Проект федерального закона N 98028850-2 "Об информации персонального характера" (внесен депутатами ГД Финько О. А., Нестеровым Ю. М., Волковым Г. К., Габидуллиным Р. Г., Цоем В. Е.) (не действует)

Проект федерального закона
"Об информации персонального характера"

 Досье на проект федерального закона

 См. пояснительную записку

     финансово-экономическое обоснование

     перечень актов федерального законодательства для отмены

  Глава 1. Общие положения

  Глава 2. Условия законности работы с персональными данными

  Глава 3. Права субъекта персональных данных

  Глава 4. Права и обязанности держателя (обладателя) по работе

           с массивами персональных данных

  Глава 5. Государственное регулирование работы

           с персональными данными

  Глава 6. Уполномоченный по правам субъектов персональных

           данных при Президенте РФ

  Глава 7. Заключительные положения

Настоящий Федеральный закон устанавливает порядок работы с персональными данными в соответствии с общепризнанными принципами и нормами международного права, международными договорами, участником которых является Российская Федерация, Конституцией Российской Федерации, законами Российской Федерации в целях защиты основных прав и свобод человека и гражданина, в частности права на неприкосновенность частной жизни применительно к работе с персональными данными.

Глава 1. Общие положения

Статья 1. Задачи Федерального закона

Задачами настоящего Федерального закона являются:

регулирование отношений по защите прав и свобод личности в отношении ее персональных данных и по защите этих данных в процессе их использования;

определение условий законности работы с персональными данными;

установление порядка формирования массивов персональных данных федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, юридическими и физическими лицами;

определение прав и обязанностей субъектов персональных данных и держателей (обладателей) массивов персональных данных;

установление форм государственного регулирования и порядка работы с персональными данными, а также условий обеспечения их сохранности;

определение правового статуса Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации.

Статья 2. Сфера действия Федерального закона

Действие норм настоящего Федерального закона распространяются на федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, юридических и физических лиц, участвующих в работе с персональными данными, за исключением случаев осуществления работы с персональными данными физическими лицами в ходе чисто личной или бытовой деятельности.

Настоящим Федеральным законом регулируются отношения, возникающие при работе с персональными данными независимо от применяемых средств обработки этих данных.

Статья 3. Термины и их определения

Для целей настоящего Федерального закона применяются следующие основные термины и определения:

Персональные данные - зафиксированная на материальном носителе информация о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности.

К персональным данным относятся: биографические и опознавательные данные, личные характеристики, сведения о семейном положении, социальном положении, образовании, навыках, профессии, служебном положении, финансовом положении, состоянии здоровья и прочее.

Перечень персональных данных - список категорий данных об одном субъекте, собираемых держателем (обладателем) массива персональных данных.

Массив персональных данных - упорядоченная и организационная совокупность персональных данных неопределенного числа субъектов персональных данных, независимо от вида материального носителя информации и используемых средств из обработки (архивы, картотеки, электронные базы данных и т.п.).

Режим конфиденциальности персональных данных - нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных.

Материальный носитель - материальные объекты, в том числе физические поля, на которых или в которых отображаются персональные данные в виде символов, образов и сигналов.

Субъект персональных данных (субъект) - человек, к которому относятся соответствующие персональные данные.

Держатель (обладатель) массива персональных данных (держатель(обладатель)) - федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, юридические или физические лица, осуществляющие работу с массивами персональных данных на законных основаниях.

Работа держателя (обладателя) с персональными данными - любые действия, выполняемые с персональными данными: сбор, запись, организация, накопление, хранение, актуализация или изменение, извлечение, группировка, использование, передача, обезличивание и уничтожение персональных данных - стирание или разрушение и т.п.

Третье лицо - любое физическое или юридическое лицо, орган государственной власти или местного самоуправления, кроме субъекта персональных данных, держателя (обладателя) массива персональных данных, Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации, и лиц, которые уполномочены обрабатывать данные с прямой санкции держателя (обладателя) массива персональных данных.

Получатель персональных данных (получатель) - физическое или юридическое лицо, орган государственной власти или местного самоуправления, которому раскрываются данные на основании заключаемого договора, являющееся или не являющееся третьей стороной.

Орган государственной власти, получающий персональные данные по служебному запросу в порядке служебного обмена данными, не должен считаться получателем.

Сбор персональных данных - документально оформленная процедура получения на законных основаниях персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо из других источников в соответствии с действующим законодательством.

Согласие субъекта данных - свободно данное конкретное и сознательное указание о своей воле, в том числе письменно подтвержденное, которым субъект данных оповещает о своем согласии на проведение работы с его персональными данными.

Передача персональных данных - предоставление держателем (обладателем) персональных данных третьим лицам в соответствии с принципами настоящего Федерального закона.

Трансграничная передача персональных данных - передача персональных данных держателем (обладателем) лицам, находящимся под юрисдикцией других государств.

Актуализация персональных данных - оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными действующим законодательством.

Блокирование персональных данных - временное прекращение актуализации, передачи, использования и уничтожения персональных данных.

Уничтожение (стирание или разрушение) персональных данных - действия держателя (обладателя) персональных данных, не позволяющие восстановить содержание персональных данных.

Обезличивание персональных данных - изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.

Статья 4. Основные принципы работы с персональными данными

1. Персональные данные должны быть получены и обработаны добросовестным и законным образом.

2. Персональные данные должны собираться для точно определенных объявленных и законных целей, не использоваться в противоречии с этими целями и в дальнейшем не обрабатываться каким-либо образом, несовместимым с данными целями.

3. Персональные данные должны соответствовать целям, для которых они собираются и обрабатываются, и не быть избыточными в отношении этих целей.

4. Персональные данные должны быть точными, т.е. не допускать ошибок и искажений в сведениях о личности, и в случае необходимости обновляться.

5. Персональные данные должны храниться не дольше, чем этого требуют цели, для которых они накапливались, и подлежат уничтожению по достижении целей или минованию надобности в них.

Для персональных данных, сохраняемых более длительные сроки в исторических или иных целях, должны быть установлены необходимые гарантии обеспечения их защиты.

6. Не допускается объединение массивов персональных данных, собранных держателями (обладателями) в разных целях.

Глава 2. Условия законности работы с персональными данными

Статья 5. Правовые основания осуществления работы с персональными данными

Работа с персональными данными может осуществляться держателем (обладателем) массива персональных данных только в случаях:

если субъект персональных данных недвусмысленно дал свое согласие на ее проведение;

или

если она необходима для выполнения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления своей компетенции, установленной действующим законодательством;

или

если она нужна для достижения законных интересов держателей (обладателей) или третьих лиц, которым раскрыты персональные данные, имеющих лицензию на проведение работ с персональными данными, когда реализация этих интересов не препятствует осуществлению основных прав и свобод субъектов персональных данных, в частности права на неприкосновенность частной жизни применительно к обработке персональных данных;

или

когда она необходима для защиты жизненных интересов субъекта персональных данных;

или

когда она необходима для исполнения договора, в котором субъект персональных данных является стороной, или для принятия требуемых мер до заключения договора по просьбе субъекта;

или

если она необходима для осуществления задач правоохранительных органов в общественных интересах;

или

если обработка персональных данных осуществляется исключительно в целях журналистики либо в целях художественного или литературного творчества при условии, что такие действия будут согласовываться с соблюдением права на неприкосновенность частной жизни и свободой слова.

Статья 6. Режим конфиденциальности персональных данных

1. Работа с персональными данными, находящимися в ведении их держателя (обладателя), производится в режиме конфиденциальности, кроме случаев, определенных настоящим Федеральным законом.

2. Держатель (обладатель) персональных данных обязан обеспечивать охрану персональных данных во избежание несанкционированного доступа к ним, их блокирования или передачи, а равно их случайного или несанкционированного уничтожения, изменения или утраты.

3. Режим конфиденциальности персональных данных снимается в случаях:

обезличивания персональных данных;

по желанию субъекта;

по истечении семидесятипятилетнего срока хранения персональных данных, если иное не предусмотрено требованиями субъекта персональных данных или действующим законодательством.

Статья 7. Общедоступные массивы персональных данных

1. В целях информационного обеспечения общества могут создаваться общедоступные массивы персональных данных (справочники, телефонные книги, адресные книги, массивы персональных данных фирм и т.п.).

2. В общедоступные массивы персональных данных могут включаться следующие персональные данные: фамилия, имя, отчество, год и место рождения, адрес местожительства, работы, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом и/или полученные из открытых источников, других общедоступных массивов персональных данных.

3. В случае, если персональные данные получены держателем (обладателем) общедоступного массива персональных данных из открытых источников либо иных общедоступных массивов персональных данных, держатель (обладатель) общедоступного массива информирует субъекта по его запросу о содержании его персональных данных, об источниках получения и цели использования.

4. Персональные данные конкретного субъекта безотлагательно исключаются держателем (обладателем) персональных данных из общедоступного массива персональных данных на основании распоряжения этого субъекта или решения правоохранительного органа.

5. Общедоступные массивы персональных данных открыты, для них режим конфиденциальности не устанавливается.

Статья 8. Специальные категории персональных данных

1. Сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и сексуальных наклонностей, исключительно в целях выявления этих факторов, не допускаются.

2. Часть 1 статьи не применяется в случаях:

если субъект персональных данных дал свое явное согласие на сообщение и обработку таких данных;

если обработка необходима для защиты жизненно важных интересов субъекта данных, иного лица или соответствующей группы лиц;

если обработка осуществляется с надлежащими гарантиями специальной некоммерческой организацией в ходе ее законной деятельности в политических, философских или религиозных целях и относится исключительно к членам соответствующей организации или лицам, имеющим регулярный контакт с нею в связи с ее целями, и при условии, что данные не раскрываются третьим лицам без согласия субъектов данных;

если обработка касается данных, которые явно сделаны общедоступными субъектом данных, или она необходима для осуществления действий в связи с судебными исками;

если обработка данных требуется в целях превентивной медицины, медицинского диагноза, а также, если данные необходимы лицу, профессионально занимающемуся медицинской либо иной соответствующей деятельностью и обязанному согласно действующему законодательству сохранять профессиональную тайну.

Статья 9. Формы государственного регулирования работы с персональными данными

Государство осуществляет регулирование работы с персональными данными в следующих формах:

лицензирование работы с персональными данными;

регистрация массивов персональных данных и их держателей (обладателей);

сертификация информационных систем и информационных технологий, предназначенных для обработки персональных данных;

заключение межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных.

Статья 10. Особые условия работы с персональными данными

1. Правовой режим персональных данных, полученных в результате деятельности правоохранительных органов, устанавливается в соответствии с действующим законодательством.

2. Для некоторых категорий персональных данных лиц, занимающих высшие государственные должности, и кандидатов на эти должности в соответствующие периоды, в частности в период предвыборной компании, может устанавливаться специальный правовой режим их персональных данных, обеспечивающий открытость персональных данных, имеющих общественную значимость.

3. По желанию субъекта для его персональных данных может быть установлен режим общедоступной информации (библиографические справочники, телефонные книги, адресные книги, частные объявления, массивы данных для осуществления прямого маркетинга и т.д.).

4. С момента смерти субъекта персональных данных правовой режим персональных данных подлежит замене на режим архивного хранения или иной правовой режим, предусмотренный действующим законодательством.

5. Защита персональных данных умершего лица может осуществляться другими лицами, в том числе наследниками, в порядке, предусмотренном действующим законодательством о защите чести, достоинства и деловой репутации, защите личной и семейной тайн.

Глава 3. Права субъекта персональных данных

Статья 11. Предоставление персональных данных

1. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных за исключением случаев, предусмотренных статьей 18 настоящего Федерального закона. Персональные данные предоставляются субъектом лично либо через доверенное лицо.

2. В целях реализации своих прав и свобод субъект предоставляет данные в объеме, определяемом законодательством, а также сведения об их изменениях в соответствующие федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, имеющие право на работу с персональными данными в пределах их компетенции.

3. Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьим лицам, а также информирован об ином возможном использовании персональных данных.

Статья 12. Доступ субъекта к своим персональным данным

1. Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к себе персональных данных и иметь к ним доступ. Право на доступ может быть ограничено только в случаях, предусмотренных статьей 18 настоящего Федерального закона.

2. Информация о наличии и содержании персональных данных субъекта должна быть выдана ему держателем (обладателем) массива персональных данных в общедоступной документированной форме, четко и ясно выраженная и не должна содержать персональных данных, относящихся к другим субъектам.

3. Предоставление персональных данных их субъектам производится на основании письменного запроса субъекта и документа, удостоверяющего его личность, за плату, не превышающую затраты на поиск и выдачу информации. Информация о наличии персональных данных и сами персональные данные предоставляются субъекту данных в срок, не превышающий недели с момента подачи заявления.

4. Субъект персональных данных имеет право также знакомиться с документами, содержащими сведения персонального характера о нем.

Статья 13. Внесение субъектом изменений в свои персональные данные

При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя (обладателя) этих данных внесения изменения в свои персональные данные. Изменения в персональные данные вносятся в порядке, установленном статьей 27 настоящего Федерального закона.

Статья 14. Блокирование и снятие блокирования персональных данных

В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя (обладателя) заблокировать эти данные. Блокирование и снятие блокирования персональных данных осуществляется в соответствии со статьей 22 настоящего Федерального закона.

Статья 15. Обжалование неправомерных действий в отношении персональных данных

Если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вправе обратиться к Уполномоченному по правам субъектов персональных данных при Президенте Российской Федерации и (или) обжаловать эти действия в административном или судебном порядке.

Статья 16. Порядок обращения к Уполномоченному по правам субъектов персональных данных при Президенте Российской Федерации

1. Обращение (жалоба, заявление и т.п.) должно быть подано Уполномоченному по правам субъектов персональных данных при Президенте Российской Федерации в письменной форме не позднее одного года с момента нарушения прав субъекта или с того момента, когда субъекту стало известно о нарушении.

2. Обращение должно содержать фамилию, имя, отчество и адрес субъекта, адрес и наименование держателя (обладателя) массива персональных данных, чьи действия обжалуются, изложение существа действий или решений, нарушивших, по мнению субъекта, его права.

3. В случае нарушения требований, указанных в частях 1 и 2 настоящей статьи, решением Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации обращение может быть принято к рассмотрению в случае его особой общественной значимости вне зависимости от срока давности.

Статья 17. Возмещение убытков и (или) компенсация морального вреда

В случае установления неправомерности действий держателя (обладателя) массива персональных данных при работе с персональными данными, субъект данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

В случае передачи одних и тех же персональных данных от одного держателя (обладателя) к другому и невозможности определения конкретного виновника нанесения ущерба, ответственность несет каждый держатель (обладатель) этих данных.

Статья 18. Ограничение прав субъектов на свои персональные данные

Ограничение прав субъекта на свои персональные данные возможно в отношении:

1) Права предоставления субъектом своих персональных данных держателям (обладателям) массивов персональных данных - для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, - в пределах, установленных Законом Российской Федерации "О государственной тайне".

2) Права доступа субъекта к своим персональным данным, внесения изменений в свои персональные данные, блокирования своих персональных данных:

а) в отношении персональных данных, полученных в результате оперативно-розыскной деятельности, за исключением случаев, когда эта деятельность проводится с нарушением действующего законодательства;

б) в отношении персональных данных субъектов, задержанных по подозрению в совершении преступления, либо которым предъявлено обвинение по уголовному делу, либо к которым применена мера пресечения до предъявления обвинения, в органах, проводящих указанные действия;

в) в отношении иных персональных данных в случаях, предусмотренных действующим законодательством.

Глава 4. Права и обязанности держателя (обладателя) по работе
с массивами персональных данных

Статья 19. Держатели (обладатели) массивов персональных данных

1. Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления имеют право выступать в качестве держателей (обладателей) массивов персональных данных и на работу с персональными данными в соответствии со своей компетенцией, установленной действующим законодательством.

2. Юридические и физические лица имеют право на работу с персональными данными на основании лицензии.

3. Юридические и физические лица имеют право на работу с персональными данными без лицензий в целях, исключающих передачу этих данных третьим лицам.

Статья 20. Обязанности держателя (обладателя) массива персональных данных

1. Держатель (обладатель) массива персональных данных обязан:

получать персональные данные непосредственно от субъекта, его доверенных лиц или из других законных источников;

обеспечивать режим конфиденциальности персональных данных в предусмотренных настоящим Федеральным законом случаях;

определять и документально оформлять порядок работы служащих организационной структуры, осуществляющих работу с персональными данными массива, а также лиц, несущих юридическую ответственность за соблюдение режима конфиденциальности и сохранности персональных данных;

обеспечивать сохранность и достоверность персональных данных, их актуализацию, а также установленный в нормативном порядке режим доступа к ним;

сообщать субъекту по его требованию информацию о наличии персональных данных о нем, а также сами персональные данные в недельный срок после поступления от него запроса, за исключением случаев, предусмотренных статьей 17 настоящего Федерального закона;

в случае отказа в сообщении субъекту по его требованию информации о наличии персональных данных о нем, а также самих персональных данных, выдавать письменный мотивированный ответ, содержащий ссылку на соответствующий пункт статьи 18 настоящего Федерального закона в срок, не превышающий двух недель с момента обращения субъекта;

в двухнедельный срок представлять по запросам Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации информацию, необходимую для исполнения его полномочий.

2. Лица, которым персональные данные стали известны в силу их служебного положения, принимают на себя обязательства и несут ответственность по обеспечению конфиденциальности этих персональных данных. Такие обязательства остаются в силе и после окончания работы этих лиц с персональными данными в течении срока сохранения режима конфиденциальности согласно статьи 6 настоящего Федерального закона.

Статья 21. Обязанности держателей (обладателей) персональных данных по составлению перечней персональных данных

1. Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, или уполномоченные ими структуры - держатели (обладатели), осуществляющие работу с персональными данными в пределах компетенции, установленной действующим законодательством, разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и руководствуются ими.

2. Указанные перечни согласовываются с Уполномоченным по правам субъектов персональных данных при Президенте Российской Федерации или его представителем и публикуются в Реестре держателей (обладателей) массивов персональных данных, издаваемом Уполномоченным по правам субъектов персональных данных при Президенте Российской Федерации. Данные перечни устанавливают объем сведений, используемых федеральными органами государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления для реализации своей компетенции.

3. Держатели (обладатели) массивов персональных данных, осуществляющие работу с персональными данными по лицензии, разрабатывают в соответствии со спецификой их деятельности перечни персональных данных и руководствуются ими. Указанные перечни согласовываются с Уполномоченным по правам субъектов персональных данных при Президенте Российской Федерации или его представителем и включаются в лицензию. Такие перечни могут быть опубликованы в Реестре держателей (обладателей) массивов персональных данных по их желанию.

4. Перечни персональных данных должны соответствовать целям сбора этих данных. Расширение установленных перечней для реализации целей иного характера не допускается.

Статья 22. Обязанности держателя (обладателя) массива персональных данных по блокированию, снятию блокирования и уничтожению персональных данных

1. В случае выявления субъектом недостоверности персональных данных или неправомерности действий с ними держателя (обладателя) массива персональных данных он может подать заявление держателю (обладателю) массива этих данных или обратиться к Уполномоченному по правам субъектов персональных данных при Президенте Российской Федерации. Держатель (обладатель) обязан принять к производству заявление субъекта и заблокировать его персональные данные на период проверки заявления с момента его получения.

2. В случае подтверждения недостоверности персональных данных держатель (обладатель) массива данных обязан на основании документов, представленных субъектом, исправить их и снять блокирование.

3. В случае установления неправомерности сбора персональных данных держатель (обладатель) обязан уничтожить соответствующие данные в срок, не превышающий трех дней с момента такого установления и документально уведомить об этом субъекта персональных данных.

4. В случае взаимного признания правомерности действий с персональными данными или их достоверности держатель (обладатель) массива персональных данных обязан безотлагательно снять их блокирование.

5. В случае несогласия держателя (обладателя) массива персональных данных с заявлением субъекта персональных данных, рассмотрение конфликтных ситуаций осуществляется Уполномоченным по правам субъектов персональных данных при Президенте Российской Федерации или в административном (судебном) порядке.

При получении решения Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации держатель (обладатель) обязан рассмотреть его, принять соответствующие меры и в месячный срок письменной форме сообщить об этом Уполномоченному.

Статья 23. Передача персональных данных

1. Держатель (обладатель) массива персональных данных вправе передавать эти данные другому держателю (обладателю) без согласия субъекта данных в случаях:

если цели использования персональных данных получателем этих данных находятся в сфере целей первоначального сбора данных;

крайней необходимости для защиты жизненно важных интересов субъекта;

по запросу федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, если запрашиваемый перечень персональных данных соответствует полномочиям запрашивающего органа;

на основании закона.

2. Передача персональных данных по просьбе субъекта данных либо третьей стороны, которой передаются данные, может иметь место для заключения и/или исполнения договора, в котором субъект данных является строкой, либо для принятия необходимых мер до заключения договора по просьбе субъекта персональных данных.

3. Подтверждение согласия субъекта персональных данных на передачу его персональных данных третьим лицам для использования в целях, не соответствующих целям первоначального сбора, не требуется, если оно было получено в процессе сбора эти данных. Держатель (обладатель) массива персональных данных обязан информировать субъекта персональных данных об осуществленной передаче его персональных данных третьим лицам по запросу этого субъекта в любой форме в недельный срок.

4. Передача персональных данных держателем массива персональных данных получателю осуществляется в минимальном объеме, необходимом для решения задач получателя. Передача производится во исполнение договора, заключаемого между держателем (обладателем) персональных данных и получателем, в котором документально фиксируются:

основания для передачи персональных данных;

цель передачи;

получатель информации;

состав и объем передаваемых данных;

сроки использования персональных данных (в пределах, установленных для обладателя (держателя), условия актуализации и обеспечения сохранности персональных данных

5. При передаче персональных данных на получателя данных возлагается обязанность соблюдения режим конфиденциальности этих данных.

6. Персональные данные, собранные на средства государственного бюджета, передаются в органы государственной власти и организации бюджетной сферы бесплатно.

Статья 24. Трансграничная передача персональных данных

1. При трансграничной передаче персональных данных российский держатель (обладатель) массива персональных данных, передающий данные, исходит из наличия существующего соглашения между сторонами, согласно которому получающая сторона обеспечивает адекватный российскому уровень защиты прав субъектов персональных данных и охраны персональных данных.

2. Российская Федерация обеспечивает законные меры охраны находящихся на ее территории или передаваемых через ее территорию персональных данных, исключающие их искажение и несанкционированное использование.

3. Передача персональных данных российскими держателями (обладателями) массивов персональных данных в страны, не обеспечивающие адекватный российскому уровень охраны персональных данных, может иметь место при условии:

явно выраженного согласия субъекта персональных данных на эту передачу;

необходимости передачи персональных данных для заключения и/или исполнения контракта между субъектом и держателем (обладателем) массива персональных данных либо между держателем (обладателем) и третьей стороной в интересах субъекта персональных данных;

если передача необходима для защиты жизненно важных интересов субъекта персональных данных;

если персональные данные содержатся в общедоступной базе персональных данных.

4. При передаче персональных данных по трансграничной информационной сети (Интернет и т.п.) держатель (обладатель) массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, в том числе конфиденциальности (электронная цифровая подпись для удостоверения достоверности передаваемой информации, средства криптографии для сохранения конфиденциальности и т.п.).

Статья 25. Обезличивание персональных данных

Для проведения статистических, социологических, исторических, медицинских и других научных и практических исследований держатель (обладатель) массива персональных данных осуществляет обезличивание используемых данных, придавая им форму анонимных сведений. При этом режим конфиденциальности, установленный для персональных данных, снимается.

Обезличивание должно исключать возможность идентификации субъекта персональных данных.

Статья 26. Хранение персональных данных

1. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора или чем это предусмотрено лицензией. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или, если это предусмотрено действующим законодательством.

По истечении сроки хранения, достижении целей сбора персональных данных, истечении срока действия лицензии, они подлежат уничтожению в течение двух недель. Уничтожение подтверждается актом.

2. В случае принятия в установленном порядке решения о необходимости сохранения персональных данных после истечения срока хранения, достижения установленных целей их сбора или истечения срока действия лицензии, держатель (обладатель) массива персональных данных обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных, если его местожительство известно.

3. Определенные персональные данные (личные дела, метрические книги и др.) после минования практической надобности в них могут оставаться на постоянном хранении, приобретая статус архивного документа либо иной статус, предусмотренный действующим законодательством.

Статья 27. Актуализация персональных данных

1. Держатель (обладатель) массива персональных данных вносит изменения в имеющиеся у него персональные данные:

в случаях, предусмотренных законом;

по собственной инициативе при условии документального подтверждения достоверности новых данных;

по инициативе субъекта персональных данных, персональные данные которого подлежат изменению, в соответствии со статьей 13 настоящего Федерального закона.

2. Внесение изменений в персональные данные по требованию субъекта этих данных производится не позднее месячного срока с момента подачи им заявления. Внесение изменений по инициативе держателя (обладателя) осуществляется в соответствии с внутренними правилами.

Глава 5. Государственное регулирование работы
с персональными данными

Статья 28. Лицензирование работы с персональными данными

1. Лицензия на проведение работ с персональными данными выдается органами, уполномоченными Правительством Российской Федерации и органами государственной власти субъектов Российской Федерации. Положение об органах лицензирования и Порядок лицензирования (включая отзыв лицензии) утверждаются Правительством Российской Федерации. Перечни органов, выдающих лицензии на работу с персональными данными, публикуются Уполномоченным по правам субъектов персональных данных при Президенте Российской Федерации в открытой печати. В лицензии указываются:

цели сбора и использования персональных данных, режимы и сроки их хранения;

категории или группы субъектов персональных данных;

перечень персональных данных;

источники сбора персональных данных;

порядок информирования субъектов о сборе и возможной передаче их персональных данных;

меры по обеспечению сохранности и конфиденциальности персональных данных;

лицо, непосредственно ответственное за работу с персональными данными;

требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, средства защиты информационных систем, информационных технологий и персональных данных.

2. Информационные продукты, содержащие персональные данные и/или сами персональные данные, предоставляемые субъекту персональных данных, в соответствии с требованиями статьи 12, должны содержать указание (ссылку) на выданную лицензию.

Уполномоченными органами, выдающими лицензии, хранятся сведения о держателях (обладателях) массивов персональных данных, которые получили лицензию. Уполномоченные органы ежеквартально передают эти сведения (по мере составления) Уполномоченному по правам субъектов персональных данных при Президенте Российской Федерации.

Статья 29. Отказ в выдаче лицензии

В выдаче лицензии может быть отказано в следующих случаях:

противоречия заявленных целей использования персональных данных Конституции Российской Федерации и действующему законодательству Российской Федерации;

несоответствия заявленных целей использования персональных данных видам деятельности, указанных в учредительных документах заявителя;

несоответствия перечня персональных данных заявленным целям использования персональных данных;

недостаточности мер обеспечения конфиденциальности и сохранности данных.

Статья 30. Отзыв лицензии

Лицензия подлежит отзыву уполномоченным органом, выдавшим лицензию, в случаях:

подачи держателем (обладателем) массива персональных данных заявления о прекращении лицензируемой деятельности;

ликвидации и реорганизации в установленном действующим законодательством порядке юридического лица - держателя (обладателя) массива персональных данных;

по представлению органа по сертификации информационных систем, информационных технологий, предназначенных для обработки персональных данных;

по представлению Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации;

по решению суда.

Статья 31. Сертификация информационных систем, информационных технологий, предназначенных для обработки персональных данных

1. Сертификация информационных систем, информационных технологий, предназначенных для обработки персональных данных, осуществляется с целью обеспечения требуемого уровня безопасности персональных данных.

Обязательной сертификации подлежат предназначенные для обработки персональных данных информационные системы, а также средства защиты информационных систем и персональных данных.

2. Сертификацию осуществляют органы по сертификации в соответствии с действующим законодательством.

Статья 32. Регистрация массивов и держателей (обладателей) персональных данных

1. Массивы персональных данных подлежат обязательной регистрации в Службе Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации.

При регистрации фиксируются:

наименование массива персональных данных;

наименование и реквизиты держателя (обладателя) массива персональных данных, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс, адрес сервера в телекоммуникационной сети);

цели и способы сбора и использования персональных данных, режимы и сроки их хранения;

перечень собираемых персональных данных;

категории или группы субъектов персональных данных;

источники сбора персональных данных;

порядок информирования субъектов о сборе и возможной передаче их персональных данных;

меры по обеспечению сохранности и конфиденциальности персональных данных;

лицо, непосредственно ответственное за работу с персональными данными;

требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, а также средства защиты информационных систем и персональных данных.

2. Массивы персональных данных, содержащие сведения, отнесенные к государственной тайне на основании Закона Российской Федерации "О государственной тайне", не регистрируются.

Глава 6. Уполномоченный по правам субъектов
персональных данных
при Президенте Российской Федерации

Статья 33. Задачи Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации

Уполномоченный по правам субъектов персональных данных при Президенте Российской Федерации (далее - Уполномоченный) реализует государственные гарантии прав субъекта на защиту прав личности в области персональных данных в соответствии с общепризнанными принципами и нормами международного права, международными договорами, участником которых является Российская Федерация, Конституцией Российской Федерации, законами Российской Федерации.

Статья 34. Компетенция Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации

1. Уполномоченный действует в пределах компетенции, установленной настоящим Федеральным законом, и не вправе принимать решения, отнесенные к компетенции держателей (обладателей) массивов персональных данных.

Деятельность Уполномоченного дополняет существующие средства защиты прав субъекта.

2. Уполномоченный рассматривает конфликтные ситуации между держателем (обладателем) и субъектом персональных данных с использованием согласительных процедур.

3. Уполномоченный осуществляет:

регистрацию обращений к нему субъектов персональных данных;

расследования по фактам нарушения порядка работы с персональными данными по обращениям субъектов, а также на основании анализа других источников информации;

информирование органов государственной власти и общественности о положении дел в области защиты персональных данных;

представление Уполномоченному по правам человека в Российской Федерации предложений по развитию и совершенствованию нормативной базы, регламентирующей работу с персональными данными;

регистрацию массивов и держателей (обладателей) персональных данных - федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления а также юридических и физических лиц, осуществляющих работу с персональными данными по лицензии;

ежегодную публикацию в средствах массовой информации с тиражом не менее 100 тыс. экземпляров объединенного Реестра держателей (обладателей) персональных данных Российской Федерации, включающего держателей (обладателей), осуществляющих работу с персональными данными по лицензии;

информирование Правительства Российской Федерации через Уполномоченного по правам человека в Российской Федерации о фактах работы с персональными данными вне компетенции федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, о дублировании в сборе персональных данных.

4. Уполномоченный имеет право:

беспрепятственно получать доступ к массивам персональных данных;

запрашивать и получать от держателя (обладателя) массива персональных данных любые необходимые сведения, документы и материалы;

проводить самостоятельно или совместно с компетентными органами и должностными лицами проверку деятельности держателей (обладателей) массивов персональных данных, относительно которых Уполномоченный располагает информацией о нарушениях прав субъекта;

вносить предложения об отзыве лицензии на проведение работ с персональными данными;

снимать или устанавливать режим конфиденциальности персональных данных;

блокировать персональные данные.

5. Уполномоченный обязан:

известить заявителя о результатах рассмотрения его заявления;

принять и направить держателю (обладателю) массива персональных данных, в действиях которого он усматривает нарушение прав субъекта, свое решение или рекомендации относительно возможных и необходимых мер восстановления нарушенных прав;

обратиться в суд с иском в защиту прав субъекта, нарушенных действиями или решениями держателя (обладателя) массива персональных данных;

вносить в компетентные органы представления о возбуждении дисциплинарного, административного или уголовного производства в отношении должностных лиц, в действиях которых усматриваются нарушения прав субъектов персональных данных;

по результатам работы представлять Президенту Российской Федерации, Федеральному собранию Российской Федерации и Председателю Правительства Российской Федерации ежегодный доклад о состоянии защиты прав субъектов персональных данных в Российской Федерации.

6. Уполномоченный не вправе заниматься публичной политической деятельностью, состоять членом политической партии или движения, а также заниматься какой-либо оплачиваемой деятельностью, кроме преподавательской, научной или творческой.

Уполномоченный не может являться депутатом Федерального собрания Российской Федерации, другого органа представительной власти в течение всего срока полномочий.

7. Уполномоченный не вправе разглашать ставшие ему известными в процессе производства сведения о частной жизни субъекта и других лиц без их согласия.

8. Решение Уполномоченного, принятое по результатам производства, может быть обжаловано Уполномоченному по правам человека в Российской Федерации.

Статья 35. Назначение и освобождение Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации

1. Уполномоченным может быть назначен гражданин Российской Федерации, не моложе 35 лет, имеющий необходимую квалификацию и опыт работы в сфере информационных технологий и юриспруденции.

2. Уполномоченный назначается на должность указом Президента Российской Федерации.

3. Уполномоченный назначается на срок 5 лет.

Одно и то же лицо не может быть назначено на должность Уполномоченного более двух сроков подряд.

4. Уполномоченный может быть досрочно освобожден от должности указом Президента Российской Федерации в случаях:

прекращения гражданства Российской Федерации;

неспособности по состоянию здоровья или иным причинам выполнять свои обязанности;

вступления в законную силу обвинительного приговора суда в отношении Уполномоченного;

личного заявления о сложении полномочий.

5. В случае досрочного освобождения Уполномоченного от должности, назначение Уполномоченного должно состояться в течение трех месяцев.

Статья 36. Служба Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации

1. Деятельность Уполномоченного осуществляется с помощью рабочего аппарата - Службы Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации.

2. В составе Службы Уполномоченного по правам субъектов персональных данных при Президенте Российской Федерации действует Научный центр по регистрации массивов персональных данных и заявлений (жалоб) субъектов персональных данных.

3. Научный центр по регистрации персональных данных осуществляет:

регистрацию массивов персональных данных и их держателей (обладателей);

получение и регистрацию заявлений субъектов персональных данных;

подготовку и издание реестров массивов персональных данных и держателей (обладателей) массивов;

контролирует полноту регистрации массивов персональных данных;

готовит и представляет Уполномоченному информацию для принятия решений в соответствии с установленной компетенцией.

Глава 7. Заключительные положения

Статья 37. О вступлении настоящего Федерального закона в силу

Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

Статья 38. О приведении правовых актов в соответствие с настоящим Федеральным законом

Предложить Президенту Российской Федерации и поручить Правительству Российской Федерации привести свои правовые акты в соответствие с настоящим Федеральным законом.

Президент

Российской Федерации

Б.Ельцин