ÜBER PERSONENBEZOGENE DATEN
Angenommen von der Staatsduma am 8. Juli 2006, Vom Föderationsrat am 14. Juli 2006 genehmigt
Bundesgesetze vom 25.11.2009 N 266-FZ, vom 27.12.2009 N 363-FZ, vom 28.06.2010 N 123-FZ,
von 27.07.2010 N 204-FZ)
Kapitel 1. ALLGEMEINES
Artikel 1. Geltungsbereich dieses Bundesgesetzes
1. Dieses Bundesgesetz regelt die Beziehungen im Zusammenhang mit der Verarbeitung personenbezogener Daten durch die Bundesbehörden, Behörden der Subjekte der Russischen Föderation, anderen staatlichen Stellen (im Folgenden-staatliche Stellen), lokalen Behörden, die nicht in das System der kommunalen Selbstverwaltung kommunalen Stellen (im Folgenden - oder ohne die Verwendung solcher Mittel, wenn die Verarbeitung personenbezogener Daten ohne die Verwendung solcher Mittel dem Charakter der Handlungen (Operationen) entspricht, die mit personenbezogenen Daten mit der Verwendung von Automatisierungsmitteln durchgeführt werden.
2. Dieses Bundesgesetz gilt nicht für Beziehungen, die sich aus:
1) verarbeitung personenbezogener Daten durch natürliche Personen ausschließlich für persönliche und familiäre Bedürfnisse, es sei denn, die Rechte der Subjekte personenbezogener Daten verletzt werden;
2) organisation der Lagerung, Komplettierung, Buchhaltung und Verwendung von Dokumenten, die persönliche Daten des Archivfonds der Russischen Föderation und andere Archivdokumente in Übereinstimmung mit der Gesetzgebung über Archivwesen in der Russischen Föderation;
3) die Verarbeitung unterliegt der Einbeziehung in das einheitliche Staatliche Register der Einzelunternehmer Informationen über Personen, wenn diese Verarbeitung erfolgt in übereinstimmung mit der Gesetzgebung der Russischen Föderation im Zusammenhang mit der Tätigkeit einer natürlichen Person als Einzelunternehmer;
4) verarbeitung personenbezogener Daten, die in der vorgeschriebenen Weise zu den Informationen, die das Staatsgeheimnis;
dezember 2008 N 262-FZ "Über den Zugang zu Informationen über die Tätigkeit der Gerichte in der Russischen Föderation".
Artikel 2. Zweck dieses Bundesgesetzes
Das Ziel dieses Bundesgesetzes ist es, den Schutz der Rechte und Freiheiten der Person und des Bürgers bei der Verarbeitung seiner persönlichen Daten, einschließlich des Schutzes der Rechte auf Privatsphäre, persönliche und Familiengeheimnisse zu gewährleisten.
Artikel 3. Die grundlegenden Konzepte in diesem Bundesgesetz verwendet
Für die Zwecke dieses Bundesgesetzes werden die folgenden grundlegenden Konzepte verwendet:
1) personenbezogene Daten - alle Informationen, die sich auf eine bestimmte oder auf der Grundlage solcher Informationen natürliche Person (Subjekt der persönlichen Daten), einschließlich seines Familiennamens, Vorname, Jahr, Monat, Datum und Ort der Geburt, Adresse, Familie, soziales, Vermögen, Bildung, Beruf, Einkommen, andere Informationen;
2) der Betreiber - Staatliche Behörde, kommunale Behörde, juristische oder Natürliche Person, die und (oder) die Verarbeitung der personenbezogenen Daten sowie die Ziele und Inhalte für die Verarbeitung personenbezogener Daten;
3) verarbeitung personenbezogener Daten-Handlungen (Operationen) mit personenbezogenen Daten, einschließlich der Sammlung, Systematisierung, Ansammlung, Speicherung, Klärung (Aktualisierung, Änderung), Nutzung, Verbreitung( einschließlich Übertragung), Anonymisierung, Sperrung, Vernichtung personenbezogener Daten;
4) verbreitung personenbezogener Daten-Maßnahmen zur Übertragung personenbezogener Daten an einen bestimmten Personenkreis (Übertragung personenbezogener Daten) oder zur Bekanntschaft mit persönlichen Daten eines unbegrenzten Personenkreises, einschließlich der Veröffentlichung personenbezogener Daten in den Medien, Platzierung in Informations-und Telekommunikationsnetzen oder Bereitstellung von Zugang zu persönlichen Daten in irgendeiner anderen Weise;
5) verwendung personenbezogener Daten-Handlungen (Operationen) mit personenbezogenen Daten, die vom Betreiber zum Zweck der Entscheidungsfindung oder der Begehung anderer Handlungen, die rechtliche Konsequenzen in Bezug auf das Thema personenbezogener Daten oder andere Personen oder auf andere Weise die Rechte und Freiheiten des Subjekts personenbezogener Daten oder anderer Personen beeinflussen;
6) sperrung personenbezogener Daten-vorübergehende Beendigung der Sammlung, Systematisierung, Akkumulation, Nutzung, Verbreitung personenbezogener Daten, einschließlich ihrer Übertragung;
7) vernichtung personenbezogener Daten-Handlungen, in deren Folge es unmöglich ist, den Inhalt personenbezogener Daten im Informationssystem personenbezogener Daten wiederherzustellen oder infolge dessen materielle Datenträger personenbezogener Daten zerstört werden;
8) anonymisierung personenbezogener Daten-Handlungen, in deren Folge es unmöglich ist, die Zugehörigkeit personenbezogener Daten zu einem bestimmten Thema personenbezogener Daten zu bestimmen;
9) informationssystem der personenbezogenen Daten-ein Informationssystem, das eine Sammlung von personenbezogenen Daten in der Datenbank enthalten ist, sowie Informationstechnologien und technische Mittel, die die Verarbeitung solcher personenbezogenen Daten mit oder ohne die Verwendung solcher Mittel ermöglichen;
10) vertraulichkeit personenbezogener Daten-obligatorisch für die Einhaltung der Betreiber oder andere Personen, die Zugang zu personenbezogenen Daten erhalten die Anforderung, ihre Verbreitung ohne die Zustimmung des Subjekts der personenbezogenen Daten oder die Existenz einer anderen gesetzlichen Grundlage zu verhindern;
11) grenzüberschreitende Übertragung personenbezogener Daten-die Übertragung personenbezogener Daten durch den Betreiber über die Staatsgrenze der Russischen Föderation an die Behörde eines ausländischen Staates, eine natürliche oder juristische Person eines ausländischen Staates;
12) öffentliche personenbezogene Daten - personenbezogene Daten, die Zugang zu einer unbegrenzten Anzahl von Personen, die mit der Zustimmung des Subjekts der personenbezogenen Daten oder die in Übereinstimmung mit Bundesgesetzen nicht unterliegt der Anforderung der Einhaltung der Vertraulichkeit.
Artikel 4. Gesetzgebung der Russischen Föderation im Bereich personenbezogener Daten
1. Die Gesetzgebung der Russischen Föderation auf dem Gebiet der persönlichen Daten basiert auf der Verfassung der Russischen Föderation und den internationalen Verträgen der Russischen Föderation und besteht aus diesem Bundesgesetz und anderen bestimmenden Fällen und Besonderheiten der Verarbeitung personenbezogener Daten der Bundesgesetze.
2. Auf der Grundlage und in Ausführung der Bundesgesetze Regierungsbehörden im Rahmen Ihrer Befugnisse kann Verordnungen zu einzelnen Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten. Die normativen Rechtsakte in den abgesonderten Fragen, die die Verarbeitung der personenbezogenen Daten betreffen, können die Bestimmungen nicht enthalten, die die Rechte der Subjekte der personenbezogenen Daten einschränken. Diese Vorschriften unterliegen einer offiziellen Veröffentlichung, mit Ausnahme von Vorschriften oder bestimmten Bestimmungen solcher Vorschriften, die Informationen enthalten, die durch Bundesgesetze eingeschränkt sind.
3. Die Besonderheiten der Verarbeitung personenbezogener Daten, die ohne die Verwendung von Automatisierungsmitteln durchgeführt wird, können durch Bundesgesetze und andere normative Rechtsakte der Russischen Föderation unter Berücksichtigung der Bestimmungen dieses Bundesgesetzes festgelegt werden.
4. Wenn der internationale Vertrag der Russischen Föderation andere Regeln als die in diesem Bundesgesetz vorgesehen sind, gelten die Regeln des internationalen Vertrags.
Kapitel 2. GRUNDSÄTZE UND BEDINGUNGEN DER VERARBEITUNG PERSONENBEZOGENER DATEN
Artikel 5. Grundsätze der Verarbeitung personenbezogener Daten
1. Die Verarbeitung personenbezogener Daten muss auf der Grundlage der Prinzipien erfolgen:
1) die Rechtmäßigkeit der Zwecke und Methoden der Verarbeitung personenbezogener Daten und Integrität;
2) übereinstimmung mit den Zwecken der Verarbeitung personenbezogener Daten mit den Zwecken, die bei der Erhebung personenbezogener Daten vorgegeben und angegeben sind, sowie mit den Befugnissen des Betreibers;
3) übereinstimmung mit dem Umfang und der Art der verarbeiteten personenbezogenen Daten, Verfahren zur Verarbeitung personenbezogener Daten für die Zwecke der Verarbeitung personenbezogener Daten;
4) die Richtigkeit der personenbezogenen Daten, ihre Angemessenheit für die Zwecke der Verarbeitung, Unzulässigkeit der Verarbeitung personenbezogener Daten, überflüssig in Bezug auf die Zwecke, die bei der Erhebung personenbezogener Daten angegeben;
5) unzulässigkeit der Vereinigung von Datenbanken für unvereinbare Zwecke der Informationssysteme personenbezogener Daten erstellt.
2. Die Speicherung personenbezogener Daten muss in einer Form erfolgen, die es erlaubt, das Thema personenbezogener Daten zu bestimmen, nicht länger als der Zweck ihrer Verarbeitung erfordert, und sie sind nach der Erreichung der Ziele der Verarbeitung oder im Falle des Verlustes der Notwendigkeit, sie zu erreichen vernichtet werden.
Artikel 6. Bedingungen für die Verarbeitung personenbezogener Daten
1. Die Verarbeitung personenbezogener Daten kann vom Betreiber mit Zustimmung der Subjekte personenbezogener Daten durchgeführt werden, mit Ausnahme der in Teil 2 dieses Artikels vorgesehenen Fälle.
2. Die Zustimmung des Subjekts der personenbezogenen Daten nach Teil 1 dieses Artikels ist in den folgenden Fällen nicht erforderlich:
1) die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage des Bundesgesetzes, das seinen Zweck, die Bedingungen für den Erhalt personenbezogener Daten und den Kreis der Subjekte, deren persönliche Daten verarbeitet werden, sowie die Bestimmung der Befugnisse des Betreibers;
1.1) die Verarbeitung personenbezogener Daten ist im Zusammenhang mit der Umsetzung der internationalen Verträge der Russischen Föderation über die Rückübernahme erforderlich;
2) die Verarbeitung personenbezogener Daten erfolgt zum Zweck der Erfüllung des Vertrages, von dem eine Partei das Thema personenbezogener Daten ist;
3) die Verarbeitung personenbezogener Daten erfolgt für statistische oder andere wissenschaftliche Zwecke, vorbehaltlich der obligatorischen Anonymisierung personenbezogener Daten;
4) die Verarbeitung personenbezogener Daten ist notwendig, um das Leben, die Gesundheit oder andere lebenswichtige Interessen des Subjekts personenbezogener Daten zu schützen, wenn die Zustimmung des Subjekts personenbezogener Daten nicht möglich ist;
5) die Verarbeitung personenbezogener Daten ist für die Zustellung von Postsendungen durch die Postdienste erforderlich, für die Durchführung von Telekommunikationsbetreibern Berechnungen mit den Nutzern von Kommunikationsdiensten für die erbrachten Kommunikationsdienste, sowie für die Prüfung von Ansprüchen der Nutzer von Kommunikationsdiensten;
6) die Verarbeitung personenbezogener Daten erfolgt zum Zwecke der beruflichen Tätigkeit eines Journalisten oder für wissenschaftliche, literarische oder andere kreative Aktivitäten, sofern dies nicht die Rechte und Freiheiten des Subjekts personenbezogener Daten verletzt;
7) die Verarbeitung personenbezogener Daten, die in Übereinstimmung mit Bundesgesetzen veröffentlicht werden, einschließlich personenbezogener Daten von Personen, die öffentliche Ämter, Positionen des öffentlichen öffentlichen Dienstes, persönliche Daten von Kandidaten für gewählte staatliche oder kommunale Ämter ersetzen.
3. Die Besonderheiten der Verarbeitung von speziellen Kategorien von personenbezogenen Daten sowie biometrischen personenbezogenen Daten werden entsprechend den Artikeln 10 und 11 dieses Bundesgesetzes festgelegt.
4. Wenn der Betreiber auf der Grundlage des Vertrages die Verarbeitung personenbezogener Daten an eine andere Person anvertraut, ist eine wesentliche Bedingung des Vertrages die Verpflichtung, die Vertraulichkeit der personenbezogenen Daten und die Sicherheit der personenbezogenen Daten bei der Verarbeitung zu gewährleisten.
Artikel 7. Vertraulichkeit personenbezogener Daten
1. Betreiber und Dritte, die Zugang zu personenbezogenen Daten erhalten, müssen die Vertraulichkeit dieser Daten gewährleisten, sofern nicht in Teil 2 dieses Artikels vorgesehen.
2. Die Vertraulichkeit personenbezogener Daten ist nicht erforderlich:
1) im Falle der Anonymisierung personenbezogener Daten;
2) in Bezug auf öffentliche personenbezogene Daten.
Artikel 8. Öffentliche Quellen personenbezogener Daten
1. Zu Informationszwecken können öffentliche Quellen personenbezogener Daten (einschließlich Nachschlagewerke, Adressbücher) erstellt werden. In den öffentlichen Quellen der personenbezogenen Daten mit der schriftlichen Zustimmung des Subjekts der personenbezogenen Daten können sein Nachname, Name, Vatersname, Jahr und Ort der Geburt, Adresse, Telefonnummer, Informationen über den Beruf und andere persönliche Daten, die von dem Subjekt der personenbezogenen Daten.
2. Informationen über das Thema der persönlichen Daten können jederzeit aus den öffentlichen Quellen der persönlichen Daten auf Antrag des Themas der persönlichen Daten oder durch ein Gericht oder andere bevollmächtigte Behörden ausgeschlossen werden.
Artikel 9. Einwilligung des Subjekts der personenbezogenen Daten zur Verarbeitung seiner personenbezogenen Daten
1. Das Subjekt der personenbezogenen Daten entscheidet über die Bereitstellung ihrer personenbezogenen Daten und stimmt ihrer Verarbeitung durch seinen Willen und in seinem Interesse zu, außer in den Fällen, die in Teil 2 dieses Artikels vorgesehen sind. Die Einwilligung zur Verarbeitung personenbezogener Daten kann von der Person der personenbezogenen Daten widerrufen werden.
2. Dieses Bundesgesetz und andere Bundesgesetze sieht vor, dass das Subjekt seine persönlichen Daten zwingend zur Verfügung stellt, um die Grundlagen der verfassungsmäßigen Ordnung, Moral, Gesundheit, Rechte und legitimen Interessen anderer zu schützen, die Verteidigung des Landes und die Sicherheit des Staates zu gewährleisten.
3. Die Pflicht, den Nachweis der Zustimmung des Subjekts der personenbezogenen Daten zur Verarbeitung seiner personenbezogenen Daten, und im Falle der Verarbeitung der öffentlichen personenbezogenen Daten die Pflicht zu beweisen, dass die verarbeiteten personenbezogenen Daten öffentlich zugänglich sind, liegt beim Betreiber.
4. In den Fällen, die durch dieses Bundesgesetz vorgesehen sind, erfolgt die Verarbeitung personenbezogener Daten nur mit schriftlicher Zustimmung des Subjekts personenbezogener Daten. Die schriftliche Zustimmung des Subjekts der personenbezogenen Daten zur Verarbeitung seiner personenbezogenen Daten muss umfassen:
1) nachname, Vorname, Vatersname, Adresse des Subjekts personenbezogener Daten, die Nummer des Hauptdokuments, das seine Identität ausweist, Informationen über das Datum der Ausgabe des Dokuments und der Behörde, die es ausstellt;
2) name (Nachname, Vorname, Vatersname) und die Adresse des Betreibers, der die Zustimmung des Subjekts der personenbezogenen Daten erhält;
3) zweck der Verarbeitung personenbezogener Daten;
4) die Liste der personenbezogenen Daten, auf deren Verarbeitung die Zustimmung des Subjekts der personenbezogenen Daten gegeben wird;
5) liste der Aktionen mit personenbezogenen Daten, auf deren Begehung die Zustimmung gegeben wird, eine allgemeine Beschreibung der vom Betreiber verwendeten Methoden der Verarbeitung personenbezogener Daten;
6) die Frist, in der die Zustimmung gilt, sowie die Reihenfolge seiner Widerruf.
5. Für die Verarbeitung personenbezogener Daten, die in der schriftlichen Zustimmung des Subjekts zur Verarbeitung seiner personenbezogenen Daten enthalten sind, ist keine zusätzliche Zustimmung erforderlich.
6. Im Falle der Unfähigkeit des Subjekts der personenbezogenen Daten Zustimmung zur Verarbeitung seiner personenbezogenen Daten gibt schriftlich der gesetzliche Vertreter des Subjekts der personenbezogenen Daten.
7. Im Falle des Todes des Subjekts der personenbezogenen Daten Zustimmung zur Verarbeitung seiner personenbezogenen Daten geben schriftlich die Erben des Subjekts der personenbezogenen Daten, wenn eine solche Zustimmung nicht gegeben wurde, das Subjekt der personenbezogenen Daten in seinem Leben.
Artikel 10. Spezielle Kategorien personenbezogener Daten
1. Die Verarbeitung von speziellen Kategorien personenbezogener Daten in Bezug auf Rasse, Nationalität, politische Ansichten, religiöse oder philosophische Überzeugungen, Gesundheitszustand, intimes Leben ist nicht erlaubt, außer in den Fällen, die in Teil 2 dieses Artikels vorgesehen sind.
2. Die Verarbeitung der in Teil 1 dieses Artikels genannten speziellen Kategorien personenbezogener Daten ist in den Fällen zulässig, wenn:
1) das Thema der personenbezogenen Daten hat schriftlich auf die Verarbeitung ihrer personenbezogenen Daten zugestimmt;
2) personenbezogene Daten sind öffentlich zugänglich;
2.1) die Verarbeitung personenbezogener Daten ist im Zusammenhang mit der Umsetzung der internationalen Verträge der Russischen Föderation über die Rückübernahme erforderlich;
2.2) die Verarbeitung personenbezogener Daten erfolgt in Übereinstimmung mit dem Bundesgesetz vom 25. Januar 2002 N 8-FZ " Über die Allrussische Volkszählung";
3) personenbezogene Daten beziehen sich auf den Gesundheitszustand des Subjekts personenbezogener Daten und deren Verarbeitung ist notwendig, um sein Leben, Gesundheit oder andere lebenswichtige Interessen oder Leben, Gesundheit oder andere lebenswichtige Interessen anderer zu schützen, und die Zustimmung des Subjekts personenbezogener Daten ist nicht möglich;
4) die Verarbeitung personenbezogener Daten wird für medizinische und präventive Zwecke durchgeführt, um eine medizinische Diagnose, die Bereitstellung von medizinischen und sozialen Dienstleistungen, sofern die Verarbeitung personenbezogener Daten von einer Person, die sich professionell in der medizinischen Tätigkeit und in Übereinstimmung mit der Gesetzgebung der Russischen Föderation verpflichtet, ein ärztliches Geheimnis zu bewahren;
5) die Verarbeitung personenbezogener Daten der Mitglieder (Teilnehmer) einer öffentlichen Vereinigung oder religiösen Organisation erfolgt durch die entsprechenden öffentlichen Vereinigung oder religiösen Organisation, die in Übereinstimmung mit der Gesetzgebung der Russischen Föderation, um die gesetzlichen Ziele, die von ihren Gründungsdokumenten vorgesehen zu erreichen, sofern die personenbezogenen Daten nicht ohne schriftliche Zustimmung der Subjekte der personenbezogenen Daten verbreitet werden;
6) die Verarbeitung personenbezogener Daten ist im Zusammenhang mit der Ausübung der Gerechtigkeit erforderlich;
7) die Verarbeitung personenbezogener Daten erfolgt in übereinstimmung mit der Gesetzgebung der Russischen Föderation über die Sicherheit, über die untersuchungstätigkeit sowie entsprechend der strafrechtlich-Executive Gesetzgebung der Russischen Föderation.
3. Die Verarbeitung personenbezogener Daten über Vorstrafen kann von staatlichen Stellen oder kommunalen Behörden innerhalb der von ihnen in Übereinstimmung mit der Gesetzgebung der Russischen Föderation, sowie anderen Personen in den Fällen und in der Reihenfolge, die in Übereinstimmung mit Bundesgesetzen bestimmt werden.
4. Die Verarbeitung von speziellen Kategorien personenbezogener Daten, die in den Fällen nach den Teilen 2 und 3 dieses Artikels durchgeführt wird, muss sofort beendet werden, wenn die Gründe, aus denen die Verarbeitung durchgeführt wurde, beseitigt werden.
Artikel 11. Biometrische personenbezogene Daten
1. Informationen, die die physiologischen Merkmale einer Person charakterisieren und auf deren Grundlage Sie ihre Identität feststellen können (biometrische personenbezogene Daten), können nur mit der schriftlichen Zustimmung des Subjekts der personenbezogenen Daten verarbeitet werden, außer in den Fällen, die in Teil 2 dieses Artikels vorgesehen sind.
2. Die Verarbeitung von biometrischen personenbezogenen Daten kann ohne Zustimmung des Subjekts personenbezogener Daten im Zusammenhang mit der Umsetzung der internationalen Verträge der Russischen Föderation über die Rückübernahme, im Zusammenhang mit der Ausübung der Justiz, sowie in den Fällen, die durch die Gesetzgebung der Russischen Föderation über die Sicherheit, die Gesetzgebung der Russischen Föderation über die operative und Suchtätigkeit, die Gesetzgebung der Russischen Föderation über den öffentlichen Dienst, die Strafvollstreckungsgesetzgebung der Russischen Föderation, die Gesetzgebung der Russischen Föderation über die Reihenfolge der Ausreise aus der Russischen Föderation und der Einreise in die Russische Föderation.
Artikel 12. Grenzüberschreitende Übertragung personenbezogener Daten
1. Vor dem Beginn der grenzüberschreitenden Übertragung personenbezogener Daten muss der Betreiber sicherstellen, dass der ausländische Staat, in dessen Hoheitsgebiet die Übertragung personenbezogener Daten erfolgt, einen angemessenen Schutz der Rechte der Subjekte personenbezogener Daten gewährleistet.
2. Die grenzüberschreitende Übertragung personenbezogener Daten auf dem Territorium ausländischer Staaten, die den angemessenen Schutz der Rechte der Subjekte personenbezogener Daten gewährleisten, erfolgt in Übereinstimmung mit diesem Bundesgesetz und kann zum Schutz der Grundlagen der verfassungsmäßigen Ordnung der Russischen Föderation, Moral, Gesundheit, Rechte und legitimen Interessen der Bürger, die Gewährleistung der Verteidigung des Landes und der Sicherheit des Staates verboten oder eingeschränkt werden.
3. Die grenzüberschreitende Übertragung personenbezogener Daten auf dem Territorium ausländischer Staaten, die keinen angemessenen Schutz der Rechte der Subjekte personenbezogener Daten bieten, kann in den Fällen durchgeführt werden:
1) die Zustimmung in schriftlicher Form des Subjekts der personenbezogenen Daten;
2) in den internationalen Verträgen der Russischen Föderation über die Erteilung von Visa, internationalen Verträgen der Russischen Föderation über die Gewährung von Rechtshilfe in Zivil -, Familien-und Strafsachen sowie internationalen Verträgen der Russischen Föderation über die Rückübernahme vorgesehen;
3) Bundesgesetze, wenn dies zum Schutz der Grundlagen der Verfassungsordnung der Rußländischen Föderation, die die Verteidigung des Landes und Sicherheit des Staates;
4) erfüllung des Vertrages, dessen Partei das Thema der personenbezogenen Daten ist;
5) Schutz des Lebens, der Gesundheit, anderer lebenswichtiger Interessen des Subjekts personenbezogener Daten oder anderer Personen, wenn es nicht möglich ist, die Zustimmung in schriftlicher Form des Subjekts personenbezogener Daten zu erhalten.
Artikel 13. Besonderheiten der Verarbeitung personenbezogener Daten in staatlichen oder kommunalen Informationssystemen personenbezogener Daten
1. Staatliche Stellen, kommunale Stellen schaffen im Rahmen ihrer Befugnisse in Übereinstimmung mit Bundesgesetzen, staatliche oder kommunale Informationssysteme für persönliche Daten.
2. Bundesgesetze können die Besonderheiten der Berücksichtigung personenbezogener Daten in den staatlichen und kommunalen Informationssystemen personenbezogener Daten, einschließlich der Verwendung von verschiedenen Methoden zur Kennzeichnung der Zugehörigkeit personenbezogener Daten, die im jeweiligen staatlichen oder kommunalen Informationssystem personenbezogener Daten, einem bestimmten Thema personenbezogener Daten enthalten sind, festgelegt werden.
3. Die Rechte und Freiheiten der Person und des Bürgers können aufgrund der Motive, die mit der Nutzung verschiedener Methoden der Verarbeitung personenbezogener Daten oder der Bezeichnung der Zugehörigkeit der personenbezogenen Daten in staatlichen oder kommunalen Informationssystemen personenbezogener Daten, einem bestimmten Subjekt personenbezogener Daten enthalten sind, nicht eingeschränkt werden. Es ist nicht erlaubt, die Gefühle der Bürger zu beleidigen oder die Würde der Menschen zu erniedrigen Methoden der Bezeichnung der Zugehörigkeit der persönlichen Daten, die in den staatlichen oder kommunalen Informationssystemen der persönlichen Daten, einem bestimmten Subjekt der persönlichen Daten enthalten sind.
4. Im Hinblick auf die Umsetzung der Rechte von Subjekten personenbezogener Daten im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten in staatlichen oder kommunalen Informationssystemen personenbezogener Daten erstellt werden kann, das Staatliche Melderegister ist, die Rechtsstellung und die Arbeitsweise mit denen bestimmt ein Bundesgesetz.
Kapitel 3. RECHTE DES SUBJEKTS PERSONENBEZOGENER DATEN
Artikel 14. Das Recht des Subjekts der personenbezogenen Daten auf den Zugriff auf ihre personenbezogenen Daten
1. Das Thema der personenbezogenen Daten hat das Recht, Informationen über den Betreiber, seinen Standort, die Anwesenheit des Betreibers von personenbezogenen Daten im Zusammenhang mit dem jeweiligen Thema der personenbezogenen Daten, sowie die Bekanntschaft mit solchen personenbezogenen Daten, außer in den Fällen, die in Teil 5 dieses Artikels. Das Subjekt der personenbezogenen Daten ist berechtigt, vom Betreiber die Klärung seiner personenbezogenen Daten, deren Sperrung oder Vernichtung zu verlangen, wenn die personenbezogenen Daten unvollständig, veraltet, falsch, illegal erhalten oder für den erklärten Zweck der Verarbeitung nicht notwendig sind, sowie die gesetzlich vorgeschriebenen Maßnahmen zum Schutz seiner Rechte zu ergreifen.
2. Informationen über die Verfügbarkeit personenbezogener Daten müssen dem Subjekt personenbezogener Daten durch den Betreiber in zugänglicher Form zur Verfügung gestellt werden, und sie dürfen keine personenbezogenen Daten enthalten, die sich auf andere Subjekte personenbezogener Daten beziehen.
3. Der Zugang zu ihren persönlichen Daten wird dem Subjekt personenbezogener Daten oder seinem gesetzlichen Vertreter durch den Betreiber bei der Behandlung oder beim Empfang einer Anfrage des Subjekts personenbezogener Daten oder seines gesetzlichen Vertreters gewährt. Die Anfrage muss die Nummer des Hauptdokuments, das die Identität des Subjekts der personenbezogenen Daten oder seiner gesetzlichen Vertreter, Informationen über das Datum der Ausstellung des Dokuments und der Behörde und die Unterschrift des Subjekts der personenbezogenen Daten oder seines gesetzlichen Vertreters enthalten. Der Antrag kann in elektronischer Form gesendet und mit einer elektronischen digitalen Unterschrift in Übereinstimmung mit der Gesetzgebung der Russischen Föderation unterzeichnet werden.
4. Das Subjekt der personenbezogenen Daten hat das Recht, bei der Behandlung oder beim Erhalt der Anfrage von Informationen über die Verarbeitung seiner personenbezogenen Daten, einschließlich der enthaltenen:
1) bestätigung der Tatsache der Verarbeitung personenbezogener Daten durch den Betreiber, sowie der Zweck einer solchen Verarbeitung;
2) verfahren zur Verarbeitung personenbezogener Daten, die vom Betreiber verwendet werden;
3) informationen über Personen, die Zugang zu personenbezogenen Daten haben oder denen ein solcher Zugang gewährt werden kann;
4) die Liste der verarbeiteten personenbezogenen Daten und die Quelle ihres Empfangs;
5) die Fristen der Verarbeitung personenbezogener Daten, einschließlich der Fristen ihrer Speicherung;
6) informationen darüber, welche rechtlichen Folgen für das Thema der personenbezogenen Daten kann die Verarbeitung seiner personenbezogenen Daten zur Folge haben.
5. Das Recht des Subjekts der personenbezogenen Daten auf den Zugriff auf ihre personenbezogenen Daten ist beschränkt, wenn:
1) die Verarbeitung personenbezogener Daten, einschließlich personenbezogener Daten, die als Ergebnis der operativen Untersuchung, Spionageabwehr und Intelligenz, wird zum Zwecke der Verteidigung des Landes, der Sicherheit des Staates und des Schutzes der Rechtsstaatlichkeit durchgeführt;
2) die Verarbeitung personenbezogener Daten wird von den Behörden durchgeführt, die die Festnahme des Subjekts personenbezogener Daten auf den Verdacht der Begehung einer Straftat durchgeführt, oder die das Thema der persönlichen Daten Anklage in einem Strafverfahren oder die Anwendung auf das Thema der persönlichen Daten Maßnahme vor der Anklage, mit Ausnahme der Strafprozessrecht der Russischen Föderation Fälle, wenn es erlaubt ist, den Verdächtigen oder Beschuldigten mit solchen persönlichen Daten;
3) die Bereitstellung personenbezogener Daten verletzt die verfassungsmäßigen Rechte und Freiheiten anderer.
Artikel 15. Die Rechte der Subjekte der personenbezogenen Daten bei der Verarbeitung ihrer personenbezogenen Daten für die Förderung von Waren, Arbeiten, Dienstleistungen auf dem Markt, sowie für die Zwecke der politischen Agitation
1. Die Verarbeitung personenbezogener Daten für die Förderung von Waren, Arbeiten, Dienstleistungen auf dem Markt durch direkte Kontakte mit einem potenziellen Verbraucher mit Hilfe von Kommunikationsmitteln, sowie für die Zwecke der politischen Agitation ist nur unter der Voraussetzung der vorherigen Zustimmung des Subjekts der personenbezogenen Daten erlaubt. Die angegebene Verarbeitung personenbezogener Daten wird ohne vorherige Zustimmung des Subjekts personenbezogener Daten anerkannt, wenn der Betreiber nicht nachweist, dass eine solche Zustimmung erhalten wurde.
2. Der Betreiber ist verpflichtet, die Verarbeitung seiner personenbezogenen Daten, die in Teil 1 dieses Artikels angegeben sind, sofort auf Verlangen des Subjekts der personenbezogenen Daten einzustellen.
Artikel 16. Die Rechte der Subjekte der personenbezogenen Daten bei der Entscheidungsfindung auf der Grundlage der ausschließlich automatisierten Verarbeitung ihrer personenbezogenen Daten
1. Es ist verboten, auf der Grundlage der ausschließlich automatisierten Verarbeitung personenbezogener Daten Entscheidungen, die rechtliche Konsequenzen für das Thema der personenbezogenen Daten oder auf andere Weise seine Rechte und legitimen Interessen, mit Ausnahme der in Teil 2 dieses Artikels.
2. Die Entscheidung, die rechtliche Konsequenzen in Bezug auf das Thema der persönlichen Daten oder auf andere Weise seine Rechte und legitimen Interessen berührt, kann auf der Grundlage der ausschließlich automatisierten Verarbeitung seiner persönlichen Daten nur mit der Zustimmung in schriftlicher Form des Themas der persönlichen Daten oder in den Fällen, die durch Bundesgesetze, die auch Maßnahmen zur Durchsetzung der Rechte und legitimen Interessen des Subjekts der persönlichen Daten.
3. Der Betreiber ist verpflichtet, das Thema der persönlichen Daten die Reihenfolge der Entscheidung auf der Grundlage der ausschließlich automatisierten Verarbeitung seiner persönlichen Daten und die möglichen rechtlichen Folgen einer solchen Entscheidung zu klären, die Möglichkeit, einen Einwand gegen diese Entscheidung zu erheben, sowie das Verfahren zum Schutz der personenbezogenen Daten durch das Thema seiner Rechte und legitimen Interessen zu klären.
4. Der Betreiber ist verpflichtet, den in Teil 3 dieses Artikels angegebenen Einwand innerhalb von sieben Werktagen nach Erhalt zu prüfen und das Thema der persönlichen Daten über die Ergebnisse der Prüfung eines solchen Einspruchs zu benachrichtigen.
Artikel 17. Recht auf Berufung gegen Handlungen oder Unterlassungen des Betreibers
1. Wenn das Thema der personenbezogenen Daten der Auffassung, dass der Betreiber die Verarbeitung seiner personenbezogenen Daten in Verletzung der Anforderungen dieses Bundesgesetzes oder auf andere Weise verletzt seine Rechte und Freiheiten, das Thema der personenbezogenen Daten ist berechtigt, die Handlungen oder Unterlassungen des Betreibers in der zuständigen Behörde für den Schutz der Rechte der Betroffenen personenbezogenen Daten oder in einem gerichtlichen Verfahren zu appellieren.
2. Die Person der personenbezogenen Daten hat das Recht, ihre Rechte und legitimen Interessen zu schützen, einschließlich Schadensersatz und (oder) Entschädigung für moralischen Schaden in einem Gerichtsverfahren.
Kapitel 4. PFLICHTEN DES BETREIBERS
Artikel 18. Pflichten des Betreibers bei der Erhebung personenbezogener Daten
1. Bei der Erhebung personenbezogener Daten ist der Betreiber verpflichtet, das Thema personenbezogener Daten auf seine Anfrage Informationen nach Teil 4 des Artikels 14 dieses Bundesgesetzes zur Verfügung zu stellen.
2. Wenn die Verpflichtung zur Bereitstellung personenbezogener Daten durch Bundesgesetz festgelegt ist, ist der Betreiber verpflichtet, dem Subjekt personenbezogener Daten die rechtlichen Folgen der Weigerung zu klären, seine persönlichen Daten zur Verfügung zu stellen.
3. Wenn die personenbezogenen Daten stammen nicht vom Subjekt personenbezogener Daten, mit Ausnahme der Fälle, wenn die personenbezogenen Daten bereitgestellt wurden Betreiber auf der Grundlage des Gesetzes oder wenn personenbezogene Daten öffentlich zugänglich sind, dem Betreiber vor Beginn der Verarbeitung solcher personenbezogenen Daten verpflichtet Subjekt der personenbezogenen Daten die folgenden Informationen:
1) Name (Nachname, Vorname, Vatersname) und die Adresse des Betreibers oder seines Vertreters;
2) zweck der Verarbeitung personenbezogener Daten und ihre rechtliche Grundlage;
3) vermeintliche Nutzer personenbezogener Daten;
4) die durch dieses Bundesgesetz gesetzten Rechte des Subjekts personenbezogener Daten.
Artikel 19. Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei der Verarbeitung
1. Der Bediener bei der Verarbeitung personenbezogener Daten verpflichtet, die notwendigen organisatorischen und technischen Maßnahmen zum Schutz personenbezogener Daten vor Missbrauch oder versehentlichem Zugriff, Zerstörung, änderung, Sperrung, Vervielfältigung, Verbreitung personenbezogener Daten, sowie vor anderen unrechtmäßigen Handlungen.
2. Die Regierung der Russischen Föderation setzt die Anforderungen an die Sicherheit der persönlichen Daten bei der Verarbeitung in den Informationssystemen der persönlichen Daten, die Anforderungen an die materiellen Medien der biometrischen persönlichen Daten und die Technologien der Speicherung solcher Daten außerhalb der Informationssysteme der persönlichen Daten.
3. Überwachung und Überwachung der Erfüllung der von der Regierung der Russischen Föderation in Übereinstimmung mit Teil 2 dieses Artikels festgelegten Anforderungen werden von der föderalen Exekutive im Bereich der Sicherheit und der föderalen Exekutive im Bereich der Bekämpfung der technischen Intelligenz und technischen Schutz von Informationen, im Rahmen ihrer Befugnisse und ohne das Recht, mit den persönlichen Daten in den Informationssystemen der persönlichen Daten verarbeitet bekannt zu machen.
4. Nutzung und Speicherung biometrischer personenbezogener Daten außerhalb der it-Systeme personenbezogenen Daten werden nur auf der materiellen Datenträgern, sowie mit der Anwendung dieser Technologie die Lagerung, die den Schutz dieser Daten vor unbefugtem oder versehentlichem Zugriff, Zerstörung, änderung, Sperrung, Vervielfältigung, Verbreitung.
Artikel 20. Pflichten des Betreibers bei der Behandlung oder bei Erhalt der Anfrage des Subjekts der personenbezogenen Daten oder seines gesetzlichen Vertreters sowie der zuständigen Behörde für den Schutz der Rechte der Subjekte der personenbezogenen Daten
1. Der Betreiber ist verpflichtet, das Thema der persönlichen Daten oder seinen gesetzlichen Vertreter Informationen über das Vorhandensein von persönlichen Daten im Zusammenhang mit dem betreffenden Thema der persönlichen Daten, sowie die Möglichkeit, mit ihnen vertraut zu machen, wenn Sie das Thema der persönlichen Daten oder seinen gesetzlichen Vertreter oder innerhalb von zehn Werktagen ab dem Datum des Eingangs der Anfrage des Themas der persönlichen Daten oder seines gesetzlichen Vertreters.
2. Im Falle der Weigerung, das Thema der persönlichen Daten oder seinen gesetzlichen Vertreter bei der Behandlung oder beim Empfang der Anfrage des Subjekts der persönlichen Daten oder seiner gesetzlichen Vertreter Informationen über die Verfügbarkeit von persönlichen Daten über das entsprechende Thema der persönlichen Daten, sowie solche persönlichen Daten Betreiber ist verpflichtet, schriftlich eine motivierte Antwort, die einen Verweis auf die Bestimmung des Teils 5 Artikel 14 dieses Bundesgesetzes oder eines anderen Bundesgesetzes, die die Grundlage für eine solche Ablehnung, nicht mehr als sieben Werktage ab dem Tag der Behandlung des Subjekts der personenbezogenen Daten oder seines gesetzlichen Vertreters oder ab dem Datum des Eingangs der Anfrage des Subjekts der personenbezogenen Daten oder seines gesetzlichen Vertreters.
3. Der Betreiber ist verpflichtet, unentgeltlich zu gewähren Subjekt personenbezogener Daten oder seinem gesetzlichen Vertreter die Möglichkeit, sich mit den personenbezogenen Daten, die zur jeweiligen Subjekt der personenbezogenen Daten sowie Modifikationen, löschen oder sperren die betreffenden personenbezogenen Daten für die überlassung der vom Subjekt personenbezogener Daten oder seinem gesetzlichen Vertreter Informationen, die bestätigen, dass die personenbezogenen Daten beziehen sich auf das jeweilige Subjekt und Verarbeitung übt die Betreiber, sind unvollständig, veraltet, falsch, illegal erhalten oder sind nicht notwendig für den erklärten Zweck der Verarbeitung. Über die vorgenommenen Änderungen und Maßnahmen ist der Betreiber verpflichtet, das Thema der persönlichen Daten oder seinen gesetzlichen Vertreter und Dritte, denen die persönlichen Daten dieses Subjekts übertragen wurden, zu benachrichtigen.
4. Der Betreiber ist verpflichtet, der zuständigen Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten auf seine Anfrage Informationen, die für die Durchführung der Tätigkeit der Behörde, innerhalb von sieben Werktagen ab dem Datum des Eingangs einer solchen Anfrage.
Artikel 21. Pflichten des Betreibers zur Beseitigung von Rechtsverletzungen bei der Verarbeitung personenbezogener Daten sowie zur Klärung, Sperrung und Vernichtung personenbezogener Daten
1. Im Falle von unrichtigen personenbezogenen Daten oder Fehlverhalten mit Ihnen den Betreiber bei der Kontaktaufnahme oder auf Anfrage des Subjekts der personenbezogenen Daten oder seines gesetzlichen Vertreters oder des bevollmächtigten Organs der Schutz personenbezogener Daten ist der Betreiber verpflichtet, die Sperrung personenbezogener Daten in Bezug auf das jeweilige Subjekt der personenbezogenen Daten nach einer solchen Behandlung oder einer solchen Aufforderung für den Zeitraum der überprüfung.
2. Im Falle der Bestätigung der Tatsache der Unzuverlässigkeit der personenbezogenen Daten der Betreiber auf der Grundlage der Dokumente, die das Thema der personenbezogenen Daten oder seinen gesetzlichen Vertreter oder die zuständige Behörde für den Schutz der Rechte der Subjekte der personenbezogenen Daten, oder andere notwendige Dokumente ist verpflichtet, die personenbezogenen Daten zu klären und entfernen ihre Sperrung.
Artikel 22. Mitteilung über die Verarbeitung personenbezogener Daten
1. Der Betreiber vor der Verarbeitung personenbezogener Daten ist verpflichtet, die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten über seine Absicht, die Verarbeitung personenbezogener Daten durchzuführen, mit Ausnahme der in Teil 2 dieses Artikels.
2. Der Betreiber ist berechtigt, ohne Benachrichtigung der zuständigen Behörde für den Schutz der Rechte der Subjekte der personenbezogenen Daten die Verarbeitung personenbezogener Daten durchzuführen:
1) im Zusammenhang mit den Subjekten der personenbezogenen Daten, die mit dem Betreiber des Arbeitsverhältnisses verbunden sind;
2) vom Betreiber im Zusammenhang mit dem Abschluss eines Vertrages, dessen Partei das Thema der personenbezogenen Daten ist erhalten, wenn die personenbezogenen Daten nicht verbreitet werden und auch nicht an Dritte ohne Zustimmung des Subjekts der personenbezogenen Daten zur Verfügung gestellt und vom Betreiber ausschließlich für die Erfüllung dieses Vertrages und den Abschluss von Verträgen mit dem Thema der personenbezogenen Daten verwendet;
3) die Mitglieder (Teilnehmer) einer gesellschaftlichen Vereinigung oder einer religiösen Organisation und von den entsprechenden öffentlichen Vereinigung oder religiösen Organisation, die in Übereinstimmung mit der Gesetzgebung der Russischen Föderation, für die Erreichung der gesetzlichen Ziele, die von ihren Gründungsdokumenten vorgesehen, unter der Bedingung, dass die personenbezogenen Daten nicht ohne die schriftliche Zustimmung der Subjekte der personenbezogenen Daten verbreitet werden verarbeitet;
4) öffentlich zugängliche personenbezogene Daten;
5) die nur die Namen, Namen und Vatersnamen der Subjekte personenbezogener Daten umfassen;
6) für die einmalige Passage des Subjekts personenbezogener Daten in das Gebiet, in dem sich der Betreiber befindet, oder für andere ähnliche Zwecke erforderlich;
7) enthalten in den Informationssystemen der persönlichen Daten, die in Übereinstimmung mit den Bundesgesetzen den Status der föderalen automatisierten Informationssysteme, sowie in den staatlichen Informationssystemen der persönlichen Daten, erstellt, um die Sicherheit des Staates und der öffentlichen Ordnung zu schützen;
8) ohne die Verwendung von Automatisierungsmitteln in Übereinstimmung mit Bundesgesetzen oder anderen normativen Rechtsakten der Russischen Föderation, die die Anforderungen für die Sicherheit personenbezogener Daten bei der Verarbeitung und die Einhaltung der Rechte der Subjekte personenbezogener Daten.
3. Die Mitteilung nach Teil 1 dieses Artikels muss schriftlich und von einer bevollmächtigten Person unterzeichnet oder in elektronischer Form gesendet und mit einer elektronischen digitalen Unterschrift in Übereinstimmung mit der Gesetzgebung der Russischen Föderation unterzeichnet werden. Die Benachrichtigung sollte die folgenden Informationen enthalten:
1) Name( Nachname, Vorname, Vatersname), Adresse des Betreibers;
2) zweck der Verarbeitung personenbezogener Daten;
3) kategorien von personenbezogenen Daten;
4) kategorien von Subjekten, deren personenbezogene Daten verarbeitet werden;
5) rechtliche Grundlage für die Verarbeitung personenbezogener Daten;
6) liste der Aktionen mit personenbezogenen Daten, eine allgemeine Beschreibung der vom Betreiber verwendeten Methoden der Verarbeitung personenbezogener Daten;
7) beschreibung der Maßnahmen, die der Betreiber verpflichtet sich, bei der Verarbeitung personenbezogener Daten durchzuführen, um die Sicherheit personenbezogener Daten bei der Verarbeitung zu gewährleisten;
8) datum des Beginns der Verarbeitung personenbezogener Daten;
9) die Frist oder die Bedingung der Beendigung der Verarbeitung personenbezogener Daten.
4. Die autorisierte Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten innerhalb von dreißig Tagen ab dem Datum des Eingangs der Benachrichtigung über die Verarbeitung personenbezogener Daten macht die Informationen in Teil 3 dieses Artikels angegeben, sowie Informationen über das Datum der Übermittlung dieser Mitteilung an das Register der Betreiber. Informationen, die im Register der Betreiber enthalten sind, mit Ausnahme von Informationen über die Sicherheit der persönlichen Daten bei der Verarbeitung, sind öffentlich zugänglich.
5. Der Betreiber kann keine Kosten im Zusammenhang mit der Prüfung der Benachrichtigung über die Verarbeitung personenbezogener Daten durch die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten, sowie im Zusammenhang mit der Eintragung von Informationen in das Register der Betreiber.
6. Im Falle der Bereitstellung von unvollständigen oder falschen Informationen in Teil 3 dieses Artikels angegeben, ist die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten berechtigt, vom Betreiber Klärung der Informationen vor ihrer Eintragung in das Register der Betreiber verlangen.
7. Im Falle einer Änderung der Informationen in Teil 3 dieses Artikels angegeben, ist der Betreiber verpflichtet, die Änderungen an die zuständige Behörde für den Schutz der Rechte der Personen personenbezogener Daten innerhalb von zehn Werktagen ab dem Datum des Auftretens solcher Änderungen zu benachrichtigen.
Kapitel 5. KONTROLLE UND ÜBERWACHUNG DER VERARBEITUNG PERSONENBEZOGENER DATEN. VERANTWORTUNG FÜR DIE VERLETZUNG DER ANFORDERUNGEN DIESES BUNDESGESETZES
Artikel 23. Autorisierte Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten
1. Die autorisierte Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten, die mit der Überwachung und Überwachung der Einhaltung der Verarbeitung personenbezogener Daten Anforderungen dieses Bundesgesetzes ist die föderale Exekutive, die die Funktionen der Kontrolle und Aufsicht im Bereich der Informationstechnologie und Kommunikation.
2. Die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten prüft die Behandlung des Subjekts personenbezogener Daten über die Einhaltung des Inhalts personenbezogener Daten und der Art und Weise ihrer Verarbeitung zu den Zwecken ihrer Verarbeitung und trifft eine entsprechende Entscheidung.
3. Die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten hat das Recht:
1) fordern Sie von natürlichen oder juristischen Personen die Informationen, die für die Ausübung ihrer Befugnisse erforderlich sind, und erhalten Sie diese Informationen kostenlos;
2) um die in der Mitteilung über die Verarbeitung personenbezogener Daten enthaltenen Informationen zu überprüfen, oder um andere staatliche Stellen im Rahmen ihrer Befugnisse für die Durchführung einer solchen Prüfung zu gewinnen;
3) verlangen, dass der Betreiber Klärung, Sperrung oder Zerstörung von falschen oder illegal erhaltenen personenbezogenen Daten;
4) in der von der Gesetzgebung der Russischen Föderation festgelegten Verfahren Maßnahmen zur Aussetzung oder Einstellung der Verarbeitung personenbezogener Daten, die gegen die Anforderungen dieses Bundesgesetzes durchgeführt werden;
5) vor Gericht mit Ansprüchen zum Schutz der Rechte der Subjekte personenbezogener Daten und vertreten die Interessen der Subjekte personenbezogener Daten vor Gericht;
6) senden Sie eine Erklärung an die Behörde, die die Lizenzierung der Tätigkeit des Betreibers, für die Prüfung der Annahme von Maßnahmen zur Aussetzung oder Aufhebung der entsprechenden Lizenz in der Gesetzgebung der Russischen Föderation festgelegt, wenn die Bedingung der Lizenz für die Durchführung solcher Aktivitäten ist ein Verbot der Übertragung personenbezogener Daten an Dritte ohne schriftliche Zustimmung des Subjekts personenbezogener Daten;
7) senden Sie an die Staatsanwaltschaft, andere Strafverfolgungsbehörden Materialien für die Lösung der Frage der Einleitung von Strafverfahren auf Anzeichen von Verbrechen im Zusammenhang mit der Verletzung der Rechte der Personen personenbezogener Daten, in Übereinstimmung mit der Zuständigkeit;
8) in der Regierung der Russischen Föderation Vorschläge zur Verbesserung der regulatorischen gesetzlichen Regelung des Schutzes der Rechte der Subjekte personenbezogener Daten zu machen;
9)zur administrativen Verantwortung der Verantwortlichen der Verletzung dieses Bundesgesetzes.
4. In Bezug auf personenbezogene Daten, die der zuständigen Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten während der Ausübung ihrer Tätigkeit bekannt geworden sind, muss die Vertraulichkeit personenbezogener Daten gewährleistet werden.
5. Die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten ist verpflichtet:
1) organisieren in Übereinstimmung mit den Anforderungen dieses Bundesgesetzes und anderen Bundesgesetzen den Schutz der Rechte der Subjekte personenbezogener Daten;
2) um Beschwerden und Beschwerden von Bürgern oder juristischen Personen in Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu behandeln, und auch im Rahmen ihrer Befugnisse Entscheidungen über die Ergebnisse der Behandlung dieser Beschwerden und Beschwerden zu treffen;
3) führen Sie das Register der Betreiber;
4) maßnahmen zur Verbesserung des Schutzes der Rechte der Subjekte personenbezogener Daten durchzuführen;
5) nehmen in der Gesetzgebung der Russischen Föderation auf Vorschlag der föderalen Exekutive im Bereich der Sicherheit oder der föderalen Exekutive im Bereich der Bekämpfung der technischen Erkenntnisse und der technischen Schutz von Informationen, Maßnahmen zur Aussetzung oder Beendigung der Verarbeitung personenbezogener Daten;
6) informieren Sie die staatlichen Behörden sowie die Subjekte der personenbezogenen Daten über ihre Anfragen oder Anfragen über den Stand der Dinge im Bereich des Schutzes der Rechte der Subjekte der personenbezogenen Daten;
7) erfüllen andere Aufgaben, die durch die Gesetzgebung der Russischen Föderation vorgesehen sind.
6. Entscheidungen der zuständigen Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten können gerichtlich angefochten werden.
7. Die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten sendet jährlich einen Bericht über ihre Aktivitäten an den Präsidenten der Russischen Föderation, an die Regierung der Russischen Föderation und die Bundesversammlung der Russischen Föderation. Der angegebene Bericht unterliegt der Veröffentlichung in den Massenmedien.
8. Die Finanzierung der zuständigen Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten erfolgt aus Mitteln des Bundeshaushalts.
9. Bei der zuständigen Organ für den Schutz der Rechte von Subjekten personenbezogener Daten von ehrenamtlicher Beirat, die Bildung und die Tätigkeit der bestimmt zuständigen Behörde für den Schutz der Rechte von Subjekten personenbezogener Daten.
Artikel 24. Verantwortung für die Verletzung der Anforderungen dieses Bundesgesetzes
Personen, die der Verletzung der Anforderungen dieses Bundesgesetzes schuldig sind, tragen Zivil -, Straf -, Verwaltungs -, Disziplinar-und andere von der Gesetzgebung der Russischen Föderation vorgesehene Verantwortung.
Kapitel 6. SCHLUSSBESTIMMUNGEN
Artikel 25. Schlussbestimmungen
1. Dieses Bundesgesetz tritt nach Ablauf von einhundertachtzig Tagen nach dem Tag seiner offiziellen Veröffentlichung in Kraft.
2. Nach dem Tag des Inkrafttretens dieses Bundesgesetzes wird die Verarbeitung personenbezogener Daten, die in den Informationssystemen personenbezogener Daten vor dem Tag ihres Inkrafttretens enthalten sind, in Übereinstimmung mit diesem Bundesgesetz durchgeführt.
3. Informationssysteme personenbezogener Daten, die vor dem 1. Januar 2010 erstellt wurden, müssen spätestens am 1.Januar 2011 mit den Anforderungen dieses Bundesgesetzes in Einklang gebracht werden.
4. Betreiber, die Verarbeitung personenbezogener Daten vor dem Tag des Inkrafttretens dieses Bundesgesetzes und weiterhin eine solche Verarbeitung nach dem Tag seines Inkrafttretens durchzuführen, sind verpflichtet, an die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten, mit Ausnahme der Fälle, die in Teil 2 des Artikels 22 dieses Bundesgesetzes, die Mitteilung nach dem Teil 3 des Artikels 22 dieses Bundesg
Angenommen von der Staatsduma am 8. Juli 2006, Vom Föderationsrat am 14. Juli 2006 genehmigt
Bundesgesetze vom 25.11.2009 N 266-FZ, vom 27.12.2009 N 363-FZ, vom 28.06.2010 N 123-FZ,
von 27.07.2010 N 204-FZ)
Kapitel 1. ALLGEMEINES
Artikel 1. Geltungsbereich dieses Bundesgesetzes
1. Dieses Bundesgesetz regelt die Beziehungen im Zusammenhang mit der Verarbeitung personenbezogener Daten durch die Bundesbehörden, Behörden der Subjekte der Russischen Föderation, anderen staatlichen Stellen (im Folgenden-staatliche Stellen), lokalen Behörden, die nicht in das System der kommunalen Selbstverwaltung kommunalen Stellen (im Folgenden - oder ohne die Verwendung solcher Mittel, wenn die Verarbeitung personenbezogener Daten ohne die Verwendung solcher Mittel dem Charakter der Handlungen (Operationen) entspricht, die mit personenbezogenen Daten mit der Verwendung von Automatisierungsmitteln durchgeführt werden.
2. Dieses Bundesgesetz gilt nicht für Beziehungen, die sich aus:
1) verarbeitung personenbezogener Daten durch natürliche Personen ausschließlich für persönliche und familiäre Bedürfnisse, es sei denn, die Rechte der Subjekte personenbezogener Daten verletzt werden;
2) organisation der Lagerung, Komplettierung, Buchhaltung und Verwendung von Dokumenten, die persönliche Daten des Archivfonds der Russischen Föderation und andere Archivdokumente in Übereinstimmung mit der Gesetzgebung über Archivwesen in der Russischen Föderation;
3) die Verarbeitung unterliegt der Einbeziehung in das einheitliche Staatliche Register der Einzelunternehmer Informationen über Personen, wenn diese Verarbeitung erfolgt in übereinstimmung mit der Gesetzgebung der Russischen Föderation im Zusammenhang mit der Tätigkeit einer natürlichen Person als Einzelunternehmer;
4) verarbeitung personenbezogener Daten, die in der vorgeschriebenen Weise zu den Informationen, die das Staatsgeheimnis;
dezember 2008 N 262-FZ "Über den Zugang zu Informationen über die Tätigkeit der Gerichte in der Russischen Föderation".
Artikel 2. Zweck dieses Bundesgesetzes
Das Ziel dieses Bundesgesetzes ist es, den Schutz der Rechte und Freiheiten der Person und des Bürgers bei der Verarbeitung seiner persönlichen Daten, einschließlich des Schutzes der Rechte auf Privatsphäre, persönliche und Familiengeheimnisse zu gewährleisten.
Artikel 3. Die grundlegenden Konzepte in diesem Bundesgesetz verwendet
Für die Zwecke dieses Bundesgesetzes werden die folgenden grundlegenden Konzepte verwendet:
1) personenbezogene Daten - alle Informationen, die sich auf eine bestimmte oder auf der Grundlage solcher Informationen natürliche Person (Subjekt der persönlichen Daten), einschließlich seines Familiennamens, Vorname, Jahr, Monat, Datum und Ort der Geburt, Adresse, Familie, soziales, Vermögen, Bildung, Beruf, Einkommen, andere Informationen;
2) der Betreiber - Staatliche Behörde, kommunale Behörde, juristische oder Natürliche Person, die und (oder) die Verarbeitung der personenbezogenen Daten sowie die Ziele und Inhalte für die Verarbeitung personenbezogener Daten;
3) verarbeitung personenbezogener Daten-Handlungen (Operationen) mit personenbezogenen Daten, einschließlich der Sammlung, Systematisierung, Ansammlung, Speicherung, Klärung (Aktualisierung, Änderung), Nutzung, Verbreitung( einschließlich Übertragung), Anonymisierung, Sperrung, Vernichtung personenbezogener Daten;
4) verbreitung personenbezogener Daten-Maßnahmen zur Übertragung personenbezogener Daten an einen bestimmten Personenkreis (Übertragung personenbezogener Daten) oder zur Bekanntschaft mit persönlichen Daten eines unbegrenzten Personenkreises, einschließlich der Veröffentlichung personenbezogener Daten in den Medien, Platzierung in Informations-und Telekommunikationsnetzen oder Bereitstellung von Zugang zu persönlichen Daten in irgendeiner anderen Weise;
5) verwendung personenbezogener Daten-Handlungen (Operationen) mit personenbezogenen Daten, die vom Betreiber zum Zweck der Entscheidungsfindung oder der Begehung anderer Handlungen, die rechtliche Konsequenzen in Bezug auf das Thema personenbezogener Daten oder andere Personen oder auf andere Weise die Rechte und Freiheiten des Subjekts personenbezogener Daten oder anderer Personen beeinflussen;
6) sperrung personenbezogener Daten-vorübergehende Beendigung der Sammlung, Systematisierung, Akkumulation, Nutzung, Verbreitung personenbezogener Daten, einschließlich ihrer Übertragung;
7) vernichtung personenbezogener Daten-Handlungen, in deren Folge es unmöglich ist, den Inhalt personenbezogener Daten im Informationssystem personenbezogener Daten wiederherzustellen oder infolge dessen materielle Datenträger personenbezogener Daten zerstört werden;
8) anonymisierung personenbezogener Daten-Handlungen, in deren Folge es unmöglich ist, die Zugehörigkeit personenbezogener Daten zu einem bestimmten Thema personenbezogener Daten zu bestimmen;
9) informationssystem der personenbezogenen Daten-ein Informationssystem, das eine Sammlung von personenbezogenen Daten in der Datenbank enthalten ist, sowie Informationstechnologien und technische Mittel, die die Verarbeitung solcher personenbezogenen Daten mit oder ohne die Verwendung solcher Mittel ermöglichen;
10) vertraulichkeit personenbezogener Daten-obligatorisch für die Einhaltung der Betreiber oder andere Personen, die Zugang zu personenbezogenen Daten erhalten die Anforderung, ihre Verbreitung ohne die Zustimmung des Subjekts der personenbezogenen Daten oder die Existenz einer anderen gesetzlichen Grundlage zu verhindern;
11) grenzüberschreitende Übertragung personenbezogener Daten-die Übertragung personenbezogener Daten durch den Betreiber über die Staatsgrenze der Russischen Föderation an die Behörde eines ausländischen Staates, eine natürliche oder juristische Person eines ausländischen Staates;
12) öffentliche personenbezogene Daten - personenbezogene Daten, die Zugang zu einer unbegrenzten Anzahl von Personen, die mit der Zustimmung des Subjekts der personenbezogenen Daten oder die in Übereinstimmung mit Bundesgesetzen nicht unterliegt der Anforderung der Einhaltung der Vertraulichkeit.
Artikel 4. Gesetzgebung der Russischen Föderation im Bereich personenbezogener Daten
1. Die Gesetzgebung der Russischen Föderation auf dem Gebiet der persönlichen Daten basiert auf der Verfassung der Russischen Föderation und den internationalen Verträgen der Russischen Föderation und besteht aus diesem Bundesgesetz und anderen bestimmenden Fällen und Besonderheiten der Verarbeitung personenbezogener Daten der Bundesgesetze.
2. Auf der Grundlage und in Ausführung der Bundesgesetze Regierungsbehörden im Rahmen Ihrer Befugnisse kann Verordnungen zu einzelnen Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten. Die normativen Rechtsakte in den abgesonderten Fragen, die die Verarbeitung der personenbezogenen Daten betreffen, können die Bestimmungen nicht enthalten, die die Rechte der Subjekte der personenbezogenen Daten einschränken. Diese Vorschriften unterliegen einer offiziellen Veröffentlichung, mit Ausnahme von Vorschriften oder bestimmten Bestimmungen solcher Vorschriften, die Informationen enthalten, die durch Bundesgesetze eingeschränkt sind.
3. Die Besonderheiten der Verarbeitung personenbezogener Daten, die ohne die Verwendung von Automatisierungsmitteln durchgeführt wird, können durch Bundesgesetze und andere normative Rechtsakte der Russischen Föderation unter Berücksichtigung der Bestimmungen dieses Bundesgesetzes festgelegt werden.
4. Wenn der internationale Vertrag der Russischen Föderation andere Regeln als die in diesem Bundesgesetz vorgesehen sind, gelten die Regeln des internationalen Vertrags.
Kapitel 2. GRUNDSÄTZE UND BEDINGUNGEN DER VERARBEITUNG PERSONENBEZOGENER DATEN
Artikel 5. Grundsätze der Verarbeitung personenbezogener Daten
1. Die Verarbeitung personenbezogener Daten muss auf der Grundlage der Prinzipien erfolgen:
1) die Rechtmäßigkeit der Zwecke und Methoden der Verarbeitung personenbezogener Daten und Integrität;
2) übereinstimmung mit den Zwecken der Verarbeitung personenbezogener Daten mit den Zwecken, die bei der Erhebung personenbezogener Daten vorgegeben und angegeben sind, sowie mit den Befugnissen des Betreibers;
3) übereinstimmung mit dem Umfang und der Art der verarbeiteten personenbezogenen Daten, Verfahren zur Verarbeitung personenbezogener Daten für die Zwecke der Verarbeitung personenbezogener Daten;
4) die Richtigkeit der personenbezogenen Daten, ihre Angemessenheit für die Zwecke der Verarbeitung, Unzulässigkeit der Verarbeitung personenbezogener Daten, überflüssig in Bezug auf die Zwecke, die bei der Erhebung personenbezogener Daten angegeben;
5) unzulässigkeit der Vereinigung von Datenbanken für unvereinbare Zwecke der Informationssysteme personenbezogener Daten erstellt.
2. Die Speicherung personenbezogener Daten muss in einer Form erfolgen, die es erlaubt, das Thema personenbezogener Daten zu bestimmen, nicht länger als der Zweck ihrer Verarbeitung erfordert, und sie sind nach der Erreichung der Ziele der Verarbeitung oder im Falle des Verlustes der Notwendigkeit, sie zu erreichen vernichtet werden.
Artikel 6. Bedingungen für die Verarbeitung personenbezogener Daten
1. Die Verarbeitung personenbezogener Daten kann vom Betreiber mit Zustimmung der Subjekte personenbezogener Daten durchgeführt werden, mit Ausnahme der in Teil 2 dieses Artikels vorgesehenen Fälle.
2. Die Zustimmung des Subjekts der personenbezogenen Daten nach Teil 1 dieses Artikels ist in den folgenden Fällen nicht erforderlich:
1) die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage des Bundesgesetzes, das seinen Zweck, die Bedingungen für den Erhalt personenbezogener Daten und den Kreis der Subjekte, deren persönliche Daten verarbeitet werden, sowie die Bestimmung der Befugnisse des Betreibers;
1.1) die Verarbeitung personenbezogener Daten ist im Zusammenhang mit der Umsetzung der internationalen Verträge der Russischen Föderation über die Rückübernahme erforderlich;
2) die Verarbeitung personenbezogener Daten erfolgt zum Zweck der Erfüllung des Vertrages, von dem eine Partei das Thema personenbezogener Daten ist;
3) die Verarbeitung personenbezogener Daten erfolgt für statistische oder andere wissenschaftliche Zwecke, vorbehaltlich der obligatorischen Anonymisierung personenbezogener Daten;
4) die Verarbeitung personenbezogener Daten ist notwendig, um das Leben, die Gesundheit oder andere lebenswichtige Interessen des Subjekts personenbezogener Daten zu schützen, wenn die Zustimmung des Subjekts personenbezogener Daten nicht möglich ist;
5) die Verarbeitung personenbezogener Daten ist für die Zustellung von Postsendungen durch die Postdienste erforderlich, für die Durchführung von Telekommunikationsbetreibern Berechnungen mit den Nutzern von Kommunikationsdiensten für die erbrachten Kommunikationsdienste, sowie für die Prüfung von Ansprüchen der Nutzer von Kommunikationsdiensten;
6) die Verarbeitung personenbezogener Daten erfolgt zum Zwecke der beruflichen Tätigkeit eines Journalisten oder für wissenschaftliche, literarische oder andere kreative Aktivitäten, sofern dies nicht die Rechte und Freiheiten des Subjekts personenbezogener Daten verletzt;
7) die Verarbeitung personenbezogener Daten, die in Übereinstimmung mit Bundesgesetzen veröffentlicht werden, einschließlich personenbezogener Daten von Personen, die öffentliche Ämter, Positionen des öffentlichen öffentlichen Dienstes, persönliche Daten von Kandidaten für gewählte staatliche oder kommunale Ämter ersetzen.
3. Die Besonderheiten der Verarbeitung von speziellen Kategorien von personenbezogenen Daten sowie biometrischen personenbezogenen Daten werden entsprechend den Artikeln 10 und 11 dieses Bundesgesetzes festgelegt.
4. Wenn der Betreiber auf der Grundlage des Vertrages die Verarbeitung personenbezogener Daten an eine andere Person anvertraut, ist eine wesentliche Bedingung des Vertrages die Verpflichtung, die Vertraulichkeit der personenbezogenen Daten und die Sicherheit der personenbezogenen Daten bei der Verarbeitung zu gewährleisten.
Artikel 7. Vertraulichkeit personenbezogener Daten
1. Betreiber und Dritte, die Zugang zu personenbezogenen Daten erhalten, müssen die Vertraulichkeit dieser Daten gewährleisten, sofern nicht in Teil 2 dieses Artikels vorgesehen.
2. Die Vertraulichkeit personenbezogener Daten ist nicht erforderlich:
1) im Falle der Anonymisierung personenbezogener Daten;
2) in Bezug auf öffentliche personenbezogene Daten.
Artikel 8. Öffentliche Quellen personenbezogener Daten
1. Zu Informationszwecken können öffentliche Quellen personenbezogener Daten (einschließlich Nachschlagewerke, Adressbücher) erstellt werden. In den öffentlichen Quellen der personenbezogenen Daten mit der schriftlichen Zustimmung des Subjekts der personenbezogenen Daten können sein Nachname, Name, Vatersname, Jahr und Ort der Geburt, Adresse, Telefonnummer, Informationen über den Beruf und andere persönliche Daten, die von dem Subjekt der personenbezogenen Daten.
2. Informationen über das Thema der persönlichen Daten können jederzeit aus den öffentlichen Quellen der persönlichen Daten auf Antrag des Themas der persönlichen Daten oder durch ein Gericht oder andere bevollmächtigte Behörden ausgeschlossen werden.
Artikel 9. Einwilligung des Subjekts der personenbezogenen Daten zur Verarbeitung seiner personenbezogenen Daten
1. Das Subjekt der personenbezogenen Daten entscheidet über die Bereitstellung ihrer personenbezogenen Daten und stimmt ihrer Verarbeitung durch seinen Willen und in seinem Interesse zu, außer in den Fällen, die in Teil 2 dieses Artikels vorgesehen sind. Die Einwilligung zur Verarbeitung personenbezogener Daten kann von der Person der personenbezogenen Daten widerrufen werden.
2. Dieses Bundesgesetz und andere Bundesgesetze sieht vor, dass das Subjekt seine persönlichen Daten zwingend zur Verfügung stellt, um die Grundlagen der verfassungsmäßigen Ordnung, Moral, Gesundheit, Rechte und legitimen Interessen anderer zu schützen, die Verteidigung des Landes und die Sicherheit des Staates zu gewährleisten.
3. Die Pflicht, den Nachweis der Zustimmung des Subjekts der personenbezogenen Daten zur Verarbeitung seiner personenbezogenen Daten, und im Falle der Verarbeitung der öffentlichen personenbezogenen Daten die Pflicht zu beweisen, dass die verarbeiteten personenbezogenen Daten öffentlich zugänglich sind, liegt beim Betreiber.
4. In den Fällen, die durch dieses Bundesgesetz vorgesehen sind, erfolgt die Verarbeitung personenbezogener Daten nur mit schriftlicher Zustimmung des Subjekts personenbezogener Daten. Die schriftliche Zustimmung des Subjekts der personenbezogenen Daten zur Verarbeitung seiner personenbezogenen Daten muss umfassen:
1) nachname, Vorname, Vatersname, Adresse des Subjekts personenbezogener Daten, die Nummer des Hauptdokuments, das seine Identität ausweist, Informationen über das Datum der Ausgabe des Dokuments und der Behörde, die es ausstellt;
2) name (Nachname, Vorname, Vatersname) und die Adresse des Betreibers, der die Zustimmung des Subjekts der personenbezogenen Daten erhält;
3) zweck der Verarbeitung personenbezogener Daten;
4) die Liste der personenbezogenen Daten, auf deren Verarbeitung die Zustimmung des Subjekts der personenbezogenen Daten gegeben wird;
5) liste der Aktionen mit personenbezogenen Daten, auf deren Begehung die Zustimmung gegeben wird, eine allgemeine Beschreibung der vom Betreiber verwendeten Methoden der Verarbeitung personenbezogener Daten;
6) die Frist, in der die Zustimmung gilt, sowie die Reihenfolge seiner Widerruf.
5. Für die Verarbeitung personenbezogener Daten, die in der schriftlichen Zustimmung des Subjekts zur Verarbeitung seiner personenbezogenen Daten enthalten sind, ist keine zusätzliche Zustimmung erforderlich.
6. Im Falle der Unfähigkeit des Subjekts der personenbezogenen Daten Zustimmung zur Verarbeitung seiner personenbezogenen Daten gibt schriftlich der gesetzliche Vertreter des Subjekts der personenbezogenen Daten.
7. Im Falle des Todes des Subjekts der personenbezogenen Daten Zustimmung zur Verarbeitung seiner personenbezogenen Daten geben schriftlich die Erben des Subjekts der personenbezogenen Daten, wenn eine solche Zustimmung nicht gegeben wurde, das Subjekt der personenbezogenen Daten in seinem Leben.
Artikel 10. Spezielle Kategorien personenbezogener Daten
1. Die Verarbeitung von speziellen Kategorien personenbezogener Daten in Bezug auf Rasse, Nationalität, politische Ansichten, religiöse oder philosophische Überzeugungen, Gesundheitszustand, intimes Leben ist nicht erlaubt, außer in den Fällen, die in Teil 2 dieses Artikels vorgesehen sind.
2. Die Verarbeitung der in Teil 1 dieses Artikels genannten speziellen Kategorien personenbezogener Daten ist in den Fällen zulässig, wenn:
1) das Thema der personenbezogenen Daten hat schriftlich auf die Verarbeitung ihrer personenbezogenen Daten zugestimmt;
2) personenbezogene Daten sind öffentlich zugänglich;
2.1) die Verarbeitung personenbezogener Daten ist im Zusammenhang mit der Umsetzung der internationalen Verträge der Russischen Föderation über die Rückübernahme erforderlich;
2.2) die Verarbeitung personenbezogener Daten erfolgt in Übereinstimmung mit dem Bundesgesetz vom 25. Januar 2002 N 8-FZ " Über die Allrussische Volkszählung";
3) personenbezogene Daten beziehen sich auf den Gesundheitszustand des Subjekts personenbezogener Daten und deren Verarbeitung ist notwendig, um sein Leben, Gesundheit oder andere lebenswichtige Interessen oder Leben, Gesundheit oder andere lebenswichtige Interessen anderer zu schützen, und die Zustimmung des Subjekts personenbezogener Daten ist nicht möglich;
4) die Verarbeitung personenbezogener Daten wird für medizinische und präventive Zwecke durchgeführt, um eine medizinische Diagnose, die Bereitstellung von medizinischen und sozialen Dienstleistungen, sofern die Verarbeitung personenbezogener Daten von einer Person, die sich professionell in der medizinischen Tätigkeit und in Übereinstimmung mit der Gesetzgebung der Russischen Föderation verpflichtet, ein ärztliches Geheimnis zu bewahren;
5) die Verarbeitung personenbezogener Daten der Mitglieder (Teilnehmer) einer öffentlichen Vereinigung oder religiösen Organisation erfolgt durch die entsprechenden öffentlichen Vereinigung oder religiösen Organisation, die in Übereinstimmung mit der Gesetzgebung der Russischen Föderation, um die gesetzlichen Ziele, die von ihren Gründungsdokumenten vorgesehen zu erreichen, sofern die personenbezogenen Daten nicht ohne schriftliche Zustimmung der Subjekte der personenbezogenen Daten verbreitet werden;
6) die Verarbeitung personenbezogener Daten ist im Zusammenhang mit der Ausübung der Gerechtigkeit erforderlich;
7) die Verarbeitung personenbezogener Daten erfolgt in übereinstimmung mit der Gesetzgebung der Russischen Föderation über die Sicherheit, über die untersuchungstätigkeit sowie entsprechend der strafrechtlich-Executive Gesetzgebung der Russischen Föderation.
3. Die Verarbeitung personenbezogener Daten über Vorstrafen kann von staatlichen Stellen oder kommunalen Behörden innerhalb der von ihnen in Übereinstimmung mit der Gesetzgebung der Russischen Föderation, sowie anderen Personen in den Fällen und in der Reihenfolge, die in Übereinstimmung mit Bundesgesetzen bestimmt werden.
4. Die Verarbeitung von speziellen Kategorien personenbezogener Daten, die in den Fällen nach den Teilen 2 und 3 dieses Artikels durchgeführt wird, muss sofort beendet werden, wenn die Gründe, aus denen die Verarbeitung durchgeführt wurde, beseitigt werden.
Artikel 11. Biometrische personenbezogene Daten
1. Informationen, die die physiologischen Merkmale einer Person charakterisieren und auf deren Grundlage Sie ihre Identität feststellen können (biometrische personenbezogene Daten), können nur mit der schriftlichen Zustimmung des Subjekts der personenbezogenen Daten verarbeitet werden, außer in den Fällen, die in Teil 2 dieses Artikels vorgesehen sind.
2. Die Verarbeitung von biometrischen personenbezogenen Daten kann ohne Zustimmung des Subjekts personenbezogener Daten im Zusammenhang mit der Umsetzung der internationalen Verträge der Russischen Föderation über die Rückübernahme, im Zusammenhang mit der Ausübung der Justiz, sowie in den Fällen, die durch die Gesetzgebung der Russischen Föderation über die Sicherheit, die Gesetzgebung der Russischen Föderation über die operative und Suchtätigkeit, die Gesetzgebung der Russischen Föderation über den öffentlichen Dienst, die Strafvollstreckungsgesetzgebung der Russischen Föderation, die Gesetzgebung der Russischen Föderation über die Reihenfolge der Ausreise aus der Russischen Föderation und der Einreise in die Russische Föderation.
Artikel 12. Grenzüberschreitende Übertragung personenbezogener Daten
1. Vor dem Beginn der grenzüberschreitenden Übertragung personenbezogener Daten muss der Betreiber sicherstellen, dass der ausländische Staat, in dessen Hoheitsgebiet die Übertragung personenbezogener Daten erfolgt, einen angemessenen Schutz der Rechte der Subjekte personenbezogener Daten gewährleistet.
2. Die grenzüberschreitende Übertragung personenbezogener Daten auf dem Territorium ausländischer Staaten, die den angemessenen Schutz der Rechte der Subjekte personenbezogener Daten gewährleisten, erfolgt in Übereinstimmung mit diesem Bundesgesetz und kann zum Schutz der Grundlagen der verfassungsmäßigen Ordnung der Russischen Föderation, Moral, Gesundheit, Rechte und legitimen Interessen der Bürger, die Gewährleistung der Verteidigung des Landes und der Sicherheit des Staates verboten oder eingeschränkt werden.
3. Die grenzüberschreitende Übertragung personenbezogener Daten auf dem Territorium ausländischer Staaten, die keinen angemessenen Schutz der Rechte der Subjekte personenbezogener Daten bieten, kann in den Fällen durchgeführt werden:
1) die Zustimmung in schriftlicher Form des Subjekts der personenbezogenen Daten;
2) in den internationalen Verträgen der Russischen Föderation über die Erteilung von Visa, internationalen Verträgen der Russischen Föderation über die Gewährung von Rechtshilfe in Zivil -, Familien-und Strafsachen sowie internationalen Verträgen der Russischen Föderation über die Rückübernahme vorgesehen;
3) Bundesgesetze, wenn dies zum Schutz der Grundlagen der Verfassungsordnung der Rußländischen Föderation, die die Verteidigung des Landes und Sicherheit des Staates;
4) erfüllung des Vertrages, dessen Partei das Thema der personenbezogenen Daten ist;
5) Schutz des Lebens, der Gesundheit, anderer lebenswichtiger Interessen des Subjekts personenbezogener Daten oder anderer Personen, wenn es nicht möglich ist, die Zustimmung in schriftlicher Form des Subjekts personenbezogener Daten zu erhalten.
Artikel 13. Besonderheiten der Verarbeitung personenbezogener Daten in staatlichen oder kommunalen Informationssystemen personenbezogener Daten
1. Staatliche Stellen, kommunale Stellen schaffen im Rahmen ihrer Befugnisse in Übereinstimmung mit Bundesgesetzen, staatliche oder kommunale Informationssysteme für persönliche Daten.
2. Bundesgesetze können die Besonderheiten der Berücksichtigung personenbezogener Daten in den staatlichen und kommunalen Informationssystemen personenbezogener Daten, einschließlich der Verwendung von verschiedenen Methoden zur Kennzeichnung der Zugehörigkeit personenbezogener Daten, die im jeweiligen staatlichen oder kommunalen Informationssystem personenbezogener Daten, einem bestimmten Thema personenbezogener Daten enthalten sind, festgelegt werden.
3. Die Rechte und Freiheiten der Person und des Bürgers können aufgrund der Motive, die mit der Nutzung verschiedener Methoden der Verarbeitung personenbezogener Daten oder der Bezeichnung der Zugehörigkeit der personenbezogenen Daten in staatlichen oder kommunalen Informationssystemen personenbezogener Daten, einem bestimmten Subjekt personenbezogener Daten enthalten sind, nicht eingeschränkt werden. Es ist nicht erlaubt, die Gefühle der Bürger zu beleidigen oder die Würde der Menschen zu erniedrigen Methoden der Bezeichnung der Zugehörigkeit der persönlichen Daten, die in den staatlichen oder kommunalen Informationssystemen der persönlichen Daten, einem bestimmten Subjekt der persönlichen Daten enthalten sind.
4. Im Hinblick auf die Umsetzung der Rechte von Subjekten personenbezogener Daten im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten in staatlichen oder kommunalen Informationssystemen personenbezogener Daten erstellt werden kann, das Staatliche Melderegister ist, die Rechtsstellung und die Arbeitsweise mit denen bestimmt ein Bundesgesetz.
Kapitel 3. RECHTE DES SUBJEKTS PERSONENBEZOGENER DATEN
Artikel 14. Das Recht des Subjekts der personenbezogenen Daten auf den Zugriff auf ihre personenbezogenen Daten
1. Das Thema der personenbezogenen Daten hat das Recht, Informationen über den Betreiber, seinen Standort, die Anwesenheit des Betreibers von personenbezogenen Daten im Zusammenhang mit dem jeweiligen Thema der personenbezogenen Daten, sowie die Bekanntschaft mit solchen personenbezogenen Daten, außer in den Fällen, die in Teil 5 dieses Artikels. Das Subjekt der personenbezogenen Daten ist berechtigt, vom Betreiber die Klärung seiner personenbezogenen Daten, deren Sperrung oder Vernichtung zu verlangen, wenn die personenbezogenen Daten unvollständig, veraltet, falsch, illegal erhalten oder für den erklärten Zweck der Verarbeitung nicht notwendig sind, sowie die gesetzlich vorgeschriebenen Maßnahmen zum Schutz seiner Rechte zu ergreifen.
2. Informationen über die Verfügbarkeit personenbezogener Daten müssen dem Subjekt personenbezogener Daten durch den Betreiber in zugänglicher Form zur Verfügung gestellt werden, und sie dürfen keine personenbezogenen Daten enthalten, die sich auf andere Subjekte personenbezogener Daten beziehen.
3. Der Zugang zu ihren persönlichen Daten wird dem Subjekt personenbezogener Daten oder seinem gesetzlichen Vertreter durch den Betreiber bei der Behandlung oder beim Empfang einer Anfrage des Subjekts personenbezogener Daten oder seines gesetzlichen Vertreters gewährt. Die Anfrage muss die Nummer des Hauptdokuments, das die Identität des Subjekts der personenbezogenen Daten oder seiner gesetzlichen Vertreter, Informationen über das Datum der Ausstellung des Dokuments und der Behörde und die Unterschrift des Subjekts der personenbezogenen Daten oder seines gesetzlichen Vertreters enthalten. Der Antrag kann in elektronischer Form gesendet und mit einer elektronischen digitalen Unterschrift in Übereinstimmung mit der Gesetzgebung der Russischen Föderation unterzeichnet werden.
4. Das Subjekt der personenbezogenen Daten hat das Recht, bei der Behandlung oder beim Erhalt der Anfrage von Informationen über die Verarbeitung seiner personenbezogenen Daten, einschließlich der enthaltenen:
1) bestätigung der Tatsache der Verarbeitung personenbezogener Daten durch den Betreiber, sowie der Zweck einer solchen Verarbeitung;
2) verfahren zur Verarbeitung personenbezogener Daten, die vom Betreiber verwendet werden;
3) informationen über Personen, die Zugang zu personenbezogenen Daten haben oder denen ein solcher Zugang gewährt werden kann;
4) die Liste der verarbeiteten personenbezogenen Daten und die Quelle ihres Empfangs;
5) die Fristen der Verarbeitung personenbezogener Daten, einschließlich der Fristen ihrer Speicherung;
6) informationen darüber, welche rechtlichen Folgen für das Thema der personenbezogenen Daten kann die Verarbeitung seiner personenbezogenen Daten zur Folge haben.
5. Das Recht des Subjekts der personenbezogenen Daten auf den Zugriff auf ihre personenbezogenen Daten ist beschränkt, wenn:
1) die Verarbeitung personenbezogener Daten, einschließlich personenbezogener Daten, die als Ergebnis der operativen Untersuchung, Spionageabwehr und Intelligenz, wird zum Zwecke der Verteidigung des Landes, der Sicherheit des Staates und des Schutzes der Rechtsstaatlichkeit durchgeführt;
2) die Verarbeitung personenbezogener Daten wird von den Behörden durchgeführt, die die Festnahme des Subjekts personenbezogener Daten auf den Verdacht der Begehung einer Straftat durchgeführt, oder die das Thema der persönlichen Daten Anklage in einem Strafverfahren oder die Anwendung auf das Thema der persönlichen Daten Maßnahme vor der Anklage, mit Ausnahme der Strafprozessrecht der Russischen Föderation Fälle, wenn es erlaubt ist, den Verdächtigen oder Beschuldigten mit solchen persönlichen Daten;
3) die Bereitstellung personenbezogener Daten verletzt die verfassungsmäßigen Rechte und Freiheiten anderer.
Artikel 15. Die Rechte der Subjekte der personenbezogenen Daten bei der Verarbeitung ihrer personenbezogenen Daten für die Förderung von Waren, Arbeiten, Dienstleistungen auf dem Markt, sowie für die Zwecke der politischen Agitation
1. Die Verarbeitung personenbezogener Daten für die Förderung von Waren, Arbeiten, Dienstleistungen auf dem Markt durch direkte Kontakte mit einem potenziellen Verbraucher mit Hilfe von Kommunikationsmitteln, sowie für die Zwecke der politischen Agitation ist nur unter der Voraussetzung der vorherigen Zustimmung des Subjekts der personenbezogenen Daten erlaubt. Die angegebene Verarbeitung personenbezogener Daten wird ohne vorherige Zustimmung des Subjekts personenbezogener Daten anerkannt, wenn der Betreiber nicht nachweist, dass eine solche Zustimmung erhalten wurde.
2. Der Betreiber ist verpflichtet, die Verarbeitung seiner personenbezogenen Daten, die in Teil 1 dieses Artikels angegeben sind, sofort auf Verlangen des Subjekts der personenbezogenen Daten einzustellen.
Artikel 16. Die Rechte der Subjekte der personenbezogenen Daten bei der Entscheidungsfindung auf der Grundlage der ausschließlich automatisierten Verarbeitung ihrer personenbezogenen Daten
1. Es ist verboten, auf der Grundlage der ausschließlich automatisierten Verarbeitung personenbezogener Daten Entscheidungen, die rechtliche Konsequenzen für das Thema der personenbezogenen Daten oder auf andere Weise seine Rechte und legitimen Interessen, mit Ausnahme der in Teil 2 dieses Artikels.
2. Die Entscheidung, die rechtliche Konsequenzen in Bezug auf das Thema der persönlichen Daten oder auf andere Weise seine Rechte und legitimen Interessen berührt, kann auf der Grundlage der ausschließlich automatisierten Verarbeitung seiner persönlichen Daten nur mit der Zustimmung in schriftlicher Form des Themas der persönlichen Daten oder in den Fällen, die durch Bundesgesetze, die auch Maßnahmen zur Durchsetzung der Rechte und legitimen Interessen des Subjekts der persönlichen Daten.
3. Der Betreiber ist verpflichtet, das Thema der persönlichen Daten die Reihenfolge der Entscheidung auf der Grundlage der ausschließlich automatisierten Verarbeitung seiner persönlichen Daten und die möglichen rechtlichen Folgen einer solchen Entscheidung zu klären, die Möglichkeit, einen Einwand gegen diese Entscheidung zu erheben, sowie das Verfahren zum Schutz der personenbezogenen Daten durch das Thema seiner Rechte und legitimen Interessen zu klären.
4. Der Betreiber ist verpflichtet, den in Teil 3 dieses Artikels angegebenen Einwand innerhalb von sieben Werktagen nach Erhalt zu prüfen und das Thema der persönlichen Daten über die Ergebnisse der Prüfung eines solchen Einspruchs zu benachrichtigen.
Artikel 17. Recht auf Berufung gegen Handlungen oder Unterlassungen des Betreibers
1. Wenn das Thema der personenbezogenen Daten der Auffassung, dass der Betreiber die Verarbeitung seiner personenbezogenen Daten in Verletzung der Anforderungen dieses Bundesgesetzes oder auf andere Weise verletzt seine Rechte und Freiheiten, das Thema der personenbezogenen Daten ist berechtigt, die Handlungen oder Unterlassungen des Betreibers in der zuständigen Behörde für den Schutz der Rechte der Betroffenen personenbezogenen Daten oder in einem gerichtlichen Verfahren zu appellieren.
2. Die Person der personenbezogenen Daten hat das Recht, ihre Rechte und legitimen Interessen zu schützen, einschließlich Schadensersatz und (oder) Entschädigung für moralischen Schaden in einem Gerichtsverfahren.
Kapitel 4. PFLICHTEN DES BETREIBERS
Artikel 18. Pflichten des Betreibers bei der Erhebung personenbezogener Daten
1. Bei der Erhebung personenbezogener Daten ist der Betreiber verpflichtet, das Thema personenbezogener Daten auf seine Anfrage Informationen nach Teil 4 des Artikels 14 dieses Bundesgesetzes zur Verfügung zu stellen.
2. Wenn die Verpflichtung zur Bereitstellung personenbezogener Daten durch Bundesgesetz festgelegt ist, ist der Betreiber verpflichtet, dem Subjekt personenbezogener Daten die rechtlichen Folgen der Weigerung zu klären, seine persönlichen Daten zur Verfügung zu stellen.
3. Wenn die personenbezogenen Daten stammen nicht vom Subjekt personenbezogener Daten, mit Ausnahme der Fälle, wenn die personenbezogenen Daten bereitgestellt wurden Betreiber auf der Grundlage des Gesetzes oder wenn personenbezogene Daten öffentlich zugänglich sind, dem Betreiber vor Beginn der Verarbeitung solcher personenbezogenen Daten verpflichtet Subjekt der personenbezogenen Daten die folgenden Informationen:
1) Name (Nachname, Vorname, Vatersname) und die Adresse des Betreibers oder seines Vertreters;
2) zweck der Verarbeitung personenbezogener Daten und ihre rechtliche Grundlage;
3) vermeintliche Nutzer personenbezogener Daten;
4) die durch dieses Bundesgesetz gesetzten Rechte des Subjekts personenbezogener Daten.
Artikel 19. Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei der Verarbeitung
1. Der Bediener bei der Verarbeitung personenbezogener Daten verpflichtet, die notwendigen organisatorischen und technischen Maßnahmen zum Schutz personenbezogener Daten vor Missbrauch oder versehentlichem Zugriff, Zerstörung, änderung, Sperrung, Vervielfältigung, Verbreitung personenbezogener Daten, sowie vor anderen unrechtmäßigen Handlungen.
2. Die Regierung der Russischen Föderation setzt die Anforderungen an die Sicherheit der persönlichen Daten bei der Verarbeitung in den Informationssystemen der persönlichen Daten, die Anforderungen an die materiellen Medien der biometrischen persönlichen Daten und die Technologien der Speicherung solcher Daten außerhalb der Informationssysteme der persönlichen Daten.
3. Überwachung und Überwachung der Erfüllung der von der Regierung der Russischen Föderation in Übereinstimmung mit Teil 2 dieses Artikels festgelegten Anforderungen werden von der föderalen Exekutive im Bereich der Sicherheit und der föderalen Exekutive im Bereich der Bekämpfung der technischen Intelligenz und technischen Schutz von Informationen, im Rahmen ihrer Befugnisse und ohne das Recht, mit den persönlichen Daten in den Informationssystemen der persönlichen Daten verarbeitet bekannt zu machen.
4. Nutzung und Speicherung biometrischer personenbezogener Daten außerhalb der it-Systeme personenbezogenen Daten werden nur auf der materiellen Datenträgern, sowie mit der Anwendung dieser Technologie die Lagerung, die den Schutz dieser Daten vor unbefugtem oder versehentlichem Zugriff, Zerstörung, änderung, Sperrung, Vervielfältigung, Verbreitung.
Artikel 20. Pflichten des Betreibers bei der Behandlung oder bei Erhalt der Anfrage des Subjekts der personenbezogenen Daten oder seines gesetzlichen Vertreters sowie der zuständigen Behörde für den Schutz der Rechte der Subjekte der personenbezogenen Daten
1. Der Betreiber ist verpflichtet, das Thema der persönlichen Daten oder seinen gesetzlichen Vertreter Informationen über das Vorhandensein von persönlichen Daten im Zusammenhang mit dem betreffenden Thema der persönlichen Daten, sowie die Möglichkeit, mit ihnen vertraut zu machen, wenn Sie das Thema der persönlichen Daten oder seinen gesetzlichen Vertreter oder innerhalb von zehn Werktagen ab dem Datum des Eingangs der Anfrage des Themas der persönlichen Daten oder seines gesetzlichen Vertreters.
2. Im Falle der Weigerung, das Thema der persönlichen Daten oder seinen gesetzlichen Vertreter bei der Behandlung oder beim Empfang der Anfrage des Subjekts der persönlichen Daten oder seiner gesetzlichen Vertreter Informationen über die Verfügbarkeit von persönlichen Daten über das entsprechende Thema der persönlichen Daten, sowie solche persönlichen Daten Betreiber ist verpflichtet, schriftlich eine motivierte Antwort, die einen Verweis auf die Bestimmung des Teils 5 Artikel 14 dieses Bundesgesetzes oder eines anderen Bundesgesetzes, die die Grundlage für eine solche Ablehnung, nicht mehr als sieben Werktage ab dem Tag der Behandlung des Subjekts der personenbezogenen Daten oder seines gesetzlichen Vertreters oder ab dem Datum des Eingangs der Anfrage des Subjekts der personenbezogenen Daten oder seines gesetzlichen Vertreters.
3. Der Betreiber ist verpflichtet, unentgeltlich zu gewähren Subjekt personenbezogener Daten oder seinem gesetzlichen Vertreter die Möglichkeit, sich mit den personenbezogenen Daten, die zur jeweiligen Subjekt der personenbezogenen Daten sowie Modifikationen, löschen oder sperren die betreffenden personenbezogenen Daten für die überlassung der vom Subjekt personenbezogener Daten oder seinem gesetzlichen Vertreter Informationen, die bestätigen, dass die personenbezogenen Daten beziehen sich auf das jeweilige Subjekt und Verarbeitung übt die Betreiber, sind unvollständig, veraltet, falsch, illegal erhalten oder sind nicht notwendig für den erklärten Zweck der Verarbeitung. Über die vorgenommenen Änderungen und Maßnahmen ist der Betreiber verpflichtet, das Thema der persönlichen Daten oder seinen gesetzlichen Vertreter und Dritte, denen die persönlichen Daten dieses Subjekts übertragen wurden, zu benachrichtigen.
4. Der Betreiber ist verpflichtet, der zuständigen Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten auf seine Anfrage Informationen, die für die Durchführung der Tätigkeit der Behörde, innerhalb von sieben Werktagen ab dem Datum des Eingangs einer solchen Anfrage.
Artikel 21. Pflichten des Betreibers zur Beseitigung von Rechtsverletzungen bei der Verarbeitung personenbezogener Daten sowie zur Klärung, Sperrung und Vernichtung personenbezogener Daten
1. Im Falle von unrichtigen personenbezogenen Daten oder Fehlverhalten mit Ihnen den Betreiber bei der Kontaktaufnahme oder auf Anfrage des Subjekts der personenbezogenen Daten oder seines gesetzlichen Vertreters oder des bevollmächtigten Organs der Schutz personenbezogener Daten ist der Betreiber verpflichtet, die Sperrung personenbezogener Daten in Bezug auf das jeweilige Subjekt der personenbezogenen Daten nach einer solchen Behandlung oder einer solchen Aufforderung für den Zeitraum der überprüfung.
2. Im Falle der Bestätigung der Tatsache der Unzuverlässigkeit der personenbezogenen Daten der Betreiber auf der Grundlage der Dokumente, die das Thema der personenbezogenen Daten oder seinen gesetzlichen Vertreter oder die zuständige Behörde für den Schutz der Rechte der Subjekte der personenbezogenen Daten, oder andere notwendige Dokumente ist verpflichtet, die personenbezogenen Daten zu klären und entfernen ihre Sperrung.
Artikel 22. Mitteilung über die Verarbeitung personenbezogener Daten
1. Der Betreiber vor der Verarbeitung personenbezogener Daten ist verpflichtet, die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten über seine Absicht, die Verarbeitung personenbezogener Daten durchzuführen, mit Ausnahme der in Teil 2 dieses Artikels.
2. Der Betreiber ist berechtigt, ohne Benachrichtigung der zuständigen Behörde für den Schutz der Rechte der Subjekte der personenbezogenen Daten die Verarbeitung personenbezogener Daten durchzuführen:
1) im Zusammenhang mit den Subjekten der personenbezogenen Daten, die mit dem Betreiber des Arbeitsverhältnisses verbunden sind;
2) vom Betreiber im Zusammenhang mit dem Abschluss eines Vertrages, dessen Partei das Thema der personenbezogenen Daten ist erhalten, wenn die personenbezogenen Daten nicht verbreitet werden und auch nicht an Dritte ohne Zustimmung des Subjekts der personenbezogenen Daten zur Verfügung gestellt und vom Betreiber ausschließlich für die Erfüllung dieses Vertrages und den Abschluss von Verträgen mit dem Thema der personenbezogenen Daten verwendet;
3) die Mitglieder (Teilnehmer) einer gesellschaftlichen Vereinigung oder einer religiösen Organisation und von den entsprechenden öffentlichen Vereinigung oder religiösen Organisation, die in Übereinstimmung mit der Gesetzgebung der Russischen Föderation, für die Erreichung der gesetzlichen Ziele, die von ihren Gründungsdokumenten vorgesehen, unter der Bedingung, dass die personenbezogenen Daten nicht ohne die schriftliche Zustimmung der Subjekte der personenbezogenen Daten verbreitet werden verarbeitet;
4) öffentlich zugängliche personenbezogene Daten;
5) die nur die Namen, Namen und Vatersnamen der Subjekte personenbezogener Daten umfassen;
6) für die einmalige Passage des Subjekts personenbezogener Daten in das Gebiet, in dem sich der Betreiber befindet, oder für andere ähnliche Zwecke erforderlich;
7) enthalten in den Informationssystemen der persönlichen Daten, die in Übereinstimmung mit den Bundesgesetzen den Status der föderalen automatisierten Informationssysteme, sowie in den staatlichen Informationssystemen der persönlichen Daten, erstellt, um die Sicherheit des Staates und der öffentlichen Ordnung zu schützen;
8) ohne die Verwendung von Automatisierungsmitteln in Übereinstimmung mit Bundesgesetzen oder anderen normativen Rechtsakten der Russischen Föderation, die die Anforderungen für die Sicherheit personenbezogener Daten bei der Verarbeitung und die Einhaltung der Rechte der Subjekte personenbezogener Daten.
3. Die Mitteilung nach Teil 1 dieses Artikels muss schriftlich und von einer bevollmächtigten Person unterzeichnet oder in elektronischer Form gesendet und mit einer elektronischen digitalen Unterschrift in Übereinstimmung mit der Gesetzgebung der Russischen Föderation unterzeichnet werden. Die Benachrichtigung sollte die folgenden Informationen enthalten:
1) Name( Nachname, Vorname, Vatersname), Adresse des Betreibers;
2) zweck der Verarbeitung personenbezogener Daten;
3) kategorien von personenbezogenen Daten;
4) kategorien von Subjekten, deren personenbezogene Daten verarbeitet werden;
5) rechtliche Grundlage für die Verarbeitung personenbezogener Daten;
6) liste der Aktionen mit personenbezogenen Daten, eine allgemeine Beschreibung der vom Betreiber verwendeten Methoden der Verarbeitung personenbezogener Daten;
7) beschreibung der Maßnahmen, die der Betreiber verpflichtet sich, bei der Verarbeitung personenbezogener Daten durchzuführen, um die Sicherheit personenbezogener Daten bei der Verarbeitung zu gewährleisten;
8) datum des Beginns der Verarbeitung personenbezogener Daten;
9) die Frist oder die Bedingung der Beendigung der Verarbeitung personenbezogener Daten.
4. Die autorisierte Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten innerhalb von dreißig Tagen ab dem Datum des Eingangs der Benachrichtigung über die Verarbeitung personenbezogener Daten macht die Informationen in Teil 3 dieses Artikels angegeben, sowie Informationen über das Datum der Übermittlung dieser Mitteilung an das Register der Betreiber. Informationen, die im Register der Betreiber enthalten sind, mit Ausnahme von Informationen über die Sicherheit der persönlichen Daten bei der Verarbeitung, sind öffentlich zugänglich.
5. Der Betreiber kann keine Kosten im Zusammenhang mit der Prüfung der Benachrichtigung über die Verarbeitung personenbezogener Daten durch die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten, sowie im Zusammenhang mit der Eintragung von Informationen in das Register der Betreiber.
6. Im Falle der Bereitstellung von unvollständigen oder falschen Informationen in Teil 3 dieses Artikels angegeben, ist die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten berechtigt, vom Betreiber Klärung der Informationen vor ihrer Eintragung in das Register der Betreiber verlangen.
7. Im Falle einer Änderung der Informationen in Teil 3 dieses Artikels angegeben, ist der Betreiber verpflichtet, die Änderungen an die zuständige Behörde für den Schutz der Rechte der Personen personenbezogener Daten innerhalb von zehn Werktagen ab dem Datum des Auftretens solcher Änderungen zu benachrichtigen.
Kapitel 5. KONTROLLE UND ÜBERWACHUNG DER VERARBEITUNG PERSONENBEZOGENER DATEN. VERANTWORTUNG FÜR DIE VERLETZUNG DER ANFORDERUNGEN DIESES BUNDESGESETZES
Artikel 23. Autorisierte Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten
1. Die autorisierte Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten, die mit der Überwachung und Überwachung der Einhaltung der Verarbeitung personenbezogener Daten Anforderungen dieses Bundesgesetzes ist die föderale Exekutive, die die Funktionen der Kontrolle und Aufsicht im Bereich der Informationstechnologie und Kommunikation.
2. Die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten prüft die Behandlung des Subjekts personenbezogener Daten über die Einhaltung des Inhalts personenbezogener Daten und der Art und Weise ihrer Verarbeitung zu den Zwecken ihrer Verarbeitung und trifft eine entsprechende Entscheidung.
3. Die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten hat das Recht:
1) fordern Sie von natürlichen oder juristischen Personen die Informationen, die für die Ausübung ihrer Befugnisse erforderlich sind, und erhalten Sie diese Informationen kostenlos;
2) um die in der Mitteilung über die Verarbeitung personenbezogener Daten enthaltenen Informationen zu überprüfen, oder um andere staatliche Stellen im Rahmen ihrer Befugnisse für die Durchführung einer solchen Prüfung zu gewinnen;
3) verlangen, dass der Betreiber Klärung, Sperrung oder Zerstörung von falschen oder illegal erhaltenen personenbezogenen Daten;
4) in der von der Gesetzgebung der Russischen Föderation festgelegten Verfahren Maßnahmen zur Aussetzung oder Einstellung der Verarbeitung personenbezogener Daten, die gegen die Anforderungen dieses Bundesgesetzes durchgeführt werden;
5) vor Gericht mit Ansprüchen zum Schutz der Rechte der Subjekte personenbezogener Daten und vertreten die Interessen der Subjekte personenbezogener Daten vor Gericht;
6) senden Sie eine Erklärung an die Behörde, die die Lizenzierung der Tätigkeit des Betreibers, für die Prüfung der Annahme von Maßnahmen zur Aussetzung oder Aufhebung der entsprechenden Lizenz in der Gesetzgebung der Russischen Föderation festgelegt, wenn die Bedingung der Lizenz für die Durchführung solcher Aktivitäten ist ein Verbot der Übertragung personenbezogener Daten an Dritte ohne schriftliche Zustimmung des Subjekts personenbezogener Daten;
7) senden Sie an die Staatsanwaltschaft, andere Strafverfolgungsbehörden Materialien für die Lösung der Frage der Einleitung von Strafverfahren auf Anzeichen von Verbrechen im Zusammenhang mit der Verletzung der Rechte der Personen personenbezogener Daten, in Übereinstimmung mit der Zuständigkeit;
8) in der Regierung der Russischen Föderation Vorschläge zur Verbesserung der regulatorischen gesetzlichen Regelung des Schutzes der Rechte der Subjekte personenbezogener Daten zu machen;
9)zur administrativen Verantwortung der Verantwortlichen der Verletzung dieses Bundesgesetzes.
4. In Bezug auf personenbezogene Daten, die der zuständigen Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten während der Ausübung ihrer Tätigkeit bekannt geworden sind, muss die Vertraulichkeit personenbezogener Daten gewährleistet werden.
5. Die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten ist verpflichtet:
1) organisieren in Übereinstimmung mit den Anforderungen dieses Bundesgesetzes und anderen Bundesgesetzen den Schutz der Rechte der Subjekte personenbezogener Daten;
2) um Beschwerden und Beschwerden von Bürgern oder juristischen Personen in Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu behandeln, und auch im Rahmen ihrer Befugnisse Entscheidungen über die Ergebnisse der Behandlung dieser Beschwerden und Beschwerden zu treffen;
3) führen Sie das Register der Betreiber;
4) maßnahmen zur Verbesserung des Schutzes der Rechte der Subjekte personenbezogener Daten durchzuführen;
5) nehmen in der Gesetzgebung der Russischen Föderation auf Vorschlag der föderalen Exekutive im Bereich der Sicherheit oder der föderalen Exekutive im Bereich der Bekämpfung der technischen Erkenntnisse und der technischen Schutz von Informationen, Maßnahmen zur Aussetzung oder Beendigung der Verarbeitung personenbezogener Daten;
6) informieren Sie die staatlichen Behörden sowie die Subjekte der personenbezogenen Daten über ihre Anfragen oder Anfragen über den Stand der Dinge im Bereich des Schutzes der Rechte der Subjekte der personenbezogenen Daten;
7) erfüllen andere Aufgaben, die durch die Gesetzgebung der Russischen Föderation vorgesehen sind.
6. Entscheidungen der zuständigen Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten können gerichtlich angefochten werden.
7. Die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten sendet jährlich einen Bericht über ihre Aktivitäten an den Präsidenten der Russischen Föderation, an die Regierung der Russischen Föderation und die Bundesversammlung der Russischen Föderation. Der angegebene Bericht unterliegt der Veröffentlichung in den Massenmedien.
8. Die Finanzierung der zuständigen Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten erfolgt aus Mitteln des Bundeshaushalts.
9. Bei der zuständigen Organ für den Schutz der Rechte von Subjekten personenbezogener Daten von ehrenamtlicher Beirat, die Bildung und die Tätigkeit der bestimmt zuständigen Behörde für den Schutz der Rechte von Subjekten personenbezogener Daten.
Artikel 24. Verantwortung für die Verletzung der Anforderungen dieses Bundesgesetzes
Personen, die der Verletzung der Anforderungen dieses Bundesgesetzes schuldig sind, tragen Zivil -, Straf -, Verwaltungs -, Disziplinar-und andere von der Gesetzgebung der Russischen Föderation vorgesehene Verantwortung.
Kapitel 6. SCHLUSSBESTIMMUNGEN
Artikel 25. Schlussbestimmungen
1. Dieses Bundesgesetz tritt nach Ablauf von einhundertachtzig Tagen nach dem Tag seiner offiziellen Veröffentlichung in Kraft.
2. Nach dem Tag des Inkrafttretens dieses Bundesgesetzes wird die Verarbeitung personenbezogener Daten, die in den Informationssystemen personenbezogener Daten vor dem Tag ihres Inkrafttretens enthalten sind, in Übereinstimmung mit diesem Bundesgesetz durchgeführt.
3. Informationssysteme personenbezogener Daten, die vor dem 1. Januar 2010 erstellt wurden, müssen spätestens am 1.Januar 2011 mit den Anforderungen dieses Bundesgesetzes in Einklang gebracht werden.
4. Betreiber, die Verarbeitung personenbezogener Daten vor dem Tag des Inkrafttretens dieses Bundesgesetzes und weiterhin eine solche Verarbeitung nach dem Tag seines Inkrafttretens durchzuführen, sind verpflichtet, an die zuständige Behörde für den Schutz der Rechte der Subjekte personenbezogener Daten, mit Ausnahme der Fälle, die in Teil 2 des Artikels 22 dieses Bundesgesetzes, die Mitteilung nach dem Teil 3 des Artikels 22 dieses Bundesg
Original message
27 июля 2006 года N 152-ФЗ РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Принят Государственной Думой 8 июля 2006 года, Одобрен Советом Федерации 14 июля 2006 года
(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ,от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ,
от 27.07.2010 N 204-ФЗ)
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных. Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Статья 7. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечения конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Статья 8. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Статья 12. Трансграничная передача персональных данных
1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам, а также международными договорами Российской Федерации о реадмиссии;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 14. Право субъекта персональных данных на доступ к своим персональным данным
1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА
Статья 18. Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Глава 5. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Президент Российской Федерации В.ПУТИН Москва, Кремль 27 июля 2006 года N 152-ФЗ
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Принят Государственной Думой 8 июля 2006 года, Одобрен Советом Федерации 14 июля 2006 года
(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ,от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ,
от 27.07.2010 N 204-ФЗ)
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных. Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Статья 7. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечения конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Статья 8. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Статья 12. Трансграничная передача персональных данных
1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам, а также международными договорами Российской Федерации о реадмиссии;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 14. Право субъекта персональных данных на доступ к своим персональным данным
1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА
Статья 18. Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Глава 5. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Президент Российской Федерации В.ПУТИН Москва, Кремль 27 июля 2006 года N 152-ФЗ
