Статья 18. Особенности регистрации информационных систем персональных данных, реализующих требования к обеспечению целостности и сохранности персональных данных с помощью шифровальных (криптографических) средств.
1. Информационные системы персональных данных, в которых требования к обеспечению целостности и сохранности персональных данных реализуются с помощью сертифицированных шифровальных (криптографических) средств, регистрируются в упрощенном порядке.
2. Упрощенный порядок регистрации информационных систем персональных данных устанавливается Правительством Российской Федерации.
Статья 19. Обязанности оператора по уточнению, блокированию и уничтожению персональных данных.
1. В случае выявления недостоверности персональных данных или неправомерности действий с ними оператора по заявлению субъекта персональных данных оператор обязан заблокировать его персональные данные с момента получения такого заявления на период его проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор обязан на основании документов, представленных субъектом персональных данных, исправить их и снять блокирование.
3. В случае установления неправомерности действий с персональными данными либо достижения цели их обработки оператор обязан уничтожить соответствующие данные в срок, не превышающий 3 дней с даты такого установления, и официально уведомить об этом субъекта персональных данных, если иное не предусмотрено федеральными законами.
Статья 20. Обязанности оператора персональных данных, касающиеся ответа на запрос субъекта персональных данных.
1. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение 10 дней с даты получения запроса в порядке, предусмотренном статьей 12 настоящего Федерального закона.
2. В случае отказа в предоставлении субъекту персональных данных по его требованию информации о наличии персональных данных о нем, а также самих персональных данных оператор обязан дать письменный мотивированный ответ, содержащий ссылку на положение, указанное в статье 12 настоящего Федерального закона или в иных федеральных законах, являющееся основанием для такого отказа, в срок, не превышающий 7 дней с даты получения запроса субъекта персональных данных.
Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований по защите персональных данных
Россияне и «Большой Брат»
О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных
1. Информационные системы персональных данных, в которых требования к обеспечению целостности и сохранности персональных данных реализуются с помощью сертифицированных шифровальных (криптографических) средств, регистрируются в упрощенном порядке.
2. Упрощенный порядок регистрации информационных систем персональных данных устанавливается Правительством Российской Федерации.
Статья 19. Обязанности оператора по уточнению, блокированию и уничтожению персональных данных.
1. В случае выявления недостоверности персональных данных или неправомерности действий с ними оператора по заявлению субъекта персональных данных оператор обязан заблокировать его персональные данные с момента получения такого заявления на период его проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор обязан на основании документов, представленных субъектом персональных данных, исправить их и снять блокирование.
3. В случае установления неправомерности действий с персональными данными либо достижения цели их обработки оператор обязан уничтожить соответствующие данные в срок, не превышающий 3 дней с даты такого установления, и официально уведомить об этом субъекта персональных данных, если иное не предусмотрено федеральными законами.
Статья 20. Обязанности оператора персональных данных, касающиеся ответа на запрос субъекта персональных данных.
1. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение 10 дней с даты получения запроса в порядке, предусмотренном статьей 12 настоящего Федерального закона.
2. В случае отказа в предоставлении субъекту персональных данных по его требованию информации о наличии персональных данных о нем, а также самих персональных данных оператор обязан дать письменный мотивированный ответ, содержащий ссылку на положение, указанное в статье 12 настоящего Федерального закона или в иных федеральных законах, являющееся основанием для такого отказа, в срок, не превышающий 7 дней с даты получения запроса субъекта персональных данных.
Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований по защите персональных данных
Статья 21. Уполномоченный орган по защите прав субъектов персональных данных.
1. Правительство Российской Федерации определяет уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания и способов обработки персональных данных цели их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите персональных данных имеет право:
1) бесплатно получать от физических и юридических лиц информацию, необходимую для реализации своих полномочий;
2) осуществлять проверку сведений, сообщаемых операторами при регистрации информационных систем персональных данных;
3) требовать уточнения (исправления), блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) составлять протоколы в порядке административного производства о нарушениях настоящего Федерального закона в части сбора и обработки персональных данных.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться их конфиденциальность.
5. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
6. Уполномоченный орган по защите прав субъектов персональных данных ежегодно представляет отчет о своей деятельности в Правительство Российской Федерации.
Отчет публикуется в средствах массовой информации.
Статья 22. Реестр информационных систем персональных данных.
1. Информация, предоставленная в соответствии с частью 4 статьи 16 настоящего Федерального закона, дата регистрации информационной системы персональных данных (или ее аннулирования) должны быть занесены в реестр информационных систем персональных данных, который ведется уполномоченным органом по защите прав субъектов персональных данных.
2. Информация, содержащаяся в реестре информационных систем персональных данных, за исключением сведений о средствах обеспечения целостности и сохранности персональных данных, является общедоступной.
Статья 23. Идентификаторы персональных данных.
1. Органы государственной власти Российской Федерации, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при реализации своих полномочий присваивают уникальные и постоянные для каждого лица идентификаторы персональных данных, формируемые в соответствии с законодательством Российской Федерации.
2. Идентификаторы персональных данныхдолжны применяться в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления в соответствии с порядком использования таких идентификаторов, установленных нормативными правовыми актами Российской Федерации, и при соблюдении требований к обеспечению конфиденциальности персональных данных.
3. Оператор не вправе, за исключением случаев, предусмотренных законодательством Российской Федерации:
1) требовать от субъекта персональных данных сообщения идентификатора персональных данных, присвоенного такому субъекту другим оператором;
2) передавать или иным способом сообщать идентификаторы персональных данных третьим лицам.
Статья 24. Государственный регистр населения Российской Федерации.
1. В целях обеспечения непротиворечивости содержащихся в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления персональных данных физических лиц, постоянно или временно проживающих или пребывающих на территории Российской Федерации, создается государственный регистр населения Российской Федерации.
2. Государственный регистр населения Российской Федерации содержит идентификаторы персональных данных всех физических лиц, постоянно или временно проживающих или пребывающих на территории Российской Федерации.
3. Государственный регистр населения Российской Федерации ведется уполномоченным федеральным органом исполнительной власти, определяемым Президентом Российской Федерации.
Статья 25. Ответственность за нарушение требований о защите персональных данных.
1. В случае нарушения оператором требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных может аннулировать регистрацию информационной системы персональных данных либо потребовать устранения нарушения.
После аннулирования регистрации информационной системы персональных данных обработка персональных данных в ней запрещается.
Персональные данные, обработанные до аннулирования регистрации, подлежат уничтожению, если иное не установлено нормативными правовыми актами Российской Федерации применительно к персональным данным, содержащимся в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления.
Оператор, регистрация информационной системы персональных данных которого аннулирована, обязан в срок, не превышающий 5 рабочих дней с даты аннулирования регистрации, уведомить уполномоченный орган по защите прав субъектов персональных данных об уничтожении персональных данных, обработанных до аннулирования регистрации.
2. В случае нарушения права на неприкосновенность частной жизни при обработке персональных данных оператор несет предусмотренную законодательством Российской Федерации ответственность.
Статья 26. Заключительные положения.
1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования, за исключением абзаца второго части 1 статьи 16 настоящего Федерального закона.
2. Абзац второй части 1 статьи 16 настоящего Федерального закона вступает в силу с 1 января 2007 года.
Президент Российской Федерации
В.В. Путин
1. Правительство Российской Федерации определяет уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания и способов обработки персональных данных цели их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите персональных данных имеет право:
1) бесплатно получать от физических и юридических лиц информацию, необходимую для реализации своих полномочий;
2) осуществлять проверку сведений, сообщаемых операторами при регистрации информационных систем персональных данных;
3) требовать уточнения (исправления), блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) составлять протоколы в порядке административного производства о нарушениях настоящего Федерального закона в части сбора и обработки персональных данных.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться их конфиденциальность.
5. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
6. Уполномоченный орган по защите прав субъектов персональных данных ежегодно представляет отчет о своей деятельности в Правительство Российской Федерации.
Отчет публикуется в средствах массовой информации.
Статья 22. Реестр информационных систем персональных данных.
1. Информация, предоставленная в соответствии с частью 4 статьи 16 настоящего Федерального закона, дата регистрации информационной системы персональных данных (или ее аннулирования) должны быть занесены в реестр информационных систем персональных данных, который ведется уполномоченным органом по защите прав субъектов персональных данных.
2. Информация, содержащаяся в реестре информационных систем персональных данных, за исключением сведений о средствах обеспечения целостности и сохранности персональных данных, является общедоступной.
Статья 23. Идентификаторы персональных данных.
1. Органы государственной власти Российской Федерации, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при реализации своих полномочий присваивают уникальные и постоянные для каждого лица идентификаторы персональных данных, формируемые в соответствии с законодательством Российской Федерации.
2. Идентификаторы персональных данныхдолжны применяться в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления в соответствии с порядком использования таких идентификаторов, установленных нормативными правовыми актами Российской Федерации, и при соблюдении требований к обеспечению конфиденциальности персональных данных.
3. Оператор не вправе, за исключением случаев, предусмотренных законодательством Российской Федерации:
1) требовать от субъекта персональных данных сообщения идентификатора персональных данных, присвоенного такому субъекту другим оператором;
2) передавать или иным способом сообщать идентификаторы персональных данных третьим лицам.
Статья 24. Государственный регистр населения Российской Федерации.
1. В целях обеспечения непротиворечивости содержащихся в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления персональных данных физических лиц, постоянно или временно проживающих или пребывающих на территории Российской Федерации, создается государственный регистр населения Российской Федерации.
2. Государственный регистр населения Российской Федерации содержит идентификаторы персональных данных всех физических лиц, постоянно или временно проживающих или пребывающих на территории Российской Федерации.
3. Государственный регистр населения Российской Федерации ведется уполномоченным федеральным органом исполнительной власти, определяемым Президентом Российской Федерации.
Статья 25. Ответственность за нарушение требований о защите персональных данных.
1. В случае нарушения оператором требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных может аннулировать регистрацию информационной системы персональных данных либо потребовать устранения нарушения.
После аннулирования регистрации информационной системы персональных данных обработка персональных данных в ней запрещается.
Персональные данные, обработанные до аннулирования регистрации, подлежат уничтожению, если иное не установлено нормативными правовыми актами Российской Федерации применительно к персональным данным, содержащимся в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления.
Оператор, регистрация информационной системы персональных данных которого аннулирована, обязан в срок, не превышающий 5 рабочих дней с даты аннулирования регистрации, уведомить уполномоченный орган по защите прав субъектов персональных данных об уничтожении персональных данных, обработанных до аннулирования регистрации.
2. В случае нарушения права на неприкосновенность частной жизни при обработке персональных данных оператор несет предусмотренную законодательством Российской Федерации ответственность.
Статья 26. Заключительные положения.
1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования, за исключением абзаца второго части 1 статьи 16 настоящего Федерального закона.
2. Абзац второй части 1 статьи 16 настоящего Федерального закона вступает в силу с 1 января 2007 года.
Президент Российской Федерации
В.В. Путин
Россияне и «Большой Брат»
Всероссийский центр изучения общественного мнения (ВЦИОМ) в конце ноября 2005 года представил данные о том, как россияне относятся к основным положениям обсуждаемого в настоящий момент Государственной думой РФ законопроекта «О персональных данных», предусматривающего создание единого государственного регистра данных на всех граждан страны.
По этому основному вопросу законопроекта мнения россиян разделились почти поровну: 45 % одобряют эту идею, тогда как 42 % возражают, полагая, что создание единого государственного регистра стало бы нарушением конституционных прав граждан на неприкосновенность частной жизни. Больше всего противников создания единой базы данных среди представителей социально «продвинутых» групп россиян – молодежи, людей с высшим образованием, высокими доходами, жителей столичных городов. Так, если среди жителей малых городов число сторонников и противников создания единой базы данных составляет 49 против 33 %, то среди москвичей и петербуржцев пропорция обратная: 31 против 55 %.
Потенциальные плюсы, которые россияне видят в идее создания такого регистра (наведение порядка с приезжими, мигрантами – 57 %, повышение эффективности борьбы с терроризмом – 43 %), балансируются, с их точки зрения, немалыми минусами (риск нарушения права на неприкосновенность частной жизни – 38 %, риск недобросовестного использования и утечки персональной информации – 37 %).
Главный аргумент, способный переломить сдержанное отношение наших граждан к идее создания единого государственного регистра – его необходимость для повышения эффективности борьбы с терроризмом. Взвесив все «за» и «против», большинство россиян (55 % против 26 %) не возражают против того, чтобы ради борьбы с преступностью и терроризмом информация об их семейном положении, доходах, контактах, передвижениях и т. д. находилась в единой государственной базе данных.
Не возражая против аккумуляции персональной информации в руках государства, россияне, однако, вполне ясно представляют себе его реальные возможности по защите этих данных. Большинство опрошенных (64 %) уверены, что государство в России не способно обеспечить конфиденциальность и предотвратить утечки персональных данных граждан из своих баз. И лишь 23 % полагают, что такая задача госорганам под силу. Среди жителей Москвы и Санкт-Петербурга тех, кто не доверяет государственным базам, 80 %.
Всероссийский опрос ВЦИОМ проведен 29—30 октября 2005 года. Опрошено 1580 человек в 153 населенных пунктах в 46 областях, краях и республиках России. Статистическая погрешность не превышает 3,4 %.
По этому основному вопросу законопроекта мнения россиян разделились почти поровну: 45 % одобряют эту идею, тогда как 42 % возражают, полагая, что создание единого государственного регистра стало бы нарушением конституционных прав граждан на неприкосновенность частной жизни. Больше всего противников создания единой базы данных среди представителей социально «продвинутых» групп россиян – молодежи, людей с высшим образованием, высокими доходами, жителей столичных городов. Так, если среди жителей малых городов число сторонников и противников создания единой базы данных составляет 49 против 33 %, то среди москвичей и петербуржцев пропорция обратная: 31 против 55 %.
Потенциальные плюсы, которые россияне видят в идее создания такого регистра (наведение порядка с приезжими, мигрантами – 57 %, повышение эффективности борьбы с терроризмом – 43 %), балансируются, с их точки зрения, немалыми минусами (риск нарушения права на неприкосновенность частной жизни – 38 %, риск недобросовестного использования и утечки персональной информации – 37 %).
Главный аргумент, способный переломить сдержанное отношение наших граждан к идее создания единого государственного регистра – его необходимость для повышения эффективности борьбы с терроризмом. Взвесив все «за» и «против», большинство россиян (55 % против 26 %) не возражают против того, чтобы ради борьбы с преступностью и терроризмом информация об их семейном положении, доходах, контактах, передвижениях и т. д. находилась в единой государственной базе данных.
Не возражая против аккумуляции персональной информации в руках государства, россияне, однако, вполне ясно представляют себе его реальные возможности по защите этих данных. Большинство опрошенных (64 %) уверены, что государство в России не способно обеспечить конфиденциальность и предотвратить утечки персональных данных граждан из своих баз. И лишь 23 % полагают, что такая задача госорганам под силу. Среди жителей Москвы и Санкт-Петербурга тех, кто не доверяет государственным базам, 80 %.
Всероссийский опрос ВЦИОМ проведен 29—30 октября 2005 года. Опрошено 1580 человек в 153 населенных пунктах в 46 областях, краях и республиках России. Статистическая погрешность не превышает 3,4 %.
О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных
Вносится Правительством Российской Федерации
Проект №217346-4
Федеральный закон
1) Российская Федерация заявляет, что в соответствии с подпунктом «а» пункта 2 статьи 3 Конвенции не будет применять Конвенцию к персональным данным:
а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;
б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;
2) Российская Федерация заявляет, что в соответствии с подпунктом «с» пункта 2 статьи 3 Конвенции будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;
3) Российская Федерация заявляет, что в соответствии с подпунктом «а» пункта 2 статьи 9 Конвенции оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.
Президент
Российской Федерации
В. В. Путин
Проект №217346-4
Федеральный закон
О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных
Ратифицировать Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года (далее – Конвенция) с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года, со следующими заявлениями:1) Российская Федерация заявляет, что в соответствии с подпунктом «а» пункта 2 статьи 3 Конвенции не будет применять Конвенцию к персональным данным:
а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;
б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;
2) Российская Федерация заявляет, что в соответствии с подпунктом «с» пункта 2 статьи 3 Конвенции будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;
3) Российская Федерация заявляет, что в соответствии с подпунктом «а» пункта 2 статьи 9 Конвенции оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.
Президент
Российской Федерации
В. В. Путин