|
Проект № 217352-4 Федерального закона «О персональных данных»Опубликовано:
22 октября 2006 года Федеральный закон «О персональных данных» был принят Государственной Думой 8 июля 2006 года.
Вносится Правительством РФ Дата внесения: 23.09.2005
Глава 1. Общие положения Статья 1. Основные понятия, используемые в настоящем Федеральном законе 1. В настоящем Федеральном законе используются следующие понятия: 2. Понятия "конфиденциальность" "информация", "доступ к информации", "информационно-телекоммуникационные сети", применяемые в настоящем Федеральном законе, используются в значениях, установленных федеральными законами, регулирующими отношения в области использования и защиты информации. Статья 2. Цель настоящего Федерального закона Целью настоящего Федерального закона является обеспечение защиты прав граждан на неприкосновенность частной жизни при сборе и обработке персональных данных, осуществляемое путем: Статья 3. Сфера действия настоящего Федерального закона 1. Настоящим Федеральным законом регулируются общественные отношения, связанные со сбором и обработкой персональных данных с применением средств автоматизации или без их применения. Нормативными правовыми актами Российской Федерации могут быть установлены особенности обработки персональных данных, осуществляемой без применения средств автоматизации. 2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при: Статья 4. Законодательство Российской Федерации в области персональных данных 1. Законодательство Российской Федерации в области персональных данных основано на Конституции Российской Федерации и состоит из настоящего Федерального закона, иных федеральных законов, а также иных нормативных правовых актов, принимаемых в соответствии с ними. 2. Законодательством Российской Федерации, регулирующим отношения в сфере обороны страны, безопасности государства и охраны правопорядка, могут быть установлены особенности сбора и обработки персональных данных в органах государственной власти. 3. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора. Глава 2. Общие принципы и условия сбора и обработки персональных данных Статья 5. Принципы сбора и обработки персональных данных 1. Сбор и обработка персональных данных должны осуществляться добросовестным и законным способом. 2. Персональные данные должны собираться для законных, предварительно определенных и заявленных целей и в дальнейшем не обрабатываться каким-либо образом, не совместимым с указанными целями. Цель обработки персональных данных должна соответствовать полномочиям и компетенции оператора. Обработка персональных данных для статистических, научных и иных аналогичных целей является допустимой при соблюдении гарантий по обеспечению прав субъектов персональных данных на неприкосновенность частной жизни. 3. Объем и характер обрабатываемых персональных данных, а также способ обработки должны соответствовать целям, для которых они обрабатываются. Персональные данные не должны быть избыточными для достижения целей обработки. Оператор вправе получать от субъекта персональных данных только те персональные данные, которые необходимы для достижения цели их обработки. 4. Персональные данные должны быть точными и актуальными и при необходимости обновляться. 5. Персональные данные должны храниться в форме, позволяющей осуществлять идентификацию субъектов персональных данных, не дольше, чем этого требуют цели, для которых они накапливались, и подлежат уничтожению по достижении целей или утраты необходимости в их достижении. 6. Принципы сбора и обработки персональных данных, установленные настоящей статьей, в полном объеме распространяются на сбор и обработку сведений, характеризующих физиологические особенности организма человека, на основе которых его можно однозначно идентифицировать: отпечатки пальцев, отпечатки ладони, результаты анализа ДНК, цифровой образ лица, сетчатки глаза и другие (биометрические персональные данные). Статья 6. Условия сбора и обработки персональных данных 1. Обработка персональных данных может осуществляться оператором при наличии хотя бы одного из следующих условий: 2. Обработка персональных данных должна осуществляться собственником информационной системы персональных данных. Собственник информационной системы персональных данных вправе на основании договора поручить обработку персональных данных оператору при условии обеспечения конфиденциальности персональных данных, подвергающихся обработке, в том же объеме и на тех же условиях, которые настоящим Федеральным законом установлены для собственника информационной системы персональных данных. Требование об обеспечении конфиденциальности персональных данных является существенным условием договора об оказании услуг по обработке персональных данных. Статья 7. Конфиденциальность персональных данных 1. Операторами и иными лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, указанных в части 2 настоящей статьи. 2. Обеспечение конфиденциальности персональных данных не требуется в случае: Статья 8. Согласие субъекта персональных данных предоставлять свои персональные данные 1. Субъект персональных данных самостоятельно принимает решение о предоставлении кому-либо своих персональных данных. Федеральными законами могут быть установлены случаи обязательного предоставления субъектом своих персональных данных. 2. Обработка персональных данных может проводиться только с согласия субъекта этих персональных данных, за исключением случаев, установленных настоящим Федеральным законом. Обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных лежит на операторе. Настоящим Федеральным законом устанавливаются случаи, когда требуется получение письменного согласия субъекта персональных данных на обработку его персональных данных. 3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать: 4. В случае недееспособности субъекта персональных данных, согласие, требуемое в соответствии с настоящим Федеральным законом, дает его законный представитель. 5. В случае смерти субъекта персональных данных согласие, требуемое в соответствии с настоящим Федеральным законом, дают его наследники. 6. Лицо, обрабатывающее общедоступные персональные данные, по требованию уполномоченного органа по защите прав субъектов персональных данных должно представить доказательства, что обрабатываемые персональные данные относятся к общедоступной информации. Статья 9. Особые категории персональных данных 1. Обработка особых категорий персональных данных, касающихся расового или этнического происхождения, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, сексуальных наклонностей или судимости, не допускается, за исключением случаев, установленных частями 2 и 3 настоящей статьи. 2. Запрет, установленный в части 1 настоящей статьи, не применяется в случае, если: 3. Обработка персональных данных, относящихся к лицам, совершившим административные правонарушения или преступления, может осуществляться помимо органов, указанных в пункте 6 части 2 настоящей статьи, иными органами государственной власти в случае, если такое полномочие предоставлено им законом. 4. Обработка особых категорий персональных данных, производившаяся в случаях, допускаемых частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если исчезают причины, вследствие которых производилась обработка. При этом оператор обязан произвести уничтожение особых категорий персональных данных, если субъект персональных данных не дает согласия на их хранение в информационной системе персональных данных оператора. Статья 10. Передача персональных данных 1. Передача персональных данных оператору третьими лицами, за исключением лиц, указанных в частях 4 и 5 статьи 8 настоящего Федерального закона, а равно передача персональных данных оператором любому третьему лицу допускаются только с письменного согласия субъекта персональных данных. 2. Согласие субъекта персональных данных на передачу его персональных данных не требуется, если: 3. Согласие на передачу персональных данных может быть отозвано субъектом персональных данных. В случае отзыва согласия субъекта персональных данных персональные данные не передаются, а третьи лица, которым стало известно о таком отзыве, получившие персональные данные до отзыва согласия, обязаны предпринять меры по их уничтожению. Статья 11. Трансграничная передача персональных данных 1. Трансграничная передача персональных данных осуществляется при соблюдении требований, установленных настоящим Федеральным законом к обработке и передаче персональных данных, с учетом особенностей, установленных настоящей статьей. 2. Трансграничная передача персональных данных может быть запрещена или ограничена нормативным правовым актом Российской Федерации: 3. При трансграничной передаче персональных данных оператор должен убедиться в том, что в соответствии с международными договорами либо законодательством другого государства, органу власти или лицу которого передаются персональные данные, обеспечивается адекватный уровень защиты прав субъектов персональных данных. 4. Оператор вправе передавать персональные данные органу власти или лицу другого государства, не обеспечивающего адекватный уровень защиты прав субъектов персональных данных, только при условии получения письменного согласия субъекта персональных данных на эту передачу либо в случае, если получение такого согласия физически невозможно, а передача персональных данных необходима для защиты жизни и здоровья субъекта персональных данных. Глава 3. Права субъекта персональных данных Статья 12. Право на доступ к персональным данным 1. Субъект персональных данных имеет право знать о наличии у оператора относящихся к нему персональных данных, быть с ними ознакомлен, а также требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. 2. Оператор обязан бесплатно предоставить субъекту персональных данных возможность ознакомления с его персональными данными, а также внести в них необходимые уточнения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, включенные в информационную систему персональных данных, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О произведенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы. 3. Информация о наличии персональных данных должна быть предоставлена субъекту персональных данных оператором в доступной форме и не должна содержать персональных данных, относящихся к другим субъектам персональных данных. 4. Предоставление персональных данных субъекту персональных данных производится оператором на основании письменного запроса и по предъявлении документа, удостоверяющего личность субъекта персональных данных. Информация о наличии персональных данных и сами персональные данные предоставляются субъекту персональных данных в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего запроса, если при этом не возникает необходимости запросить требуемую информацию у третьих лиц. При необходимости запросить требуемую информацию у третьих лиц срок предоставления ее субъекту персональных данных не может быть более одного месяца. 5. Субъект персональных данных имеет право на получение по запросу следующей информации: 6. Право доступа субъекта персональных данных к персональным данным о себе ограничивается: Статья 13. Право на возражение против обработки персональных данных 1. Субъект персональных данных имеет право высказывать возражение против обработки своих персональных данных, если они используются оператором в целях политической агитации, рекламных или иных аналогичных целях. Указанное возражение может также быть высказано, если у субъекта персональных данных есть основания полагать, что его персональные данные могут или будут использоваться оператором в таких целях. 2. Возражение против обработки своих персональных данных высказывается субъектом персональных данных оператору путем направления соответствующего заявления. По получении возражения субъекта персональных данных оператор обязан прекратить обработку персональных данных. 3. Субъект персональных данных имеет право высказать возражение против обработки своих персональных данных с применением средств автоматизации, если какое-либо решение, имеющее существенные последствия для такого субъекта персональных данных, может быть принято исключительно на основе персональных данных, явившихся результатом их автоматизированной обработки. Если иное не предусмотрено нормативным правовым актом Российской Федерации или договором, заключаемым с субъектом персональных данных, оператор, получив возражения против обработки персональных данных с применением средств автоматизации, должен получить от субъекта персональных данных, высказавшего возражение, согласие на обработку его персональных данных иным способом либо прекратить обработку персональных данных. Статья 14. Право на обжалование 1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением права на неприкосновенность частной жизни, в том числе с нарушением требований настоящего Федерального закона, и не удовлетворяет его требования устранить нарушения, он вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных. 2. В случае установления уполномоченным органом по защите прав субъектов персональных данных неправомерности действий оператора субъект персональных данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Глава 4. Обязанности оператора Статья 15. Получение оператором персональных данных 1. При получении персональных данных от субъекта персональных данных оператор обязан предоставить субъекту персональных данных следующую информацию: Если обязанность предоставления персональных данных установлена федеральным законом, оператор должен сообщить субъекту персональных данных о правовых последствиях отказа предоставить персональные данные. 2. В случае проведения научных, статистических и иных исследований оператор обязан осуществить обезличивание получаемых персональных данных. Защита результатов обработки обезличенных данных в случае их отнесения к сведениям, составляющим государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне. Статья 16. Регистрация информационных систем персональных данных 1. Оператор до начала обработки персональных данных обязан зарегистрировать информационную систему персональных данных в уполномоченном органе по защите прав субъектов персональных данных. Обработка персональных данных без регистрации информационной системы персональных данных не допускается, за исключением случаев, установленных в настоящей статье. 2. Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка исключительно персональных данных: Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка персональных данных без использования средств автоматизации, если нормативным правовым актом Российской Федерации установлены иные требования, обеспечивающие целостность и сохранность персональных данных при их обработке в такой информационной системе. Не требуется регистрация информационной системы персональных данных, если условием получения лицензии на осуществление оператором деятельности, предусматривающей обработку персональных данных, является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных. Правительство Российской Федерации вправе установить дополнительные случаи, при которых не требуется регистрация информационных систем персональных данных применительно к определенным информационным системам персональных данных и (или) максимальному числу субъектов, персональные данные которых обрабатываются в таких информационных системах. 3. Регистрация информационных систем персональных данных производится бесплатно. 4. Регистрация информационной системы персональных данных осуществляется на основании заявления оператора, в котором должна содержаться следующая информация: Указанная информация включается в реестр информационных систем персональных данных. 5. Заявление о регистрации информационной системы персональных данных должно быть направлено в письменной форме и подписано уполномоченным лицом (либо в электронной форме и подписано электронной подписью, если предусмотрена такая возможность). 6. В случае возникновения изменений в сведениях, содержащихся в заявлении о регистрации информационной системы персональных данных, оператор в течение 3 дней с даты возникновения таких изменений письменно уведомляет уполномоченный орган по защите прав субъектов персональных данных о произошедших изменениях. 7. Порядок регистрации информационных систем персональных данных и особенности такой регистрации для информационных систем персональных данных органов государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка устанавливаются Правительством Российской Федерации. Статья 17. Требования к обеспечению целостности и сохранности персональных данных 1. Оператор обязан принимать необходимые меры технического (программно-технического) и организационного характера, в том числе с использованием шифровальных (криптографических) средств, которые гарантировали бы целостность персональных данных и их сохранность от случайных или несанкционированных уничтожения, утраты, доступа, изменения или раскрытия. 2. С учетом требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных разрабатывает и утверждает требования к процедурам хранения, обмена и защиты персональных данных и иные условия, которым должны отвечать информационные системы персональных данных. Статья 18. Особенности регистрации информационных систем персональных данных, реализующих требования к обеспечению целостности и сохранности персональных данных с помощью шифровальных (криптографических) средств 1. Информационные системы персональных данных, в которых требования к обеспечению целостности и сохранности персональных данных реализуются с помощью сертифицированных шифровальных (криптографических) средств, регистрируются в упрощенном порядке. 2. Упрощенный порядок регистрации информационных систем персональных данных устанавливается Правительством Российской Федерации. Статья 19. Обязанности оператора по уточнению, блокированию и уничтожению персональных данных 1. В случае выявления недостоверности персональных данных или неправомерности действий с ними оператора по заявлению субъекта персональных данных оператор обязан заблокировать его персональные данные с момента получения такого заявления на период его проверки. 2. В случае подтверждения факта недостоверности персональных данных оператор обязан на основании документов, представленных субъектом персональных данных, исправить их и снять блокирование. 3. В случае установления неправомерности действий с персональными данными либо достижения цели их обработки оператор обязан уничтожить соответствующие данные в срок, не превышающий 3 дней с даты такого установления, и официально уведомить об этом субъекта персональных данных, если иное не предусмотрено федеральными законами. Статья 20. Обязанности оператора персональных данных, касающиеся ответа на запрос субъекта персональных данных 1. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение 10 дней с даты получения запроса в порядке, предусмотренном статьей 12 настоящего Федерального закона. 2. В случае отказа в предоставлении субъекту персональных данных по его требованию информации о наличии персональных данных о нем, а также самих персональных данных оператор обязан дать письменный мотивированный ответ, содержащий ссылку на положение, указанное в статье 12 настоящего Федерального закона или в иных федеральных законах, являющееся основанием для такого отказа, в срок, не превышающий 7 дней с даты получения запроса субъекта персональных данных. Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований по защите персональных данных Статья 21. Уполномоченный орган по защите прав субъектов персональных данных 1. Правительство Российской Федерации определяет уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона. 2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания и способов обработки персональных данных цели их обработки и принимает соответствующее решение. 3. Уполномоченный орган по защите персональных данных имеет право: 4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться их конфиденциальность. 5. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке. 6. Уполномоченный орган по защите прав субъектов персональных данных ежегодно представляет отчет о своей деятельности в Правительство Российской Федерации. Отчет публикуется в средствах массовой информации. Статья 22. Реестр информационных систем персональных данных 1. Информация, предоставленная в соответствии с частью 4 статьи 16 настоящего Федерального закона, дата регистрации информационной системы персональных данных (или ее аннулирования) должны быть занесены в реестр информационных систем персональных данных, который ведется уполномоченным органом по защите прав субъектов персональных данных. 2. Информация, содержащаяся в реестре информационных систем персональных данных, за исключением сведений о средствах обеспечения целостности и сохранности персональных данных, является общедоступной. Статья 23. Идентификаторы персональных данных 1. Органы государственной власти Российской Федерации, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при реализации своих полномочий присваивают уникальные и постоянные для каждого лица идентификаторы персональных данных, формируемые в соответствии с законодательством Российской Федерации. 2. Идентификаторы персональных данных должны применяться в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления в соответствии с порядком использования таких идентификаторов, установленных нормативными правовыми актами Российской Федерации, и при соблюдении требований к обеспечению конфиденциальности персональных данных. 3. Оператор не вправе, за исключением случаев, предусмотренных законодательством Российской Федерации: Статья 24. Государственный регистр населения Российской Федерации 1. В целях обеспечения непротиворечивости содержащихся в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления персональных данных физических лиц, постоянно или временно проживающих или пребывающих на территории Российской Федерации, создается государственный регистр населения Российской Федерации. 2. Государственный регистр населения Российской Федерации содержит идентификаторы персональных данных всех физических лиц, постоянно или временно проживающих или пребывающих на территории Российской Федерации. 3. Государственный регистр населения Российской Федерации ведется уполномоченным федеральным органом исполнительной власти, определяемым Президентом Российской Федерации. Статья 25. Ответственность за нарушение требований о защите персональных данных 1. В случае нарушения оператором требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных может аннулировать регистрацию информационной системы персональных данных либо потребовать устранения нарушения. После аннулирования регистрации информационной системы персональных данных обработка персональных данных в ней запрещается. Персональные данные, обработанные до аннулирования регистрации, подлежат уничтожению, если иное не установлено нормативными правовыми актами Российской Федерации применительно к персональным данным, содержащимся в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления. Оператор, регистрация информационной системы персональных данных которого аннулирована, обязан в срок, не превышающий 5 рабочих дней с даты аннулирования регистрации, уведомить уполномоченный орган по защите прав субъектов персональных данных об уничтожении персональных данных, обработанных до аннулирования регистрации. 2. В случае нарушения права на неприкосновенность частной жизни при обработке персональных данных оператор несет предусмотренную законодательством Российской Федерации ответственность. Статья 26. Заключительные положения 1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования, за исключением абзаца второго части 1 статьи 16 настоящего Федерального закона. 2. Абзац второй части 1 статьи 16 настоящего Федерального закона вступает в силу с 1 января 2007 года. Президент
Источник: Автоматизированная система обеспечения законодательной деятельности, http://asozd.duma.gov.ru. Постоянный адрес этой страницы: www.russianlaw.net/law/confidential_data/pd/z54/ |