Фз 152 ст7 від 27.07 06. Федеральний закон про персональні дані. Порядок використання персональних даних

Федеральний законрегулює відносини, що виникають при здійсненні права на пошук, отримання, передачу, виробництво та розповсюдження інформації, при застосуванні інформаційні технології, а також при забезпеченні захисту інформації, за винятком відносин, що виникають під час охорони результатів інтелектуальної діяльностіта прирівняних до них засобів індивідуалізації.

Розробка нового базового законодавчого акта у сфері обумовлена ​​необхідністю уніфікації як із понятійної, і змістовної погляду принципів і правил регулювання інформаційних відносин, усунення низки прогалин у регулюванні та наближення законодавства РФ до міжнародної практики регулювання інформаційних відносин.

Федеральний закон наводить понятійний апарат та механізми регулювання у відповідність до практики застосування інформаційних технологій, визначає правовий статусрізних категорій інформації, що закріплює положення про регулювання створення та експлуатації інформаційних систем, Загальні вимогидля використання інформаційно-телекомунікаційних мереж, встановлює принципи регулювання суспільних відносин, пов'язані з використанням інформації.

Закріплюється принцип свободи пошуку, отримання, передачі, виробництва та поширення інформації будь-яким законним способом. У цьому обмеження доступу інформації можуть встановлюватися лише федеральними законами.

Закон містить положення, спрямовані на захист від недобросовісного використання або зловживання можливостями засобів розповсюдження інформації, за яких користувачам нав'язується непотрібна інформація. Зокрема, інформація повинна включати достовірні відомості про її власника або про іншу особу - розповсюджувача у формі та в обсязі, які є достатніми для ідентифікації такої особи. При використанні для поширення інформації засобів, що дозволяють визначати одержувачів інформації, у тому числі поштових відправленьта електронних повідомлень, особа, яка розповсюджує інформацію, зобов'язана забезпечити одержувачу можливість відмовитися від такої інформації.

Встановлено основні правила та засоби захисту прав на інформацію, захисту самої інформації шляхом прийняття основних правових, організаційних та технічних (програмно-технічних) заходів щодо її захисту. Права власника інформації, що міститься у базах даних інформаційної системи, підлягають охороні незалежно від авторських та інших прав таких бази даних.

Інформація в залежності від категорії доступу до неї поділяється на загальнодоступну інформацію, а також інформацію, доступ до якої обмежений федеральними законами (інформація обмеженого доступу). Встановлюється перелік інформації, доступ до якої не може бути обмежений (наприклад, про діяльність органів влади та використання бюджетних коштів), інформації, що подається на безоплатній основі.

Закріплено пряму заборону на вимогу від громадянина (фізичної особи) надання інформації про нього приватного життя, у тому числі інформації, що становить особисту або сімейну таємницю, і отримання такої інформації крім волі громадянина (фізичної особи) Виняток можуть становити лише випадки, прямо передбачені федеральними законами.

З дня набрання чинності Федеральним законом визнається такими, що втратили чинність Федеральний закон від 20 лютого 1995 р. N 24-ФЗ "Про інформацію, інформатизації та захист інформації".

З метою цього Федерального закону використовуються такі основні поняття:

1) персональні дані - будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи визначеної фізичної особи (суб'єкта персональних даних);

2) оператор - державний орган, муніципальний орган, юридична або фізична особа, що самостійно або спільно з іншими особами організують та (або) здійснюють обробку персональних даних, а також визначальні цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції) , що здійснюються з персональними даними;

3) обробка персональних даних - будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збирання, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), вилучення, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних;

4) автоматизована обробка персональних даних – обробка персональних даних за допомогою засобів обчислювальної техніки;

5) розповсюдження персональних даних - дії, спрямовані на розкриття персональних даних певному колуосіб;

6) надання персональних даних - дії, спрямовані на розкриття персональних даних певній особі чи певному колу осіб;

7) блокування персональних даних - тимчасове припинення обробки персональних даних (крім випадків, якщо обробка необхідна уточнення персональних данных);

8) знищення персональних даних - дії, внаслідок яких стає неможливим відновити зміст персональних даних в інформаційній системі персональних даних та (або) внаслідок яких знищуються матеріальні носії персональних даних;

9) знеособлення персональних даних - дії, у яких стає неможливим без використання додаткової інформації визначити належність персональних даних конкретному суб'єкту персональних даних;

10) інформаційна система персональних даних - сукупність що містяться в базах даних персональних даних та забезпечують їх обробку інформаційних технологій та технічних засобів;

11) транскордонна передача персональних даних - передача персональних даних на територію іноземної держави до органу влади іноземної держави, іноземної фізичної особи або іноземної юридичної особи.

Стаття 4. Законодавство Російської Федерації у сфері персональних даних

1. Законодавство Російської Федераціїв області персональних даних ґрунтується на Конституції Російської Федерації та міжнародних договорах Російської Федерації та складається з цього Федерального закону та інших визначальних випадки та особливості обробки персональних даних федеральних законів.

2. На підставі та на виконання федеральних законів державні органи, Банк Росії, органи місцевого самоврядуванняв межах своїх повноважень можуть приймати нормативні правові акти, нормативні акти, правові акти (далі - нормативні правові акти) окремим питанням, Що стосується обробки персональних даних Такі акти не можуть містити положення, що обмежують права суб'єктів персональних даних, що встановлюють не передбачені федеральними законами обмеження діяльності операторів або покладають на операторів не передбачені федеральними законами обов'язки та підлягають офіційному опублікуванню. (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

3. Особливості обробки персональних даних, що здійснюється без використання засобів автоматизації, можуть бути встановлені федеральними законами та іншими нормативними правовими актамиРосійської Федерації з урахуванням положень цього Закону.

4. Якщо міжнародним договоромРосійської Федерації встановлено інші правила, ніж, передбачені цим Федеральним законом, застосовуються правила міжнародного договору.

Глава 2. ПРИНЦИПИ І УМОВИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

Стаття 5. Принципи обробки персональних даних (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1. Обробка персональних даних має здійснюватися на законній та справедливій основі.

2. Обробка персональних даних повинна обмежуватися досягненням конкретних, заздалегідь визначених та законних цілей. Не допускається обробка персональних даних, несумісна з метою збору персональних даних.

3. Не допускається об'єднання баз даних, що містять персональні дані, обробка яких здійснюється з метою, несумісною між собою.

4. Обробці підлягають лише персональні дані, що відповідають цілям їхньої обробки.

5. Зміст та обсяг оброблюваних персональних даних повинні відповідати заявленим цілям обробки. Персональні дані, що обробляються, не повинні бути надмірними по відношенню до заявлених цілей їх обробки.

6. При обробці персональних даних повинні бути забезпечені точність персональних даних, їх достатність, а необхідних випадкахта актуальність по відношенню до цілей обробки персональних даних. Оператор повинен вживати необхідних заходів або забезпечувати їх прийняття за видаленням або уточненням неповних або неточних даних.

7. Зберігання персональних даних має здійснюватися у формі, що дозволяє визначити суб'єкта персональних даних, не довше, ніж цього вимагають мети обробки персональних даних, якщо термін зберігання персональних даних не встановлений федеральним законом, договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт персональних даних даних. Оброблювані персональні дані підлягають знищенню чи знеособлення по досягненні цілей обробки чи разі втрати необхідності у досягненні цих цілей, якщо інше не передбачено федеральним законом.

Стаття 6. Умови обробки персональних даних (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1. Обробка персональних даних повинна здійснюватися з дотриманням принципів та правил, передбачених цим Законом. Обробка персональних даних допускається у таких випадках:

1) обробка персональних даних здійснюється за згодою суб'єкта персональних даних на обробку його персональних даних;

2) обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором Російської Федерації або законом, для здійснення та виконання покладених законодавством Російської Федерації на оператора функцій, повноважень та обов'язків;

3) обробка персональних даних здійснюється згідно з участю особи у конституційному, цивільному, адміністративному, кримінальному судочинстві, судочинстві арбітражних судах; (У ред. Федерального закону від 29.07.2017 N 223-ФЗ)

3.1) обробка персональних даних необхідна для виконання судового акту, акта іншого органу або посадової особи, що підлягають виконанню відповідно до законодавства Російської Федерації про виконавчому провадженні(далі – виконання судового акта); (У ред. Федерального закону від 29.07.2017 N 223-ФЗ)

4) обробка персональних даних необхідна для виконання повноважень федеральних органів виконавчої влади, органів державних позабюджетних фондів, виконавчих органів державної владисуб'єктів Російської Федерації, органів місцевого самоврядування та функцій організацій, що беруть участь у наданні відповідно державних та муніципальних послуг, передбачених Федеральним законом від 27 липня 2010 року N 210-ФЗ "Про організацію надання державних та муніципальних послуг", включаючи реєстрацію суб'єкта персональних даних на єдиному порталі державних та муніципальних послуг та (або) регіональних порталах державних та муніципальних послуг; (У ред. Федерального закону від 05.04.2013 N 43-ФЗ)

5) обробка персональних даних необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт персональних даних, а також для укладання договору з ініціативи суб'єкта персональних даних або договору, за яким суб'єкт персональних даних буде вигодонабувачем або поручителем; (У ред. Федеральних законів від 21.12.2013 N 363-ФЗ, від 03.07.2016 N 231-ФЗ)

6) обробка персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних, якщо отримання згоди суб'єкта персональних даних неможливе;

7) обробка персональних даних необхідна для здійснення прав та законних інтересів оператора або третіх осіб, у тому числі у випадках, передбачених Федеральним законом "Про захист прав та законних інтересів фізичних осібпри здійсненні діяльності щодо повернення простроченої заборгованості та про внесення змін до Федерального закону "Про мікрофінансову діяльність та мікрофінансові організації", або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права і свободи суб'єкта персональних даних; (У ред. Федерального закону від 03.07.2016 N 231-ФЗ)

8) обробка персональних даних необхідна для здійснення професійної діяльностіжурналіста та (або) законної діяльності засобу масової інформації або наукової, літературної чи іншої творчої діяльності за умови, що при цьому не порушуються права та законні інтересисуб'єкта персональних даних;

9) обробка персональних даних здійснюється у статистичних або інших дослідницьких цілях, за винятком цілей, зазначених у цьому Федеральному законі, за умови обов'язкового знеособлення персональних даних;

10) здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних або на його прохання (далі - персональні дані, зроблені загальнодоступними суб'єктом персональних даних);

11) здійснюється обробка персональних даних, що підлягають опублікуванню або обов'язковому розкриттю відповідно до федерального закону.

1.1. Обробка персональних даних об'єктів державної охоронита членів їх сімей здійснюється з урахуванням особливостей, передбачених Федеральним законом від 27 травня 1996 N 57-ФЗ "Про державну охорону". (У ред. Федерального закону від 01.07.2017 N 148-ФЗ)

3. Оператор має право доручити обробку персональних даних іншій особі за згодою суб'єкта персональних даних, якщо інше не передбачено федеральним законом, на підставі укладеного з цією особою договору, у тому числі державного або муніципального контракту, або шляхом прийняття державним або муніципальним органом відповідного акту(Далі - доручення оператора). Особа, яка здійснює обробку персональних даних за дорученням оператора, зобов'язана дотримуватися принципів і правил обробки персональних даних, передбачених цим Федеральним законом. У дорученні оператора повинні бути визначені перелік дій (операцій) з персональними даними, які будуть здійснюватися особою, що здійснює обробку персональних даних, та мети обробки, має бути встановлений обов'язок такої особи дотримуватися конфіденційності персональних даних та забезпечувати безпеку персональних даних при їх обробці, а також повинні бути зазначені вимоги до захисту оброблюваних персональних даних відповідно до цього Закону.

4. Особа, яка здійснює обробку персональних даних за дорученням оператора, не зобов'язана отримувати згоду суб'єкта персональних даних на обробку його персональних даних.

5. Якщо оператор доручає обробку персональних даних іншій особі, відповідальність перед суб'єктом персональних даних за дії зазначеної особи несе оператор. Особа, яка здійснює обробку персональних даних за дорученням оператора, відповідає перед оператором.

Стаття 7. Конфіденційність персональних даних (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

Оператори та інші особи, які отримали доступ до персональних даних, зобов'язані не розкривати третім особам і не поширювати персональні дані без згоди суб'єкта персональних даних, якщо інше не передбачено федеральним законом."

Стаття 8. Загальнодоступні джерела персональних даних

1. З метою інформаційного забезпечення можуть створюватись загальнодоступні джерела персональних даних (у тому числі довідники, адресні книги). До загальнодоступних джерел персональних даних за письмовою згодою суб'єкта персональних даних можуть включатися його прізвище, ім'я, по батькові, рік та місце народження, адреса, абонентський номер, відомості про професію та інші персональні дані, що повідомляються суб'єктом персональних даних. (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

2. Відомості про суб'єкта персональних даних повинні бути у будь-який час виключені із загальнодоступних джерел персональних даних на вимогу суб'єкта персональних даних або за рішенням суду чи інших уповноважених державних органів. (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

Стаття 9. Згода суб'єкта персональних даних на обробку його персональних даних (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1. Суб'єкт персональних даних приймає рішення про надання його персональних даних та дає згоду на їх обробку вільно, своєю волею та у своєму інтересі. Згода на обробку персональних даних має бути конкретною, поінформованою та свідомою. Згода на обробку персональних даних може бути дано суб'єктом персональних даних або його представником у будь-якій, що дозволяє підтвердити факт його отримання формі, якщо інше не встановлено федеральним законом. У разі отримання згоди на обробку персональних даних від представника суб'єкта персональних даних повноваження даного представника на надання згоди від імені суб'єкта персональних даних перевіряються оператором.

2. Згода на обробку персональних даних може бути відкликана суб'єктом персональних даних. У разі відкликання суб'єктом персональних даних згоди на обробку персональних даних оператор має право продовжити обробку персональних даних без згоди суб'єкта персональних даних за наявності підстав, зазначених у пунктах - частини 1 статті 6, статті 10 та статті 11 цього Закону.

3. Обов'язок надати доказ отримання згоди суб'єкта персональних даних на обробку його персональних даних або доказ наявності підстав, зазначених у пункті – частини 1 статті 6, статті 10 та статті 11 цього Закону, покладається на оператора.

4. У випадках, передбачених федеральним законом, обробка персональних даних здійснюється лише за згодою в письмовій формі суб'єкта персональних даних. Рівнозначним суб'єкта персональних даних, що містить власноручний підпис, згодою у письмовій формі на паперовому носії визнається згоду у формі електронного документа, підписаного відповідно до федерального закону електронним підписом. Згода у письмовій формі суб'єкта персональних даних на обробку його персональних даних повинна включати, зокрема:

1) прізвище, ім'я, по батькові, адресу суб'єкта персональних даних, номер основного документа, що засвідчує його особу, відомості про дату видачі зазначеного документа та орган, що його видав;

2) прізвище, ім'я, по батькові, адресу представника суб'єкта персональних даних, номер основного документа, що засвідчує його особу, відомості про дату видачі зазначеного документа та орган, що видав його, реквізити довіреності або іншого документа, що підтверджує повноваження цього представника (при отриманні згоди від представника персональних даних);

3) найменування або прізвище, ім'я, по батькові та адресу оператора, який отримує згоду суб'єкта персональних даних;

4) ціль обробки персональних даних;

5) перелік персональних даних, на обробку яких надається згода суб'єкта персональних даних;

6) найменування або прізвище, ім'я, по батькові та адресу особи, яка здійснює обробку персональних даних за дорученням оператора, якщо обробка буде доручена такій особі;

7) перелік дій із персональними даними, на вчинення яких дається згоду, загальний опис використовуваних оператором способів обробки персональних даних;

8) термін, протягом якого діє згоду суб'єкта персональних даних, і навіть спосіб його відкликання, якщо інше встановлено федеральним законом;

9) підпис суб'єкта персональних даних.

5. Порядок отримання у формі електронного документа згоди суб'єкта персональних даних на обробку його персональних даних з метою надання державних та муніципальних послуг, а також послуг, які є необхідними та обов'язковими для надання державних та муніципальних послуг, встановлюється Урядом Російської Федерації.

6. У разі недієздатності суб'єкта персональних даних згоду на обробку його персональних даних дає законний представник суб'єкта персональних даних.

7. У разі смерті суб'єкта персональних даних згоду на обробку його персональних даних дають спадкоємці суб'єкта персональних даних, якщо така згода не була надана суб'єктом персональних даних за його життя.

8. Персональні дані можуть бути отримані оператором від особи, яка не є суб'єктом персональних даних, за умови надання оператору підтвердження наявності підстав, зазначених у пунктах - частини 1 статті 6, статті 10 та статті 11 цього Закону.

Стаття 10. Спеціальні категорії персональних даних

1. Обробка спеціальних категорій персональних даних, що стосуються расової, національної приналежності, політичних поглядів, релігійних чи філософських переконань, стану здоров'я, інтимного життя, не допускається, за винятком випадків, передбачених частиною 2 цієї статті.

2. Обробка зазначених у частині 1 цієї статті спеціальних категорій персональних даних допускається у випадках, якщо:

1) суб'єкт персональних даних дав згоду у письмовій формі на обробку своїх персональних даних;

2) персональні дані зроблено загальнодоступними суб'єктом персональних даних; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

2.1) обробка персональних даних необхідна у зв'язку з реалізацією міжнародних договорів Російської Федерації про реадмісію; (У ред. Федерального закону від 25.11.2009 N 266-ФЗ)

2.2) обробка персональних даних здійснюється відповідно до Федерального закону від 25 січня 2002 року N 8-ФЗ "Про Всеросійський перепис населення"; (У ред. Федерального закону від 27.07.2010 N 204-ФЗ)

2.3) обробка персональних даних здійснюється відповідно до законодавства про державну соціальної допомоги, трудовим законодавством, Пенсійним законодавством Російської Федерації; (У ред. Федеральних законів від 25.07.2011 N 261-ФЗ, від 21.07.2014 N 216-ФЗ)

3) обробка персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних або життя, здоров'я або інших життєво важливих інтересів інших осіб та отримання згоди суб'єкта персональних даних неможливе; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

4) обробка персональних даних здійснюється в медико-профілактичних цілях, з метою встановлення медичного діагнозу, надання медичних та медико-соціальних послуг за умови, що обробка персональних даних здійснюється особою, яка професійно займається медичною діяльністюта зобов'язаним відповідно до законодавства Російської Федерації зберігати лікарську таємницю;

5) обробка персональних даних членів (учасників) громадського об'єднання або релігійної організації здійснюється відповідним громадським об'єднанням або релігійною організацією, що діють відповідно до законодавства Російської Федерації, для досягнення законних цілей, передбачених їх установчими документами, за умови, що персональні дані не поширюватимуться без згоди у письмовій формі суб'єктів персональних даних;

6) обробка персональних даних необхідна для встановлення або здійснення прав суб'єкта персональних даних або третіх осіб, а також у зв'язку із здійсненням правосуддя; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

7) обробка персональних даних здійснюється відповідно до законодавства Російської Федерації про оборону, про безпеку, про протидію тероризму, про транспортної безпеки, Про протидію корупції, про оперативно-розшукову діяльність, про виконавче провадження, кримінально-виконавчим законодавством Російської Федерації; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

7.1) обробка отриманих у встановлених законодавством Російської Федерації випадках персональних даних здійснюється органами прокуратури у зв'язку із здійсненням ними прокурорського нагляду; (У ред. Федерального закону від 23.07.2013 N 205-ФЗ)

8) обробка персональних даних здійснюється відповідно до законодавства про обов'язкові види страхування, зі страховим законодавством; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

9) обробка персональних даних здійснюється у випадках, передбачених законодавством України, державними органами, муніципальними органами чи організаціями з метою влаштування дітей, що залишилися без піклування батьків, на виховання у сім'ї громадян; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

10) обробка персональних даних здійснюється відповідно до законодавства України про громадянство Російської Федерації. (У ред. Федерального закону від 04.06.2014 N 142-ФЗ)

3. Обробка персональних даних про судимості може здійснюватися державними органами або муніципальними органами в межах повноважень, наданих їм відповідно до законодавства Російської Федерації, а також іншими особами у випадках та в порядку, що визначаються відповідно до федеральних законів.

4. Обробка спеціальних категорій персональних даних, що здійснювалася у випадках, передбачених частинами 2 і 3 цієї статті, має бути негайно припинено, якщо усунуті причини, внаслідок яких здійснювалася обробка, якщо інше не встановлено федеральним законом. (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

Стаття 11. Біометричні персональні дані (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1. Відомості, що характеризують фізіологічні та біологічні особливості людини, на підставі яких можна встановити її особу (біометричні персональні дані) та які використовуються оператором для встановлення особи суб'єкта персональних даних, можуть оброблятися лише за наявності згоди у письмовій формі суб'єкта персональних даних, за винятком випадків, передбачених частиною 2 цієї статті.

2. Обробка біометричних персональних даних може здійснюватися без згоди суб'єкта персональних даних у зв'язку з реалізацією міжнародних договорів Російської Федерації про реадмісію, у зв'язку із здійсненням правосуддя та виконанням судових актів, у зв'язку з проведенням обов'язкової державної дактилоскопічної реєстрації, а також у випадках, передбачених законодавством Російської Федерації про оборону, про безпеку, про протидію тероризму, про транспортну безпеку, про протидію корупції, про оперативно-розшукову діяльність, про державній службі, кримінально-виконавчим законодавством України, законодавством України про порядок виїзду з України і в'їзду до Російської Федерації, про громадянство України. (У ред. Федеральних законів від 04.06.2014 N 142-ФЗ, від 31.12.2017 N 498-ФЗ)

Стаття 12. Транскордонна передача персональних даних (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1. Транскордонна передача персональних даних біля іноземних держав, які є сторонами Конвенції Ради Європи про захист фізичних осіб при автоматизованій обробці персональних даних, а також інших іноземних держав, що забезпечують адекватний захист прав суб'єктів персональних даних, здійснюється відповідно до цього Федерального закону і може бути заборонена або обмежена з метою захисту основ конституційного ладуРосійської Федерації, моральності, здоров'я, правий і законних інтересів громадян, забезпечення оборони держави та безпеки держави.

2. Уповноважений орган захисту прав суб'єктів персональних даних затверджує перелік іноземних держав, які не є сторонами Конвенції Ради Європи про захист фізичних осіб при автоматизованій обробці персональних даних та забезпечують адекватний захист прав суб'єктів персональних даних. Держава, яка не є стороною Конвенції Ради Європи про захист фізичних осіб при автоматизованій обробці персональних даних, може бути включена до переліку іноземних держав, які забезпечують адекватний захист прав суб'єктів персональних даних, за умови відповідності до положень зазначеної Конвенції чинних у відповідній державі норм права та вживаних заходів безпеки персональні дані.

3. Оператор зобов'язаний переконатися в тому, що іноземною державою, на територію якої здійснюється передача персональних даних, забезпечується адекватний захист прав суб'єктів персональних даних до початку здійснення транскордонної передачі персональних даних.

4. Транскордонна передача персональних даних на території іноземних держав, які не забезпечують адекватного захисту прав суб'єктів персональних даних, може здійснюватися у випадках:

1) наявності згоди у письмовій формі суб'єкта персональних даних на транскордонну передачу його персональних даних;

2) передбачених міжнародними договорами Російської Федерації;

3) передбачених федеральними законами, якщо це необхідно з метою захисту основ конституційного ладу Російської Федерації, забезпечення оборони країни та безпеки держави, а також забезпечення безпеки сталого та безпечного функціонування транспортного комплексу, захисту інтересів особи, суспільства та держави у сфері транспортного комплексу від актів незаконного втручання;

4) виконання договору, стороною якого є суб'єкт персональних даних;

5) захисту життя, здоров'я, інших життєво важливих інтересів суб'єкта персональних даних або інших осіб за неможливості отримання згоди у письмовій формі суб'єкта персональних даних.

Стаття 13. Особливості обробки персональних даних у державних чи муніципальних інформаційних системах персональних даних

1. Державні органи, муніципальні органи створюють у межах своїх повноважень, встановлених відповідно до федеральних законів, державні або муніципальні інформаційні системи персональних даних.

2. Федеральними законами можуть бути встановлені особливості обліку персональних даних у державних та муніципальних інформаційних системах персональних даних, у тому числі використання різних способів позначення власності персональних даних, що містяться у відповідній державній або муніципальній інформаційній системі персональних даних, конкретному суб'єкту персональних даних.

3. Права та свободи людини і громадянина не можуть бути обмежені за мотивами, пов'язаними з використанням різних способів обробки персональних даних або позначення належності персональних даних, що містяться в державних або муніципальних інформаційних системах персональних даних, конкретному суб'єкту персональних даних. Не допускається використання тих, хто ображає почуття громадян або принижує людську гідність, способів позначення належності персональних даних, що містяться в державних або муніципальних інформаційних системах персональних даних, конкретному суб'єкту персональних даних.

4. З метою забезпечення реалізації прав суб'єктів персональних даних у зв'язку з обробкою їх персональних даних у державних або муніципальних інформаційних системах персональних даних може бути створено державний регістрнаселення, правовий статус якого та порядок роботи з яким встановлюються федеральним законом.

Глава 3. ПРАВА СУБ'ЄКТУ ПЕРСОНАЛЬНИХ ДАНИХ

Стаття 14. Право суб'єкта персональних даних на доступ до його персональних даних (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1. Суб'єкт персональних даних має право на отримання відомостей, зазначених у частині 7 цієї статті, за винятком випадків, передбачених частиною 8 цієї статті. Суб'єкт персональних даних має право вимагати від оператора уточнення його персональних даних, їх блокування або знищення у разі, якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки, а також вживати передбачених законом заходів щодо захисту своїх прав .

2. Відомості, зазначені в частині 7 цієї статті, повинні бути надані суб'єкту персональних даних оператором у доступній формі, і в них не повинні утримуватись персональні дані, що належать до інших суб'єктів персональних даних, за винятком випадків, якщо є законні підставина розкриття таких персональних даних.

3. Відомості, зазначені в частині 7 цієї статті, надаються суб'єкту персональних даних або його представнику оператором при зверненні або отриманні запиту суб'єкта персональних даних або його представника. Запит повинен містити номер основного документа, що засвідчує особу суб'єкта персональних даних або його представника, відомості про дату видачі зазначеного документа та орган, що видав його, відомості, що підтверджують участь суб'єкта персональних даних у відносинах з оператором (номер договору, дата укладання договору, умовне словесне позначення та (або) інші відомості), або відомості, що іншим чином підтверджують факт обробки персональних даних оператором, підпис суб'єкта персональних даних або його представника. Запит може бути направлений у формі електронного документа та підписаний електронним підписом відповідно до законодавства Російської Федерації.

4. У випадку, якщо відомості, зазначені в частині 7 цієї статті, а також оброблювані персональні дані були надані для ознайомлення суб'єкту персональних даних на його запит, суб'єкт персональних даних має право звернутися повторно до оператора або направити йому повторний запит з метою отримання відомостей, зазначених у частині 7 цієї статті, та ознайомлення з такими персональними даними не раніше ніж через тридцять днів після початкового звернення або направлення первинного запиту, якщо більш короткий термін не встановлено федеральним законом, прийнятим відповідно до нього нормативного правового акту або договору, стороною якого або вигодонабувачем або поручителем яким є суб'єкт персональних даних.

5. Суб'єкт персональних даних має право звернутися повторно до оператора або направити йому повторний запит з метою отримання відомостей, зазначених у частині 7 цієї статті, а також з метою ознайомлення з оброблюваними персональними даними до закінчення строку, зазначеного у частині 4 цієї статті, у разі, якщо такі відомості та (або) оброблювані персональні дані не були надані йому для ознайомлення в повному обсязіза наслідками розгляду первинного звернення. Повторний запит поряд із відомостями, зазначеними у частині 3 цієї статті, повинен містити обґрунтування направлення повторного запиту.

6. Оператор має право відмовити суб'єкту персональних даних у виконанні повторного запиту, що не відповідає умовам, передбаченим частинами 4 та 5 цієї статті. Така відмова має бути мотивованою. Обов'язок подання доказів обґрунтованості відмови у виконанні повторного запиту лежить на операторі.

7. Суб'єкт персональних даних має право на отримання інформації, що стосується обробки його персональних даних, у тому числі:

1) підтвердження факту обробки персональних даних оператором;

2) правові підстави та цілі обробки персональних даних;

3) цілі та застосовувані оператором способи обробки персональних даних;

4) найменування та місце знаходження оператора, відомості про осіб (за винятком працівників оператора), які мають доступ до персональних даних або яким можуть бути розкриті персональні дані на підставі договору з оператором або на підставі федерального закону;

5) оброблювані персональні дані, які стосуються відповідного суб'єкту персональних даних, джерело їх отримання, якщо інший порядок подання таких даних не передбачено федеральним законом;

6) терміни обробки персональних даних, зокрема терміни їх зберігання;

7) порядок здійснення суб'єктом персональних даних прав, передбачених цим Федеральним законом;

8) інформацію про здійснену або про передбачувану транскордонну передачу даних;

9) найменування або прізвище, ім'я, по батькові та адресу особи, яка здійснює обробку персональних даних за дорученням оператора, якщо обробка доручена або буде доручена такій особі;

10) інші відомості, передбачені цим Федеральним законом чи іншими федеральними законами.

8. Право суб'єкта персональних даних на доступ до його персональних даних може бути обмежено відповідно до федеральних законів, у тому числі якщо:

1) обробка персональних даних, включаючи персональні дані, отримані в результаті оперативно-розшукової, контррозвідувальної та розвідувальної діяльності, здійснюється з метою оборони країни, безпеки держави та охорони правопорядку;

2) обробка персональних даних здійснюється органами, що здійснили затримання суб'єкта персональних даних за підозрою у скоєнні злочину, або пред'явили суб'єкту персональних даних обвинувачення у кримінальній справі, або застосували до суб'єкта персональних даних запобіжний захід до пред'явлення обвинувачення, за винятком передбачених кримінально-процесуальним законодавством випадків, якщо допускається ознайомлення підозрюваного чи обвинуваченого із такими персональними даними;

3) обробка персональних даних здійснюється відповідно до законодавства про протидію легалізації (відмиванню) доходів, отриманих злочинним шляхом, та фінансуванню тероризму;

4) доступ суб'єкта персональних даних до його персональних даних порушує права та законні інтереси третіх осіб;

5) обробка персональних даних здійснюється у випадках, передбачених законодавством Російської Федерації про транспортну безпеку, з метою забезпечення сталого та безпечного функціонування транспортного комплексу, захисту інтересів особи, суспільства та держави у сфері транспортного комплексу від актів незаконного втручання.

Стаття 15. Права суб'єктів персональних даних при обробці їх персональних даних з метою просування товарів, робіт, послуг на ринку, а також політичної агітації

1. Обробка персональних даних з метою просування товарів, робіт, послуг на ринку шляхом здійснення прямих контактів з потенційним споживачем за допомогою засобів зв'язку, а також для політичної агітації допускається лише за умови попередньої згоди суб'єкта персональних даних. Зазначена обробка персональних даних визнається такою, що здійснюється без попередньої згоди суб'єкта персональних даних, якщо оператор не доведе, що така згода була отримана.

2. Оператор зобов'язаний негайно припинити на вимогу суб'єкта персональних даних обробку його персональних даних, зазначену у частині 1 цієї статті.

Стаття 16. Права суб'єктів персональних даних при прийнятті рішень на підставі виключно автоматизованого оброблення їх персональних даних

1. Забороняється прийняття на підставі виключно автоматизованої обробки персональних даних рішень, що породжують юридичні наслідкистосовно суб'єкта персональних даних або іншим чином зачіпає його права та законні інтереси, за винятком випадків, передбачених частиною 2 цієї статті.

2. Рішення, що породжує юридичні наслідки щодо суб'єкта персональних даних або іншим чином зачіпає його права та законні інтереси, може бути прийняте на підставі виключно автоматизованої обробки його персональних даних лише за наявності згоди у письмовій формі суб'єкта персональних даних або у випадках, передбачених федеральними законами , що встановлюють також заходи щодо забезпечення дотримання прав та законних інтересів суб'єкта персональних даних.

3. Оператор зобов'язаний роз'яснити суб'єкту персональних даних порядок прийняття рішення на підставі виключно автоматизованої обробки його персональних даних та можливі юридичні наслідки такого рішення, надати можливість заявити заперечення проти такого рішення, а також роз'яснити порядок захисту суб'єктом персональних даних своїх прав та законних інтересів.

4. Оператор зобов'язаний розглянути заперечення, зазначене у частині 3 цієї статті, протягом тридцяти днів з дня його отримання та повідомити суб'єкта персональних даних про результати розгляду такого заперечення. (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

Стаття 17. Право на оскарження дій чи бездіяльності оператора

1. Якщо суб'єкт персональних даних вважає, що оператор здійснює обробку його персональних даних з порушенням вимог цього Закону або іншим чином порушує його права і свободи, суб'єкт персональних даних має право оскаржити дії або бездіяльність оператора до уповноваженого органу захисту прав суб'єктів персональних даних або судовому порядку.

2. Суб'єкт персональних даних має право на захист своїх прав та законних інтересів, у тому числі на відшкодування збитків та (або) компенсацію моральної шкодив судовому порядку.

Глава 4. ОБОВ'ЯЗКИ ОПЕРАТОРА

Стаття 18. Обов'язки оператора під час збирання персональних даних (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1. При зборі персональних даних оператор зобов'язаний надати суб'єкту персональних даних на його прохання інформацію, передбачену статтею 14 цього Закону.

2. Якщо надання персональних даних є обов'язковим відповідно до федерального закону, оператор зобов'язаний роз'яснити суб'єкту персональних даних юридичні наслідки відмови надати його персональні дані.

3. Якщо персональні дані отримані не від суб'єкта персональних даних, оператор, за винятком випадків, передбачених частиною 4 цієї статті, на початок обробки таких персональних даних зобов'язаний надати суб'єкту персональних даних таку інформацію:

1) найменування або прізвище, ім'я, по батькові та адресу оператора або його представника;

2) мета обробки персональних даних та її правова основа;

3) передбачувані користувачі персональних даних;

4) встановлені цим Законом права суб'єкта персональних даних;

5) джерело отримання персональних даних.

4. Оператор звільняється від обов'язку надати суб'єкту персональних даних відомості, передбачені частиною 3 цієї статті, у випадках, якщо:

1) суб'єкта персональних даних повідомлено про здійснення обробки його персональних даних відповідним оператором;

2) персональні дані отримані оператором виходячи з федерального закону або у зв'язку з виконанням договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт персональних даних;

3) персональні дані зроблені загальнодоступними суб'єктом персональних даних або отримані із загальнодоступного джерела;

4) оператор здійснює обробку персональних даних для статистичних чи інших дослідницьких цілей, для здійснення професійної діяльності журналіста чи наукової, літературної чи іншої творчої діяльності, якщо при цьому не порушуються права та законні інтереси суб'єкта персональних даних;

5) надання суб'єкту персональних даних відомостей, передбачених частиною 3 цієї статті, порушує права та законні інтереси третіх осіб.

5. При зборі персональних даних, у тому числі за допомогою інформаційно-телекомунікаційної мережі "Інтернет", оператор зобов'язаний забезпечити запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), вилучення персональних даних громадян Російської Федерації з використанням баз даних, що знаходяться на території Російської Федерації, крім випадків, зазначених у пунктах , , , частини 1 статті 6 цього Закону. (У ред. Федерального закону від 21.07.2014 N 242-ФЗ)

Стаття 18.1. Заходи, створені задля забезпечення виконання оператором обов'язків, передбачених цим Федеральним законом (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1. Оператор зобов'язаний вживати заходів, необхідних та достатніх для забезпечення виконання обов'язків, передбачених цим Федеральним законом і прийнятими відповідно до нього нормативними правовими актами. Оператор самостійно визначає склад та перелік заходів, необхідних та достатніх для забезпечення виконання обов'язків, передбачених цим Федеральним законом та прийнятими відповідно до нього нормативними правовими актами, якщо інше не передбачено цим Федеральним законом або іншими федеральними законами. До таких заходів можуть, зокрема, належати:

1) призначення оператором, що є юридичною особою, яка відповідає за організацію обробки персональних даних;

2) видання оператором, що є юридичною особою, документів, що визначають політику оператора щодо обробки персональних даних, локальних актів з питань обробки персональних даних, а також локальних актів, що встановлюють процедури, спрямовані на запобігання та виявлення порушень законодавства України, усунення наслідків таких порушень ;

3) застосування правових, організаційних та технічних заходів щодо забезпечення безпеки персональних даних відповідно до цього Федерального закону;

4) здійснення внутрішнього контролю та (або) аудиту відповідності обробки персональних даних цього Федерального закону та прийнятим відповідно до нього нормативним правовим актам, вимогам захисту персональних даних, політиці оператора щодо обробки персональних даних, локальним актам оператора;

5) оцінка шкоди, яка може бути заподіяна суб'єктам персональних даних у разі порушення цього Федерального закону, співвідношення зазначеної шкоди та вживаних оператором заходів, спрямованих на забезпечення виконання обов'язків, передбачених цим Федеральним законом;

6) ознайомлення працівників оператора, що безпосередньо здійснюють обробку персональних даних, з положеннями законодавства Російської Федерації про персональні дані, у тому числі вимогами до захисту персональних даних, документами, що визначають політику оператора щодо обробки персональних даних, локальними актами з питань обробки персональних даних, та (або) навчання вказаних працівників.

2. Оператор зобов'язаний опублікувати або іншим чином забезпечити необмежений доступ до документа, що визначає його політику щодо обробки персональних даних, відомостей про реалізовані вимоги до захисту персональних даних. Оператор, який здійснює збір персональних даних з використанням інформаційно-телекомунікаційних мереж, зобов'язаний опублікувати у відповідній інформаційно-телекомунікаційній мережі документ, що визначає його політику щодо обробки персональних даних, та відомості про реалізовані вимоги до захисту персональних даних, а також забезпечити можливість доступу до зазначеному документуіз використанням засобів відповідної інформаційно-телекомунікаційної мережі.

3. Уряд Російської Федерації встановлює перелік заходів, вкладених у забезпечення виконання обов'язків, передбачених цим Федеральним законом і прийнятими відповідно до ним нормативними правовими актами, операторами, є державними чи муніципальними органами.

4. Оператор зобов'язаний подати документи та локальні акти, зазначені у частині 1 цієї статті, та (або) іншим чином підтвердити вжиття заходів, зазначених у частині 1 цієї статті, на запит уповноваженого органу із захисту прав суб'єктів персональних даних.

Стаття 19. Заходи щодо забезпечення безпеки персональних даних під час їх обробки (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1. Оператор при обробці персональних даних зобов'язаний вживати необхідних правових, організаційних та технічних заходів або забезпечувати їх прийняття для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, надання, розповсюдження персональних даних, а також від інших неправомірних дій щодо персональних даних.

2. Забезпечення безпеки персональних даних досягається, зокрема:

1) визначенням загроз безпеці персональних даних при їх обробці в інформаційних системах персональних даних;

2) застосуванням організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, необхідних для виконання вимог до захисту персональних даних, виконання яких забезпечує встановлені Урядом Російської Федерації рівні захищеності персональних даних;

3) застосуванням процедури оцінки відповідності засобів захисту інформації, що пройшли в установленому порядку;

4) оцінкою ефективності заходів, що вживаються щодо забезпечення безпеки персональних даних до введення в експлуатацію інформаційної системи персональних даних;

5) врахуванням машинних носіїв персональних даних;

6) виявленням фактів несанкціонованого доступу до персональних даних та вжиття заходів;

7) відновлення персональних даних, модифікованих або знищених внаслідок несанкціонованого доступу до них;

8) встановлення правил доступу до персональних даних, що обробляються в інформаційній системі персональних даних, а також забезпеченням реєстрації та обліку всіх дій, що здійснюються з персональними даними в інформаційній системі персональних даних;

9) контролем за вживаними заходами щодо забезпечення безпеки персональних даних та рівня захищеності інформаційних систем персональних даних.

3. Уряд Російської Федерації з урахуванням можливої ​​шкоди суб'єкту персональних даних, обсягу та змісту оброблюваних персональних даних, виду діяльності, при здійсненні якого обробляються персональні дані, актуальність загроз безпеки персональних даних встановлює:

1) рівні захищеності персональних даних під час їхньої обробки в інформаційних системах персональних даних залежно від загроз безпеки цих даних;

2) вимоги щодо захисту персональних даних при їх обробці в інформаційних системах персональних даних, виконання яких забезпечує встановлені рівні захищеності персональних даних;

3) вимоги до матеріальних носіїв біометричних персональних даних та технологій зберігання таких даних поза інформаційними системами персональних даних.

4. Склад та зміст необхідних для виконання встановлених Урядом Російської Федерації відповідно до частини 3 цієї статті вимог до захисту персональних даних для кожного з рівнів захищеності, організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних встановлюються федеральним органом виконавчої влади, уповноваженим у сфері забезпечення безпеки, та федеральним органом виконавчої влади, уповноваженим у сфері протидії технічним розвідкам та технічного захистуінформації, у межах їх повноважень.

5. Федеральні органи виконавчої влади, що здійснюють функції з вироблення державної політикита нормативно-правовому регулюванню у встановленій сфері діяльності, органи державної влади суб'єктів Російської Федерації, Банк Росії, органи державних позабюджетних фондів, інші державні органи в межах своїх повноважень приймають нормативні правові акти, в яких визначають загрози безпеці персональних даних, актуальні при обробці персональних даних в інформаційних системах персональних даних, що експлуатуються при здійсненні відповідних видів діяльності, з урахуванням змісту персональних даних, характеру та способів їх обробки.

6. Поряд із загрозами безпеці персональних даних, визначених у нормативних правових актах, прийнятих відповідно до частини 5 цієї статті, асоціації, спілки та інші об'єднання операторів своїми рішеннями мають право визначити додаткові загрози безпеці персональних даних, актуальні при обробці персональних даних в інформаційних системах персональних даних. даних, експлуатованих під час здійснення певних видів діяльності членами таких асоціацій, спілок та інших об'єднань операторів, з урахуванням змісту персональних даних, характеру та способів їх обробки.

7. Проекти нормативних правових актів, зазначених у частині 5 цієї статті, підлягають погодженню з федеральним органом виконавчої влади, уповноваженим у сфері забезпечення безпеки, та федеральним органом виконавчої влади, уповноваженим у сфері протидії технічним розвідкам та технічного захисту інформації. Проекти рішень, зазначених у частині 6 цієї статті, підлягають узгодженню з федеральним органом виконавчої влади, уповноваженим у сфері забезпечення безпеки, та федеральним органом виконавчої влади, уповноваженим у сфері протидії технічним розвідкам та технічному захисту інформації, у порядку, встановленому Урядом Російської Федерації. Рішення федерального органу виконавчої, уповноваженого у сфері забезпечення безпеки, і федерального органу виконавчої, уповноваженого у сфері протидії технічним розвідкам і технічного захисту інформації, про відмову у відповідності проектів рішень, зазначених у частині 6 цієї статті, має бути мотивованим.

8. Контроль та нагляд за виконанням організаційних та технічних заходів щодо забезпечення безпеки персональних даних, встановлених відповідно до цієї статті, при обробці персональних даних у державних інформаційних системах персональних даних здійснюються федеральним органом виконавчої влади, уповноваженим у сфері забезпечення безпеки, та федеральним органом виконавчої влади, уповноваженим у сфері протидії технічним розвідкам та технічного захисту інформації, у межах їх повноважень та без права ознайомлення з персональними даними, що обробляються в інформаційних системах персональних даних.

9. Федеральний орган виконавчої влади, уповноважений у сфері забезпечення безпеки, та федеральний орган виконавчої влади, уповноважений у сфері протидії технічним розвідкам та технічного захисту інформації, рішенням Уряду Російської Федерації з урахуванням значущості та змісту оброблюваних персональних даних можуть бути наділені повноваженнями щодо контролю за виконанням організаційних та технічних заходів щодо забезпечення безпеки персональних даних, встановлених відповідно до цієї статті, при їх обробці в інформаційних системах персональних даних, що експлуатуються при здійсненні певних видів діяльності та не є державними інформаційними системами персональних даних, без права ознайомлення з персональними даними, що обробляються в інформаційних системах персональних даних

10. Використання та зберігання біометричних персональних даних поза інформаційними системами персональних даних можуть здійснюватися тільки на таких матеріальних носіях інформації та із застосуванням такої технології її зберігання, які забезпечують захист цих даних від неправомірного або випадкового доступу до них, їх знищення, зміни, блокування, копіювання , надання, розповсюдження.

11. Для цілей цієї статті під загрозами безпеки персональних даних розуміється сукупність умов та факторів, що створюють небезпеку несанкціонованого, у тому числі випадкового, доступу до персональних даних, результатом якого можуть стати знищення, зміна, блокування, копіювання, надання, розповсюдження персональних даних, а також інші неправомірні діїпід час їхньої обробки в інформаційній системі персональних даних. Під рівнем захищеності персональних даних розуміється комплексний показник, що характеризує вимоги, виконання яких забезпечує нейтралізацію певних загроз безпеки персональних даних під час їхньої обробки в інформаційних системах персональних даних.

Стаття 20. Обов'язки оператора при зверненні до нього суб'єкта персональних даних або при отриманні запиту суб'єкта персональних даних або його представника, а також уповноваженого органу захисту прав суб'єктів персональних даних (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1. Оператор зобов'язаний повідомити в порядку, передбаченому цим Законом, суб'єкту персональних даних або його представнику інформацію про наявність персональних даних, що належать до відповідного суб'єкта персональних даних, а також надати можливість ознайомлення з цими персональними даними при зверненні суб'єкта персональних даних або його представника або протягом тридцяти днів із дати отримання запиту суб'єкта персональних даних або його представника.

2. У разі відмови у наданні інформації про наявність персональних даних про відповідний суб'єкт персональних даних або персональних даних суб'єкту персональних даних або його представнику при їх зверненні або при отриманні запиту суб'єкта персональних даних або його представника оператор зобов'язаний дати в письмовій формі мотивовану відповідь, яка містить посилання на положення статті 14 цього Федерального закону або іншого федерального закону, що є підставою для такої відмови, у строк, що не перевищує тридцяти днів з дня звернення суб'єкта персональних даних або його представника або з дати отримання запиту суб'єкта персональних даних чи його представника.

3. Оператор зобов'язаний надати безоплатно суб'єкту персональних даних або його представнику можливість ознайомлення з персональними даними, що належать до цього суб'єкта персональних даних. У строк, що не перевищує сім робочих днів з дня надання суб'єктом персональних даних або його представником відомостей, що підтверджують, що персональні дані є неповними, неточними або неактуальними, оператор зобов'язаний внести до них необхідні зміни. У строк, що не перевищує сім робочих днів з дня подання суб'єктом персональних даних або його представником відомостей, що підтверджують, що такі персональні дані є незаконно отриманими або не є необхідними для заявленої мети обробки, оператор зобов'язаний знищити такі персональні дані. Оператор зобов'язаний повідомити суб'єкта персональних даних або його представника про внесених змінта вжитих заходів та вжити розумних заходів для повідомлення третіх осіб, яким персональні дані цього суб'єкта були передані.

4. Оператор зобов'язаний повідомити до уповноваженого органу захисту прав суб'єктів персональних даних на запит цього органу необхідну інформацію протягом тридцяти днів з дати отримання такого запиту.

Стаття 21. Обов'язки оператора щодо усунення порушень законодавства, допущених при обробці персональних даних, щодо уточнення, блокування та знищення персональних даних (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1. У разі виявлення неправомірної обробки персональних даних при зверненні суб'єкта персональних даних або його представника або на запит суб'єкта персональних даних або його представника або уповноваженого органу захисту прав суб'єктів персональних даних оператор зобов'язаний здійснити блокування неправомірно оброблюваних персональних даних, що належать до цього суб'єкта персональних даних або забезпечити їх блокування (якщо обробка персональних даних здійснюється іншою особою, що діє за дорученням оператора) з моменту такого звернення або отримання зазначеного запиту на період перевірки. У разі виявлення неточних персональних даних при зверненні суб'єкта персональних даних або його представника або на їх запит або на запит уповноваженого органу захисту прав суб'єктів персональних даних оператор зобов'язаний здійснити блокування персональних даних, що належать до цього суб'єкта персональних даних, або забезпечити їх блокування (якщо обробка персональних даних здійснюється іншою особою, що діє за дорученням оператора з моменту такого звернення або отримання зазначеного запиту на період перевірки, якщо блокування персональних даних не порушує права та законні інтереси суб'єкта персональних даних або третіх осіб.

2. У разі підтвердження факту неточності персональних даних оператор на підставі відомостей, наданих суб'єктом персональних даних або його представником або уповноваженим органом захисту прав суб'єктів персональних даних, або інших необхідних документівзобов'язаний уточнити персональні дані або забезпечити їх уточнення (якщо обробка персональних даних здійснюється іншою особою, яка діє за дорученням оператора) протягом семи робочих днів з дня подання таких відомостей та зняти блокування персональних даних.

4. У разі досягнення мети обробки персональних даних оператор зобов'язаний припинити обробку персональних даних або забезпечити її припинення (якщо обробка персональних даних здійснюється іншою особою, що діє за дорученням оператора) та знищити персональні дані або забезпечити їх знищення (якщо обробка персональних даних здійснюється іншою особою, чинним за дорученням оператора) у строк, що не перевищує тридцяти днів з дати досягнення мети обробки персональних даних, якщо інше не передбачено договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт персональних даних, іншою угодою між оператором та суб'єктом персональних даних або якщо оператор немає права здійснювати обробку персональних даних без згоди суб'єкта персональних даних на підставах, передбачених цим Федеральним законом або іншими федеральними законами.

5. У разі відкликання суб'єктом персональних даних згоди на обробку його персональних даних оператор зобов'язаний припинити їх обробку або забезпечити припинення такої обробки (якщо обробка персональних даних здійснюється іншою особою, що діє за дорученням оператора) та у разі, якщо збереження персональних даних більше не потрібне для цілей обробки персональних даних, знищити персональні дані або забезпечити їх знищення (якщо обробка персональних даних здійснюється іншою особою, що діє за дорученням оператора) у строк, що не перевищує тридцяти днів з дати надходження зазначеного відгуку, якщо інше не передбачено договором, стороною якого, вигодонабувачем або поручителем яким є суб'єкт персональних даних, іншим угодою між оператором і суб'єктом персональних даних або якщо оператор немає права здійснювати обробку персональних даних без згоди суб'єкта персональних даних на підставах, передбачених цим Федеральні м законом чи іншими федеральними законами.

6. У разі відсутності можливості знищення персональних даних протягом строку, зазначеного в частинах 3 - 5 цієї статті, оператор здійснює блокування таких персональних даних або забезпечує їх блокування (якщо обробка персональних даних здійснюється іншою особою, що діє за дорученням оператора) та забезпечує знищення персональних даних даних у термін трохи більше шість місяців, якщо інший термін встановлено федеральними законами.

Стаття 22. Повідомлення про обробку персональних даних

1. Оператор до початку обробки персональних даних зобов'язаний повідомити уповноважений орган захисту прав суб'єктів персональних даних про свій намір здійснювати обробку персональних даних, за винятком випадків, передбачених частиною 2 цієї статті.

2. Оператор має право здійснювати без повідомлення уповноваженого органу захисту прав суб'єктів персональних даних обробку персональних даних:

1) оброблюваних відповідно до трудового законодавства; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

2) отриманих оператором згідно з укладенням договору, стороною якого є суб'єкт персональних даних, якщо персональні дані не поширюються, а також не надаються третім особам без згоди суб'єкта персональних даних та використовуються оператором виключно для виконання зазначеного договорута укладання договорів із суб'єктом персональних даних;

3) що належать до членів (учасників) громадського об'єднання або релігійної організації та оброблюються відповідними громадським об'єднанням або релігійною організацією, що діють відповідно до законодавства Російської Федерації, для досягнення законних цілей, передбачених їх установчими документами, за умови, що персональні дані не поширюватимуться або розкриватися третім особам без згоди у письмовій формі суб'єктів персональних даних; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

4) зроблених суб'єктом персональних даних загальнодоступними; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

5) включають у себе лише прізвища, імена та по батькові суб'єктів персональних даних;

6) необхідні з метою одноразового пропуску суб'єкта персональних даних на територію, на якій знаходиться оператор, або в інших аналогічних цілях;

7) включених до інформаційних систем персональних даних, що мають відповідно до федеральних законів статус державних автоматизованих інформаційних систем, а також у державні інформаційні системи персональних даних, створені з метою захисту безпеки держави та громадського порядку; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

8) оброблюваних без використання засобів автоматизації відповідно до федеральних законів або інших нормативних правових актів Російської Федерації, що встановлюють вимоги до забезпечення безпеки персональних даних при їх обробці та дотримання прав суб'єктів персональних даних.

9) оброблюваних у випадках, передбачених законодавством Російської Федерації про транспортну безпеку, з метою забезпечення сталого та безпечного функціонування транспортного комплексу, захисту інтересів особи, суспільства та держави у сфері транспортного комплексу від актів незаконного втручання. (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

3. Повідомлення, передбачене частиною 1 цієї статті, надсилається у вигляді документа на паперовому носії або у формі електронного документа та підписується уповноваженою особою. Повідомлення має містити такі відомості: (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1) найменування (прізвище, ім'я, по батькові), адресу оператора;

2) ціль обробки персональних даних;

5) правова основа обробки персональних даних;

6) перелік дій із персональними даними, загальний опис використовуваних оператором способів обробки персональних даних;

10) відомості про наявність або відсутність транскордонної передачі персональних даних у процесі їх обробки; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

10.1) відомості про місцезнаходження бази даних інформації, що містить персональні дані громадян Російської Федерації; (У ред. Федерального закону від 21.07.2014 N 242-ФЗ)

11) відомості про забезпечення безпеки персональних даних відповідно до вимог захисту персональних даних, встановленими Урядом Російської Федерації. (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

4. Уповноважений орган захисту прав суб'єктів персональних даних протягом тридцяти днів з дати надходження повідомлення про обробку персональних даних вносить відомості, зазначені в частині 3 цієї статті, а також відомості про дату направлення зазначеного повідомлення до Реєстру операторів. Відомості, що містяться в реєстрі операторів, за винятком відомостей про засоби безпеки персональних даних при їх обробці, є загальнодоступними.

5. На оператора не можуть покладатися витрати у зв'язку з розглядом повідомлення про обробку персональних даних уповноваженим органом захисту прав суб'єктів персональних даних, а також у зв'язку з внесенням відомостей до реєстру операторів.

6. У разі надання неповних або недостовірних відомостей, зазначених у частині 3 цієї статті, уповноважений орган із захисту прав суб'єктів персональних даних має право вимагати від оператора уточнення наданих відомостей до їх внесення до Реєстру операторів.

7. У разі зміни відомостей, зазначених у частині 3 цієї статті, а також у разі припинення обробки персональних даних, оператор зобов'язаний повідомити про це уповноважений орган із захисту прав суб'єктів персональних даних протягом десяти робочих днів з дати виникнення таких змін або з дати припинення обробки персональні дані. (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

Стаття 22.1. Особи, відповідальні за організацію обробки персональних даних в організаціях (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

1. Оператор, який є юридичною особою, призначає особу, відповідальну за організацію обробки персональних даних.

2. Особа, відповідальна за організацію обробки персональних даних, отримує вказівки безпосередньо від виконавчого органу організації, яка є оператором, та підзвітна йому.

3. Оператор зобов'язаний надавати особі, відповідальній за організацію обробки персональних даних, відомості, зазначені у статті 22 цього Закону.

4. Особа, відповідальна за організацію обробки персональних даних, зокрема, зобов'язана:

1) здійснювати внутрішній контрольза дотриманням оператором та його працівниками законодавства Російської Федерації про персональні дані, у тому числі вимог до захисту персональних даних;

2) доводити до відома працівників оператора положення законодавства України про персональні дані, локальні акти з питань обробки персональних даних, вимоги до захисту персональних даних;

3) організовувати прийом та обробку звернень та запитів суб'єктів персональних даних або їх представників та (або) здійснювати контроль за прийомом та обробкою таких звернень та запитів.

Глава 5. ДЕРЖАВНИЙ КОНТРОЛЬ І НАГЛЯД ЗА ОБРОБКОЮ ПЕРСОНАЛЬНИХ ДАНИХ. ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ВИМОГ СПРАВЖНЬОГО ФЕДЕРАЛЬНОГО ЗАКОНУ (У ред. Федерального закону від 22.02.2017 N 16-ФЗ)

Стаття 23. Уповноважений орган захисту прав суб'єктів персональних даних

1. Уповноваженим органом захисту прав суб'єктів персональних даних є федеральний орган виконавчої влади, який здійснює функції з контролю та нагляду за відповідністю обробки персональних даних вимогам законодавства Російської Федерації в області персональних даних. (У ред. Федерального закону від 22.02.2017 N 16-ФЗ)

1.1. Уповноважений орган із захисту прав суб'єктів персональних даних забезпечує, організує та здійснює державний контроль та нагляд за відповідністю обробки персональних даних вимогам цього Федерального закону та прийнятих відповідно до нього нормативних правових актів (державний контроль та нагляд за обробкою персональних даних). Порядок організації та проведення перевірок юридичних осіб та індивідуальних підприємців, є операторами, уповноваженим органом захисту прав суб'єктів персональних даних, і навіть порядок організації та здійснення державного контролю та нагляду за обробкою персональних даних іншими особами, що є операторами, встановлюється Урядом Російської Федерації. (У ред. Федерального закону від 22.02.2017 N 16-ФЗ)

2. Уповноважений орган із захисту прав суб'єктів персональних даних розглядає звернення суб'єкта персональних даних щодо відповідності змісту персональних даних та способів їх обробки цілям їх обробки та приймає відповідне рішення.

3. Уповноважений орган із захисту прав суб'єктів персональних даних має право:

1) вимагати у фізичних чи юридичних осіб інформацію, необхідну для реалізації своїх повноважень, та безоплатно отримувати таку інформацію;

2) здійснювати перевірку відомостей, що містяться в повідомленні про обробку персональних даних, або залучати для здійснення такої перевірки інші державні органи у межах їх повноважень;

3) вимагати від оператора уточнення, блокування або знищення недостовірних чи отриманих незаконним шляхом персональних даних;

3.1) обмежувати доступ до інформації, оброблюваної з порушенням законодавства Російської Федерації у сфері персональних даних, у порядку, встановленому законодавством Російської Федерації; (У ред. Федерального закону від 21.07.2014 N 242-ФЗ)

4) приймати в установленому законодавством Російської Федерації порядку заходи щодо зупинення або припинення обробки персональних даних, що здійснюється з порушенням вимог цього Закону;

5) звертатися до суду позовними заявамина захист прав суб'єктів персональних даних, у тому числі на захист прав невизначеного кола осіб, та представляти інтереси суб'єктів персональних даних у суді; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

5.1) направляти до федерального органу виконавчої влади, уповноваженого у сфері забезпечення безпеки, та федерального органу виконавчої влади, уповноваженого у сфері протидії технічним розвідкам і технічного захисту інформації, стосовно сфери їх діяльності, відомості, зазначені у частині 3 статті 22 цього Закону; (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

6) надсилати заяву до органу, який здійснює ліцензування діяльності оператора, для розгляду питання про вжиття заходів щодо зупинення дії або анулювання відповідної ліцензії в установленому законодавством Російської Федерації порядку, якщо умовою ліцензії на здійснення такої діяльності є заборона на передачу персональних даних третім особам без згоди на письмовій формі суб'єкта персональних даних;

7) направляти до органів прокуратури, інших правоохоронні органиматеріали для вирішення питання про порушення кримінальних справ за ознаками злочинів, пов'язаних із порушенням прав суб'єктів персональних даних відповідно до підвідомчості;

8) вносити в Уряд Російської Федерації пропозиції щодо вдосконалення нормативного правового регулюваннязахисту прав суб'єктів персональних даних;

9) залучати до адміністративної відповідальностіосіб, винних у порушенні цього Федерального закону.

4. Щодо персональних даних, що стали відомими уповноваженому органу захисту прав суб'єктів персональних даних у ході здійснення ним своєї діяльності, повинна забезпечуватися конфіденційність персональних даних.

5. Уповноважений орган із захисту прав суб'єктів персональних даних зобов'язаний:

1) організовувати відповідно до вимог цього Закону та інших федеральних законів захист прав суб'єктів персональних даних;

2) розглядати скарги та звернення громадян або юридичних осіб з питань, пов'язаних з опрацюванням персональних даних, а також приймати в межах своїх повноважень рішення за результатами розгляду зазначених скарг та звернень;

3) вести реєстр операторів;

4) здійснювати заходи, створені задля вдосконалення захисту прав суб'єктів персональних данных;

5) приймати в установленому законодавством Російської Федерації порядку за поданням федерального органу виконавчої влади, уповноваженого в галузі забезпечення безпеки, федерального органу виконавчої влади в галузі державної охорони або федерального органу виконавчої влади, уповноваженого в галузі протидії технічним розвідкам та технічного захисту інформації, заходи зупинення або припинення обробки персональних даних; (У ред. Федерального закону від 01.07.2017 N 148-ФЗ)

6) інформувати державні органи, а також суб'єктів персональних даних за їх зверненнями або запитами щодо стану справ у галузі захисту прав суб'єктів персональних даних;

7) виконувати інші передбачені законодавством Російської Федерації обов'язки.

5.1. Уповноважений орган захисту прав суб'єктів персональних даних здійснює співпрацю з органами, уповноваженими щодо захисту прав суб'єктів персональних даних в іноземних державах, зокрема міжнародний обмін інформацією про захист прав суб'єктів персональних даних, затверджує перелік іноземних держав, що забезпечують адекватний захист прав суб'єктів персональних даних. (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

6. Рішення уповноваженого органу захисту прав суб'єктів персональних даних можуть бути оскаржені в судовому порядку.

7. Уповноважений орган із захисту прав суб'єктів персональних даних щорічно надсилає звіт про свою діяльність Президенту Російської Федерації, до Уряду Російської Федерації та федеральні збориРосійської Федерації. Цей звіт підлягає опублікуванню в засобах масової інформації.

8. Фінансування уповноваженого органу захисту прав суб'єктів персональних даних здійснюється за рахунок коштів федерального бюджету.

9. При уповноваженому органі захисту прав суб'єктів персональних даних створюється на громадських засадах консультативна рада, порядок формування та порядок діяльності якої визначаються уповноваженим органом захисту прав суб'єктів персональних даних.

Стаття 24. Відповідальність за порушення вимог цього Закону

1. Особи, винні у порушенні вимог цього Закону, несуть передбачену законодавствомРосійської Федерації відповідальність. (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

2. Моральна шкода, заподіяна суб'єкту персональних даних внаслідок порушення його прав, порушення правил обробки персональних даних, встановлених цим Федеральним законом, а також вимог до захисту персональних даних, встановлених відповідно до цього Федерального закону, підлягає відшкодуванню відповідно до законодавства Російської Федерації. Відшкодування моральної шкоди здійснюється незалежно від відшкодування майнової шкоди та понесених суб'єктом персональних даних збитків. (У ред. Федерального закону від 25.07.2011 N 261-ФЗ)

Глава 6. ЗАКЛЮЧНІ ПОЛОЖЕННЯ

Стаття 25. Прикінцеві положення

1. Цей Федеральний закон набирає чинності після закінчення ста вісімдесяти днів після дня його офіційного опублікування.

2. Після дня набрання чинності цим Законом обробка персональних даних, включених до інформаційних систем персональних даних до дня його набрання чинності, здійснюється відповідно до цього Федерального закону.

2.1. Оператори, які здійснювали обробку персональних даних до 1 липня 2011 року, зобов'язані подати до уповноваженого органу захисту прав суб'єктів персональних даних відомості, зазначені у пунктах , частиною 3 статті 22 цього Закону, не пізніше 1 січня 2008 року.

5. Відносини, пов'язані з обробкою персональних даних, що здійснюється державними органами, юридичними особами, фізичними особами при наданні державних та муніципальних послуг, виконанні державних та муніципальних функцій у суб'єкті Російської Федерації - місті федерального значенняМоскві, регулюються цим Федеральним законом, якщо інше не передбачено Федеральним законом "Про особливості регулювання окремих правовідносин у зв'язку з приєднанням до суб'єкта Російської Федерації - місту федерального значення Москві територій та про внесення змін до окремих законодавчі актиРосійської Федерації". (У ред. Федерального закону від 05.04.2013 N 43-ФЗ)

президент Російської Федерації
В.ПУТІН

Москва, Кремль

Процес аналізу та обробки даних персонального характеру грає найважливішу рольу будь-якій цивілізованій державі. У Російській Федерації дана процедурарегламентується законодавчо – у 152-ФЗ "Про персональні дані". Саме цей нормативний акт буде розібрано у статті.

Основні терміни

У законі № 152-ФЗ "Про персональні дані" застосовується ряд термінів. Перше і саме важливе поняття- це, звичайно, «персональні дані». Відповідно до 152-ФЗ, це інформація, яка побічно чи прямо належить до певної фізичної особи. Обробкою персональних даних займається оператор - муніципальний чи державний орган, інколи ж просто фізична особа. Сам процес обробки даних полягає у скоєнні сукупності операцій, метою яких є збирання, систематизація, аналіз та зберігання персональної інформаціїпро кожного громадянина Росії.

Персональні дані можуть бути передані певному колу осіб, а подекуди підлягати знищенню або знеособленню.

Загальні засади ФЗ

Навіщо створено № 152-ФЗ "Про персональні дані"? У статті 2 йдеться про мету закону. Це забезпечення захисту свободи та прав людини при обробці його персональних даних.

Що може регулювати цей закон? Відповідно до статті 1, це будь-які відносини, пов'язані з процедурами опрацювання даних громадян Росії. Цей процес здійснюється федеральними державними інстанціями та владними органами суб'єктів РФ. Органи проводять систематизацію інформації про користувачів, задають спеціальні алгоритми пошуку та фіксують інформацію про носії даних. Але які відносини не повинні регулювати органи, що займаються персональною обробкоюінформації про громадян?

Ось на що вказує закон:

• Організація процесів зберігання, обліку та систематизації документації Архівного російського фонду та інших інстанцій, пов'язаних з архівною роботою.
• Обробка персональних даних фізичними особами для сімейних або побутових потреб, якщо при цьому відбувається порушення прав інших суб'єктів персональної інформації

На яких засадах вибудовується та функціонує процес обробки інформації про громадян? Про це йдеться у статті 5.

Про принципи та умови обробки даних

На яких засадах базується процедура опрацювання персональної інформації про громадян Росії? Стаття 5 № 152-ФЗ "Про персональні дані" говорить про законність і справедливу основу, про обмеження конкретними та законними цілями. Так, неприпустимим вважається обробка даних, несумісна з цілями закону. Те саме стосується процесу обробки, що має протилежні цілі та завдання.

Зміст оброблюваної інформації має суворо відповідати заявленим цілям, узгодженим із законом. Повинна бути забезпечена точність та повнота персональної інформації. Оператор зобов'язаний якісно виконувати свої трудові функції. Зберігання даних допускається лише у тій формі, що б точно і швидко визначати суб'єкта системи персональної інформації.

Ст. 6 № 152-ФЗ "Про персональні дані" закріплює ряд умов обробки персональної інформації. Так, допускається процес обробки лише у таких випадках:

• Обробка та аналіз проводяться за письмовою згодою суб'єкта персональних даних (стаття 9 № 152-ФЗ "Про персональні дані").
• Здійснюється задля досягнення певних цілей, заявлених у законі.
• Обробка необхідна для захисту здоров'я та життя громадян.

Ще одним принципом здійснення обробки інформації залишається наявність спеціальних категорій, про які буде наведено далі.

Про категорії персональних даних

У статті 10 розглянутого нормативного актунаведено основні категорії даних, що підлягають обробці. Пункт 1 статті говорить про політичні, релігійні чи філософські переконання, про стан здоров'я, національну та расову належність. Усе це виділяється у систему спеціальних категорій, збирання яких не допускається на постійній основі.

Існує лише невеликий перелік випадків, коли обробка представлених видів інформації допустима. Сюди слід зарахувати:

• випадки, коли сам суб'єкт опрацювання дав свою письмову згоду на надання інформації особливої ​​категорії;
• коли спеціальні персональні дані суб'єктів вже загальнодоступні;
• коли це необхідно для захисту життя, здоров'я та інтересів суб'єкта;
• коли обробка подібного родуінформації здійснюється з метою медичного чи профілактичного характеру;
• в інших випадках, встановлених Федеральним законом.

Сам суб'єкт персональної інформації має низку прав.

Про права суб'єкта

Які права, згідно з главою 3 нормативного акта, що розглядається, мають суб'єкти персональних даних? У статті 14 йдеться про права громадян на доступ до їхньої персональної інформації. Як це можливо здійснити? Закон говорить про право вимагати від операторів уточнення тих чи інших даних. Стаття 15 закріплює норми, згідно з якими існує можливість використовувати свої персональні дані для просування та рекламування певних послуг, товарів, продукції тощо. Політична агітація також поповнює цей ряд.

У статті 16 йдеться про право суб'єктів не допускати автоматичного оброблення інформації, а у статті 17 - про можливість оскаржити дії оператора. До речі, саме оператор є основною ланкою у всій процедурі обробки даних. Ця посадова особа має низку обов'язків, про які буде розказано далі.

Обов'язки операторів

18 ст. 152-ФЗ "Про персональні дані" (зі змінами від 01.07.2017) закріплює основні функції операторів у галузі збору персональної інформації. Оператор повинен надавати суб'єкту інформації такі дані:

• ціль обробки даних;
• правова основа обробки;
• найменування оператора та його адресу;
• джерела придбання інформації.

Оператор зобов'язаний вживати заходів щодо забезпечення безпеки персональної інформації, щодо усунення порушень закону, уточнення, блокування та ліквідації персональної інформації в окремих встановлених законом випадках. Таким чином, № 152-ФЗ "Про персональні дані" від 27.07.2006 є найбільш вичерпним джерелом у галузі збору інформації про російських громадян.

Забезпечення безпеки обробки інформації

Окремо варто розповісти про обов'язки операторів у сфері безпеки персональної інформації.

Ось що закріплює стаття 19 № 152-ФЗ "Про персональні дані":

• порушення закону або будь-які інші загрози безпеці даних повинні швидко та якісно визначатися та припинятися операторами;
• оператори повинні застосовувати низку організаційно-технічних засобів із забезпечення безпеки даних;
• оператори зобов'язані оцінювати та аналізувати застосовувані процедури забезпечення безпеки;
• облік машин, що є носіями інформації, а також якісний контроль за ними входять до обов'язків працівників з обробки даних;
• обов'язок щодо відновлення доступу до персональних даних, що обробляються в інформаційній системі.

Не менш важливим є і контроль з боку держави, про яку буде розказано далі.

Про державний контроль обробки даних

Інформація персонального характеру повинна охоронятися та аналізуватись окремими державними органами Російської Федерації. Що саме тут варто виділити? У статті 19 Федерального закону № 152-ФЗ "Про персональні дані" (з коментарями від 2017 року) йдеться про обов'язки російського Уряду.

Зокрема, тут слід зазначити:

• встановлення вимог захисту даних персонального характеру;
• закріплення спеціальних рівнів захищеності персональної інформації, що залежать від ступеня загроз;
• встановлення вимог до носіїв інформації.

У статті 23 йдеться про уповноважений орган, яким є Уряд РФ. Тут закріплюються основні права органу:

• запит інформації в юридичних та фізичних осіб для здійснення своїх повноважень;
• вимога від оператора окремих видівдокументації;
• здійснення перевірок щодо відомостей, що містяться у спеціальних інформаційних базах.

У статті 24 встановлюється норма, відповідно до якої порушники цього закону будуть піддані відповідальності.

З 1 липня 2017 року запроваджуються підвищені адміністративні штрафиза недотримання вимог Федерального закону «Про персональні дані» від 27.07.2006 № 152-ФЗ. Про те, як уникнути штрафів під час перевірок Роскомнагляду, БУХ.1С розповів експерт з оподаткування Ігор Кармазін.

Штрафи за недотримання вимог Федерального закону "Про персональні дані"були підвищені відповідно до Федерального закону від 07.02.2017 № 13-ФЗ. Нові штрафи порівняно з чинними виросли в рази. Максимальний поріг штрафу для організацій підвищено до 75 тисяч рублів, максимальний штраф для підприємців збільшили до 20 тисяч рублів. У цьому, якщо раніше у КоАП існував лише одне, загальний всім випадків склад правопорушення у сфері перданних (ст.13.11 КоАП РФ), то тепер у цій статті виникло цілих сім складів.

Щоб уникнути штрафів по 152-ФЗ, компаніям та ІП з 1 липня 2017 року слід уважніше підходити до дотримання вимог закону про персональні дані.

Шпаргалка за статтею від редакції БУХ.1С для тих, хто не має часу

1. З 1 липня 2017 року запроваджуються підвищені адміністративні штрафи за недотримання вимог Федерального закону «Про персональні дані».

2. Нові штрафи порівняно з чинними зросли у рази. Максимальний поріг штрафу для організацій підвищено до 75 тисяч рублів, максимальний штраф для підприємців збільшили до 20 тисяч рублів.

3. Штрафи за нелегальне опрацювання персональних відомостей громадян стосуються всіх компаній та підприємців, які отримують паспортні дані росіян. Закон не містить конкретного переліку таких організацій.

4. Компанії, за законом віднесені до операторів персональних даних, мають бути зареєстровані в Роскомнагляді.

5. Убезпечити себе від штрафів можна, дотримуючись 6 правил:

• виключити випадки нецільового збору та обробки даних;
• отримувати письмову згоду громадян на опрацювання їх даних;
• знайомити громадян із політикою обробки персональних даних;
• відповідати на питання громадян про те, яким чином використовуються їхні особисті дані;
• виконувати вимоги громадян щодо уточнення персональних даних, їх блокування або знищення;
• забезпечувати безпеку носіїв з персональними даними, виключаючи їх витік, псування, крадіжку, копіювання тощо.

6. З 01.07.2017 р. починає діяти спрощений порядок притягнення до адміністративної відповідальності. Справи порушуватиме сам Роскомнагляд без участі працівників прокуратури.

Кого торкнуться нових штрафів

Штрафи за нелегальне опрацювання персональних відомостей громадян стосуються всіх компаній та підприємців, які отримують паспортні дані росіян. За законом вони віднесені до операторів персональних даних і зобов'язані дотримуватися законодавчих обмежень.

Закон не містить конкретного переліку таких організацій. Однак до них можна віднести банки, страхові компанії, операторів мобільного зв'язку та інтернету, медичні організації, транспортні компанії, навчальні заклади та всі ті компанії, при зверненні до яких громадян просять вказати особисті дані або заповнити анкету.

Але це ще не все. Закон поширюється на роботодавців, які отримують відомості від працівників як трудовим договорам, і за договорами цивільно-правового характеру. Роботодавці також є операторами персональних даних із невеликим застереженням. Якщо роботодавець складається з громадянином у трудових чи цивільно-правових відносинах, йому не потрібно повідомляти Роскомнагляд про обробку особистої інформації (ч. 2 ст. 22 Федерального закону № 152-ФЗ).

Також до операторів персональних даних відносяться компанії, які мають власні сайти із зворотною формою зв'язку та реєстрацією користувачів, у яких запитуються особисті відомості.

Докладніше про те, хто може не подавати повідомлення в Роскомнагляд, читайте у статті"Кому не потрібно повідомляти Роскомнагляд про обробку персональних даних".

Як убезпечити себе від штрафів: 6 правил

1. Виключити випадки нецільового збору та обробки даних.

Під це порушення підпадають і випадки збору зайвої інформації про громадян. Наприклад, коли сайт для розсилки новин по e-mail вимагає від відвідувачів надати, скажімо, паспортні дані. Це вважається обробкою даних не за призначенням, тому виключіть подібні випадки із практики роботи своєї компанії та сайту.

Ці дії утворюють склад правопорушення за ч. 1 ст. 13.11 КпАП РФ. Штраф для підприємців – від 5 до 10 тисяч карбованців, а для організацій – від 30 до 50 тисяч карбованців.

2. Отримувати письмову згоду громадян на опрацювання їх даних.

Згоду громадян на обробку персональних даних, коли це потрібно згідно із законом, оператори одержують відповідно до ч. 4 ст. 9 Федерального закону №152-ФЗ. Винятків із цього правила не так багато. Наприклад, не потрібно письмової згоди при отриманні персональних даних у особистих, сімейних цілях (ч. 2 ст. 1 Федерального закону № 152-ФЗ).

У більшості випадків додатково до основного договору сторони повинні підписувати угоду про обробку персональних даних. Ця угода може включатися до тексту основного договору, або виступати як окремого документа. Згода має надійти особисто від громадянина. Без його відома передавати дані не можна.

Найбанальніший приклад зловживань у цій частині – коли, наприклад, оператор мобільного зв'язку передає контакти абонентів без їхнього відома стороннім компаніям, і на телефонні номери громадян починає надходити всілякий спам.

Якщо письмової угоди на обробку даних у компанії немає, на громадян (ІП) накладуть штраф у розмірі від 3 до 5 тисяч рублів, на посадових осіб від 10 до 20 тисяч рублів, а на юросіб – від 15 до 75 тисяч рублів (ч.2 ст.13.11 КоАП РФ). Судячи по судовій практиці, ІП перший раз штрафують як фізосіб, а якщо порушення повторюється, то вже як посадових осіб - керівників ІП, тому що у другому випадку штраф вищий.

Наслідки неотримання письмової згоди контролерам будуть неважливими, а важливим буде сам факт наявності або відсутності такої згоди у письмовій формі.

3. Знайомити громадян із політикою обробки персональних даних.

Ця інформація повинна бути у вільному доступі і з нею повинен мати можливість ознайомитися кожен. Наприклад, сайти вивішують інформацію про порядок роботи з перданними на окремих своїх сторінках.

В інакшенастане відповідальність за ч. 3 ст. 13.11 КпАП РФ. ІП заплатять штраф у розмірі від 5 до 10 тисяч рублів, а організації у розмірі від 15 до 30 тисяч рублів.

4. Відповідати на запитання громадян про те, як використовуються їхні персональні дані.

Насправді бувають випадки, коли дані «витікають» третім особам, і клієнтам компанії починає надходити різноманітна реклама від магазинів, медичних центріві кредитних організацій. У цьому випадку клієнт може вимагати від оператора персональних даних надати інформацію про те, як використовуються та зберігаються його особисті відомості.

За ігнорування звернень громадян оператори перданних відповідають за ч. 4 ст. 13.11 КпАП РФ. Штраф для ІП – від 10 до 15 тисяч рублів, а для юросіб – від 20 до 40 тисяч рублів.

5. Виконувати вимоги громадян щодо уточнення персональних даних, їх блокування або знищення.

Це потрібно робити у випадках, коли персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для цілей обробки.

Невиконання цього обов'язку загрожує штрафом за ч. 5 ст. 13.11 КпАП РФ. Для ІП штраф становитиме від 10 до 20 тисяч рублів, для організацій – від 25 до 45 тисяч рублів.

6. Забезпечувати безпеку носіїв з персональними даними, виключаючи їх витік, псування, крадіжку, копіювання тощо.

Відповідальність за забезпечення безпеки особистих відомостей встановлено ч. 6 ст. 13.11 КпАП РФ. Для підприємців – від 10 до 20 тисяч карбованців, для компаній – від 25 до 50 тисяч карбованців.

Відповідальність для державних та муніципальних органів влади

Штрафна відповідальність передбачена і для державних та муніципальних органів влади (ч. 7 ст. 13.11 КоАП РФ).

У своїх документах (протоколах, зведеннях, рішеннях тощо) вони повинні знеособлювати персональні дані громадян, не допускаючи вказівки їх місця проживання та повних ПІБ.

В іншому випадку доведеться заплатити штраф у розмірі від 3 до 6 тисяч рублів.

Реєстрація операторів персональних даних у Роскомнагляді

Компанії, за законом віднесені до операторів персональних даних, мають бути зареєстровані у Роскомнагляді. Для цього необхідно подати повідомлення про обробку (про намір здійснювати обробку) персональних даних (ч. 3 ст. 22 Федерального закону № 152-ФЗ).

Після заповнення форми повідомлення про обробку (про намір здійснювати обробку) персональних даних її слід надіслати до інформаційну систему Уповноваженого органузахисту прав суб'єктів персональних даних. Потім заповнену форму слід роздрукувати та завірити належним чином, скріпивши підписом та печаткою організації, після чого направити до відповідного територіального органу Роскомнагляду за місцем реєстрації компанії-оператора персональних даних.

Що робити сайтам

Що стосується сайтів (а зараз вони є практично у будь-якої компанії), то основна маса порушень тут пов'язана саме з нецільовим збором та використанням персональних даних (ч. 1 ст. 13.11 КоАП РФ).

Наприклад, нерідко у формі реєстрації на сайті використовуються такі поля, як "дата народження" та "телефон", а у формі профілю користувача - "по батькові", "дата народження", "місце проживання" (країна, область/край, місто) .

Слід розуміти, що для реєстрації користувача на більшості мережевих ресурсів не потрібно знати такі дані, як телефон та місце проживання/реєстрації користувача. З форми реєстрації ці відомості слід забрати.

А з форми особистого профілю краще забрати такі відомості, як «професія», «www-сторінка», Skype (або інший месенджер) та «дата народження».

Стороннім особам (а ваша компанія є такою особою) знати цю інформацію ні до чого. Форма підписки на новини сайту має збирати інформацію лише про e-mail користувачів. Форма реєстрації може збирати ім'я, прізвище, e-mail та підлогу користувача.

Збір зайвої інформації під час перевірки можуть вважати порушенням.

Виконання вищеописаних правил та знання закону дозволять уникнути відповідальності за його порушення. При цьому слід враховувати одну важливу обставину. Якщо раніше закон про персональні дані обходив вашу компанію стороною і жодної відповідальності за його порушення ви не несли, то з 1 липня все може кардинально змінитись.

Справа в тому, що з цієї дати починає діяти спрощений порядок притягнення до адміністративної відповідальності. Раніше справи у сфері порушувала прокуратура (ст. 28.1 КоАП РФ). За новими правилами (п. 58 ч. 2 ст. 28.3 КоАП РФ) справи порушуватиме сам Роскомнагляд без участі співробітників прокуратури. На практиці це означає, що кількість штрафів і доведених до суду справ може значно збільшитися, і уникнути відповідальності стане значно складніше.

1. Обробка персональних даних має здійснюватися з дотриманням принципів та правил, передбачених цим Федеральним законом. Обробка персональних даних допускається у таких випадках:

1) обробка персональних даних здійснюється за згодою суб'єкта персональних даних на обробку його персональних даних;

2) обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором Російської Федерації або законом, для здійснення та виконання покладених законодавством Російської Федерації на оператора функцій, повноважень та обов'язків;

3) обробка персональних даних здійснюється у зв'язку з участю особи у конституційному, цивільному, адміністративному, кримінальному судочинстві, судочинстві в арбітражних судах;

3.1) обробка персональних даних необхідна для виконання судового акта, акта іншого органу або посадової особи, що підлягають виконанню відповідно до законодавства Російської Федерації про виконавче провадження (далі - виконання судового акта);

4) обробка персональних даних необхідна для виконання повноважень федеральних органів виконавчої влади, органів державних позабюджетних фондів, виконавчих органів державної влади суб'єктів Російської Федерації, органів місцевого самоврядування та функцій організацій, що беруть участь у наданні відповідно державних та муніципальних послуг, передбачених Федеральним законом від 27 липня 2010 року N 210-ФЗ "Про організацію надання державних та муніципальних послуг", включаючи реєстрацію суб'єкта персональних даних на єдиному порталі державних та муніципальних послуг та (або) регіональних порталах державних та муніципальних послуг;

5) обробка персональних даних необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт персональних даних, а також для укладання договору з ініціативи суб'єкта персональних даних або договору, за яким суб'єкт персональних даних буде вигодонабувачем або поручителем;

6) обробка персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних, якщо отримання згоди суб'єкта персональних даних неможливе;

7) обробка персональних даних необхідна для здійснення прав та законних інтересів оператора або третіх осіб, у тому числі у випадках, передбачених Федеральним законом "Про захист прав та законних інтересів фізичних осіб при здійсненні діяльності щодо повернення простроченої заборгованості та про внесення змін до Федерального закону" Про мікрофінансової діяльності та мікрофінансових організаціях", або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права та свободи суб'єкта персональних даних;

8) обробка персональних даних необхідна для здійснення професійної діяльності журналіста та (або) законної діяльності засобу масової інформації або наукової, літературної чи іншої творчої діяльності за умови, що при цьому не порушуються права та законні інтереси суб'єкта персональних даних;

9) обробка персональних даних здійснюється в статистичних або інших дослідницьких цілях, за винятком цілей, зазначених у статті 15 цього Закону, за умови обов'язкового знеособлення персональних даних;

10) здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних або на його прохання (далі - персональні дані, зроблені загальнодоступними суб'єктом персональних даних);

11) здійснюється обробка персональних даних, що підлягають опублікуванню або обов'язковому розкриттю відповідно до федерального закону.

1.1. Обробка персональних даних об'єктів державної охорони та членів їх сімей здійснюється з урахуванням особливостей, передбачених Федеральним законом від 27 травня 1996 N 57-ФЗ "Про державну охорону".

2. Особливості обробки спеціальних категорій персональних даних, і навіть біометричних персональних даних встановлюються відповідно статтями 10 і 11 цього Закону.

3. Оператор вправі доручити обробку персональних даних іншій особі за згодою суб'єкта персональних даних, якщо інше не передбачено федеральним законом, на підставі договору, що укладається з цією особою, в тому числі державного або муніципального контракту, або шляхом прийняття державним або муніципальним органом відповідного акта (далі - Доручення оператора). Особа, яка здійснює обробку персональних даних за дорученням оператора, зобов'язана дотримуватися принципів і правил обробки персональних даних, передбачених цим Федеральним законом. У дорученні оператора повинні бути визначені перелік дій (операцій) з персональними даними, які будуть здійснюватися особою, що здійснює обробку персональних даних, та мети обробки, має бути встановлений обов'язок такої особи дотримуватися конфіденційності персональних даних та забезпечувати безпеку персональних даних при їх обробці, а також мають бути зазначені вимоги до захисту оброблюваних персональних даних відповідно до статті 19 цього Закону.

4. Особа, яка здійснює обробку персональних даних за дорученням оператора, не зобов'язана отримувати згоду суб'єкта персональних даних на обробку його персональних даних.

5. Якщо оператор доручає обробку персональних даних іншій особі, відповідальність перед суб'єктом персональних даних за дії зазначеної особи несе оператор. Особа, яка здійснює обробку персональних даних за дорученням оператора, відповідає перед оператором.