Текст законопроекта (к 1 чтению)
Документ размещен 24.11.2005 в 12:39
Автоматизированная система обеспечения законодательной деятельности
Вносится Правительством Российской Федерации
Проект
РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О персональных данных
Глава 1. Общие положения
Статья 1. Основные понятия, используемые в настоящем Федеральном законе
1. В настоящем Федеральном законе используются следующие понятия:
1) персональные данные - любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу;
2) субъект персональных данных - идентифицированное или идентифицируемое физическое лицо, в отношении которого осуществляются сбор и обработка персональных данных;
3) обработка персональных данных - отдельные действия или операции, выполняемые с персональными данными, или совокупность таких выполняемых с применением средств автоматизации или без их применения действий, как запись, организация, накопление, хранение, обновление или изменение, извлечение, обезличивание, уничтожение персональных данных;
4) информационная система персональных данных - информационная система, как она определена в законодательстве Российской Федерации об информации, информационных технологиях и защите информации, в которой осуществляется обработка персональных данных;
5) оператор - оператор информационной системы персональных данных, являющийся органом государственной власти или органом местного самоуправления, юридическим или физическим лицом, осуществляющим работу с информационной системой персональных данных на законных основаниях и определяющим цели, содержание и применение результатов обработки персональных данных;
6) распространение персональных данных - обнародование персональных данных через средства массовой информации, размещение их в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным для неограниченного круга лиц каким-либо иным способом;
7) блокирование персональных данных - временное прекращение извлечения и (или) использования персональных данных;
8) уничтожение персональных данных - действия, в результате которых невозможно в дальнейшем восстановить содержание персональных данных в информационной системе либо в результате которых уничтожаются материальные носители, содержащие персональные данные;
9) обезличивание персональных данных - действия, в результате которых образуются данные, не позволяющие идентифицировать субъект персональных данных;
10) трансграничная передача персональных данных - предоставление оператором органу власти или лицу другого государства доступа к персональным данным;
11) третье лицо - лицо, не являющееся субъектом персональных данных или оператором.
2. Понятия "конфиденциальность" "информация", "доступ к информации", "информационно-телекоммуникационные сети", применяемые в настоящем Федеральном законе, используются в значениях, установленных федеральными законами, регулирующими отношения в области использования и защиты информации.
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав граждан на неприкосновенность частной жизни при сборе и обработке персональных данных, осуществляемое путем:
1) установления общих принципов сбора и обработки персональных данных;
2) определения прав субъектов персональных данных;
3) определения обязанностей и ответственности операторов;
4) установления условий трансграничной передачи персональных данных.
Статья 3. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются общественные отношения, связанные со сбором и обработкой персональных данных с применением средств автоматизации или без их применения.
Нормативными правовыми актами Российской Федерации могут быть установлены особенности обработки персональных данных, осуществляемой без применения средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) сборе и обработке персональных данных физическими лицами исключительно для личных и семейных нужд;
2) защите персональных данных, отнесенных в установленном порядке к государственной тайне, включая определение порядка их сбора, обработки, распространения и использования.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основано на Конституции Российской Федерации и состоит из настоящего Федерального закона, иных федеральных законов, а также иных нормативных правовых актов, принимаемых в соответствии с ними.
2. Законодательством Российской Федерации, регулирующим отношения в сфере обороны страны, безопасности государства и охраны правопорядка, могут быть установлены особенности сбора и обработки персональных данных в органах государственной власти.
3. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. Общие принципы и условия сбора и обработки персональных данных
Статья 5. Принципы сбора и обработки персональных данных
1. Сбор и обработка персональных данных должны осуществляться добросовестным и законным способом.
2. Персональные данные должны собираться для законных, предварительно определенных и заявленных целей и в дальнейшем не обрабатываться каким-либо образом, не совместимым с указанными целями.
Цель обработки персональных данных должна соответствовать полномочиям и компетенции оператора.
Обработка персональных данных для статистических, научных и иных аналогичных целей является допустимой при соблюдении гарантий по обеспечению прав субъектов персональных данных на неприкосновенность частной жизни.
3. Объем и характер обрабатываемых персональных данных, а также способ обработки должны соответствовать целям, для которых они обрабатываются.
Персональные данные не должны быть избыточными для достижения целей обработки.
Оператор вправе получать от субъекта персональных данных только те персональные данные, которые необходимы для достижения цели их обработки.
4. Персональные данные должны быть точными и актуальными и при необходимости обновляться.
5. Персональные данные должны храниться в форме, позволяющей осуществлять идентификацию субъектов персональных данных, не дольше, чем этого требуют цели, для которых они накапливались, и подлежат уничтожению по достижении целей или утраты необходимости в их достижении.
6. Принципы сбора и обработки персональных данных, установленные настоящей статьей, в полном объеме распространяются на сбор и обработку сведений, характеризующих физиологические особенности организма человека, на основе которых его можно однозначно идентифицировать: отпечатки пальцев, отпечатки ладони, результаты анализа ДНК, цифровой образ лица, сетчатки глаза и другие (биометрические персональные данные).
Статья 6. Условия сбора и обработки персональных данных
1. Обработка персональных данных может осуществляться оператором при наличии хотя бы одного из следующих условий:
1) субъект персональных данных дал свое согласие на ее проведение;
2) персональные данные обрабатываются на основании закона, предусматривающего такую обработку, устанавливающего ее цель, условия получения персональных данных и субъектов, персональные данные которых подлежат обработке;
3) персональные данные обрабатываются для статистических целей с их обязательным обезличиванием;
4) обработка персональных данных необходима для защиты жизни и здоровья субъекта персональных данных;
5) обрабатываемые персональные данные относятся к общедоступной информации.
2. Обработка персональных данных должна осуществляться собственником информационной системы персональных данных. Собственник информационной системы персональных данных вправе на основании договора поручить обработку персональных данных оператору при условии обеспечения конфиденциальности персональных данных, подвергающихся обработке, в том же объеме и на тех же условиях, которые настоящим Федеральным законом установлены для собственника информационной системы персональных данных. Требование об обеспечении конфиденциальности персональных данных является существенным условием договора об оказании услуг по обработке персональных данных.
Статья 7. Конфиденциальность персональных данных
1. Операторами и иными лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, указанных в части 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется в случае:
1) обезличивания персональных данных;
2) согласия субъекта персональных данных на то, что к его персональным данным может быть обеспечен свободный доступ любых лиц. При этом его персональные данные становятся общедоступной информацией.
Статья 8. Согласие субъекта персональных данных предоставлять свои персональные данные
1. Субъект персональных данных самостоятельно принимает решение о предоставлении кому-либо своих персональных данных.
Федеральными законами могут быть установлены случаи обязательного предоставления субъектом своих персональных данных.
2. Обработка персональных данных может проводиться только с согласия субъекта этих персональных данных, за исключением случаев, установленных настоящим Федеральным законом.
Обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных лежит на операторе.
Настоящим Федеральным законом устанавливаются случаи, когда требуется получение письменного согласия субъекта персональных данных на обработку его персональных данных.
3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать:
1) сведения, позволяющие идентифицировать субъекта персональных данных;
2) сведения, позволяющие идентифицировать оператора, получающего согласие субъекта персональных данных;
3) цель сбора и обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) период действия согласия субъекта персональных данных и условия его отзыва.
4. В случае недееспособности субъекта персональных данных, согласие, требуемое в соответствии с настоящим Федеральным законом, дает его законный представитель.
5. В случае смерти субъекта персональных данных согласие, требуемое в соответствии с настоящим Федеральным законом, дают его наследники.
6. Лицо, обрабатывающее общедоступные персональные данные, по требованию уполномоченного органа по защите прав субъектов персональных данных должно представить доказательства, что обрабатываемые персональные данные относятся к общедоступной информации.
Статья 9. Особые категории персональных данных
1. Обработка особых категорий персональных данных, касающихся расового или этнического происхождения, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, сексуальных наклонностей или судимости, не допускается, за исключением случаев, установленных частями 2 и 3 настоящей статьи.
2. Запрет, установленный в части 1 настоящей статьи, не применяется в случае, если:
1) субъект персональных данных дал письменное согласие на обработку его персональных данных;
2) обработка персональных данных, относящихся к состоянию здоровья, необходима для защиты жизни и здоровья субъекта персональных данных, иного лица или соответствующей группы лиц;
3) обработка персональных данных осуществляется для достижения законных целей некоммерческих организаций и их объединений в случае, если такая обработка имеет место в отношении членов этих организаций и их объединений, и при условии, что обработанные персональные данные не будут передаваться третьим лицам без согласия субъектов персональных данных;
4) обрабатываются общедоступные персональные данные;
5) обработка персональных данных, относящихся к состоянию здоровья, требуется в медицинских целях лицу, профессионально занимающемуся медицинской деятельностью и обязанному в соответствии с законодательством Российской Федерации сохранять профессиональную тайну;
6) обработка персональных данных, относящихся к судимости, осуществляется органами государственной власти Российской Федерации в сфере обороны страны, безопасности государства и охраны правопорядка при соблюдении права на неприкосновенность частной жизни.
3. Обработка персональных данных, относящихся к лицам, совершившим административные правонарушения или преступления, может осуществляться помимо органов, указанных в пункте 6 части 2 настоящей статьи, иными органами государственной власти в случае, если такое полномочие предоставлено им законом.
4. Обработка особых категорий персональных данных, производившаяся в случаях, допускаемых частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если исчезают причины, вследствие которых производилась обработка.
При этом оператор обязан произвести уничтожение особых категорий персональных данных, если субъект персональных данных не дает согласия на их хранение в информационной системе персональных данных оператора.
Статья 10. Передача персональных данных
1. Передача персональных данных оператору третьими лицами, за исключением лиц, указанных в частях 4 и 5 статьи 8 настоящего Федерального закона, а равно передача персональных данных оператором любому третьему лицу допускаются только с письменного согласия субъекта персональных данных.
2. Согласие субъекта персональных данных на передачу его персональных данных не требуется, если:
1) передача персональных данных необходима для выполнения задач, возложенных на органы государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка в случаях, предусмотренных федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации;
2) передаются общедоступные персональные данные;
3) персональными данными обмениваются органы государственной власти и (или) органы местного самоуправления для выполнения возложенных на них функций при соблюдении требований, установленных настоящим Федеральным законом к информационным системам персональных данных указанных органов;
4) передача персональных данных необходима в целях сохранения жизни и здоровья субъекта персональных данных, а получение его согласия физически невозможно.
3. Согласие на передачу персональных данных может быть отозвано субъектом персональных данных.
В случае отзыва согласия субъекта персональных данных персональные данные не передаются, а третьи лица, которым стало известно о таком отзыве, получившие персональные данные до отзыва согласия, обязаны предпринять меры по их уничтожению.
Статья 11. Трансграничная передача персональных данных
1. Трансграничная передача персональных данных осуществляется при соблюдении требований, установленных настоящим Федеральным законом к обработке и передаче персональных данных, с учетом особенностей, установленных настоящей статьей.
2. Трансграничная передача персональных данных может быть запрещена или ограничена нормативным правовым актом Российской Федерации:
1) если такая трансграничная передача создает угрозу национальной безопасности Российской Федерации;
2) при наличии явной угрозы нарушения прав субъектов персональных данных либо предоставления пониженных гарантий прав субъектов персональных данных по сравнению с гарантиями, установленными законодательством Российской Федерации, включая гарантии соблюдения конфиденциальности персональных данных.
3. При трансграничной передаче персональных данных оператор должен убедиться в том, что в соответствии с международными договорами либо законодательством другого государства, органу власти или лицу которого передаются персональные данные, обеспечивается адекватный уровень защиты прав субъектов персональных данных.
4. Оператор вправе передавать персональные данные органу власти или лицу другого государства, не обеспечивающего адекватный уровень защиты прав субъектов персональных данных, только при условии получения письменного согласия субъекта персональных данных на эту передачу либо в случае, если получение такого согласия физически невозможно, а передача персональных данных необходима для защиты жизни и здоровья субъекта персональных данных.
Глава 3. Права субъекта персональных данных
Статья 12. Право на доступ к персональным данным
1. Субъект персональных данных имеет право знать о наличии у оператора относящихся к нему персональных данных, быть с ними ознакомлен, а также требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
2. Оператор обязан бесплатно предоставить субъекту персональных данных возможность ознакомления с его персональными данными, а также внести в них необходимые уточнения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, включенные в информационную систему персональных данных, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О произведенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы.
3. Информация о наличии персональных данных должна быть предоставлена субъекту персональных данных оператором в доступной форме и не должна содержать персональных данных, относящихся к другим субъектам персональных данных.
4. Предоставление персональных данных субъекту персональных данных производится оператором на основании письменного запроса и по предъявлении документа, удостоверяющего личность субъекта персональных данных.
Информация о наличии персональных данных и сами персональные данные предоставляются субъекту персональных данных в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего запроса, если при этом не возникает необходимости запросить требуемую информацию у третьих лиц. При необходимости запросить требуемую информацию у третьих лиц срок предоставления ее субъекту персональных данных не может быть более одного месяца.
5. Субъект персональных данных имеет право на получение по запросу следующей информации:
1) подтверждение факта обработки персональных данных, а также цель данной обработки;
2) способы обработки персональных данных;
3) сведения о лицах, имеющих доступ к его персональным данным;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных;
6) сведения о том, какие правовые последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
6. Право доступа субъекта персональных данных к персональным данным о себе ограничивается:
1) в отношении персональных данных, обрабатываемых в целях обороны страны, безопасности государства и охраны правопорядка, в том числе в отношении персональных данных, полученных в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности;
2) в отношении персональных данных, обрабатываемых органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения.
Статья 13. Право на возражение против обработки персональных данных
1. Субъект персональных данных имеет право высказывать возражение против обработки своих персональных данных, если они используются оператором в целях политической агитации, рекламных или иных аналогичных целях.
Указанное возражение может также быть высказано, если у субъекта персональных данных есть основания полагать, что его персональные данные могут или будут использоваться оператором в таких целях.
2. Возражение против обработки своих персональных данных высказывается субъектом персональных данных оператору путем направления соответствующего заявления.
По получении возражения субъекта персональных данных оператор обязан прекратить обработку персональных данных.
3. Субъект персональных данных имеет право высказать возражение против обработки своих персональных данных с применением средств автоматизации, если какое-либо решение, имеющее существенные последствия для такого субъекта персональных данных, может быть принято исключительно на основе персональных данных, явившихся результатом их автоматизированной обработки.
Если иное не предусмотрено нормативным правовым актом Российской Федерации или договором, заключаемым с субъектом персональных данных, оператор, получив возражения против обработки персональных данных с применением средств автоматизации, должен получить от субъекта персональных данных, высказавшего возражение, согласие на обработку его персональных данных иным способом либо прекратить обработку персональных данных.
Статья 14. Право на обжалование
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением права на неприкосновенность частной жизни, в том числе с нарушением требований настоящего Федерального закона, и не удовлетворяет его требования устранить нарушения, он вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных.
2. В случае установления уполномоченным органом по защите прав субъектов персональных данных неправомерности действий оператора субъект персональных данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. Обязанности оператора
Статья 15. Получение оператором персональных данных
1. При получении персональных данных от субъекта персональных данных оператор обязан предоставить субъекту персональных данных следующую информацию:
1) сведения, идентифицирующие оператора;
2) цель обработки данных и правовое обоснование такой цели;
3) предполагаемые пользователи персональных данных;
4) сведения о правах субъекта персональных данных, установленных настоящим Федеральным законом.
Если обязанность предоставления персональных данных установлена федеральным законом, оператор должен сообщить субъекту персональных данных о правовых последствиях отказа предоставить персональные данные.
2. В случае проведения научных, статистических и иных исследований оператор обязан осуществить обезличивание получаемых персональных данных.
Защита результатов обработки обезличенных данных в случае их отнесения к сведениям, составляющим государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
Статья 16. Регистрация информационных систем персональных данных
1. Оператор до начала обработки персональных данных обязан зарегистрировать информационную систему персональных данных в уполномоченном органе по защите прав субъектов персональных данных.
Обработка персональных данных без регистрации информационной системы персональных данных не допускается, за исключением случаев, установленных в настоящей статье.
2. Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка исключительно персональных данных:
1) относящихся к государственной тайне в соответствии с законодательством Российской Федерации о государственной тайне;
2) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
3) необходимых для достижения законных целей некоммерческих организаций и их объединений и относящихся к членам этих организаций и их объединений, при условии, что персональные данные не раскрываются третьей стороне без согласия субъектов персональных данных;
4) относящихся к общедоступной информации;
5) включающих только фамилию, имя и отчество субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию оператора или в иных аналогичных целях.
Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка персональных данных без использования средств автоматизации, если нормативным правовым актом Российской Федерации установлены иные требования, обеспечивающие целостность и сохранность персональных данных при их обработке в такой информационной системе.
Не требуется регистрация информационной системы персональных данных, если условием получения лицензии на осуществление оператором деятельности, предусматривающей обработку персональных данных, является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных.
Правительство Российской Федерации вправе установить дополнительные случаи, при которых не требуется регистрация информационных систем персональных данных применительно к определенным информационным системам персональных данных и (или) максимальному числу субъектов, персональные данные которых обрабатываются в таких информационных системах.
3. Регистрация информационных систем персональных данных производится бесплатно.
4. Регистрация информационной системы персональных данных осуществляется на основании заявления оператора, в котором должна содержаться следующая информация:
1) сведения, идентифицирующие оператора;
2) цель обработки персональных данных;
3) категории персональных данных, обрабатываемых в такой информационной системе;
4) категория субъектов, персональные данные которых обрабатываются в такой информационной системе;
5) правовое основание создания информационной системы персональных данных;
6) общее описание мер по обеспечению целостности и сохранности персональных данных, которые оператор обязуется осуществлять при эксплуатации информационной системы персональных данных;
7) дата начала обработки персональных данных.
Указанная информация включается в реестр информационных систем персональных данных.
5. Заявление о регистрации информационной системы персональных данных должно быть направлено в письменной форме и подписано уполномоченным лицом (либо в электронной форме и подписано электронной подписью, если предусмотрена такая возможность).
6. В случае возникновения изменений в сведениях, содержащихся в заявлении о регистрации информационной системы персональных данных, оператор в течение 3 дней с даты возникновения таких изменений письменно уведомляет уполномоченный орган по защите прав субъектов персональных данных о произошедших изменениях.
7. Порядок регистрации информационных систем персональных данных и особенности такой регистрации для информационных систем персональных данных органов государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка устанавливаются Правительством Российской Федерации.
Статья 17. Требования к обеспечению целостности и сохранности персональных данных
1. Оператор обязан принимать необходимые меры технического (программно-технического) и организационного характера, в том числе с использованием шифровальных (криптографических) средств, которые гарантировали бы целостность персональных данных и их сохранность от случайных или несанкционированных уничтожения, утраты, доступа, изменения или раскрытия.
2. С учетом требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных разрабатывает и утверждает требования к процедурам хранения, обмена и защиты персональных данных и иные условия, которым должны отвечать информационные системы персональных данных.
Статья 18. Особенности регистрации информационных систем персональных данных, реализующих требования к обеспечению целостности и сохранности персональных данных с помощью шифровальных (криптографических) средств
1. Информационные системы персональных данных, в которых требования к обеспечению целостности и сохранности персональных данных реализуются с помощью сертифицированных шифровальных (криптографических) средств, регистрируются в упрощенном порядке.
2. Упрощенный порядок регистрации информационных систем персональных данных устанавливается Правительством Российской Федерации.
Статья 19. Обязанности оператора по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверности персональных данных или неправомерности действий с ними оператора по заявлению субъекта персональных данных оператор обязан заблокировать его персональные данные с момента получения такого заявления на период его проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор обязан на основании документов, представленных субъектом персональных данных, исправить их и снять блокирование.
3. В случае установления неправомерности действий с персональными данными либо достижения цели их обработки оператор обязан уничтожить соответствующие данные в срок, не превышающий 3 дней с даты такого установления, и официально уведомить об этом субъекта персональных данных, если иное не предусмотрено федеральными законами.
Статья 20. Обязанности оператора персональных данных, касающиеся ответа на запрос субъекта персональных данных
1. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение 10 дней с даты получения запроса в порядке, предусмотренном статьей 12 настоящего Федерального закона.
2. В случае отказа в предоставлении субъекту персональных данных по его требованию информации о наличии персональных данных о нем, а также самих персональных данных оператор обязан дать письменный мотивированный ответ, содержащий ссылку на положение, указанное в статье 12 настоящего Федерального закона или в иных федеральных законах, являющееся основанием для такого отказа, в срок, не превышающий 7 дней с даты получения запроса субъекта персональных данных.
Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований по защите персональных данных
Статья 21. Уполномоченный орган по защите прав субъектов персональных данных
1. Правительство Российской Федерации определяет уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания и способов обработки персональных данных цели их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите персональных данных имеет право:
1) бесплатно получать от физических и юридических лиц информацию, необходимую для реализации своих полномочий;
2) осуществлять проверку сведений, сообщаемых операторами при регистрации информационных систем персональных данных;
3) требовать уточнения (исправления), блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) составлять протоколы в порядке административного производства о нарушениях настоящего Федерального закона в части сбора и обработки персональных данных.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться их конфиденциальность.
5. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
6. Уполномоченный орган по защите прав субъектов персональных данных ежегодно представляет отчет о своей деятельности в Правительство Российской Федерации.
Отчет публикуется в средствах массовой информации.
Статья 22. Реестр информационных систем персональных данных
1. Информация, предоставленная в соответствии с частью 4 статьи 16 настоящего Федерального закона, дата регистрации информационной системы персональных данных (или ее аннулирования) должны быть занесены в реестр информационных систем персональных данных, который ведется уполномоченным органом по защите прав субъектов персональных данных.
2. Информация, содержащаяся в реестре информационных систем персональных данных, за исключением сведений о средствах обеспечения целостности и сохранности персональных данных, является общедоступной.
Статья 23. Идентификаторы персональных данных
1. Органы государственной власти Российской Федерации, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при реализации своих полномочий присваивают уникальные и постоянные для каждого лица идентификаторы персональных данных, формируемые в соответствии с законодательством Российской Федерации.
2. Идентификаторы персональных данных должны применяться в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления в соответствии с порядком использования таких идентификаторов, установленных нормативными правовыми актами Российской Федерации, и при соблюдении требований к обеспечению конфиденциальности персональных данных.
3. Оператор не вправе, за исключением случаев, предусмотренных законодательством Российской Федерации:
1) требовать от субъекта персональных данных сообщения идентификатора персональных данных, присвоенного такому субъекту другим оператором;
2) передавать или иным способом сообщать идентификаторы персональных данных третьим лицам.
Статья 24. Государственный регистр населения Российской Федерации
1. В целях обеспечения непротиворечивости содержащихся в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления персональных данных физических лиц, постоянно или временно проживающих или пребывающих на территории Российской Федерации, создается государственный регистр населения Российской Федерации.
2. Государственный регистр населения Российской Федерации содержит идентификаторы персональных данных всех физических лиц, постоянно или временно проживающих или пребывающих на территории Российской Федерации.
3. Государственный регистр населения Российской Федерации ведется уполномоченным федеральным органом исполнительной власти, определяемым Президентом Российской Федерации.
Статья 25. Ответственность за нарушение требований о защите персональных данных
1. В случае нарушения оператором требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных может аннулировать регистрацию информационной системы персональных данных либо потребовать устранения нарушения.
После аннулирования регистрации информационной системы персональных данных обработка персональных данных в ней запрещается.
Персональные данные, обработанные до аннулирования регистрации, подлежат уничтожению, если иное не установлено нормативными правовыми актами Российской Федерации применительно к персональным данным, содержащимся в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления.
Оператор, регистрация информационной системы персональных данных которого аннулирована, обязан в срок, не превышающий 5 рабочих дней с даты аннулирования регистрации, уведомить уполномоченный орган по защите прав субъектов персональных данных об уничтожении персональных данных, обработанных до аннулирования регистрации.
2. В случае нарушения права на неприкосновенность частной жизни при обработке персональных данных оператор несет предусмотренную законодательством Российской Федерации ответственность.
Статья 26. Заключительные положения
1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования, за исключением абзаца второго части 1 статьи 16 настоящего Федерального закона.
2. Абзац второй части 1 статьи 16 настоящего Федерального закона вступает в силу с 1 января 2007 года.
Президент
Российской Федерации
Документ размещен 24.11.2005 в 12:39, время Московское
Автоматизированная система обеспечения законодательной деятельности