ACERCA DE LOS DATOS PERSONALES
Aprobado por la Duma Estatal el 8 de julio de 2006, Aprobado por el Consejo de la Federación el 14 de julio de 2006
las leyes Federales de 25.11.2009 n 266-FZ, de 27.12.2009 n 363-FZ, de 28.06.2010 n 123-FZ,
de 27.07.2010 n 204-FZ)
Capítulo 1. DISPOSICIONES GENERALES
Artículo 1. Alcance de esta ley Federal
1. Esta ley Federal regula las relaciones relacionadas con el procesamiento de datos personales llevado a cabo por los órganos federales del gobierno estatal, los órganos estatales de los sujetos de la Federación rusa, otros órganos estatales( en adelante, los órganos estatales), los órganos de gobierno local, los órganos municipales que no forman parte del sistema de gobierno local (en adelante - las autoridades municipales), las personas jurídicas, las personas físicas con o sin el uso de los medios de automatización, si el tratamiento de los datos personales sin el uso de tales medios corresponde a la naturaleza de las acciones (operaciones) realizadas con los datos personales con el uso de los medios de automatización.
2. Esta ley Federal no se aplica a las relaciones que surjan de:
1) el tratamiento de los datos personales por las personas físicas exclusivamente para las necesidades personales y familiares, a menos que se violen los derechos de los sujetos de los datos personales;
2) la organización del almacenamiento, la recopilación, la contabilidad y el uso de los documentos que contienen datos personales del fondo de Archivo de la Federación de Rusia y otros documentos de archivo de conformidad con la legislación sobre el archivo en la Federación de Rusia;
3) el procesamiento de la información sobre individuos sujetos a inclusión en el registro estatal unificado de empresarios individuales, si dicho procesamiento se lleva a cabo de acuerdo con la legislación de la Federación rusa en relación con las actividades de una persona física como propietario único;
4) el tratamiento de los datos personales asignados según el procedimiento establecido a la información que constituye el secreto de estado;
5) proporcionar información a las autoridades autorizadas sobre las actividades de los tribunales en la Federación de Rusia de conformidad con la ley Federal n 262-FZ de 22 de diciembre de 2008 sobre el acceso a la información sobre las actividades de los tribunales en la Federación de Rusia.
Artículo 2. Propósito de esta ley Federal
El propósito de esta ley Federal es garantizar la protección de los derechos y libertades de una persona y un ciudadano en el procesamiento de sus datos personales, incluida la protección de los derechos a la privacidad, el secreto personal y familiar.
Artículo 3. Conceptos básicos utilizados en esta ley Federal
Para los fines de esta ley Federal, se utilizan los siguientes conceptos básicos:
1) datos personales: cualquier información relacionada con una persona física (sujeto de datos personales) determinada o determinada sobre la base de dicha información, incluyendo su apellido, nombre, patronímico, año, mes, fecha y lugar de nacimiento, dirección, situación familiar, social, económica, educación, profesión, ingresos, otra información;
2) el operador es una autoridad pública, una autoridad Municipal, una persona jurídica o física que organiza y / o realiza el procesamiento de datos personales, así como que determina el propósito y el contenido del procesamiento de datos personales;
3) procesamiento de datos personales: acciones (operaciones) con datos personales, incluida la recopilación, sistematización, acumulación, almacenamiento, aclaración (actualización, modificación), uso, distribución( incluida la transferencia), anonimización, bloqueo, destrucción de datos personales;
4) difusión de datos personales: acciones dirigidas a la transferencia de datos personales a un determinado círculo de personas (transferencia de datos personales) o a la divulgación de datos personales de un círculo ilimitado de personas, incluida la divulgación de datos personales en los medios de comunicación, la colocación en redes de información y telecomunicaciones o el acceso a datos personales por cualquier otro medio;
5) uso de datos personales: acciones (transacciones) con datos personales realizadas por el operador para tomar decisiones o realizar otras acciones que tengan consecuencias legales con respecto al sujeto de datos personales u otras personas o que afecten de otra manera los derechos y libertades del sujeto de datos personales u otras personas;
6) bloqueo de datos personales: cese temporal de la recopilación, sistematización, acumulación, uso, distribución de datos personales, incluida su transmisión;
7) destrucción de datos personales: acciones que no pueden recuperar el contenido de los datos personales en el sistema de información de datos personales o que destruyen los medios materiales de datos personales;
8) anonimización de datos personales: acciones que no pueden determinar la pertenencia de datos personales a un sujeto específico de datos personales;
9) sistema de información de datos personales : un sistema de información que es un conjunto de datos personales contenidos en una base de datos, así como tecnologías de la información y medios técnicos que permiten el procesamiento de dichos datos personales utilizando o sin el uso de dichos medios;
10) confidencialidad de los datos personales: un requisito obligatorio para el cumplimiento por parte del operador u otra persona que tenga acceso a los datos personales para evitar su distribución sin el consentimiento del sujeto de los datos personales o la existencia de otra base legal;
11) transferencia transfronteriza de datos personales: transferencia de datos personales por parte del operador a través de la frontera Estatal de la Federación de Rusia a la autoridad de un estado extranjero, a una persona física o jurídica de un estado extranjero;
12) datos personales de acceso público : datos personales a los que se ha proporcionado acceso ilimitado con el consentimiento del sujeto de los datos personales o que, de acuerdo con las leyes federales, no están sujetos al requisito de confidencialidad.
Artículo 4. Legislación de la Federación rusa en materia de datos personales
1. La legislación de la Federación de Rusia en el campo de los datos personales se basa en la Constitución de la Federación de Rusia y los tratados internacionales de la Federación de Rusia y consiste en esta ley Federal y otras leyes federales que definen los casos y características del procesamiento de datos personales.
2. En virtud de las leyes federales y en cumplimiento de las leyes federales, las autoridades estatales, dentro de sus facultades, pueden promulgar leyes regulatorias sobre cuestiones específicas relacionadas con el procesamiento de datos personales. Las disposiciones legales sobre cuestiones específicas relacionadas con el procesamiento de datos personales no pueden contener disposiciones que limiten los derechos de los sujetos de datos personales. Estas leyes reglamentarias están sujetas a publicación oficial, con la excepción de las leyes reglamentarias o las disposiciones individuales de dichas leyes reglamentarias que contienen información a la que las leyes federales restringen el acceso.
3. Las características del procesamiento de datos personales llevado a cabo sin el uso de herramientas de automatización pueden ser establecidas por las leyes federales y otros actos legales regulatorios de la Federación rusa, teniendo en cuenta las disposiciones de esta ley Federal.
4. Si el tratado internacional de la Federación de Rusia establece reglas diferentes a las previstas en esta ley Federal, se aplicarán las reglas del tratado internacional.
Capítulo 2. PRINCIPIOS Y CONDICIONES DEL TRATAMIENTO DE DATOS PERSONALES
Artículo 5. Principios del tratamiento de datos personales
1. El tratamiento de los datos personales debe realizarse sobre la base de los principios:
1) la legalidad de los fines y métodos de procesamiento de datos personales y la integridad;
2) el cumplimiento de los fines de procesamiento de datos personales con los fines predeterminados y declarados en la recopilación de datos personales, así como con la autoridad del operador;
3) la conformidad del alcance y la naturaleza de los datos personales tratados, los métodos de tratamiento de los datos personales a los fines del tratamiento de los datos personales;
4) la validez de los datos personales, su suficiencia para el propósito del tratamiento, la inadmisibilidad del tratamiento de los datos personales, redundante en relación con los fines declarados en la recopilación de datos personales;
5) no es posible combinar bases de datos de sistemas de información de datos personales creadas para fines incompatibles.
2. El almacenamiento de datos personales se llevará a cabo en una forma que permita identificar al sujeto de los datos personales, no más de lo requerido por el propósito de su procesamiento, y están sujetos a su destrucción al alcanzar los objetivos del procesamiento o en caso de que se pierda la necesidad de alcanzarlos.
Artículo 6. Términos del tratamiento de datos personales
1. El tratamiento de los datos personales puede ser realizado por el operador con el consentimiento de los sujetos de los datos personales, excepto en los casos previstos en la parte 2 de este artículo.
2. El consentimiento del sujeto de los datos personales previsto en la parte 1 de este artículo no es necesario en los siguientes casos:
1) el tratamiento de los datos personales se lleva a cabo sobre la base de la ley Federal que establece su propósito, las condiciones para la Recepción de los datos personales y el círculo de las entidades cuyos datos personales están sujetos al procesamiento, así como la autoridad definitoria del operador;
1.1) el procesamiento de datos personales es necesario en relación con la aplicación de los tratados internacionales de la Federación rusa sobre readmisión;
2) el tratamiento de los datos personales se lleva a cabo para la ejecución del contrato, una de las partes es el sujeto de los datos personales;
3) el tratamiento de los datos personales se lleva a cabo con fines estadísticos u otros fines científicos, sujeto a la anonimización obligatoria de los datos personales;
4) el tratamiento de los datos personales es necesario para proteger la vida, la salud u otros intereses vitales del sujeto de los datos personales si no es posible obtener el consentimiento del sujeto de los datos personales;
5) el procesamiento de datos personales es necesario para la entrega de correos por las organizaciones de comunicaciones postales, para los operadores de telecomunicaciones para los cálculos con los usuarios de los servicios de comunicaciones por los servicios de comunicaciones prestados, así como para el examen de las reclamaciones de los usuarios de los servicios de comunicaciones;
6) el tratamiento de los datos personales se lleva a cabo para la actividad profesional del periodista o para actividades científicas, literarias u otras actividades creativas, siempre que no se violen los derechos y libertades del sujeto de los datos personales;
7) se procesan los datos personales que deben publicarse de conformidad con las leyes federales, incluidos los datos personales de las personas que reemplazan a los cargos públicos, los cargos de la administración pública estatal, los datos personales de los candidatos a cargos públicos o municipales electos.
3. Las características del procesamiento de categorías especiales de datos personales, así como los datos personales biométricos, se establecen respectivamente en los artículos 10 y 11 de esta ley Federal.
4. En el caso de que el operador, sobre la base del contrato, confíe el procesamiento de datos personales a otra persona, una condición esencial del contrato es la obligación de garantizar la confidencialidad de los datos personales y la seguridad de los datos personales en su procesamiento.
Artículo 7. Privacidad de los datos personales
1. Los operadores y terceros que accedan a los datos personales deberán mantener la confidencialidad de dichos datos, salvo en los casos previstos en el párrafo 2 del presente artículo.
2. No se requiere privacidad de datos personales:
1) en caso de anonimización de datos personales;
2) con respecto a los datos personales públicos.
Artículo 8. Fuentes públicas de datos personales
1. Para fines de información, se pueden crear Fuentes públicas de datos personales (incluidos directorios, libretas de direcciones). Las Fuentes públicas de datos personales con el consentimiento por escrito del sujeto de datos personales pueden incluir su apellido, nombre, patronímico, año y lugar de nacimiento, dirección, número de abonado, información sobre la profesión y otros datos personales proporcionados por el sujeto de datos personales.
2. La información sobre el sujeto de los datos personales puede ser excluida en cualquier momento de las Fuentes públicas de datos personales a petición del sujeto de los datos personales o por decisión de un Tribunal u otras autoridades gubernamentales autorizadas.
Artículo 9. Consentimiento del sujeto de datos personales para el procesamiento de sus datos personales
1. El sujeto de los datos personales decide proporcionar sus datos personales y da su consentimiento para su procesamiento por su voluntad y en su interés, excepto en los casos previstos en la parte 2 de este artículo. El consentimiento para el tratamiento de datos personales puede ser revocado por el sujeto de los datos personales.
2. Esta ley Federal y otras leyes federales establecen que el sujeto debe proporcionar sus datos personales para proteger los fundamentos del orden constitucional, la moral, la salud, los derechos y los intereses legítimos de otras personas, garantizar la defensa del país y la seguridad del estado.
3. La obligación de proporcionar una prueba del consentimiento del sujeto de los datos personales para el procesamiento de sus datos personales, y en el caso del procesamiento de datos personales públicos, la obligación de probar que los datos personales tratados son públicos recae en el operador.
4. En los casos previstos por esta ley Federal, el procesamiento de datos personales se realizará únicamente con el consentimiento por escrito del sujeto de los datos personales. El consentimiento por escrito del sujeto de datos personales para el procesamiento de sus datos personales debe incluir:
1) el apellido, el nombre, el patronímico, la dirección del sujeto de los datos personales, el número del documento principal que certifica su identidad, la información sobre la fecha de emisión del documento especificado y la autoridad que lo emitió;
2) nombre (apellido, nombre, patronímico) y la dirección del operador que recibe el consentimiento del sujeto de los datos personales;
3) propósito del tratamiento de datos personales;
4) lista de datos personales para los cuales el sujeto de los datos personales está de acuerdo con el procesamiento;
5) una lista de acciones con datos personales a los que se da su consentimiento, una descripción general de los métodos utilizados por el operador para procesar datos personales;
6) el plazo durante el cual el consentimiento es válido, así como el procedimiento para su revocación.
5. Para el tratamiento de los datos personales contenidos en el consentimiento por escrito del sujeto para el tratamiento de sus datos personales, no se requiere un consentimiento adicional.
6. En caso de incapacidad del sujeto de datos personales, el representante legal del sujeto de datos personales da su consentimiento para el procesamiento de sus datos personales por escrito.
7. En caso de muerte del sujeto de los datos personales, los herederos del sujeto de los datos personales darán su consentimiento para el tratamiento de sus datos personales por escrito, a menos que dicho consentimiento haya sido otorgado por el sujeto de los datos personales durante su vida.
Artículo 10. Categorías especiales de datos personales
1. No se permitirá el procesamiento de categorías especiales de datos personales relacionados con la raza, la nacionalidad, las opiniones políticas, las creencias religiosas o filosóficas, el estado de salud o la vida íntima, excepto en los casos previstos en el párrafo 2 del presente artículo.
2. El tratamiento de las categorías especiales de datos personales mencionadas en la parte 1 de este artículo está permitido en los casos en que:
1) el sujeto de los datos personales ha dado su consentimiento por escrito para el procesamiento de sus datos personales;
2) los datos personales son públicos;
2.1) el procesamiento de datos personales es necesario en relación con la aplicación de los tratados internacionales de la Federación rusa sobre readmisión;
2.2) el procesamiento de datos personales se lleva a cabo de acuerdo con la ley Federal de 25 de enero de 2002 N 8-FZ " sobre el censo de toda Rusia";
3) los datos personales se refieren al estado de salud del sujeto de los datos personales y su procesamiento es necesario para proteger su vida, salud u otros intereses vitales o la vida, la salud u otros intereses vitales de otras personas, y no es posible obtener el consentimiento del sujeto de los datos personales;
4) el procesamiento de datos personales se lleva a cabo con fines médicos y preventivos, con el fin de establecer un diagnóstico médico, proporcionar servicios médicos y médicos y sociales, siempre que el procesamiento de datos personales sea realizado por una persona que se dedica profesionalmente a la actividad médica y esté obligada de acuerdo con la legislación de la Federación rusa a mantener el secreto médico;
5) el tratamiento de los datos personales de los miembros (participantes) de la asociación pública u organización religiosa se lleva a cabo por la asociación pública u organización religiosa correspondiente que Opera de acuerdo con la legislación de la Federación de Rusia para lograr los fines legítimos previstos en sus documentos constitutivos, siempre que los datos personales no se distribuyan sin el consentimiento por escrito de los sujetos de datos personales;
6) el procesamiento de datos personales es necesario en relación con la administración de justicia;
7) el procesamiento de datos personales se lleva a cabo de acuerdo con la legislación de la Federación rusa sobre seguridad, sobre actividades operativas y de búsqueda, así como de acuerdo con la legislación penal y ejecutiva de la Federación rusa.
3. El tratamiento de los datos personales sobre los antecedentes penales puede ser llevado a cabo por las autoridades estatales o municipales dentro de los límites de las facultades otorgadas a ellos de acuerdo con la legislación de la Federación rusa, así como por otras personas en los casos y en los procedimientos determinados de acuerdo con las leyes federales.
4. El tratamiento de categorías especiales de datos personales en los casos previstos en las partes 2 y 3 de este artículo se suspenderá inmediatamente si se eliminan las razones por las cuales se realizó el procesamiento.
Artículo 11. Datos personales biométricos
1. La información que caracteriza las características fisiológicas de una persona y sobre la base de la cual se puede determinar su identidad (datos personales biométricos) solo puede procesarse si el sujeto de los datos personales está de acuerdo por escrito, excepto en los casos previstos en el párrafo 2 del presente artículo.
2. El procesamiento de datos personales biométricos puede llevarse a cabo sin el consentimiento del sujeto de los datos personales en relación con la aplicación de los tratados internacionales de la Federación de Rusia sobre readmisión, en relación con la administración de justicia, así como en los casos previstos por la legislación de la Federación de Rusia sobre seguridad, la legislación de la Federación de Rusia sobre operaciones de búsqueda, la legislación de la Federación de Rusia sobre Servicio público, la legislación penal y ejecutiva de la Federación de Rusia, la legislación de la Federación de Rusia sobre el procedimiento para salir de la Federación de Rusia y entrar en La Federación de Rusia.
Artículo 12. Transferencia transfronteriza de datos personales
1. Antes de la transferencia transfronteriza de datos personales, el operador está obligado a verificar que el estado extranjero en cuyo territorio se transfiere datos personales garantice la protección adecuada de los derechos de los sujetos de datos personales.
2. La transferencia transfronteriza de datos personales en el territorio de Estados extranjeros que garanticen la protección adecuada de los derechos de los sujetos de datos personales se lleva a cabo de conformidad con esta ley Federal y puede estar prohibida o restringida para proteger los fundamentos del orden constitucional de la Federación de Rusia, la moral, la salud, los derechos y los intereses legítimos de los ciudadanos, garantizar la defensa del país y la seguridad del estado.
3. La transferencia transfronteriza de datos personales en el territorio de Estados extranjeros que no garantizan una protección adecuada de los derechos de los sujetos de datos personales puede llevarse a cabo en casos de:
1) la disponibilidad del consentimiento por escrito del sujeto de los datos personales;
2) los tratados internacionales de la Federación de Rusia sobre la expedición de visados, los tratados internacionales de la Federación de Rusia sobre asistencia jurídica en asuntos civiles, familiares y penales, así como los tratados internacionales de la Federación de Rusia sobre readmisión;
3) previsto por las leyes federales, si es necesario para proteger los fundamentos del sistema constitucional de la Federación de Rusia, garantizar la defensa del país y la seguridad del estado;
4) la ejecución del contrato en el que el sujeto de los datos personales es parte;
5) la protección de la vida, la salud, otros intereses vitales del sujeto de los datos personales u otras personas cuando no se puede obtener el consentimiento por escrito del sujeto de los datos personales.
Artículo 13. Características del tratamiento de datos personales en los sistemas de información de datos personales estatales o municipales
1. Las autoridades estatales y municipales crean, dentro de sus poderes establecidos por las leyes federales, sistemas de información de datos personales estatales o municipales.
2. Las leyes federales pueden establecer las características de la contabilidad de datos personales en los sistemas de información personal estatales y municipales, incluido el uso de varios métodos para indicar la pertenencia de los datos personales contenidos en el sistema de información personal estatal o Municipal correspondiente a un sujeto específico de datos personales.
3. Los derechos y libertades de una persona y un ciudadano no pueden restringirse por motivos relacionados con el uso de diversos métodos de procesamiento de datos personales o la Designación de la pertenencia de los datos personales contenidos en los sistemas de información de datos personales estatales o municipales a un sujeto específico de los datos personales. No se permite el uso ofenden los sentimientos de los ciudadanos o degradantes formas de designación de aseo datos personales contenidos en estatales o municipales o los sistemas de información de datos personales a una entidad de datos personales.
4. Para garantizar el ejercicio de los derechos de los sujetos de datos personales en relación con el procesamiento de sus datos personales en los sistemas de información de datos personales estatales o municipales, se puede crear un registro estatal de la población, cuya condición jurídica y el procedimiento con el que se establece la ley Federal.
Capítulo 3. DERECHOS DEL SUJETO DE LOS DATOS PERSONALES
Artículo 14. El derecho del sujeto de datos personales a acceder a sus datos personales
1. El sujeto de los datos personales tiene derecho a recibir información sobre el operador, sobre su ubicación, sobre la presencia del operador de datos personales relacionados con el sujeto de datos personales correspondiente, así como a familiarizarse con dichos datos personales, excepto en los casos previstos en el párrafo 5 de este artículo. El sujeto de los datos personales tiene derecho a exigir al operador que aclare, bloquee o destruya sus datos personales en caso de que los datos personales sean incompletos, obsoletos, incorrectos, obtenidos ilegalmente o no sean necesarios para el propósito declarado del procesamiento, así como a tomar las medidas legales para proteger sus derechos.
2. La información sobre la disponibilidad de datos personales debe ser proporcionada al sujeto de los datos personales por el operador en una forma accesible y no debe contener datos personales relacionados con otros sujetos de datos personales.
3. El acceso a sus datos personales es proporcionado al sujeto de los datos personales o a su representante legal por el operador cuando se dirige o recibe una solicitud del sujeto de los datos personales o su representante legal. La solicitud debe contener el número del documento principal que certifica la identidad del sujeto de los datos personales o su representante legal, la fecha de emisión del documento y la autoridad emisora y la firma manuscrita del sujeto de los datos personales o su representante legal. La solicitud puede enviarse electrónicamente y firmarse con una firma digital electrónica de acuerdo con la legislación de la Federación de Rusia.
4. El sujeto de los datos personales tiene derecho a recibir información relacionada con el tratamiento de sus datos personales, incluidos los que contienen:
1) confirmación del procesamiento de datos personales por parte del operador, así como el propósito de dicho procesamiento;
2) métodos de tratamiento de datos personales utilizados por el operador;
3) información acerca de las personas que tienen acceso a los datos personales o que pueden tener acceso a ellos;
4) la lista de los datos personales tratados y la fuente de su Recepción;
5) tiempo de procesamiento de datos personales, incluyendo el tiempo de almacenamiento;
6) información sobre las consecuencias legales que el tratamiento de sus datos personales puede tener para el sujeto de los datos personales.
5. El derecho del sujeto de los datos personales a acceder a sus datos personales se limita si:
1) el procesamiento de datos personales, incluidos los datos personales obtenidos como resultado de las actividades operativas de búsqueda, contrainteligencia e inteligencia, se lleva a cabo para la defensa del país, la seguridad del estado y la protección del orden público;
2) el procesamiento de datos personales se lleva a cabo por las autoridades que han detenido al sujeto de datos personales bajo sospecha de Comisión de un delito, o han acusado al sujeto de datos personales en una causa penal, o han aplicado una medida preventiva al sujeto de datos personales antes de la acusación, excepto en los casos previstos en la legislación procesal penal de la Federación de Rusia, si se permite el conocimiento del sospechoso o acusado de dichos datos personales;
3) la provisión de datos personales viola los derechos y libertades constitucionales de otros.
Artículo 15. Derechos de los sujetos de datos personales en el procesamiento de sus datos personales con el fin de promover bienes, obras, servicios en el mercado, así como con fines de agitación política
1. El procesamiento de datos personales con el fin de promover bienes, obras y servicios en el mercado mediante el contacto directo con el consumidor potencial a través de medios de comunicación, así como con fines de agitación política, está permitido solo con el consentimiento previo del sujeto de los datos personales. Dicho tratamiento de datos personales se considerará realizado sin el consentimiento previo del sujeto de los datos personales, a menos que el operador demuestre que se ha obtenido dicho consentimiento.
2. El operador está obligado a suspender inmediatamente, a petición del sujeto de los datos personales, el procesamiento de sus datos personales a los que se hace referencia en la parte 1 de este artículo.
Artículo 16. Derechos de los sujetos de datos personales en la toma de decisiones sobre la base del procesamiento exclusivamente automatizado de sus datos personales
1. Queda prohibida la adopción, sobre la base del tratamiento exclusivamente automatizado de datos personales, de decisiones que surtan efectos legales sobre el sujeto de los datos personales o que afecten de otro modo sus derechos e intereses legítimos, salvo en los casos previstos en el párrafo 2 del presente artículo.
2. Una decisión que surja efectos legales sobre el sujeto de los datos personales o que afecte de otro modo sus derechos e intereses legítimos sólo podrá ser tomada sobre la base del procesamiento automatizado de sus datos personales únicamente si está de acuerdo por escrito con el sujeto de los datos personales o en los casos previstos por las leyes federales que también establecen medidas para garantizar el respeto de los derechos e intereses legítimos del sujeto de los datos personales.
3. El operador está obligado a explicar al sujeto de los datos personales cómo tomar una decisión sobre la base del procesamiento exclusivamente automatizado de sus datos personales y las posibles consecuencias legales de dicha decisión, permitir que se oponga a dicha decisión y explicar cómo el sujeto de los datos personales protege sus derechos e intereses legítimos.
4. El operador está obligado a examinar la objeción mencionada en la parte 3 de este artículo dentro de los siete días hábiles siguientes a su Recepción y notificar al sujeto de los datos personales los resultados del examen de dicha objeción.
Artículo 17. Derecho a apelar las acciones u omisiones del operador
1. Si el sujeto de los datos personales considera que el operador está procesando sus datos personales en violación de los requisitos de esta ley Federal o viola sus derechos y libertades, el sujeto de los datos personales tiene derecho a apelar las acciones u omisiones del operador ante una autoridad autorizada para proteger los derechos del sujeto de los datos personales o ante un Tribunal.
2. El sujeto de los datos personales tiene derecho a la protección de sus derechos e intereses legítimos, incluida la indemnización por daños y / o daños morales por vía judicial.
Capítulo 4. RESPONSABILIDADES DEL OPERADOR
Artículo 18. Responsabilidades del operador en la recopilación de datos personales
1. Al recopilar datos personales, el operador está obligado a proporcionar al sujeto de los datos personales, a petición suya, la información prevista en la parte 4 del artículo 14 de esta ley Federal.
2. Si la obligación de proporcionar datos personales está establecida por la ley Federal, el operador está obligado a explicar al sujeto de datos personales las consecuencias legales de la negativa a proporcionar sus datos personales.
3. Si los datos personales no provienen del sujeto de los datos personales, a menos que los datos personales se hayan proporcionado al operador en virtud de la ley Federal o si los datos personales son públicos, el operador está obligado a proporcionar al sujeto de los datos personales la siguiente información antes del procesamiento de dichos datos personales:
1) nombre (apellido, nombre, patronímico) y dirección del operador o su representante;
2) propósito del tratamiento de datos personales y su base legal;
3) presuntos usuarios de datos personales;
4) los derechos establecidos por esta ley Federal del sujeto de los datos personales.
Artículo 19. Medidas para garantizar la seguridad de los datos personales durante su procesamiento
1. El operador en el procesamiento de datos personales está obligado a tomar las medidas organizativas y técnicas necesarias para proteger los datos personales contra el acceso indebido o accidental a ellos, la destrucción, modificación, bloqueo, copia, distribución de datos personales, así como de otras acciones ilegales.
2. El gobierno de la Federación de Rusia establece los requisitos para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales, los requisitos para los medios materiales de datos personales biométricos y las tecnologías de almacenamiento de dichos datos fuera de los sistemas de información de datos personales.
3. El control y la supervisión del cumplimiento de los requisitos establecidos por el Gobierno de la Federación de Rusia de conformidad con el párrafo 2 del presente artículo serán ejercidos por el órgano ejecutivo Federal encargado de garantizar la seguridad y por el órgano ejecutivo Federal encargado de contrarrestar la inteligencia técnica y la protección técnica de la información, dentro de sus facultades y sin el derecho a conocer los datos personales procesados en los sistemas de información personal.
4. El uso y el almacenamiento de datos personales biométricos fuera de los sistemas de información personal solo se pueden realizar en dichos medios materiales de información y utilizando tecnologías de almacenamiento que protejan esos datos contra el acceso, la destrucción, la alteración, el bloqueo, la copia y la distribución indebidos o accidentales.
Artículo 20. Obligaciones del operador al hacer o recibir una solicitud del sujeto de datos personales o de su representante legal, así como de la autoridad autorizada para proteger los derechos de los sujetos de datos personales
1. El operador está obligado, de conformidad con el artículo 14 de esta ley Federal, a comunicar al sujeto de datos personales o a su representante legal la información sobre la presencia de datos personales relacionados con el sujeto de datos personales correspondiente, así como a proporcionar la oportunidad de consultarlos cuando el sujeto de datos personales o su representante legal lo solicite o dentro de los diez días hábiles siguientes a la Recepción de la solicitud del sujeto de datos personales o su representante legal.
2. En el caso de que el sujeto de datos personales o su representante legal se niegue a proporcionar al sujeto de datos personales o a su representante legal información sobre la disponibilidad de datos personales sobre el sujeto de datos personales correspondiente, así como dichos datos personales, el operador está obligado a dar por escrito una respuesta motivada que haga referencia a la disposición del párrafo 5 del artículo 14 de esta ley Federal u otra ley Federal que sea motivo de dicha denegación, en el plazo, no exceda de siete días hábiles a partir de la fecha en que el sujeto de los datos personales o su representante legal haya solicitado el sujeto de los datos personales o su representante legal.
3. El operador está obligado a proporcionar gratuitamente al sujeto de datos personales o a su representante legal la oportunidad de conocer los datos personales relacionados con el sujeto de datos personales correspondiente, así como a realizar los cambios necesarios, destruir o bloquear los datos personales relevantes al proporcionar al sujeto de datos personales o a su representante legal información que demuestre que los datos personales relacionados con el sujeto relevante y cuyo procesamiento es realizado por el operador están incompletos, desactualizados e inexactos, obtenidos ilegalmente o no son necesarios para el propósito declarado de procesamiento. Sobre los cambios realizados y las medidas tomadas, el operador está obligado a notificar al sujeto de los datos personales o a su representante legal y a los terceros a quienes se transfirieron los datos personales de ese sujeto.
4. El operador está obligado a comunicar a la autoridad competente para la protección de los derechos de los sujetos de datos personales, a su solicitud, la información necesaria para llevar a cabo las actividades de dicha autoridad, dentro de los siete días hábiles siguientes a la fecha de Recepción de dicha solicitud.
Artículo 21. Responsabilidades del operador para eliminar las violaciones de la ley cometidas en el procesamiento de datos personales, así como para aclarar, bloquear y destruir datos personales
1. En el caso de que los datos personales no sean válidos o de que el operador los actúe indebidamente al tratar o a petición del sujeto de los datos personales o de su representante legal o de la autoridad autorizada para proteger los derechos de los sujetos de datos personales, el operador está obligado a bloquear los datos personales relacionados con el sujeto de datos personales correspondiente desde el momento de tal tratamiento o Recepción de dicha solicitud durante el período de verificación.
2. En caso de confirmación de la inexactitud de los datos personales, el operador, sobre la base de los documentos presentados por el sujeto de los datos personales o su representante legal o la autoridad autorizada para proteger los derechos de los sujetos de datos personales, u otros documentos necesarios, está obligado a aclarar los datos personales y eliminar su bloqueo.
Artículo 22. Aviso sobre el procesamiento de datos personales
1. El operador, antes del procesamiento de los datos personales, está obligado a notificar a la autoridad autorizada para la protección de los derechos de los sujetos de datos personales su intención de procesar los datos personales, excepto en los casos previstos en el párrafo 2 del presente artículo.
2. El operador tiene derecho a llevar a cabo el procesamiento de datos personales sin previo aviso de la autoridad autorizada para la protección de los derechos de los sujetos de datos personales:
1) relacionado con los sujetos de datos personales que están asociados con el operador de relaciones laborales;
2) los datos personales recibidos por el operador en relación con la celebración de un contrato en el que el sujeto de los datos personales es parte, a menos que los datos personales se distribuyan, y no se proporcionen a terceros sin el consentimiento del sujeto de los datos personales y sean utilizados por el operador únicamente para la ejecución del contrato especificado y la celebración de contratos con el sujeto de los datos personales;
3) relacionados con los miembros (participantes) de una asociación pública o una organización religiosa y procesados por la asociación pública o organización religiosa correspondiente que Opera de acuerdo con la legislación de la Federación de Rusia para lograr los fines legítimos previstos en sus documentos constitutivos, siempre que los datos personales no se distribuyan sin el consentimiento por escrito de los sujetos de datos personales;
4) ser datos personales públicos;
5) incluye sólo los nombres, nombres y patronímicos de los sujetos de datos personales;
6) necesarios para el paso de una sola vez del sujeto de los datos personales en el territorio en el que se encuentra el operador, u otros fines similares;
7) incluidos en los sistemas de información de datos personales que tienen el estatus de sistemas de información automatizados federales de acuerdo con las leyes federales, así como en los sistemas de información de datos personales estatales creados para proteger la seguridad del estado y el orden público;
8) procesados sin el uso de herramientas de automatización de acuerdo con las leyes federales u otros actos legales normativos de la Federación rusa que establecen requisitos para garantizar la seguridad de los datos personales durante su procesamiento y para el respeto de los derechos de los sujetos de datos personales.
3. La notificación prevista en la parte 1 del presente artículo deberá ser enviada por escrito y firmada por una persona autorizada o enviada electrónicamente y firmada por una firma digital electrónica de conformidad con la legislación de la Federación de Rusia. La notificación debe contener la siguiente información:
1) nombre (apellido, nombre, patronímico), dirección del operador;
2) propósito del tratamiento de datos personales;
3) categorías de datos personales;
4) categorías de entidades cuyos datos personales se procesan;
5) base legal del tratamiento de datos personales;
6) una lista de acciones con datos personales, una descripción general de los métodos utilizados por el operador para procesar datos personales;
7) descripción de las medidas que el operador se compromete a implementar en el procesamiento de datos personales para garantizar la seguridad de los datos personales durante su procesamiento;
8) fecha de Inicio del tratamiento de datos personales;
9) término o condición para la terminación del tratamiento de datos personales.
4. La autoridad competente para la protección de los derechos de los sujetos de datos personales, dentro de los treinta días siguientes a la fecha de Recepción de la notificación sobre el procesamiento de datos personales, ingresará la información especificada en la parte 3 de este artículo, así como la información sobre la fecha de envío de dicha notificación al registro de operadores. La información contenida en el registro del operador, con la excepción de la información sobre los medios de seguridad de los datos personales durante su procesamiento, es pública.
5. El operador no puede incurrir en gastos en relación con el examen de la notificación del procesamiento de datos personales por una autoridad autorizada para proteger los derechos de los sujetos de datos personales, así como en relación con la introducción de información en el registro de operadores.
6. En el caso de la información incompleta o inexacta especificada en el párrafo 3 de este artículo, la autoridad competente para proteger los derechos de los sujetos de datos personales tiene derecho a exigir al operador que aclare la información proporcionada antes de su inclusión en el registro de los operadores.
7. En caso de que se modifique la información especificada en la parte 3 de este artículo, el operador está obligado a notificar los cambios a la autoridad autorizada para la protección de los derechos de los sujetos de datos personales dentro de los diez días hábiles siguientes a la fecha en que ocurran dichos cambios.
Capítulo 5. CONTROL Y SUPERVISIÓN DEL TRATAMIENTO DE DATOS PERSONALES. RESPONSABILIDAD POR INCUMPLIMIENTO DE ESTA LEY FEDERAL
Artículo 23. Autoridad autorizada para la protección de los derechos de los sujetos de datos personales
1. El órgano encargado de la protección de los derechos de los sujetos de datos personales encargado del control y la supervisión del cumplimiento del tratamiento de los datos personales a los requisitos de esta ley Federal es el órgano ejecutivo Federal que ejerce las funciones de control y supervisión en el campo de la tecnología de la información y las comunicaciones.
2. La autoridad competente para la protección de los derechos de los sujetos de datos personales considerará las solicitudes del sujeto de datos personales sobre la conformidad del contenido de los datos personales y la forma en que se procesan con el propósito de su procesamiento y tomará la decisión correspondiente.
3. La autoridad competente para la protección de los derechos de los sujetos de datos personales tiene derecho a:
1) solicitar a las personas físicas o jurídicas la información necesaria para ejercer sus facultades y recibir dicha información gratuitamente;
2) verificar la información contenida en el aviso de procesamiento de datos personales o involucrar a otras autoridades gubernamentales dentro de sus facultades para llevar a cabo dicha verificación;
3) exigir al operador que aclare, bloquee o destruya datos personales no confiables o obtenidos ilegalmente;
4) tomar, según lo establecido por la legislación de la Federación de Rusia, medidas para suspender o detener el procesamiento de datos personales realizados en violación de los requisitos de esta ley Federal;
5) presentar ante el Tribunal una demanda en defensa de los derechos de los sujetos de datos personales y representar los intereses de los sujetos de datos personales ante el Tribunal;
6) enviar una solicitud a la autoridad que otorga licencias a las actividades del operador para considerar la posibilidad de tomar medidas para suspender o cancelar la licencia correspondiente de la manera establecida por la legislación de la Federación de Rusia, si la condición de la licencia para llevar a cabo tales actividades es la prohibición de transferir datos personales a terceros sin el consentimiento por escrito del sujeto de datos personales;
7) enviar a los órganos de la Fiscalía y otros organismos encargados de hacer cumplir la ley materiales para resolver la cuestión de iniciar casos penales por delitos relacionados con la violación de los derechos de los sujetos de datos personales, de acuerdo con la jurisdicción;
8) presentar al Gobierno de la Federación rusa propuestas para mejorar la regulación legal normativa de la protección de los derechos de los sujetos de datos personales;
9) llevar ante la justicia administrativa a los responsables de la violación de esta ley Federal.
4. En relación con los datos personales que se hayan dado a conocer a la autoridad competente para la protección de los derechos de los sujetos de datos personales durante el ejercicio de sus actividades, se debe garantizar la confidencialidad de los datos personales.
5. La autoridad competente para la protección de los derechos de los sujetos de datos personales está obligada a:
1) organizar, de acuerdo con los requisitos de esta ley Federal y otras leyes federales, la protección de los derechos de los sujetos de datos personales;
2) examinar las quejas y apelaciones de ciudadanos o personas jurídicas sobre cuestiones relacionadas con el procesamiento de datos personales, y tomar decisiones en el marco de su autoridad sobre los resultados del examen de dichas quejas y apelaciones;
3) mantener un registro de operadores;
4) implementar medidas para mejorar la protección de los derechos de los sujetos de datos personales;
5) tomar, según lo establecido por la legislación de la Federación de Rusia, las medidas de suspensión o terminación del procesamiento de datos personales, a petición del órgano ejecutivo Federal encargado de garantizar la seguridad o del órgano ejecutivo Federal encargado de contrarrestar la inteligencia técnica y la protección técnica de la información;
6) informar a las autoridades gubernamentales, así como a los sujetos de datos personales sobre sus solicitudes o solicitudes sobre el estado de los asuntos en el campo de la protección de los derechos de los sujetos de datos personales;
7) cumplir con otras obligaciones previstas en la legislación de la Federación rusa.
6. Las decisiones de la autoridad competente para la protección de los derechos de los sujetos de datos personales pueden ser apeladas por los tribunales.
7. El organismo autorizado para la protección de los derechos de los sujetos de datos personales envía anualmente un informe sobre sus actividades al Presidente de la Federación de Rusia, al Gobierno de la Federación de Rusia y a la Asamblea Federal de la Federación de Rusia. El informe está sujeto a publicación en los medios de comunicación.
8. La financiación de la autoridad autorizada para la protección de los derechos de los sujetos de datos personales se realiza a expensas del presupuesto Federal.
9. En virtud de un órgano autorizado para la protección de los derechos de los sujetos de datos personales, se crea un Consejo asesor público, cuyo procedimiento de formación y el procedimiento de actividad están determinados por el órgano autorizado para la protección de los sujetos de datos personales.
Artículo 24. Responsabilidad por incumplimiento de esta ley Federal
Las personas responsables de la violación de los requisitos de esta ley Federal tienen responsabilidad civil, penal, administrativa, disciplinaria y de otra índole prevista por la legislación de la Federación de Rusia.
Capítulo 6. DISPOSICIONES FINALES
Artículo 25. Disposiciones finales
1. La presente ley Federal entrará en vigor a los ciento ochenta días siguientes al día de su publicación oficial.
2. Después de la fecha de entrada en vigor de esta ley Federal, el procesamiento de datos personales incluidos en los sistemas de información de datos personales antes de la fecha de entrada en vigor se realizará de acuerdo con esta ley Federal.
3. Los sistemas de información de datos personales creados antes del 1 de enero de 2010 deben cumplir con los requisitos de esta ley Federal a más tardar el 1 de enero de 2011.
4. Los operadores que procesen datos personales antes de la fecha de entrada en vigor de la presente ley Federal y continúen procesándolos después de la fecha de entrada en vigor están obligados a enviar a la autoridad competente para la protección de los derechos de los sujetos de datos personales, excepto en los casos previstos en el párrafo 2 del artículo 22 de la presente ley Federal, la notificación prevista en el párrafo 3 del artículo 22 de la presente ley Federal, a más tardar el 1 de enero de 2008.
Aprobado por la Duma Estatal el 8 de julio de 2006, Aprobado por el Consejo de la Federación el 14 de julio de 2006
las leyes Federales de 25.11.2009 n 266-FZ, de 27.12.2009 n 363-FZ, de 28.06.2010 n 123-FZ,
de 27.07.2010 n 204-FZ)
Capítulo 1. DISPOSICIONES GENERALES
Artículo 1. Alcance de esta ley Federal
1. Esta ley Federal regula las relaciones relacionadas con el procesamiento de datos personales llevado a cabo por los órganos federales del gobierno estatal, los órganos estatales de los sujetos de la Federación rusa, otros órganos estatales( en adelante, los órganos estatales), los órganos de gobierno local, los órganos municipales que no forman parte del sistema de gobierno local (en adelante - las autoridades municipales), las personas jurídicas, las personas físicas con o sin el uso de los medios de automatización, si el tratamiento de los datos personales sin el uso de tales medios corresponde a la naturaleza de las acciones (operaciones) realizadas con los datos personales con el uso de los medios de automatización.
2. Esta ley Federal no se aplica a las relaciones que surjan de:
1) el tratamiento de los datos personales por las personas físicas exclusivamente para las necesidades personales y familiares, a menos que se violen los derechos de los sujetos de los datos personales;
2) la organización del almacenamiento, la recopilación, la contabilidad y el uso de los documentos que contienen datos personales del fondo de Archivo de la Federación de Rusia y otros documentos de archivo de conformidad con la legislación sobre el archivo en la Federación de Rusia;
3) el procesamiento de la información sobre individuos sujetos a inclusión en el registro estatal unificado de empresarios individuales, si dicho procesamiento se lleva a cabo de acuerdo con la legislación de la Federación rusa en relación con las actividades de una persona física como propietario único;
4) el tratamiento de los datos personales asignados según el procedimiento establecido a la información que constituye el secreto de estado;
5) proporcionar información a las autoridades autorizadas sobre las actividades de los tribunales en la Federación de Rusia de conformidad con la ley Federal n 262-FZ de 22 de diciembre de 2008 sobre el acceso a la información sobre las actividades de los tribunales en la Federación de Rusia.
Artículo 2. Propósito de esta ley Federal
El propósito de esta ley Federal es garantizar la protección de los derechos y libertades de una persona y un ciudadano en el procesamiento de sus datos personales, incluida la protección de los derechos a la privacidad, el secreto personal y familiar.
Artículo 3. Conceptos básicos utilizados en esta ley Federal
Para los fines de esta ley Federal, se utilizan los siguientes conceptos básicos:
1) datos personales: cualquier información relacionada con una persona física (sujeto de datos personales) determinada o determinada sobre la base de dicha información, incluyendo su apellido, nombre, patronímico, año, mes, fecha y lugar de nacimiento, dirección, situación familiar, social, económica, educación, profesión, ingresos, otra información;
2) el operador es una autoridad pública, una autoridad Municipal, una persona jurídica o física que organiza y / o realiza el procesamiento de datos personales, así como que determina el propósito y el contenido del procesamiento de datos personales;
3) procesamiento de datos personales: acciones (operaciones) con datos personales, incluida la recopilación, sistematización, acumulación, almacenamiento, aclaración (actualización, modificación), uso, distribución( incluida la transferencia), anonimización, bloqueo, destrucción de datos personales;
4) difusión de datos personales: acciones dirigidas a la transferencia de datos personales a un determinado círculo de personas (transferencia de datos personales) o a la divulgación de datos personales de un círculo ilimitado de personas, incluida la divulgación de datos personales en los medios de comunicación, la colocación en redes de información y telecomunicaciones o el acceso a datos personales por cualquier otro medio;
5) uso de datos personales: acciones (transacciones) con datos personales realizadas por el operador para tomar decisiones o realizar otras acciones que tengan consecuencias legales con respecto al sujeto de datos personales u otras personas o que afecten de otra manera los derechos y libertades del sujeto de datos personales u otras personas;
6) bloqueo de datos personales: cese temporal de la recopilación, sistematización, acumulación, uso, distribución de datos personales, incluida su transmisión;
7) destrucción de datos personales: acciones que no pueden recuperar el contenido de los datos personales en el sistema de información de datos personales o que destruyen los medios materiales de datos personales;
8) anonimización de datos personales: acciones que no pueden determinar la pertenencia de datos personales a un sujeto específico de datos personales;
9) sistema de información de datos personales : un sistema de información que es un conjunto de datos personales contenidos en una base de datos, así como tecnologías de la información y medios técnicos que permiten el procesamiento de dichos datos personales utilizando o sin el uso de dichos medios;
10) confidencialidad de los datos personales: un requisito obligatorio para el cumplimiento por parte del operador u otra persona que tenga acceso a los datos personales para evitar su distribución sin el consentimiento del sujeto de los datos personales o la existencia de otra base legal;
11) transferencia transfronteriza de datos personales: transferencia de datos personales por parte del operador a través de la frontera Estatal de la Federación de Rusia a la autoridad de un estado extranjero, a una persona física o jurídica de un estado extranjero;
12) datos personales de acceso público : datos personales a los que se ha proporcionado acceso ilimitado con el consentimiento del sujeto de los datos personales o que, de acuerdo con las leyes federales, no están sujetos al requisito de confidencialidad.
Artículo 4. Legislación de la Federación rusa en materia de datos personales
1. La legislación de la Federación de Rusia en el campo de los datos personales se basa en la Constitución de la Federación de Rusia y los tratados internacionales de la Federación de Rusia y consiste en esta ley Federal y otras leyes federales que definen los casos y características del procesamiento de datos personales.
2. En virtud de las leyes federales y en cumplimiento de las leyes federales, las autoridades estatales, dentro de sus facultades, pueden promulgar leyes regulatorias sobre cuestiones específicas relacionadas con el procesamiento de datos personales. Las disposiciones legales sobre cuestiones específicas relacionadas con el procesamiento de datos personales no pueden contener disposiciones que limiten los derechos de los sujetos de datos personales. Estas leyes reglamentarias están sujetas a publicación oficial, con la excepción de las leyes reglamentarias o las disposiciones individuales de dichas leyes reglamentarias que contienen información a la que las leyes federales restringen el acceso.
3. Las características del procesamiento de datos personales llevado a cabo sin el uso de herramientas de automatización pueden ser establecidas por las leyes federales y otros actos legales regulatorios de la Federación rusa, teniendo en cuenta las disposiciones de esta ley Federal.
4. Si el tratado internacional de la Federación de Rusia establece reglas diferentes a las previstas en esta ley Federal, se aplicarán las reglas del tratado internacional.
Capítulo 2. PRINCIPIOS Y CONDICIONES DEL TRATAMIENTO DE DATOS PERSONALES
Artículo 5. Principios del tratamiento de datos personales
1. El tratamiento de los datos personales debe realizarse sobre la base de los principios:
1) la legalidad de los fines y métodos de procesamiento de datos personales y la integridad;
2) el cumplimiento de los fines de procesamiento de datos personales con los fines predeterminados y declarados en la recopilación de datos personales, así como con la autoridad del operador;
3) la conformidad del alcance y la naturaleza de los datos personales tratados, los métodos de tratamiento de los datos personales a los fines del tratamiento de los datos personales;
4) la validez de los datos personales, su suficiencia para el propósito del tratamiento, la inadmisibilidad del tratamiento de los datos personales, redundante en relación con los fines declarados en la recopilación de datos personales;
5) no es posible combinar bases de datos de sistemas de información de datos personales creadas para fines incompatibles.
2. El almacenamiento de datos personales se llevará a cabo en una forma que permita identificar al sujeto de los datos personales, no más de lo requerido por el propósito de su procesamiento, y están sujetos a su destrucción al alcanzar los objetivos del procesamiento o en caso de que se pierda la necesidad de alcanzarlos.
Artículo 6. Términos del tratamiento de datos personales
1. El tratamiento de los datos personales puede ser realizado por el operador con el consentimiento de los sujetos de los datos personales, excepto en los casos previstos en la parte 2 de este artículo.
2. El consentimiento del sujeto de los datos personales previsto en la parte 1 de este artículo no es necesario en los siguientes casos:
1) el tratamiento de los datos personales se lleva a cabo sobre la base de la ley Federal que establece su propósito, las condiciones para la Recepción de los datos personales y el círculo de las entidades cuyos datos personales están sujetos al procesamiento, así como la autoridad definitoria del operador;
1.1) el procesamiento de datos personales es necesario en relación con la aplicación de los tratados internacionales de la Federación rusa sobre readmisión;
2) el tratamiento de los datos personales se lleva a cabo para la ejecución del contrato, una de las partes es el sujeto de los datos personales;
3) el tratamiento de los datos personales se lleva a cabo con fines estadísticos u otros fines científicos, sujeto a la anonimización obligatoria de los datos personales;
4) el tratamiento de los datos personales es necesario para proteger la vida, la salud u otros intereses vitales del sujeto de los datos personales si no es posible obtener el consentimiento del sujeto de los datos personales;
5) el procesamiento de datos personales es necesario para la entrega de correos por las organizaciones de comunicaciones postales, para los operadores de telecomunicaciones para los cálculos con los usuarios de los servicios de comunicaciones por los servicios de comunicaciones prestados, así como para el examen de las reclamaciones de los usuarios de los servicios de comunicaciones;
6) el tratamiento de los datos personales se lleva a cabo para la actividad profesional del periodista o para actividades científicas, literarias u otras actividades creativas, siempre que no se violen los derechos y libertades del sujeto de los datos personales;
7) se procesan los datos personales que deben publicarse de conformidad con las leyes federales, incluidos los datos personales de las personas que reemplazan a los cargos públicos, los cargos de la administración pública estatal, los datos personales de los candidatos a cargos públicos o municipales electos.
3. Las características del procesamiento de categorías especiales de datos personales, así como los datos personales biométricos, se establecen respectivamente en los artículos 10 y 11 de esta ley Federal.
4. En el caso de que el operador, sobre la base del contrato, confíe el procesamiento de datos personales a otra persona, una condición esencial del contrato es la obligación de garantizar la confidencialidad de los datos personales y la seguridad de los datos personales en su procesamiento.
Artículo 7. Privacidad de los datos personales
1. Los operadores y terceros que accedan a los datos personales deberán mantener la confidencialidad de dichos datos, salvo en los casos previstos en el párrafo 2 del presente artículo.
2. No se requiere privacidad de datos personales:
1) en caso de anonimización de datos personales;
2) con respecto a los datos personales públicos.
Artículo 8. Fuentes públicas de datos personales
1. Para fines de información, se pueden crear Fuentes públicas de datos personales (incluidos directorios, libretas de direcciones). Las Fuentes públicas de datos personales con el consentimiento por escrito del sujeto de datos personales pueden incluir su apellido, nombre, patronímico, año y lugar de nacimiento, dirección, número de abonado, información sobre la profesión y otros datos personales proporcionados por el sujeto de datos personales.
2. La información sobre el sujeto de los datos personales puede ser excluida en cualquier momento de las Fuentes públicas de datos personales a petición del sujeto de los datos personales o por decisión de un Tribunal u otras autoridades gubernamentales autorizadas.
Artículo 9. Consentimiento del sujeto de datos personales para el procesamiento de sus datos personales
1. El sujeto de los datos personales decide proporcionar sus datos personales y da su consentimiento para su procesamiento por su voluntad y en su interés, excepto en los casos previstos en la parte 2 de este artículo. El consentimiento para el tratamiento de datos personales puede ser revocado por el sujeto de los datos personales.
2. Esta ley Federal y otras leyes federales establecen que el sujeto debe proporcionar sus datos personales para proteger los fundamentos del orden constitucional, la moral, la salud, los derechos y los intereses legítimos de otras personas, garantizar la defensa del país y la seguridad del estado.
3. La obligación de proporcionar una prueba del consentimiento del sujeto de los datos personales para el procesamiento de sus datos personales, y en el caso del procesamiento de datos personales públicos, la obligación de probar que los datos personales tratados son públicos recae en el operador.
4. En los casos previstos por esta ley Federal, el procesamiento de datos personales se realizará únicamente con el consentimiento por escrito del sujeto de los datos personales. El consentimiento por escrito del sujeto de datos personales para el procesamiento de sus datos personales debe incluir:
1) el apellido, el nombre, el patronímico, la dirección del sujeto de los datos personales, el número del documento principal que certifica su identidad, la información sobre la fecha de emisión del documento especificado y la autoridad que lo emitió;
2) nombre (apellido, nombre, patronímico) y la dirección del operador que recibe el consentimiento del sujeto de los datos personales;
3) propósito del tratamiento de datos personales;
4) lista de datos personales para los cuales el sujeto de los datos personales está de acuerdo con el procesamiento;
5) una lista de acciones con datos personales a los que se da su consentimiento, una descripción general de los métodos utilizados por el operador para procesar datos personales;
6) el plazo durante el cual el consentimiento es válido, así como el procedimiento para su revocación.
5. Para el tratamiento de los datos personales contenidos en el consentimiento por escrito del sujeto para el tratamiento de sus datos personales, no se requiere un consentimiento adicional.
6. En caso de incapacidad del sujeto de datos personales, el representante legal del sujeto de datos personales da su consentimiento para el procesamiento de sus datos personales por escrito.
7. En caso de muerte del sujeto de los datos personales, los herederos del sujeto de los datos personales darán su consentimiento para el tratamiento de sus datos personales por escrito, a menos que dicho consentimiento haya sido otorgado por el sujeto de los datos personales durante su vida.
Artículo 10. Categorías especiales de datos personales
1. No se permitirá el procesamiento de categorías especiales de datos personales relacionados con la raza, la nacionalidad, las opiniones políticas, las creencias religiosas o filosóficas, el estado de salud o la vida íntima, excepto en los casos previstos en el párrafo 2 del presente artículo.
2. El tratamiento de las categorías especiales de datos personales mencionadas en la parte 1 de este artículo está permitido en los casos en que:
1) el sujeto de los datos personales ha dado su consentimiento por escrito para el procesamiento de sus datos personales;
2) los datos personales son públicos;
2.1) el procesamiento de datos personales es necesario en relación con la aplicación de los tratados internacionales de la Federación rusa sobre readmisión;
2.2) el procesamiento de datos personales se lleva a cabo de acuerdo con la ley Federal de 25 de enero de 2002 N 8-FZ " sobre el censo de toda Rusia";
3) los datos personales se refieren al estado de salud del sujeto de los datos personales y su procesamiento es necesario para proteger su vida, salud u otros intereses vitales o la vida, la salud u otros intereses vitales de otras personas, y no es posible obtener el consentimiento del sujeto de los datos personales;
4) el procesamiento de datos personales se lleva a cabo con fines médicos y preventivos, con el fin de establecer un diagnóstico médico, proporcionar servicios médicos y médicos y sociales, siempre que el procesamiento de datos personales sea realizado por una persona que se dedica profesionalmente a la actividad médica y esté obligada de acuerdo con la legislación de la Federación rusa a mantener el secreto médico;
5) el tratamiento de los datos personales de los miembros (participantes) de la asociación pública u organización religiosa se lleva a cabo por la asociación pública u organización religiosa correspondiente que Opera de acuerdo con la legislación de la Federación de Rusia para lograr los fines legítimos previstos en sus documentos constitutivos, siempre que los datos personales no se distribuyan sin el consentimiento por escrito de los sujetos de datos personales;
6) el procesamiento de datos personales es necesario en relación con la administración de justicia;
7) el procesamiento de datos personales se lleva a cabo de acuerdo con la legislación de la Federación rusa sobre seguridad, sobre actividades operativas y de búsqueda, así como de acuerdo con la legislación penal y ejecutiva de la Federación rusa.
3. El tratamiento de los datos personales sobre los antecedentes penales puede ser llevado a cabo por las autoridades estatales o municipales dentro de los límites de las facultades otorgadas a ellos de acuerdo con la legislación de la Federación rusa, así como por otras personas en los casos y en los procedimientos determinados de acuerdo con las leyes federales.
4. El tratamiento de categorías especiales de datos personales en los casos previstos en las partes 2 y 3 de este artículo se suspenderá inmediatamente si se eliminan las razones por las cuales se realizó el procesamiento.
Artículo 11. Datos personales biométricos
1. La información que caracteriza las características fisiológicas de una persona y sobre la base de la cual se puede determinar su identidad (datos personales biométricos) solo puede procesarse si el sujeto de los datos personales está de acuerdo por escrito, excepto en los casos previstos en el párrafo 2 del presente artículo.
2. El procesamiento de datos personales biométricos puede llevarse a cabo sin el consentimiento del sujeto de los datos personales en relación con la aplicación de los tratados internacionales de la Federación de Rusia sobre readmisión, en relación con la administración de justicia, así como en los casos previstos por la legislación de la Federación de Rusia sobre seguridad, la legislación de la Federación de Rusia sobre operaciones de búsqueda, la legislación de la Federación de Rusia sobre Servicio público, la legislación penal y ejecutiva de la Federación de Rusia, la legislación de la Federación de Rusia sobre el procedimiento para salir de la Federación de Rusia y entrar en La Federación de Rusia.
Artículo 12. Transferencia transfronteriza de datos personales
1. Antes de la transferencia transfronteriza de datos personales, el operador está obligado a verificar que el estado extranjero en cuyo territorio se transfiere datos personales garantice la protección adecuada de los derechos de los sujetos de datos personales.
2. La transferencia transfronteriza de datos personales en el territorio de Estados extranjeros que garanticen la protección adecuada de los derechos de los sujetos de datos personales se lleva a cabo de conformidad con esta ley Federal y puede estar prohibida o restringida para proteger los fundamentos del orden constitucional de la Federación de Rusia, la moral, la salud, los derechos y los intereses legítimos de los ciudadanos, garantizar la defensa del país y la seguridad del estado.
3. La transferencia transfronteriza de datos personales en el territorio de Estados extranjeros que no garantizan una protección adecuada de los derechos de los sujetos de datos personales puede llevarse a cabo en casos de:
1) la disponibilidad del consentimiento por escrito del sujeto de los datos personales;
2) los tratados internacionales de la Federación de Rusia sobre la expedición de visados, los tratados internacionales de la Federación de Rusia sobre asistencia jurídica en asuntos civiles, familiares y penales, así como los tratados internacionales de la Federación de Rusia sobre readmisión;
3) previsto por las leyes federales, si es necesario para proteger los fundamentos del sistema constitucional de la Federación de Rusia, garantizar la defensa del país y la seguridad del estado;
4) la ejecución del contrato en el que el sujeto de los datos personales es parte;
5) la protección de la vida, la salud, otros intereses vitales del sujeto de los datos personales u otras personas cuando no se puede obtener el consentimiento por escrito del sujeto de los datos personales.
Artículo 13. Características del tratamiento de datos personales en los sistemas de información de datos personales estatales o municipales
1. Las autoridades estatales y municipales crean, dentro de sus poderes establecidos por las leyes federales, sistemas de información de datos personales estatales o municipales.
2. Las leyes federales pueden establecer las características de la contabilidad de datos personales en los sistemas de información personal estatales y municipales, incluido el uso de varios métodos para indicar la pertenencia de los datos personales contenidos en el sistema de información personal estatal o Municipal correspondiente a un sujeto específico de datos personales.
3. Los derechos y libertades de una persona y un ciudadano no pueden restringirse por motivos relacionados con el uso de diversos métodos de procesamiento de datos personales o la Designación de la pertenencia de los datos personales contenidos en los sistemas de información de datos personales estatales o municipales a un sujeto específico de los datos personales. No se permite el uso ofenden los sentimientos de los ciudadanos o degradantes formas de designación de aseo datos personales contenidos en estatales o municipales o los sistemas de información de datos personales a una entidad de datos personales.
4. Para garantizar el ejercicio de los derechos de los sujetos de datos personales en relación con el procesamiento de sus datos personales en los sistemas de información de datos personales estatales o municipales, se puede crear un registro estatal de la población, cuya condición jurídica y el procedimiento con el que se establece la ley Federal.
Capítulo 3. DERECHOS DEL SUJETO DE LOS DATOS PERSONALES
Artículo 14. El derecho del sujeto de datos personales a acceder a sus datos personales
1. El sujeto de los datos personales tiene derecho a recibir información sobre el operador, sobre su ubicación, sobre la presencia del operador de datos personales relacionados con el sujeto de datos personales correspondiente, así como a familiarizarse con dichos datos personales, excepto en los casos previstos en el párrafo 5 de este artículo. El sujeto de los datos personales tiene derecho a exigir al operador que aclare, bloquee o destruya sus datos personales en caso de que los datos personales sean incompletos, obsoletos, incorrectos, obtenidos ilegalmente o no sean necesarios para el propósito declarado del procesamiento, así como a tomar las medidas legales para proteger sus derechos.
2. La información sobre la disponibilidad de datos personales debe ser proporcionada al sujeto de los datos personales por el operador en una forma accesible y no debe contener datos personales relacionados con otros sujetos de datos personales.
3. El acceso a sus datos personales es proporcionado al sujeto de los datos personales o a su representante legal por el operador cuando se dirige o recibe una solicitud del sujeto de los datos personales o su representante legal. La solicitud debe contener el número del documento principal que certifica la identidad del sujeto de los datos personales o su representante legal, la fecha de emisión del documento y la autoridad emisora y la firma manuscrita del sujeto de los datos personales o su representante legal. La solicitud puede enviarse electrónicamente y firmarse con una firma digital electrónica de acuerdo con la legislación de la Federación de Rusia.
4. El sujeto de los datos personales tiene derecho a recibir información relacionada con el tratamiento de sus datos personales, incluidos los que contienen:
1) confirmación del procesamiento de datos personales por parte del operador, así como el propósito de dicho procesamiento;
2) métodos de tratamiento de datos personales utilizados por el operador;
3) información acerca de las personas que tienen acceso a los datos personales o que pueden tener acceso a ellos;
4) la lista de los datos personales tratados y la fuente de su Recepción;
5) tiempo de procesamiento de datos personales, incluyendo el tiempo de almacenamiento;
6) información sobre las consecuencias legales que el tratamiento de sus datos personales puede tener para el sujeto de los datos personales.
5. El derecho del sujeto de los datos personales a acceder a sus datos personales se limita si:
1) el procesamiento de datos personales, incluidos los datos personales obtenidos como resultado de las actividades operativas de búsqueda, contrainteligencia e inteligencia, se lleva a cabo para la defensa del país, la seguridad del estado y la protección del orden público;
2) el procesamiento de datos personales se lleva a cabo por las autoridades que han detenido al sujeto de datos personales bajo sospecha de Comisión de un delito, o han acusado al sujeto de datos personales en una causa penal, o han aplicado una medida preventiva al sujeto de datos personales antes de la acusación, excepto en los casos previstos en la legislación procesal penal de la Federación de Rusia, si se permite el conocimiento del sospechoso o acusado de dichos datos personales;
3) la provisión de datos personales viola los derechos y libertades constitucionales de otros.
Artículo 15. Derechos de los sujetos de datos personales en el procesamiento de sus datos personales con el fin de promover bienes, obras, servicios en el mercado, así como con fines de agitación política
1. El procesamiento de datos personales con el fin de promover bienes, obras y servicios en el mercado mediante el contacto directo con el consumidor potencial a través de medios de comunicación, así como con fines de agitación política, está permitido solo con el consentimiento previo del sujeto de los datos personales. Dicho tratamiento de datos personales se considerará realizado sin el consentimiento previo del sujeto de los datos personales, a menos que el operador demuestre que se ha obtenido dicho consentimiento.
2. El operador está obligado a suspender inmediatamente, a petición del sujeto de los datos personales, el procesamiento de sus datos personales a los que se hace referencia en la parte 1 de este artículo.
Artículo 16. Derechos de los sujetos de datos personales en la toma de decisiones sobre la base del procesamiento exclusivamente automatizado de sus datos personales
1. Queda prohibida la adopción, sobre la base del tratamiento exclusivamente automatizado de datos personales, de decisiones que surtan efectos legales sobre el sujeto de los datos personales o que afecten de otro modo sus derechos e intereses legítimos, salvo en los casos previstos en el párrafo 2 del presente artículo.
2. Una decisión que surja efectos legales sobre el sujeto de los datos personales o que afecte de otro modo sus derechos e intereses legítimos sólo podrá ser tomada sobre la base del procesamiento automatizado de sus datos personales únicamente si está de acuerdo por escrito con el sujeto de los datos personales o en los casos previstos por las leyes federales que también establecen medidas para garantizar el respeto de los derechos e intereses legítimos del sujeto de los datos personales.
3. El operador está obligado a explicar al sujeto de los datos personales cómo tomar una decisión sobre la base del procesamiento exclusivamente automatizado de sus datos personales y las posibles consecuencias legales de dicha decisión, permitir que se oponga a dicha decisión y explicar cómo el sujeto de los datos personales protege sus derechos e intereses legítimos.
4. El operador está obligado a examinar la objeción mencionada en la parte 3 de este artículo dentro de los siete días hábiles siguientes a su Recepción y notificar al sujeto de los datos personales los resultados del examen de dicha objeción.
Artículo 17. Derecho a apelar las acciones u omisiones del operador
1. Si el sujeto de los datos personales considera que el operador está procesando sus datos personales en violación de los requisitos de esta ley Federal o viola sus derechos y libertades, el sujeto de los datos personales tiene derecho a apelar las acciones u omisiones del operador ante una autoridad autorizada para proteger los derechos del sujeto de los datos personales o ante un Tribunal.
2. El sujeto de los datos personales tiene derecho a la protección de sus derechos e intereses legítimos, incluida la indemnización por daños y / o daños morales por vía judicial.
Capítulo 4. RESPONSABILIDADES DEL OPERADOR
Artículo 18. Responsabilidades del operador en la recopilación de datos personales
1. Al recopilar datos personales, el operador está obligado a proporcionar al sujeto de los datos personales, a petición suya, la información prevista en la parte 4 del artículo 14 de esta ley Federal.
2. Si la obligación de proporcionar datos personales está establecida por la ley Federal, el operador está obligado a explicar al sujeto de datos personales las consecuencias legales de la negativa a proporcionar sus datos personales.
3. Si los datos personales no provienen del sujeto de los datos personales, a menos que los datos personales se hayan proporcionado al operador en virtud de la ley Federal o si los datos personales son públicos, el operador está obligado a proporcionar al sujeto de los datos personales la siguiente información antes del procesamiento de dichos datos personales:
1) nombre (apellido, nombre, patronímico) y dirección del operador o su representante;
2) propósito del tratamiento de datos personales y su base legal;
3) presuntos usuarios de datos personales;
4) los derechos establecidos por esta ley Federal del sujeto de los datos personales.
Artículo 19. Medidas para garantizar la seguridad de los datos personales durante su procesamiento
1. El operador en el procesamiento de datos personales está obligado a tomar las medidas organizativas y técnicas necesarias para proteger los datos personales contra el acceso indebido o accidental a ellos, la destrucción, modificación, bloqueo, copia, distribución de datos personales, así como de otras acciones ilegales.
2. El gobierno de la Federación de Rusia establece los requisitos para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales, los requisitos para los medios materiales de datos personales biométricos y las tecnologías de almacenamiento de dichos datos fuera de los sistemas de información de datos personales.
3. El control y la supervisión del cumplimiento de los requisitos establecidos por el Gobierno de la Federación de Rusia de conformidad con el párrafo 2 del presente artículo serán ejercidos por el órgano ejecutivo Federal encargado de garantizar la seguridad y por el órgano ejecutivo Federal encargado de contrarrestar la inteligencia técnica y la protección técnica de la información, dentro de sus facultades y sin el derecho a conocer los datos personales procesados en los sistemas de información personal.
4. El uso y el almacenamiento de datos personales biométricos fuera de los sistemas de información personal solo se pueden realizar en dichos medios materiales de información y utilizando tecnologías de almacenamiento que protejan esos datos contra el acceso, la destrucción, la alteración, el bloqueo, la copia y la distribución indebidos o accidentales.
Artículo 20. Obligaciones del operador al hacer o recibir una solicitud del sujeto de datos personales o de su representante legal, así como de la autoridad autorizada para proteger los derechos de los sujetos de datos personales
1. El operador está obligado, de conformidad con el artículo 14 de esta ley Federal, a comunicar al sujeto de datos personales o a su representante legal la información sobre la presencia de datos personales relacionados con el sujeto de datos personales correspondiente, así como a proporcionar la oportunidad de consultarlos cuando el sujeto de datos personales o su representante legal lo solicite o dentro de los diez días hábiles siguientes a la Recepción de la solicitud del sujeto de datos personales o su representante legal.
2. En el caso de que el sujeto de datos personales o su representante legal se niegue a proporcionar al sujeto de datos personales o a su representante legal información sobre la disponibilidad de datos personales sobre el sujeto de datos personales correspondiente, así como dichos datos personales, el operador está obligado a dar por escrito una respuesta motivada que haga referencia a la disposición del párrafo 5 del artículo 14 de esta ley Federal u otra ley Federal que sea motivo de dicha denegación, en el plazo, no exceda de siete días hábiles a partir de la fecha en que el sujeto de los datos personales o su representante legal haya solicitado el sujeto de los datos personales o su representante legal.
3. El operador está obligado a proporcionar gratuitamente al sujeto de datos personales o a su representante legal la oportunidad de conocer los datos personales relacionados con el sujeto de datos personales correspondiente, así como a realizar los cambios necesarios, destruir o bloquear los datos personales relevantes al proporcionar al sujeto de datos personales o a su representante legal información que demuestre que los datos personales relacionados con el sujeto relevante y cuyo procesamiento es realizado por el operador están incompletos, desactualizados e inexactos, obtenidos ilegalmente o no son necesarios para el propósito declarado de procesamiento. Sobre los cambios realizados y las medidas tomadas, el operador está obligado a notificar al sujeto de los datos personales o a su representante legal y a los terceros a quienes se transfirieron los datos personales de ese sujeto.
4. El operador está obligado a comunicar a la autoridad competente para la protección de los derechos de los sujetos de datos personales, a su solicitud, la información necesaria para llevar a cabo las actividades de dicha autoridad, dentro de los siete días hábiles siguientes a la fecha de Recepción de dicha solicitud.
Artículo 21. Responsabilidades del operador para eliminar las violaciones de la ley cometidas en el procesamiento de datos personales, así como para aclarar, bloquear y destruir datos personales
1. En el caso de que los datos personales no sean válidos o de que el operador los actúe indebidamente al tratar o a petición del sujeto de los datos personales o de su representante legal o de la autoridad autorizada para proteger los derechos de los sujetos de datos personales, el operador está obligado a bloquear los datos personales relacionados con el sujeto de datos personales correspondiente desde el momento de tal tratamiento o Recepción de dicha solicitud durante el período de verificación.
2. En caso de confirmación de la inexactitud de los datos personales, el operador, sobre la base de los documentos presentados por el sujeto de los datos personales o su representante legal o la autoridad autorizada para proteger los derechos de los sujetos de datos personales, u otros documentos necesarios, está obligado a aclarar los datos personales y eliminar su bloqueo.
Artículo 22. Aviso sobre el procesamiento de datos personales
1. El operador, antes del procesamiento de los datos personales, está obligado a notificar a la autoridad autorizada para la protección de los derechos de los sujetos de datos personales su intención de procesar los datos personales, excepto en los casos previstos en el párrafo 2 del presente artículo.
2. El operador tiene derecho a llevar a cabo el procesamiento de datos personales sin previo aviso de la autoridad autorizada para la protección de los derechos de los sujetos de datos personales:
1) relacionado con los sujetos de datos personales que están asociados con el operador de relaciones laborales;
2) los datos personales recibidos por el operador en relación con la celebración de un contrato en el que el sujeto de los datos personales es parte, a menos que los datos personales se distribuyan, y no se proporcionen a terceros sin el consentimiento del sujeto de los datos personales y sean utilizados por el operador únicamente para la ejecución del contrato especificado y la celebración de contratos con el sujeto de los datos personales;
3) relacionados con los miembros (participantes) de una asociación pública o una organización religiosa y procesados por la asociación pública o organización religiosa correspondiente que Opera de acuerdo con la legislación de la Federación de Rusia para lograr los fines legítimos previstos en sus documentos constitutivos, siempre que los datos personales no se distribuyan sin el consentimiento por escrito de los sujetos de datos personales;
4) ser datos personales públicos;
5) incluye sólo los nombres, nombres y patronímicos de los sujetos de datos personales;
6) necesarios para el paso de una sola vez del sujeto de los datos personales en el territorio en el que se encuentra el operador, u otros fines similares;
7) incluidos en los sistemas de información de datos personales que tienen el estatus de sistemas de información automatizados federales de acuerdo con las leyes federales, así como en los sistemas de información de datos personales estatales creados para proteger la seguridad del estado y el orden público;
8) procesados sin el uso de herramientas de automatización de acuerdo con las leyes federales u otros actos legales normativos de la Federación rusa que establecen requisitos para garantizar la seguridad de los datos personales durante su procesamiento y para el respeto de los derechos de los sujetos de datos personales.
3. La notificación prevista en la parte 1 del presente artículo deberá ser enviada por escrito y firmada por una persona autorizada o enviada electrónicamente y firmada por una firma digital electrónica de conformidad con la legislación de la Federación de Rusia. La notificación debe contener la siguiente información:
1) nombre (apellido, nombre, patronímico), dirección del operador;
2) propósito del tratamiento de datos personales;
3) categorías de datos personales;
4) categorías de entidades cuyos datos personales se procesan;
5) base legal del tratamiento de datos personales;
6) una lista de acciones con datos personales, una descripción general de los métodos utilizados por el operador para procesar datos personales;
7) descripción de las medidas que el operador se compromete a implementar en el procesamiento de datos personales para garantizar la seguridad de los datos personales durante su procesamiento;
8) fecha de Inicio del tratamiento de datos personales;
9) término o condición para la terminación del tratamiento de datos personales.
4. La autoridad competente para la protección de los derechos de los sujetos de datos personales, dentro de los treinta días siguientes a la fecha de Recepción de la notificación sobre el procesamiento de datos personales, ingresará la información especificada en la parte 3 de este artículo, así como la información sobre la fecha de envío de dicha notificación al registro de operadores. La información contenida en el registro del operador, con la excepción de la información sobre los medios de seguridad de los datos personales durante su procesamiento, es pública.
5. El operador no puede incurrir en gastos en relación con el examen de la notificación del procesamiento de datos personales por una autoridad autorizada para proteger los derechos de los sujetos de datos personales, así como en relación con la introducción de información en el registro de operadores.
6. En el caso de la información incompleta o inexacta especificada en el párrafo 3 de este artículo, la autoridad competente para proteger los derechos de los sujetos de datos personales tiene derecho a exigir al operador que aclare la información proporcionada antes de su inclusión en el registro de los operadores.
7. En caso de que se modifique la información especificada en la parte 3 de este artículo, el operador está obligado a notificar los cambios a la autoridad autorizada para la protección de los derechos de los sujetos de datos personales dentro de los diez días hábiles siguientes a la fecha en que ocurran dichos cambios.
Capítulo 5. CONTROL Y SUPERVISIÓN DEL TRATAMIENTO DE DATOS PERSONALES. RESPONSABILIDAD POR INCUMPLIMIENTO DE ESTA LEY FEDERAL
Artículo 23. Autoridad autorizada para la protección de los derechos de los sujetos de datos personales
1. El órgano encargado de la protección de los derechos de los sujetos de datos personales encargado del control y la supervisión del cumplimiento del tratamiento de los datos personales a los requisitos de esta ley Federal es el órgano ejecutivo Federal que ejerce las funciones de control y supervisión en el campo de la tecnología de la información y las comunicaciones.
2. La autoridad competente para la protección de los derechos de los sujetos de datos personales considerará las solicitudes del sujeto de datos personales sobre la conformidad del contenido de los datos personales y la forma en que se procesan con el propósito de su procesamiento y tomará la decisión correspondiente.
3. La autoridad competente para la protección de los derechos de los sujetos de datos personales tiene derecho a:
1) solicitar a las personas físicas o jurídicas la información necesaria para ejercer sus facultades y recibir dicha información gratuitamente;
2) verificar la información contenida en el aviso de procesamiento de datos personales o involucrar a otras autoridades gubernamentales dentro de sus facultades para llevar a cabo dicha verificación;
3) exigir al operador que aclare, bloquee o destruya datos personales no confiables o obtenidos ilegalmente;
4) tomar, según lo establecido por la legislación de la Federación de Rusia, medidas para suspender o detener el procesamiento de datos personales realizados en violación de los requisitos de esta ley Federal;
5) presentar ante el Tribunal una demanda en defensa de los derechos de los sujetos de datos personales y representar los intereses de los sujetos de datos personales ante el Tribunal;
6) enviar una solicitud a la autoridad que otorga licencias a las actividades del operador para considerar la posibilidad de tomar medidas para suspender o cancelar la licencia correspondiente de la manera establecida por la legislación de la Federación de Rusia, si la condición de la licencia para llevar a cabo tales actividades es la prohibición de transferir datos personales a terceros sin el consentimiento por escrito del sujeto de datos personales;
7) enviar a los órganos de la Fiscalía y otros organismos encargados de hacer cumplir la ley materiales para resolver la cuestión de iniciar casos penales por delitos relacionados con la violación de los derechos de los sujetos de datos personales, de acuerdo con la jurisdicción;
8) presentar al Gobierno de la Federación rusa propuestas para mejorar la regulación legal normativa de la protección de los derechos de los sujetos de datos personales;
9) llevar ante la justicia administrativa a los responsables de la violación de esta ley Federal.
4. En relación con los datos personales que se hayan dado a conocer a la autoridad competente para la protección de los derechos de los sujetos de datos personales durante el ejercicio de sus actividades, se debe garantizar la confidencialidad de los datos personales.
5. La autoridad competente para la protección de los derechos de los sujetos de datos personales está obligada a:
1) organizar, de acuerdo con los requisitos de esta ley Federal y otras leyes federales, la protección de los derechos de los sujetos de datos personales;
2) examinar las quejas y apelaciones de ciudadanos o personas jurídicas sobre cuestiones relacionadas con el procesamiento de datos personales, y tomar decisiones en el marco de su autoridad sobre los resultados del examen de dichas quejas y apelaciones;
3) mantener un registro de operadores;
4) implementar medidas para mejorar la protección de los derechos de los sujetos de datos personales;
5) tomar, según lo establecido por la legislación de la Federación de Rusia, las medidas de suspensión o terminación del procesamiento de datos personales, a petición del órgano ejecutivo Federal encargado de garantizar la seguridad o del órgano ejecutivo Federal encargado de contrarrestar la inteligencia técnica y la protección técnica de la información;
6) informar a las autoridades gubernamentales, así como a los sujetos de datos personales sobre sus solicitudes o solicitudes sobre el estado de los asuntos en el campo de la protección de los derechos de los sujetos de datos personales;
7) cumplir con otras obligaciones previstas en la legislación de la Federación rusa.
6. Las decisiones de la autoridad competente para la protección de los derechos de los sujetos de datos personales pueden ser apeladas por los tribunales.
7. El organismo autorizado para la protección de los derechos de los sujetos de datos personales envía anualmente un informe sobre sus actividades al Presidente de la Federación de Rusia, al Gobierno de la Federación de Rusia y a la Asamblea Federal de la Federación de Rusia. El informe está sujeto a publicación en los medios de comunicación.
8. La financiación de la autoridad autorizada para la protección de los derechos de los sujetos de datos personales se realiza a expensas del presupuesto Federal.
9. En virtud de un órgano autorizado para la protección de los derechos de los sujetos de datos personales, se crea un Consejo asesor público, cuyo procedimiento de formación y el procedimiento de actividad están determinados por el órgano autorizado para la protección de los sujetos de datos personales.
Artículo 24. Responsabilidad por incumplimiento de esta ley Federal
Las personas responsables de la violación de los requisitos de esta ley Federal tienen responsabilidad civil, penal, administrativa, disciplinaria y de otra índole prevista por la legislación de la Federación de Rusia.
Capítulo 6. DISPOSICIONES FINALES
Artículo 25. Disposiciones finales
1. La presente ley Federal entrará en vigor a los ciento ochenta días siguientes al día de su publicación oficial.
2. Después de la fecha de entrada en vigor de esta ley Federal, el procesamiento de datos personales incluidos en los sistemas de información de datos personales antes de la fecha de entrada en vigor se realizará de acuerdo con esta ley Federal.
3. Los sistemas de información de datos personales creados antes del 1 de enero de 2010 deben cumplir con los requisitos de esta ley Federal a más tardar el 1 de enero de 2011.
4. Los operadores que procesen datos personales antes de la fecha de entrada en vigor de la presente ley Federal y continúen procesándolos después de la fecha de entrada en vigor están obligados a enviar a la autoridad competente para la protección de los derechos de los sujetos de datos personales, excepto en los casos previstos en el párrafo 2 del artículo 22 de la presente ley Federal, la notificación prevista en el párrafo 3 del artículo 22 de la presente ley Federal, a más tardar el 1 de enero de 2008.
Original message
27 июля 2006 года N 152-ФЗ РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Принят Государственной Думой 8 июля 2006 года, Одобрен Советом Федерации 14 июля 2006 года
(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ,от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ,
от 27.07.2010 N 204-ФЗ)
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных. Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Статья 7. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечения конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Статья 8. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Статья 12. Трансграничная передача персональных данных
1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам, а также международными договорами Российской Федерации о реадмиссии;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 14. Право субъекта персональных данных на доступ к своим персональным данным
1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА
Статья 18. Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Глава 5. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Президент Российской Федерации В.ПУТИН Москва, Кремль 27 июля 2006 года N 152-ФЗ
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Принят Государственной Думой 8 июля 2006 года, Одобрен Советом Федерации 14 июля 2006 года
(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ,от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ,
от 27.07.2010 N 204-ФЗ)
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных. Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Статья 7. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечения конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Статья 8. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Статья 12. Трансграничная передача персональных данных
1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам, а также международными договорами Российской Федерации о реадмиссии;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 14. Право субъекта персональных данных на доступ к своим персональным данным
1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА
Статья 18. Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Глава 5. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Президент Российской Федерации В.ПУТИН Москва, Кремль 27 июля 2006 года N 152-ФЗ
