Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

Law "On Personal Data"

Адвокат

Private access level
Full members of NP "MOD"
Joined
Oct 2, 2009
Messages
821
Reaction score
18
Points
18
Website
advoc-garant.ru
ABOUT PERSONAL DATA

Adopted by the State Duma on July 8, 2006, Approved by the Federation Council on July 14, 2006
(ed. Federal laws of 25.11.2009 N 266-FZ, of 27.12.2009 N 363-FZ, of 28.06.2010 N 123-FZ,
of 27.07.2010 N 204-FZ)

Chapter 1. GENERAL PROVISIONS

Article 1. Scope of this Federal Law
1. This Federal Law regulates relations related to the processing of personal data carried out by federal state authorities, state authorities of the subjects of the Russian Federation, other state bodies (hereinafter referred to as state bodies), local self-government bodies that are not part of the system of local self-government bodies (hereinafter referred to as municipal bodies). - municipal bodies), legal entities, individuals with or without the use of automation tools, if the processing of personal data without the use of such tools corresponds to the nature of actions (operations) performed with personal data using automation tools.
2. The effect of this Federal Law does not apply to relations arising under the following circumstances::
1) processing of personal data by individuals exclusively for personal and family needs, if the rights of personal data subjects are not violated;
2) organization of storage, acquisition, accounting and use of documents containing personal data of the Archival Fund of the Russian Federation and other archival documents in accordance with the legislation on archival affairs in the Russian Federation;
3) processing of information about individuals subject to inclusion in the unified state register of individual entrepreneurs, if such processing is carried out in accordance with the legislation of the Russian Federation in connection with the activities of an individual as an individual entrepreneur;
4) processing of personal data classified in accordance with the established procedure as information constituting a state secret;
5) provision by the authorized bodies of information on the activities of courts in the Russian Federation in accordance with Federal Law No. 262-FZ of December 22, 2008 "On Providing Access to information on the activities of courts in the Russian Federation".

Article 2. Purpose of this Federal Law
The purpose of this Federal Law is to ensure the protection of the rights and freedoms of a person and citizen when processing their personal data, including the protection of the rights to privacy, personal and family secrets.

Article 3. Basic concepts used in this Federal Law
For the purposes of this Federal Law, the following basic concepts are used:
1) personal data - any information related to an individual (subject of personal data) identified or determined on the basis of such information, including his last name, first name, patronymic, year, month, date and place of birth, address, marital, social, property status, education, profession, income, and other information;
2) operator - a state body, a municipal body, a legal entity or an individual that organizes and (or) performs the processing of personal data, as well as determines the purposes and content of the processing of personal data;
3) processing of personal data - actions (operations) with personal data, including collection, systematization, accumulation, storage, clarification (updating, modification), use, distribution (including transfer), depersonalization, blocking, destruction of personal data;
4) dissemination of personal data - actions aimed at the transfer of personal data to a certain group of persons (transfer of personal data) or at familiarizing an unlimited number of persons with personal data, including the publication of personal data in the mass media, placement in information and telecommunications networks, or providing access to personal data in any other way;
5) use of personal data - actions (operations) with personal data performed by the operator for the purpose of making decisions or performing other actions that give rise to legal consequences in relation to the subject of personal data or other persons or otherwise affect the rights and freedoms of the subject of personal data or other persons;
6) blocking of personal data-temporary termination of the collection, systematization, accumulation, use, dissemination of personal data, including their transfer;
7) destruction of personal data - actions as a result of which it is impossible to restore the content of personal data in the personal data information system or as a result of which the material carriers of personal data are destroyed;
8) depersonalization of personal data - actions, as a result of which it is impossible to determine the identity of personal data to a specific subject of personal data;
9) personal data information system - an information system that is a set of personal data contained in a database, as well as information technologies and technical means that allow the processing of such personal data with or without the use of automation tools;
10) confidentiality of personal data - a mandatory requirement for the operator or other person who has access to personal data to prevent their dissemination without the consent of the subject of personal data or the presence of other legal grounds;
11) cross-border transfer of personal data - the transfer of personal data by the operator across the State border of the Russian Federation to the authority of a foreign state, an individual or legal entity of a foreign state;
12) publicly available personal data - personal data to which an unlimited number of persons have access with the consent of the subject of personal data or which, in accordance with federal laws, is not subject to the requirement of confidentiality.

Article 4. Legislation of the Russian Federation in the field of personal data
1. The legislation of the Russian Federation in the field of personal data is based on the Constitution of the Russian Federation and international treaties of the Russian Federation and consists of this Federal Law and other federal laws defining the cases and features of the processing of personal data.
2.On the basis of and in compliance with federal laws, state bodies may, within the limits of their powers, adopt regulatory legal acts on certain issues related to the processing of personal data. Regulatory legal acts on certain issues related to the processing of personal data may not contain provisions that restrict the rights of personal data subjects. These regulatory legal acts are subject to official publication, with the exception of regulatory legal acts or individual provisions of such regulatory legal acts containing information to which access is restricted by federal laws.
3. The specifics of the processing of personal data carried out without the use of automation tools may be established by federal laws and other regulatory legal acts of the Russian Federation, taking into account the provisions of this Federal Law.
4. If an international treaty of the Russian Federation establishes rules other than those provided for by this Federal Law, the rules of the international treaty shall apply.

Chapter 2. PRINCIPLES AND CONDITIONS OF PERSONAL DATA PROCESSING

Article 5. Principles of personal data processing
1. The processing of personal data must be carried out on the basis of the following principles::
1) the legality of the purposes and methods of processing personal data and good faith;
2) compliance of the purposes of personal data processing with the purposes defined in advance and declared during the collection of personal data, as well as with the operator's authority;
3) compliance of the volume and nature of the processed personal data, methods of processing personal data with the purposes of processing personal data;
4) the reliability of personal data, their sufficiency for the purposes of processing, the inadmissibility of processing personal data that is excessive in relation to the purposes stated when collecting personal data;
5) the inadmissibility of combining databases of personal data information systems created for incompatible purposes.
2. Personal data must be stored in a form that allows the identification of the subject of personal data for no longer than the purposes of their processing require, and they are subject to destruction upon achievement of the purposes of processing or in case of loss of the need to achieve them.

Article 6. Terms of personal data processing
1. The processing of personal data may be carried out by the operator with the consent of the subjects of personal data, except for the cases provided for in part 2 of this Article.
2. The consent of the personal data subject provided for in part 1 of this Article is not required in the following cases:
1) the processing of personal data is carried out on the basis of a federal law that establishes its purpose, the conditions for obtaining personal data and the range of subjects whose personal data is subject to processing, as well as defining the powers of the operator;
1.1) the processing of personal data is necessary in connection with the implementation of international agreements of the Russian Federation on readmission;
2) the processing of personal data is carried out for the purpose of fulfilling the contract, one of the parties to which is the subject of personal data;
3) the processing of personal data is carried out for statistical or other scientific purposes, subject to the mandatory depersonalization of personal data;
4) the processing of personal data is necessary to protect the life, health or other vital interests of the subject of personal data, if obtaining the consent of the subject of personal data is impossible;
5) the processing of personal data is necessary for the delivery of postal items by postal communication organizations, for the implementation by telecommunications operators of settlements with users of communication services for the rendered communication services, as well as for the consideration of claims of users of communication services;
6) the processing of personal data is carried out for the purposes of the professional activity of a journalist or for the purposes of scientific, literary or other creative activity, provided that the rights and freedoms of the subject of personal data are not violated;
7) personal data subject to publication in accordance with federal laws is processed, including personal data of persons holding public positions, positions of the state civil service, personal data of candidates for elected state or municipal positions.
3. The specifics of processing special categories of personal data, as well as biometric personal data, are established by Articles 10 and 11 of this Federal Law, respectively.
4. If the operator entrusts the processing of personal data to another person on the basis of the contract, the essential condition of the contract is the obligation to ensure the confidentiality of personal data and the security of personal data during their processing by the specified person.

Article 7. Confidentiality of personal data
1. Operators and third parties who gain access to personal data must ensure the confidentiality of such data, except for the cases provided for in part 2 of this Article.
2. Ensuring the confidentiality of personal data is not required:
1) in case of depersonalization of personal data;
2) in relation to publicly available personal data.

Article 8. Publicly available sources of personal data
1.For the purpose of information support, publicly available sources of personal data (including reference books, address books) may be created. The publicly available sources of personal data may include, with the written consent of the personal data subject, his last name, first name, patronymic, year and place of birth, address, subscriber number, information about the profession and other personal data provided by the personal data subject.
2. Information about the subject of personal data may be excluded from publicly available sources of personal data at any time at the request of the subject of personal data or by a court decision or other authorized state bodies.

Article 9. Consent of the personal data subject to the processing of their personal data
1. The subject of personal data makes a decision on the provision of his personal data and gives consent to their processing by his own will and in his own interest, except for the cases provided for in part 2 of this Article. The consent to the processing of personal data may be revoked by the subject of personal data.
2. This Federal Law and other federal laws provide for cases of mandatory provision by the subject of personal data of their personal data in order to protect the foundations of the constitutional order, morality, health, rights and legitimate interests of other persons, to ensure the defense of the country and the security of the state.
3. The obligation to provide proof of obtaining the consent of the personal data subject to the processing of his personal data, and in the case of processing publicly available personal data, the obligation to prove that the processed personal data is publicly available, rests with the operator.
4. In the cases provided for by this Federal Law, the processing of personal data is carried out only with the written consent of the subject of personal data. The written consent of the personal data subject to the processing of their personal data must include:
1) the surname, first name, patronymic, address of the subject of personal data, the number of the main document certifying his identity, information about the date of issue of the specified document and the issuing authority;
2) the name (surname, first name, patronymic) and address of the operator receiving the consent of the personal data subject;
3) purpose of personal data processing;
4) the list of personal data for the processing of which the consent of the personal data subject is given;
5) a list of actions with personal data to which consent is given, a general description of the methods of processing personal data used by the operator;
6) the period during which the consent is valid, as well as the procedure for revoking it.
5.For the processing of personal data contained in the written consent of the subject to the processing of his personal data, no additional consent is required.
6. In the event of the personal data subject's incapacity, the legal representative of the personal data subject gives his / her consent to the processing of his / her personal data in writing.
7. In the event of the death of the personal data subject, the consent to the processing of his personal data is given in writing by the heirs of the personal data subject, if such consent was not given by the personal data subject during his lifetime.

Article 10. Special categories of personal data
1. Processing of special categories of personal data concerning race, nationality, political views, religious or philosophical beliefs, health status, and intimate life is not allowed, except for the cases provided for in part 2 of this Article.
2. Processing of the special categories of personal data specified in part 1 of this Article is allowed in the following cases::
1) the personal data subject has given written consent to the processing of their personal data;
2) personal data is publicly available;
2.1) the processing of personal data is necessary in connection with the implementation of international agreements of the Russian Federation on readmission;
2.2) the processing of personal data is carried out in accordance with Federal Law No. 8-FZ of January 25, 2002 " On the All-Russian Population Census";
3) personal data refers to the state of health of the subject of personal data and their processing is necessary to protect his life, health or other vital interests or the life, health or other vital interests of other persons, and obtaining the consent of the subject of personal data is impossible;
4) the processing of personal data is carried out for medical and preventive purposes, for the purpose of establishing a medical diagnosis, providing medical and medical and social services, provided that the processing of personal data is carried out by a person who is professionally engaged in medical activities and is obliged in accordance with the legislation of the Russian Federation to maintain medical secrecy;
5) the processing of personal data of members (participants) of a public association or religious organization is carried out by the relevant public association or religious organization acting in accordance with the legislation of the Russian Federation in order to achieve the legitimate goals provided for in their constituent documents, provided that the personal data will not be distributed without the written consent of the subjects of personal data;
6) the processing of personal data is necessary in connection with the administration of justice;
7) the processing of personal data is carried out in accordance with the legislation of the Russian Federation on security, on operational and investigative activities, as well as in accordance with the penal enforcement legislation of the Russian Federation.
3. The processing of personal data on criminal records may be carried out by state bodies or municipal bodies within the limits of the powers granted to them in accordance with the legislation of the Russian Federation, as well as by other persons in cases and in accordance with the procedure determined in accordance with federal laws.
4. The processing of special categories of personal data carried out in the cases provided for in paragraphs 2 and 3 of this Article must be immediately terminated if the reasons for which the processing was carried out are eliminated.

Article 11. Biometric personal data
1. Information that characterizes the physiological characteristics of a person and on the basis of which it is possible to establish his identity (biometric personal data) may be processed only with the written consent of the subject of personal data, except for the cases provided for in part 2 of this article.
2. Processing of biometric personal data may be carried out without the consent of the subject of personal data in connection with the implementation of international agreements of the Russian Federation on readmission, in connection with the administration of justice, as well as in cases provided for by the legislation of the Russian Federation on security, the legislation of the Russian Federation on operational search activities, the legislation of the Russian Federation on public service, the criminal enforcement legislation of the Russian Federation, the legislation of the Russian Federation on the procedure for leaving the Russian Federation and entering the Russian Federation.

Article 12. Cross-border transfer of personal data
1. Before the start of the cross-border transfer of personal data, the operator is obliged to make sure that the foreign state to whose territory the transfer of personal data is carried out provides adequate protection of the rights of personal data subjects.
2. Cross-border transfer of personal data on the territory of foreign states that provide adequate protection of the rights of personal data subjects is carried out in accordance with this Federal Law and may be prohibited or restricted in order to protect the foundations of the constitutional order of the Russian Federation, morals, health, rights and legitimate interests of citizens, to ensure national defense and state security.
3. Cross-border transfer of personal data on the territory of foreign states that do not provide adequate protection of the rights of personal data subjects may be carried out in the following cases::
1) the written consent of the personal data subject;
2) provided for by international treaties of the Russian Federation on the issue of visas, international treaties of the Russian Federation on the provision of legal assistance in civil, family and criminal cases, as well as international treaties of the Russian Federation on readmission;
3) provided for by federal laws, if necessary in order to protect the foundations of the constitutional order of the Russian Federation, to ensure the defense of the country and the security of the state;
4) execution of the contract to which the subject of personal data is a party;
5) protection of the life, health, and other vital interests of the personal data subject or other persons if it is impossible to obtain the written consent of the personal data subject.

Article 13. Features of personal data processing in state or municipal personal data information systems
1. State bodies and municipal bodies shall establish, within the limits of their powers established in accordance with federal laws, state or municipal information systems for personal data.
2. Federal laws may establish the specifics of accounting for personal data in state and municipal information systems of personal data, including the use of various ways to indicate the ownership of personal data contained in the relevant state or municipal information system of personal data to a specific subject of personal data.
3. The rights and freedoms of a person and a citizen may not be restricted for reasons related to the use of various methods of processing personal data or the designation of the ownership of personal data contained in state or municipal information systems of personal data to a specific subject of personal data. It is not allowed to use methods that offend the feelings of citizens or humiliate human dignity to indicate the ownership of personal data contained in state or municipal information systems of personal data to a specific subject of personal data.
4. In order to ensure the implementation of the rights of personal data subjects in connection with the processing of their personal data in state or municipal personal data information systems, a state population register may be created, the legal status of which and the procedure for working with which are established by federal law.

Chapter 3. RIGHTS OF THE PERSONAL DATA SUBJECT

Article 14. The right of the personal data subject to access their personal data
1. The subject of personal data has the right to receive information about the operator, about its location, about the presence of the operator of personal data related to the relevant subject of personal data, as well as to get acquainted with such personal data, except for the cases provided for in part 5 of this Article. The personal data subject has the right to require the operator to clarify their personal data, block or destroy them if the personal data is incomplete, outdated, unreliable, illegally obtained or is not necessary for the stated purpose of processing, as well as to take measures provided for by law to protect their rights.
2. Information about the availability of personal data must be provided to the personal data subject by the operator in an accessible form, and they must not contain personal data related to other personal data subjects.
3. Access to your personal data is provided to the personal data subject or his legal representative by the operator when contacting or receiving a request from the personal data subject or his legal representative. The request must contain the number of the main document certifying the identity of the personal data subject or his legal representative, information about the date of issue of the specified document and the issuing authority, and the handwritten signature of the personal data subject or his legal representative. The request can be sent in electronic form and signed with an electronic digital signature in accordance with the legislation of the Russian Federation.
4. The subject of personal data has the right to receive, when contacting or receiving a request, information concerning the processing of his personal data, including:
1) confirmation of the fact of processing of personal data by the operator, as well as the purpose of such processing;
2) methods of processing personal data used by the operator;
3) information about persons who have access to personal data or who may be granted such access;
4) the list of processed personal data and the source of their receipt;
5) terms of processing of personal data, including the terms of their storage;
6) information about what legal consequences for the subject of personal data may entail the processing of his personal data.
5. The right of the personal data subject to access their personal data is restricted if:
1) the processing of personal data, including personal data obtained as a result of operational search, counterintelligence and intelligence activities, is carried out for the purposes of national defense, state security and law enforcement;
2) the processing of personal data is carried out by the bodies that have detained the subject of personal data on suspicion of committing a crime, or have charged the subject of personal data in a criminal case, or have applied a preventive measure to the subject of personal data before the charge is brought, except for cases provided for by the criminal procedure legislation of the Russian Federation, if the suspect or accused is allowed to familiarize himself with such personal data;
3) the provision of personal data violates the constitutional rights and freedoms of others.

Article 15. The rights of personal data subjects when processing their personal data for the purpose of promoting goods, works, services on the market, as well as for the purpose of political campaigning
1. The processing of personal data for the purpose of promoting goods, works, and services on the market through direct contacts with a potential consumer via means of communication, as well as for the purpose of political agitation, is allowed only with the prior consent of the subject of personal data. The specified processing of personal data is considered to be carried out without the prior consent of the personal data subject, unless the operator proves that such consent was obtained.
2. The operator is obliged to immediately terminate, at the request of the personal data subject, the processing of his personal data specified in part 1 of this Article.

Article 16. The rights of personal data subjects when making decisions based solely on the automated processing of their personal data
1. It is prohibited to make decisions based solely on automated processing of personal data that give rise to legal consequences in relation to the subject of personal data or otherwise affect his rights and legitimate interests, except for the cases provided for in part 2 of this article.
2. A decision that generates legal consequences in relation to the subject of personal data or otherwise affects his rights and legitimate interests may be made on the basis of exclusively automated processing of his personal data only with the written consent of the subject of personal data or in cases provided for by federal laws that also establish measures to ensure compliance with the rights and legitimate interests of the subject of personal data.
3. The operator is obliged to explain to the subject of personal data the procedure for making a decision based solely on automated processing of his personal data and the possible legal consequences of such a decision, to provide an opportunity to object to such a decision, as well as to explain the procedure for protecting the subject of personal data of their rights and legitimate interests.
4. The operator is obliged to consider the objection specified in part 3 of this Article within seven working days from the date of its receipt and notify the personal data subject of the results of consideration of such objection.

Article 17. Right to appeal against the actions or omissions of the operator
1. If the personal data subject considers that the operator processes his personal data in violation of the requirements of this Federal Law or otherwise violates his rights and freedoms, the personal data subject has the right to appeal the actions or inaction of the operator to the authorized body for the protection of the rights of personal data subjects or in court.
2. The subject of personal data has the right to protect their rights and legitimate interests, including compensation for damages and (or) compensation for non-pecuniary damage in court.

Chapter 4. OPERATOR RESPONSIBILITIES

Article 18. Obligations of the operator when collecting personal data
1. When collecting personal data, the operator is obliged to provide the subject of personal data, at his request, with the information provided for in part 4 of Article 14 of this Federal Law.
2. If the obligation to provide personal data is established by federal law, the operator is obliged to explain to the personal data subject the legal consequences of refusing to provide their personal data.
3. If the personal data was not received from the personal data subject, except in cases where the personal data was provided to the operator on the basis of a federal law or if the personal data is publicly available, the operator is obliged to provide the personal data subject with the following information before processing such personal data:
1) name (surname, first name, patronymic) and address of the operator or its representative;
2) the purpose of personal data processing and its legal basis;
3) intended users of personal data;
4) the rights of the personal data subject established by this Federal Law.

Article 19. Measures to ensure the security of personal data during their processing
1. When processing personal data, the operator is obliged to take the necessary organizational and technical measures to protect personal data from unauthorized or accidental access to it, destruction, modification, blocking, copying, dissemination of personal data, as well as from other illegal actions.
2. The Government of the Russian Federation establishes requirements for ensuring the security of personal data when processing them in personal data information systems, requirements for material carriers of biometric personal data and technologies for storing such data outside of personal data information systems.
3. Control and supervision over the implementation of the requirements established by the Government of the Russian Federation in accordance with part 2 of this Article shall be carried out by the federal executive body authorized in the field of security and the federal executive body authorized in the field of countering technical intelligence and technical protection of information, within the limits of their powers and without the right to familiarize themselves with personal data processed in personal data information systems.
4. The use and storage of biometric personal data outside the information systems of personal data may be carried out only on such material media and with the use of such storage technology that ensures the protection of this data from unauthorized or accidental access to it, destruction, modification, blocking, copying, distribution.

Article 20. Obligations of the operator when contacting or receiving a request from the subject of personal data or its legal representative, as well as the authorized body for the protection of the rights of personal data subjects
1. The Operator is obliged, in accordance with the procedure provided for in Article 14 of this Federal Law, to inform the personal data subject or his legal representative about the availability of personal data related to the relevant personal data subject, as well as to provide an opportunity to get acquainted with them when the personal data subject or his legal representative applies, or within ten working days from the date of receipt of the request of the personal data subject or his legal representative.
2. In case of refusal to provide the subject of personal data or its legal representative with information about the availability of personal data about the relevant subject of personal data, as well as such personal data, the operator is obliged to give a reasoned response in writing, containing a reference to the provision of part 5 of Article 14 of this Federal Law or another federal law, which is the basis for such refusal, within the period of, no more than seven working days from the date of the request of the personal data subject or his legal representative, or from the date of receipt of the request of the personal data subject or his legal representative.
3. The operator is obliged to provide the personal data subject or his / her legal representative with the opportunity to get acquainted with the personal data related to the relevant personal data subject, as well as to make the necessary changes to them, destroy or block the relevant personal data upon the provision by the personal data subject or his / her legal representative of information confirming that the personal data related to the relevant subject and processed by the operator are incomplete, outdated, unreliable, illegally obtained or are not necessary for the stated purpose of processing. The operator is obliged to notify the personal data subject or his legal representative and the third parties to whom the personal data of this subject was transferred about the changes made and the measures taken.
4. The operator is obliged to inform the authorized body for the protection of the rights of personal data subjects, upon its request, of the information necessary for the implementation of the activities of the specified body, within seven working days from the date of receipt of such a request.

Article 21. Obligations of the operator to eliminate violations of the law committed during the processing of personal data, as well as to clarify, block and destroy personal data
1. In case of identification of unreliable personal data or illegal actions with them by the operator when contacting or at the request of the personal data subject or his legal representative or the authorized body for the protection of the rights of personal data subjects, the operator is obliged to block the personal data related to the relevant personal data subject from the moment of such request or receipt of such request for the period of verification.
2. In case of confirmation of the fact of unreliability of personal data, the operator, on the basis of documents submitted by the personal data subject or his legal representative or the authorized body for the protection of the rights of personal data subjects, or other necessary documents, is obliged to clarify the personal data and remove their blocking.

Article 22. Notification about the processing of personal data
1. The operator is obliged to notify the authorized body for the protection of the rights of personal data subjects of its intention to process personal data before the start of personal data processing, except for the cases provided for in part 2 of this Article.
2. The Operator has the right to process personal data without notifying the authorized body for the protection of the rights of personal data subjects:
1) related to the subjects of personal data that are connected with the operator by labor relations;
2) received by the operator in connection with the conclusion of a contract to which the subject of personal data is a party, if the personal data is not distributed, and also is not provided to third parties without the consent of the subject of personal data and is used by the operator exclusively for the performance of this contract and the conclusion of contracts with the subject of personal data;
3) related to members (participants) of a public association or religious organization and processed by the relevant public association or religious organization acting in accordance with the legislation of the Russian Federation, in order to achieve the legitimate goals provided for in their constituent documents, provided that personal data will not be distributed without the written consent of the subjects of personal data;
4) which are publicly available personal data;
5) including only the surnames, first names and patronymics of the subjects of personal data;
6) necessary for the purpose of a single pass of the personal data subject to the territory where the operator is located, or for other similar purposes;
7) included in the information systems of personal data that have the status of federal automated information systems in accordance with federal laws, as well as in the state information systems of personal data created to protect the security of the state and public order;
8) processed without the use of automation tools in accordance with federal laws or other regulatory legal acts of the Russian Federation that establish requirements for ensuring the security of personal data during their processing and for observing the rights of personal data subjects.
3. The notification provided for in part 1 of this Article must be sent in writing and signed by an authorized person or sent in electronic form and signed with an electronic digital signature in accordance with the legislation of the Russian Federation. The notification must contain the following information:
1) name (surname, first name, patronymic), address of the operator;
2) purpose of personal data processing;
3) categories of personal data;
4) categories of subjects whose personal data is processed;
5) the legal basis for the processing of personal data;
6) a list of actions with personal data, a general description of the methods of processing personal data used by the operator;
7) description of the measures that the operator undertakes to implement when processing personal data, to ensure the security of personal data during their processing;
8) start date of personal data processing;
9) the term or condition for the termination of the processing of personal data.
4. The authorized body for the protection of the rights of personal data subjects shall, within thirty days from the date of receipt of the notification on the processing of personal data, enter the information specified in part 3 of this Article, as well as information on the date of sending the specified notification to the register of operators. The information contained in the register of operators, with the exception of information about the means of ensuring the security of personal data during their processing, is publicly available.
5. The operator may not incur expenses in connection with the consideration of the notification on the processing of personal data by the authorized body for the protection of the rights of personal data subjects, as well as in connection with the entry of information in the register of operators.
6. In case of providing incomplete or unreliable information specified in part 3 of this Article, the authorized body for the protection of the rights of personal data subjects has the right to require the operator to clarify the provided information before entering it into the register of operators.
7. In the event of changes in the information specified in part 3 of this Article, the operator is obliged to notify the authorized body for the protection of the rights of personal data subjects of the changes within ten working days from the date of occurrence of such changes.

Chapter 5. CONTROL AND SUPERVISION OF THE PROCESSING OF PERSONAL DATA. LIABILITY FOR VIOLATION OF THE REQUIREMENTS OF THIS FEDERAL LAW

Article 23. Authorized body for the protection of the rights of personal data subjects
1. The authorized body for the protection of the rights of personal data subjects, which is charged with ensuring control and supervision over the compliance of personal data processing with the requirements of this Federal Law, is the federal executive body that performs the functions of control and supervision in the field of information technologies and communications.
2. The authorized body for the protection of the rights of personal data subjects considers the requests of the personal data subject about the compliance of the content of personal data and the methods of their processing with the purposes of their processing and makes an appropriate decision.
3. The authorized body for the protection of the rights of personal data subjects has the right to:
1) request from individuals or legal entities information necessary for the exercise of their powers, and receive such information free of charge;
2) to verify the information contained in the notification on the processing of personal data, or to involve other state bodies for such verification within the limits of their powers;
3) require the operator to clarify, block or destroy false or illegally obtained personal data;
4) take measures in accordance with the procedure established by the legislation of the Russian Federation to suspend or terminate the processing of personal data carried out in violation of the requirements of this Federal Law;
5) apply to the court with statements of claim in defense of the rights of personal data subjects and represent the interests of personal data subjects in court;
6) send an application to the body that licenses the operator's activities to consider taking measures to suspend or revoke the relevant license in accordance with the procedure established by the legislation of the Russian Federation, if the condition of the license to carry out such activities is a ban on the transfer of personal data to third parties without the written consent of the personal data subject;
7) send materials to the prosecutor's office and other law enforcement agencies to resolve the issue of initiating criminal cases on the grounds of crimes related to the violation of the rights of personal data subjects, in accordance with their jurisdiction;
8) submit proposals to the Government of the Russian Federation on improving the regulatory legal regulation of the protection of the rights of personal data subjects;
9) bring to administrative responsibility persons guilty of violating this Federal Law.
4.In respect of personal data that has become known to the authorized body for the protection of the rights of personal data subjects in the course of its activities, the confidentiality of personal data must be ensured.
5. The authorized body for the protection of the rights of personal data subjects is obliged to:
1) organize, in accordance with the requirements of this Federal Law and other federal laws, the protection of the rights of personal data subjects;
2) to consider complaints and appeals of citizens or legal entities on issues related to the processing of personal data, as well as to make decisions within their powers on the results of consideration of these complaints and appeals;
3) maintain a register of operators;
4) implement measures aimed at improving the protection of the rights of personal data subjects;
5) take measures to suspend or terminate the processing of personal data in accordance with the procedure established by the legislation of the Russian Federation on the recommendation of the federal executive body authorized in the field of security or the federal executive body authorized in the field of countering technical intelligence and technical protection of information;
6) inform the state bodies, as well as the subjects of personal data on their appeals or requests about the state of affairs in the field of protection of the rights of personal data subjects;
7) perform other duties stipulated by the legislation of the Russian Federation.
6. Decisions of the authorized body for the protection of the rights of personal data subjects may be appealed in court.
7. The authorized body for the protection of the rights of personal data subjects annually sends a report on its activities to the President of the Russian Federation, the Government of the Russian Federation and the Federal Assembly of the Russian Federation. This report is subject to publication in the mass media.
8. Financing of the authorized body for the protection of the rights of personal data subjects is carried out at the expense of the federal budget.
9.An advisory council shall be established under the authorized body for the protection of the rights of personal data subjects on a voluntary basis, the procedure for the formation and operation of which shall be determined by the authorized body for the protection of the rights of personal data subjects.

Article 24. Liability for violation of the requirements of this Federal Law
Persons guilty of violating the requirements of this Federal Law shall bear civil, criminal, administrative, disciplinary and other liability provided for by the legislation of the Russian Federation.

Chapter 6. FINAL PROVISIONS
Article 25. Final provisions
1. This Federal Law shall enter into force one hundred and eighty days after the date of its official publication.
2. After the date of entry into force of this Federal Law, the processing of personal data included in the personal data information systems before the date of its entry into force is carried out in accordance with this Federal Law.
3. Personal data information systems created before January 1, 2010 must be brought into compliance with the requirements of this Federal Law no later than January 1, 2011.
4. Operators who process personal data before the date of entry into force of this Federal Law and continue to perform such processing after the date of its entry into force are obliged to send to the authorized body for the protection of the rights of personal data subjects, except for the cases provided for in part 2 of Article 22 of this Federal Law, the notification provided for in part 3 of Article 22 of this Federal Law, no later than January 1, 2008.

President of the Russian Federation Vladimir PUTIN Moscow, Kremlin July 27, 2006 N 152-FZ
 
Original message
27 июля 2006 года N 152-ФЗ РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН

О ПЕРСОНАЛЬНЫХ ДАННЫХ

Принят Государственной Думой 8 июля 2006 года, Одобрен Советом Федерации 14 июля 2006 года
(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ,от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ,
от 27.07.2010 N 204-ФЗ)

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных. Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Статья 7. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечения конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Статья 12. Трансграничная передача персональных данных
1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам, а также международными договорами Российской Федерации о реадмиссии;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Глава 5. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент Российской Федерации В.ПУТИН Москва, Кремль 27 июля 2006 года N 152-ФЗ

Матушкин Андрей Николаевич

Президент IAPD
Staff member
Private access level
Full members of NP "MOD"
Joined
Jan 1, 1970
Messages
21,382
Reaction score
3,516
Points
113
Age
52
Location
Россия,
Website
o-d-b.ru
Thank!
 
Original message
Спасибо!