Страница:
Нормативными правовыми актами Российской Федерации могут быть установлены особенности обработки персональных данных, осуществляемой без применения средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) сборе и обработке персональных данных физическими лицами исключительно для личных и семейных нужд;
2) защите персональных данных, отнесенных в установленном порядке к государственной тайне, включая определение порядка их сбора, обработки, распространения и использования.
Статья 4. Законодательство Российской Федерации в области персональных данных.
1. Законодательство Российской Федерации в области персональных данных основано на Конституции Российской Федерации и состоит из настоящего Федерального закона, иных федеральных законов, а также иных нормативных правовых актов, принимаемых в соответствии с ними.
2. Законодательством Российской Федерации, регулирующим отношения в сфере обороны страны, безопасности государства и охраны правопорядка, могут быть установлены особенности сбора и обработки персональных данных в органах государственной власти.
3. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. Общие принципы и условия сбора и обработки персональных данных
Глава 3. Права субъекта персональных данных
Глава 4. Обязанности оператора
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) сборе и обработке персональных данных физическими лицами исключительно для личных и семейных нужд;
2) защите персональных данных, отнесенных в установленном порядке к государственной тайне, включая определение порядка их сбора, обработки, распространения и использования.
Статья 4. Законодательство Российской Федерации в области персональных данных.
1. Законодательство Российской Федерации в области персональных данных основано на Конституции Российской Федерации и состоит из настоящего Федерального закона, иных федеральных законов, а также иных нормативных правовых актов, принимаемых в соответствии с ними.
2. Законодательством Российской Федерации, регулирующим отношения в сфере обороны страны, безопасности государства и охраны правопорядка, могут быть установлены особенности сбора и обработки персональных данных в органах государственной власти.
3. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. Общие принципы и условия сбора и обработки персональных данных
Статья 5. Принципы сбора и обработки персональных данных.
1. Сбор и обработка персональных данных должны осуществляться добросовестным и законным способом.
2. Персональные данные должны собираться для законных, предварительно определенных и заявленных целей и в дальнейшем не обрабатываться каким-либо образом, не совместимым с указанными целями.
Цель обработки персональных данных должна соответствовать полномочиям и компетенции оператора.
Обработка персональных данных для статистических, научных и иных аналогичных целей является допустимой при соблюдении гарантий по обеспечению прав субъектов персональных данных на неприкосновенность частной жизни.
3. Объем и характер обрабатываемых персональных данных, а также способ обработки должны соответствовать целям, для которых они обрабатываются.
Персональные данные не должны быть избыточными для достижения целей обработки.
Оператор вправе получать от субъекта персональных данных только те персональные данные, которые необходимы для достижения цели их обработки.
4. Персональные данные должны быть точными и актуальными и при необходимости обновляться.
5. Персональные данные должны храниться в форме, позволяющей осуществлять идентификацию субъектов персональных данных, не дольше, чем этого требуют цели, для которых они накапливались, и подлежат уничтожению по достижении целей или утраты необходимости в их достижении.
6. Принципы сбора и обработки персональных данных, установленные настоящей статьей, в полном объеме распространяются на сбор и обработку сведений, характеризующих физиологические особенности организма человека, на основе которых его можно однозначно идентифицировать: отпечатки пальцев, отпечатки ладони, результаты анализа ДНК, цифровой образ лица, сетчатки глаза и другие (биометрические персональные данные).
Статья 6. Условия сбора и обработки персональных данных.
1. Обработка персональных данных может осуществляться оператором при наличии хотя бы одного из следующих условий:
1) субъект персональных данных дал свое согласие на ее проведение;
2) персональные данные обрабатываются на основании закона, предусматривающего такую обработку, устанавливающего ее цель, условия получения персональных данных и субъектов, персональные данные которых подлежат обработке;
3) персональные данные обрабатываются для статистических целей с их обязательным обезличиванием;
4) обработка персональных данных необходима для защиты жизни и здоровья субъекта персональных данных;
5) обрабатываемые персональные данные относятся к общедоступной информации.
2. Обработка персональных данных должна осуществляться собственником информационной системы персональных данных. Собственник информационной системы персональных данных вправе на основании договора поручить обработку персональных данных оператору при условии обеспечения конфиденциальности персональных данных, подвергающихся обработке, в том же объеме и на тех же условиях, которые настоящим Федеральным законом установлены для собственника информационной системы персональных данных. Требование об обеспечении конфиденциальности персональных данных является существенным условием договора об оказании услуг по обработке персональных данных.
Статья 7. Конфиденциальность персональных данных.
1. Операторами и иными лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, указанных в части 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется в случае:
1) обезличивания персональных данных;
2) согласия субъекта персональных данных на то, что к его персональным данным может быть обеспечен свободный доступ любых лиц. При этом его персональные данные становятся общедоступной информацией.
Статья 8. Согласие субъекта персональных данных предоставлять свои персональные данные.
1. Субъект персональных данных самостоятельно принимает решение о предоставлении кому-либо своих персональных данных.
Федеральными законами могут быть установлены случаи обязательного предоставления субъектом своих персональных данных.
2. Обработка персональных данных может проводиться только с согласия субъекта этих персональных данных, за исключением случаев, установленных настоящим Федеральным законом.
Обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных лежит на операторе.
Настоящим Федеральным законом устанавливаются случаи, когда требуется получение письменного согласия субъекта персональных данных на обработку его персональных данных.
3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать:
1) сведения, позволяющие идентифицировать субъекта персональных данных;
2) сведения, позволяющие идентифицировать оператора, получающего согласие субъекта персональных данных;
3) цель сбора и обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) период действия согласия субъекта персональных данных и условия его отзыва.
4. В случае недееспособности субъекта персональных данных, согласие, требуемое в соответствии с настоящим Федеральным законом, дает его законный представитель.
5. В случае смерти субъекта персональных данных согласие, требуемое в соответствии с настоящим Федеральным законом, дают его наследники.
6. Лицо, обрабатывающее общедоступные персональные данные, по требованию уполномоченного органа по защите прав субъектов персональных данных должно представить доказательства, что обрабатываемые персональные данные относятся к общедоступной информации.
Статья 9. Особые категории персональных данных.
1. Обработка особых категорий персональных данных, касающихся расового или этнического происхождения, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, сексуальных наклонностей или судимости, не допускается, за исключением случаев, установленных частями 2 и 3 настоящей статьи.
2. Запрет, установленный в части 1 настоящей статьи, не применяется в случае, если:
1) субъект персональных данных дал письменное согласие на обработку его персональных данных;
2) обработка персональных данных, относящихся к состоянию здоровья, необходима для защиты жизни и здоровья субъекта персональных данных, иного лица или соответствующей группы лиц;
3) обработка персональных данных осуществляется для достижения законных целей некоммерческих организаций и их объединений в случае, если такая обработка имеет место в отношении членов этих организаций и их объединений, и при условии, что обработанные персональные данные не будут передаваться третьим лицам без согласия субъектов персональных данных;
4) обрабатываются общедоступные персональные данные;
5) обработка персональных данных, относящихся к состоянию здоровья, требуется в медицинских целях лицу, профессионально занимающемуся медицинской деятельностью и обязанному в соответствии с законодательством Российской Федерации сохранять профессиональную тайну;
6) обработка персональных данных, относящихся к судимости, осуществляется органами государственной власти Российской Федерации в сфере обороны страны, безопасности государства и охраны правопорядка при соблюдении права на неприкосновенность частной жизни.
3. Обработка персональных данных, относящихся к лицам, совершившим административные правонарушения или преступления, может осуществляться помимо органов, указанных в пункте 6 части 2 настоящей статьи, иными органами государственной власти в случае, если такое полномочие предоставлено им законом.
4. Обработка особых категорий персональных данных, производившаяся в случаях, допускаемых частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если исчезают причины, вследствие которых производилась обработка.
При этом оператор обязан произвести уничтожение особых категорий персональных данных, если субъект персональных данных не дает согласия на их хранение в информационной системе персональных данных оператора.
Статья 10. Передача персональных данных.
1. Передача персональных данных оператору третьими лицами, за исключением лиц, указанных в частях 4 и 5 статьи 8 настоящего Федерального закона, а равно передача персональных данных оператором любому третьему лицу допускаются только с письменного согласия субъекта персональных данных.
2. Согласие субъекта персональных данных на передачу его персональных данных не требуется, если:
1) передача персональных данных необходима для выполнения задач, возложенных на органы государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка в случаях, предусмотренных федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации;
2) передаются общедоступные персональные данные;
3) персональными данными обмениваются органы государственной власти и (или) органы местного самоуправления для выполнения возложенных на них функций при соблюдении требований, установленных настоящим Федеральным законом к информационным системам персональных данных указанных органов;
4) передача персональных данных необходима в целях сохранения жизни и здоровья субъекта персональных данных, а получение его согласия физически невозможно.
3. Согласие на передачу персональных данных может быть отозвано субъектом персональных данных.
В случае отзыва согласия субъекта персональных данных персональные данные не передаются, а третьи лица, которым стало известно о таком отзыве, получившие персональные данные до отзыва согласия, обязаны предпринять меры по их уничтожению.
Статья 11. Трансграничная передача персональных данных.
1. Трансграничная передача персональных данных осуществляется при соблюдении требований, установленных настоящим Федеральным законом к обработке и передаче персональных данных, с учетом особенностей, установленных настоящей статьей.
2. Трансграничная передача персональных данных может быть запрещена или ограничена нормативным правовым актом Российской Федерации:
1) если такая трансграничная передача создает угрозу национальной безопасности Российской Федерации;
2) при наличии явной угрозы нарушения прав субъектов персональных данных либо предоставления пониженных гарантий прав субъектов персональных данных по сравнению с гарантиями, установленными законодательством Российской Федерации, включая гарантии соблюдения конфиденциальности персональных данных.
3. При трансграничной передаче персональных данных оператор должен убедиться в том, что в соответствии с международными договорами либо законодательством другого государства, органу власти или лицу которого передаются персональные данные, обеспечивается адекватный уровень защиты прав субъектов персональных данных.
4. Оператор вправе передавать персональные данные органу власти или лицу другого государства, не обеспечивающего адекватный уровень защиты прав субъектов персональных данных, только при условии получения письменного согласия субъекта персональных данных на эту передачу либо в случае, если получение такого согласия физически невозможно, а передача персональных данных необходима для защиты жизни и здоровья субъекта персональных данных.
1. Сбор и обработка персональных данных должны осуществляться добросовестным и законным способом.
2. Персональные данные должны собираться для законных, предварительно определенных и заявленных целей и в дальнейшем не обрабатываться каким-либо образом, не совместимым с указанными целями.
Цель обработки персональных данных должна соответствовать полномочиям и компетенции оператора.
Обработка персональных данных для статистических, научных и иных аналогичных целей является допустимой при соблюдении гарантий по обеспечению прав субъектов персональных данных на неприкосновенность частной жизни.
3. Объем и характер обрабатываемых персональных данных, а также способ обработки должны соответствовать целям, для которых они обрабатываются.
Персональные данные не должны быть избыточными для достижения целей обработки.
Оператор вправе получать от субъекта персональных данных только те персональные данные, которые необходимы для достижения цели их обработки.
4. Персональные данные должны быть точными и актуальными и при необходимости обновляться.
5. Персональные данные должны храниться в форме, позволяющей осуществлять идентификацию субъектов персональных данных, не дольше, чем этого требуют цели, для которых они накапливались, и подлежат уничтожению по достижении целей или утраты необходимости в их достижении.
6. Принципы сбора и обработки персональных данных, установленные настоящей статьей, в полном объеме распространяются на сбор и обработку сведений, характеризующих физиологические особенности организма человека, на основе которых его можно однозначно идентифицировать: отпечатки пальцев, отпечатки ладони, результаты анализа ДНК, цифровой образ лица, сетчатки глаза и другие (биометрические персональные данные).
Статья 6. Условия сбора и обработки персональных данных.
1. Обработка персональных данных может осуществляться оператором при наличии хотя бы одного из следующих условий:
1) субъект персональных данных дал свое согласие на ее проведение;
2) персональные данные обрабатываются на основании закона, предусматривающего такую обработку, устанавливающего ее цель, условия получения персональных данных и субъектов, персональные данные которых подлежат обработке;
3) персональные данные обрабатываются для статистических целей с их обязательным обезличиванием;
4) обработка персональных данных необходима для защиты жизни и здоровья субъекта персональных данных;
5) обрабатываемые персональные данные относятся к общедоступной информации.
2. Обработка персональных данных должна осуществляться собственником информационной системы персональных данных. Собственник информационной системы персональных данных вправе на основании договора поручить обработку персональных данных оператору при условии обеспечения конфиденциальности персональных данных, подвергающихся обработке, в том же объеме и на тех же условиях, которые настоящим Федеральным законом установлены для собственника информационной системы персональных данных. Требование об обеспечении конфиденциальности персональных данных является существенным условием договора об оказании услуг по обработке персональных данных.
Статья 7. Конфиденциальность персональных данных.
1. Операторами и иными лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, указанных в части 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется в случае:
1) обезличивания персональных данных;
2) согласия субъекта персональных данных на то, что к его персональным данным может быть обеспечен свободный доступ любых лиц. При этом его персональные данные становятся общедоступной информацией.
Статья 8. Согласие субъекта персональных данных предоставлять свои персональные данные.
1. Субъект персональных данных самостоятельно принимает решение о предоставлении кому-либо своих персональных данных.
Федеральными законами могут быть установлены случаи обязательного предоставления субъектом своих персональных данных.
2. Обработка персональных данных может проводиться только с согласия субъекта этих персональных данных, за исключением случаев, установленных настоящим Федеральным законом.
Обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных лежит на операторе.
Настоящим Федеральным законом устанавливаются случаи, когда требуется получение письменного согласия субъекта персональных данных на обработку его персональных данных.
3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать:
1) сведения, позволяющие идентифицировать субъекта персональных данных;
2) сведения, позволяющие идентифицировать оператора, получающего согласие субъекта персональных данных;
3) цель сбора и обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) период действия согласия субъекта персональных данных и условия его отзыва.
4. В случае недееспособности субъекта персональных данных, согласие, требуемое в соответствии с настоящим Федеральным законом, дает его законный представитель.
5. В случае смерти субъекта персональных данных согласие, требуемое в соответствии с настоящим Федеральным законом, дают его наследники.
6. Лицо, обрабатывающее общедоступные персональные данные, по требованию уполномоченного органа по защите прав субъектов персональных данных должно представить доказательства, что обрабатываемые персональные данные относятся к общедоступной информации.
Статья 9. Особые категории персональных данных.
1. Обработка особых категорий персональных данных, касающихся расового или этнического происхождения, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, сексуальных наклонностей или судимости, не допускается, за исключением случаев, установленных частями 2 и 3 настоящей статьи.
2. Запрет, установленный в части 1 настоящей статьи, не применяется в случае, если:
1) субъект персональных данных дал письменное согласие на обработку его персональных данных;
2) обработка персональных данных, относящихся к состоянию здоровья, необходима для защиты жизни и здоровья субъекта персональных данных, иного лица или соответствующей группы лиц;
3) обработка персональных данных осуществляется для достижения законных целей некоммерческих организаций и их объединений в случае, если такая обработка имеет место в отношении членов этих организаций и их объединений, и при условии, что обработанные персональные данные не будут передаваться третьим лицам без согласия субъектов персональных данных;
4) обрабатываются общедоступные персональные данные;
5) обработка персональных данных, относящихся к состоянию здоровья, требуется в медицинских целях лицу, профессионально занимающемуся медицинской деятельностью и обязанному в соответствии с законодательством Российской Федерации сохранять профессиональную тайну;
6) обработка персональных данных, относящихся к судимости, осуществляется органами государственной власти Российской Федерации в сфере обороны страны, безопасности государства и охраны правопорядка при соблюдении права на неприкосновенность частной жизни.
3. Обработка персональных данных, относящихся к лицам, совершившим административные правонарушения или преступления, может осуществляться помимо органов, указанных в пункте 6 части 2 настоящей статьи, иными органами государственной власти в случае, если такое полномочие предоставлено им законом.
4. Обработка особых категорий персональных данных, производившаяся в случаях, допускаемых частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если исчезают причины, вследствие которых производилась обработка.
При этом оператор обязан произвести уничтожение особых категорий персональных данных, если субъект персональных данных не дает согласия на их хранение в информационной системе персональных данных оператора.
Статья 10. Передача персональных данных.
1. Передача персональных данных оператору третьими лицами, за исключением лиц, указанных в частях 4 и 5 статьи 8 настоящего Федерального закона, а равно передача персональных данных оператором любому третьему лицу допускаются только с письменного согласия субъекта персональных данных.
2. Согласие субъекта персональных данных на передачу его персональных данных не требуется, если:
1) передача персональных данных необходима для выполнения задач, возложенных на органы государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка в случаях, предусмотренных федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации;
2) передаются общедоступные персональные данные;
3) персональными данными обмениваются органы государственной власти и (или) органы местного самоуправления для выполнения возложенных на них функций при соблюдении требований, установленных настоящим Федеральным законом к информационным системам персональных данных указанных органов;
4) передача персональных данных необходима в целях сохранения жизни и здоровья субъекта персональных данных, а получение его согласия физически невозможно.
3. Согласие на передачу персональных данных может быть отозвано субъектом персональных данных.
В случае отзыва согласия субъекта персональных данных персональные данные не передаются, а третьи лица, которым стало известно о таком отзыве, получившие персональные данные до отзыва согласия, обязаны предпринять меры по их уничтожению.
Статья 11. Трансграничная передача персональных данных.
1. Трансграничная передача персональных данных осуществляется при соблюдении требований, установленных настоящим Федеральным законом к обработке и передаче персональных данных, с учетом особенностей, установленных настоящей статьей.
2. Трансграничная передача персональных данных может быть запрещена или ограничена нормативным правовым актом Российской Федерации:
1) если такая трансграничная передача создает угрозу национальной безопасности Российской Федерации;
2) при наличии явной угрозы нарушения прав субъектов персональных данных либо предоставления пониженных гарантий прав субъектов персональных данных по сравнению с гарантиями, установленными законодательством Российской Федерации, включая гарантии соблюдения конфиденциальности персональных данных.
3. При трансграничной передаче персональных данных оператор должен убедиться в том, что в соответствии с международными договорами либо законодательством другого государства, органу власти или лицу которого передаются персональные данные, обеспечивается адекватный уровень защиты прав субъектов персональных данных.
4. Оператор вправе передавать персональные данные органу власти или лицу другого государства, не обеспечивающего адекватный уровень защиты прав субъектов персональных данных, только при условии получения письменного согласия субъекта персональных данных на эту передачу либо в случае, если получение такого согласия физически невозможно, а передача персональных данных необходима для защиты жизни и здоровья субъекта персональных данных.
Глава 3. Права субъекта персональных данных
Статья 12. Право на доступ к персональным данным.
1. Субъект персональных данных имеет право знать о наличии у оператора относящихся к нему персональных данных, быть с ними ознакомлен, а также требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
2. Оператор обязан бесплатно предоставить субъекту персональных данных возможность ознакомления с его персональными данными, а также внести в них необходимые уточнения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, включенные в информационную систему персональных данных, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О произведенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы.
3. Информация о наличии персональных данных должна быть предоставлена субъекту персональных данных оператором в доступной форме и не должна содержать персональных данных, относящихся к другим субъектам персональных данных.
4. Предоставление персональных данных субъекту персональных данных производится оператором на основании письменного запроса и по предъявлении документа, удостоверяющего личность субъекта персональных данных.
Информация о наличии персональных данных и сами персональные данные предоставляются субъекту персональных данных в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего запроса, если при этом не возникает необходимости запросить требуемую информацию у третьих лиц. При необходимости запросить требуемую информацию у третьих лиц срок предоставления ее субъекту персональных данных не может быть более одного месяца.
5. Субъект персональных данных имеет право на получение по запросу следующей информации:
1) подтверждение факта обработки персональных данных, а также цель данной обработки;
2) способы обработки персональных данных;
3) сведения о лицах, имеющих доступ к его персональным данным;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных;
6) сведения о том, какие правовые последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
6. Право доступа субъекта персональных данных к персональным данным о себе ограничивается:
1) в отношении персональных данных, обрабатываемых в целях обороны страны, безопасности государства и охраны правопорядка, в том числе в отношении персональных данных, полученных в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности;
2) в отношении персональных данных, обрабатываемых органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения.
Статья 13. Право на возражение против обработки персональных данных.
1. Субъект персональных данных имеет право высказывать возражение против обработки своих персональных данных, если они используются оператором в целях политической агитации, рекламных или иных аналогичных целях.
Указанное возражение может также быть высказано, если у субъекта персональных данных есть основания полагать, что его персональные данные могут или будут использоваться оператором в таких целях.
2. Возражение против обработки своих персональных данных высказывается субъектом персональных данных оператору путем направления соответствующего заявления. По получении возражения субъекта персональных данных оператор обязан прекратить обработку персональных данных.
3. Субъект персональных данных имеет право высказать возражение против обработки своих персональных данных с применением средств автоматизации, если какое-либо решение, имеющее существенные последствия для такого субъекта персональных данных, может быть принято исключительно на основе персональных данных, явившихся результатом их автоматизированной обработки.
Если иное не предусмотрено нормативным правовым актом Российской Федерации или договором, заключаемым с субъектом персональных данных, оператор, получив возражения против обработки персональных данных с применением средств автоматизации, должен получить от субъекта персональных данных, высказавшего возражение, согласие на обработку его персональных данных иным способом либо прекратить обработку персональных данных.
Статья 14. Право на обжалование.
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением права на неприкосновенность частной жизни, в том числе с нарушением требований настоящего Федерального закона, и не удовлетворяет его требования устранить нарушения, он вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных.
2. В случае установления уполномоченным органом по защите прав субъектов персональных данных неправомерности действий оператора субъект персональных данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1. Субъект персональных данных имеет право знать о наличии у оператора относящихся к нему персональных данных, быть с ними ознакомлен, а также требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
2. Оператор обязан бесплатно предоставить субъекту персональных данных возможность ознакомления с его персональными данными, а также внести в них необходимые уточнения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, включенные в информационную систему персональных данных, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О произведенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы.
3. Информация о наличии персональных данных должна быть предоставлена субъекту персональных данных оператором в доступной форме и не должна содержать персональных данных, относящихся к другим субъектам персональных данных.
4. Предоставление персональных данных субъекту персональных данных производится оператором на основании письменного запроса и по предъявлении документа, удостоверяющего личность субъекта персональных данных.
Информация о наличии персональных данных и сами персональные данные предоставляются субъекту персональных данных в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего запроса, если при этом не возникает необходимости запросить требуемую информацию у третьих лиц. При необходимости запросить требуемую информацию у третьих лиц срок предоставления ее субъекту персональных данных не может быть более одного месяца.
5. Субъект персональных данных имеет право на получение по запросу следующей информации:
1) подтверждение факта обработки персональных данных, а также цель данной обработки;
2) способы обработки персональных данных;
3) сведения о лицах, имеющих доступ к его персональным данным;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных;
6) сведения о том, какие правовые последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
6. Право доступа субъекта персональных данных к персональным данным о себе ограничивается:
1) в отношении персональных данных, обрабатываемых в целях обороны страны, безопасности государства и охраны правопорядка, в том числе в отношении персональных данных, полученных в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности;
2) в отношении персональных данных, обрабатываемых органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения.
Статья 13. Право на возражение против обработки персональных данных.
1. Субъект персональных данных имеет право высказывать возражение против обработки своих персональных данных, если они используются оператором в целях политической агитации, рекламных или иных аналогичных целях.
Указанное возражение может также быть высказано, если у субъекта персональных данных есть основания полагать, что его персональные данные могут или будут использоваться оператором в таких целях.
2. Возражение против обработки своих персональных данных высказывается субъектом персональных данных оператору путем направления соответствующего заявления. По получении возражения субъекта персональных данных оператор обязан прекратить обработку персональных данных.
3. Субъект персональных данных имеет право высказать возражение против обработки своих персональных данных с применением средств автоматизации, если какое-либо решение, имеющее существенные последствия для такого субъекта персональных данных, может быть принято исключительно на основе персональных данных, явившихся результатом их автоматизированной обработки.
Если иное не предусмотрено нормативным правовым актом Российской Федерации или договором, заключаемым с субъектом персональных данных, оператор, получив возражения против обработки персональных данных с применением средств автоматизации, должен получить от субъекта персональных данных, высказавшего возражение, согласие на обработку его персональных данных иным способом либо прекратить обработку персональных данных.
Статья 14. Право на обжалование.
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением права на неприкосновенность частной жизни, в том числе с нарушением требований настоящего Федерального закона, и не удовлетворяет его требования устранить нарушения, он вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных.
2. В случае установления уполномоченным органом по защите прав субъектов персональных данных неправомерности действий оператора субъект персональных данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. Обязанности оператора
Статья 15. Получение оператором персональных данных.
1. При получении персональных данных от субъекта персональных данных оператор обязан предоставить субъекту персональных данных следующую информацию:
1) сведения, идентифицирующие оператора;
2) цель обработки данных и правовое обоснование такой цели;
3) предполагаемые пользователи персональных данных;
4) сведения о правах субъекта персональных данных, установленных настоящим Федеральным законом.
Если обязанность предоставления персональных данных установлена федеральным законом, оператор должен сообщить субъекту персональных данных о правовых последствиях отказа предоставить персональные данные.
2. В случае проведения научных, статистических и иных исследований оператор обязан осуществить обезличивание получаемых персональных данных.
Защита результатов обработки обезличенных данных в случае их отнесения к сведениям, составляющим государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
Статья 16. Регистрация информационных систем персональных данных.
1. Оператор до начала обработки персональных данных обязан зарегистрировать информационную систему персональных данных в уполномоченном органе по защите прав субъектов персональных данных.
Обработка персональных данных без регистрации информационной системы персональных данных не допускается, за исключением случаев, установленных в настоящей статье.
2. Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка исключительно персональных данных:
1) относящихся к государственной тайне в соответствии с законодательством Российской Федерации о государственной тайне;
2) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
3) необходимых для достижения законных целей некоммерческих организаций и их объединений и относящихся к членам этих организаций и их объединений, при условии, что персональные данные не раскрываются третьей стороне без согласия субъектов персональных данных;
4) относящихся к общедоступной информации;
5) включающих только фамилию, имя и отчество субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию оператора или в иных аналогичных целях.
Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка персональных данных без использования средств автоматизации, если нормативным правовым актом Россииской Федерации установлены иные требования, обеспечивающие целостность и сохранность персональных данных при их обработке в такой информационной системе.
Не требуется регистрация информационной системы персональных данных, если условием получения лицензии на осуществление оператором деятельности, предусматривающей обработку персональных данных, является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных.
Правительство Российской Федерации вправе установить дополнительные случаи, при которых не требуется регистрация информационных систем персональных данных применительно к определенным информационным системам персональных данных и (или) максимальному числу субъектов, персональные данные которых обрабатываются в таких информационных системах.
3. Регистрация информационных систем персональных данных производится бесплатно.
4. Регистрация информационной системы персональных данных осуществляется на основании заявления оператора, в котором должна содержаться следующая информация:
1) сведения, идентифицирующие оператора;
2) цель обработки персональных данных;
3) категории персональных данных, обрабатываемых в такой информационной системе;
4) категория субъектов, персональные данные которых обрабатываются в такой информационной системе;
5) правовое основание создания информационной системы персональных данных;
6) общее описание мер по обеспечению целостности и сохранности персональных данных, которые оператор обязуется осуществлять при эксплуатации информационной системы персональных данных;
7) дата начала обработки персональных данных.
Указанная информация включается в реестр информационных систем персональных данных.
5. Заявление о регистрации информационной системы персональных данных должно быть направлено в письменной форме и подписано уполномоченным лицом (либо в электронной форме и подписано электронной подписью, если предусмотрена такая возможность).
6. В случае возникновения изменений в сведениях, содержащихся в заявлении о регистрации информационной системы персональных данных, оператор в течение 3 дней с даты возникновения таких изменений письменно уведомляет уполномоченный орган по защите прав субъектов персональных данных о произошедших изменениях.
7. Порядок регистрации информационных систем персональных данных и особенности такой регистрации для информационных систем персональных данных органов государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка устанавливаются Правительством Российской Федерации.
Статья 17. Требования к обеспечению целостности и сохранности персональных данных.
1. Оператор обязан принимать необходимые меры технического (программно-технического) и организационного характера, в том числе с использованием шифровальных (криптографических) средств, которые гарантировали бы целостность персональных данных и их сохранность от случайных или несанкционированных уничтожения, утраты, доступа, изменения или раскрытия. 2. С учетом требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных разрабатывает и утверждает требования к процедурам хранения, обмена и защиты персональных данных и иные условия, которым должны отвечать информационные системы персональных данных.
1. При получении персональных данных от субъекта персональных данных оператор обязан предоставить субъекту персональных данных следующую информацию:
1) сведения, идентифицирующие оператора;
2) цель обработки данных и правовое обоснование такой цели;
3) предполагаемые пользователи персональных данных;
4) сведения о правах субъекта персональных данных, установленных настоящим Федеральным законом.
Если обязанность предоставления персональных данных установлена федеральным законом, оператор должен сообщить субъекту персональных данных о правовых последствиях отказа предоставить персональные данные.
2. В случае проведения научных, статистических и иных исследований оператор обязан осуществить обезличивание получаемых персональных данных.
Защита результатов обработки обезличенных данных в случае их отнесения к сведениям, составляющим государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
Статья 16. Регистрация информационных систем персональных данных.
1. Оператор до начала обработки персональных данных обязан зарегистрировать информационную систему персональных данных в уполномоченном органе по защите прав субъектов персональных данных.
Обработка персональных данных без регистрации информационной системы персональных данных не допускается, за исключением случаев, установленных в настоящей статье.
2. Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка исключительно персональных данных:
1) относящихся к государственной тайне в соответствии с законодательством Российской Федерации о государственной тайне;
2) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
3) необходимых для достижения законных целей некоммерческих организаций и их объединений и относящихся к членам этих организаций и их объединений, при условии, что персональные данные не раскрываются третьей стороне без согласия субъектов персональных данных;
4) относящихся к общедоступной информации;
5) включающих только фамилию, имя и отчество субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию оператора или в иных аналогичных целях.
Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка персональных данных без использования средств автоматизации, если нормативным правовым актом Россииской Федерации установлены иные требования, обеспечивающие целостность и сохранность персональных данных при их обработке в такой информационной системе.
Не требуется регистрация информационной системы персональных данных, если условием получения лицензии на осуществление оператором деятельности, предусматривающей обработку персональных данных, является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных.
Правительство Российской Федерации вправе установить дополнительные случаи, при которых не требуется регистрация информационных систем персональных данных применительно к определенным информационным системам персональных данных и (или) максимальному числу субъектов, персональные данные которых обрабатываются в таких информационных системах.
3. Регистрация информационных систем персональных данных производится бесплатно.
4. Регистрация информационной системы персональных данных осуществляется на основании заявления оператора, в котором должна содержаться следующая информация:
1) сведения, идентифицирующие оператора;
2) цель обработки персональных данных;
3) категории персональных данных, обрабатываемых в такой информационной системе;
4) категория субъектов, персональные данные которых обрабатываются в такой информационной системе;
5) правовое основание создания информационной системы персональных данных;
6) общее описание мер по обеспечению целостности и сохранности персональных данных, которые оператор обязуется осуществлять при эксплуатации информационной системы персональных данных;
7) дата начала обработки персональных данных.
Указанная информация включается в реестр информационных систем персональных данных.
5. Заявление о регистрации информационной системы персональных данных должно быть направлено в письменной форме и подписано уполномоченным лицом (либо в электронной форме и подписано электронной подписью, если предусмотрена такая возможность).
6. В случае возникновения изменений в сведениях, содержащихся в заявлении о регистрации информационной системы персональных данных, оператор в течение 3 дней с даты возникновения таких изменений письменно уведомляет уполномоченный орган по защите прав субъектов персональных данных о произошедших изменениях.
7. Порядок регистрации информационных систем персональных данных и особенности такой регистрации для информационных систем персональных данных органов государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка устанавливаются Правительством Российской Федерации.
Статья 17. Требования к обеспечению целостности и сохранности персональных данных.
1. Оператор обязан принимать необходимые меры технического (программно-технического) и организационного характера, в том числе с использованием шифровальных (криптографических) средств, которые гарантировали бы целостность персональных данных и их сохранность от случайных или несанкционированных уничтожения, утраты, доступа, изменения или раскрытия. 2. С учетом требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных разрабатывает и утверждает требования к процедурам хранения, обмена и защиты персональных данных и иные условия, которым должны отвечать информационные системы персональных данных.