора уточнения предоставленных сведений до их внесения в реестр операторов информационных систем персональных данных.

9. В случае изменения сведений, указанных в части 5 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в порядке, предусмотренном частью 5 настоящей статьи, в течение 10 дней с даты возникновения таких изменений.

Глава 5. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Правительство Российской Федерации определяет уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания и способов обработки персональных данных цели их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите персональных данных имеет право:

1) безвозмездно получать от физических и юридических лиц информацию, необходимую для реализации своих полномочий;

2) осуществлять проверку сведений, сообщаемых операторами при уведомлении о намерении осуществлять обработку персональных данных либо поручать осуществление такой проверки иным государственным органам в пределах их полномочий;

3) рассматривать заявления субъектов персональных данных и иных лиц в отношении обработки персональных данных;

4) требовать уточнения (исправления), блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

5) в установленном законодательством Российской Федерации порядке принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением настоящего Федерального закона;

6) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

7) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке;

8) направлять в органы прокуратуры, другие правоохранительные органы по подведомственности материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;

9) информировать государственные органы и граждан о положении дел в области защиты персональных данных;

10) вносить предложения по совершенствованию нормативного правового регулирования защиты прав субъектов персональных данных;

11) составлять протоколы об административных правонарушениях.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться их конфиденциальность.

5. Уполномоченный орган по защите прав субъекта персональных данных обязан:

1) организовывать в Российской Федерации защиту прав субъектов персональных данных в соответствии с требованиями настоящего Федерального закона;

2) рассматривать жалобы и обращения граждан и организаций по вопросам, связанным с обработкой персональных данных, а также в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов информационных систем персональных данных;

4) предлагать и осуществлять действия, направленные на совершенствование защиты прав субъектов персональных данных;

5) по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, в установленном законодательством Российской Федерации порядке принимать меры по приостановлению или прекращению обработки персональных данных;

6) совместно с федеральным органом исполнительной власти в области архивов принимать решение о передаче персональных данных на хранение в государственные архивы.

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации и Федеральному Собранию Российской Федерации.

Отчет публикуется в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается консультативный совет, порядок формирования и деятельности которого определяется уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

1. Лица, виновные в нарушении требований настоящего Федерального закона, несут ответственность, предусмотренную законодательством Российской Федерации.

2. Уполномоченный орган по защите прав субъектов персональных данных вправе потребовать у оператора устранения допущенного нарушения требований настоящего Федерального закона либо принять в установленном законодательством Российской Федерации порядке меры по прекращению обработки персональных данных.

Статья 25. Заключительные и переходные положения

1. Настоящий Федеральный закон вступает в силу с 1 января 2007 года.

2. После вступления настоящего Федерального закона в силу обработка персональных данных, включенных в информационные системы персональных данных до его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

3. Информационные системы персональных данных, созданные до вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

4. Операторы, осуществлявшие обработку персональных данных до вступления в силу настоящего Федерального закона и продолжающие осуществлять такую обработку после его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных уведомление, предусмотренное частью 5 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

5. Федеральные законы и иные нормативные правовые акты по вопросам обработки персональных данных, изданные до вступления в силу настоящего Федерального закона, впредь до их приведения в соответствие с настоящим Федеральным законом применяются в части, не противоречащей настоящему Федеральному закону.

Президент
Российской Федерации