Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Статья 1
Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173; N 49, ст. 6409; 2011, N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217; N 30, ст. 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276; N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82) следующие изменения:
1) статью 1 дополнить частью 1.1 следующего содержания:
"1.1. Положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой на основании соглашений между российскими и (или) иностранными органами власти, юридическими или физическими лицами, а также к совершаемым иностранными органами власти, юридическими или физическими лицами действиям с персональными данными граждан Российской Федерации, если такие соглашения или действия затрагивают права и свободы субъекта персональных данных.";
2) в статье 3:
а) дополнить пунктом 2.1 следующего содержания:
"2.1) лицо, осуществляющее обработку персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных по поручению оператора персональных данных с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, но не определяющее цели обработки указанных персональных данных, состав персональных данных, действия, совершаемые с персональными данными;";
б) в пункте 3 слова "передачу (распространение, предоставление, доступ)" заменить словами "передачу (распространение, предоставление), предоставление доступа или осуществление логических и (или) арифметических операций с такими данными,";
в) пункт 11 изложить в следующей редакции:
"11) трансграничная передача персональных данных - передача персональных данных иностранному государству, государственному органу иностранного государства, международной и иностранной организации, иностранному гражданину, лицу без гражданства либо уполномоченному ими лицу, юридическому лицу, зарегистрированному в иностранном государстве, или иной структуре без образования юридического лица независимо от их организационно-правовой формы, находящимся на территории иностранного государства.";
3) в статье 4:
а) часть 2 после слов "операторов" дополнить словами ", лиц, осуществляющих обработку персональных данных,";
б) дополнить частью 3.1 следующего содержания:
"3.1. Нормативные правовые акты, принимаемые в соответствие с частью 2 настоящей статьи, подлежат обязательному согласованию с федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных и уполномоченным органом по защите прав субъектов персональных данных.";
4) часть 6 статьи 5 после слова "Оператор" дополнить словами "и (или) лицо, осуществляющее обработку персональных данных,";
5) в статье 6:
а) в части 3 слова "другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом," заменить словами "лицу, осуществляющему обработку персональных данных", слова "Лицо, осуществляющее обработку персональных данных по поручению оператора" заменить словами "Лицо, осуществляющее обработку персональных данных", после слов "быть определены" дополнить словами "перечень персональных данных", после слов "конфиденциальность персональных данных" дополнить словами ", требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона,", после слов "настоящего Федерального закона" дополнить словами ", в том числе требование по уведомлению оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона";
б) в части 4 слова "по поручению оператора" исключить;
в) часть 5 изложить в следующей редакции:
"5. В случае, если оператор поручает обработку персональных данных в соответствии с частью 3 настоящей статьи, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных, несет ответственность перед оператором.";
6) статью 7 после слова "Операторы" дополнить словами ", лица, осуществляющие обработку персональных данных,";
7) в статье 9:
а) в части 1 слова "конкретным, информированным и сознательным" заменить словами "конкретным, предметным, информированным, сознательным и однозначным";
б) в части 4:
в пункте 6 слова "по поручению оператора" исключить;
пункт 7 после слов "оператором" дополнить словами "и (или) лицом, осуществляющим обработку персональных данных";
8) пункт 1 части 2 статьи 10 изложить в следующей редакции:
"1) субъект персональных данных или, в случаях, установленных федеральными законами, законный представитель субъекта персональных данных дал согласие в письменной форме на обработку персональных данных;";
9) в статье 11:
а) в части 1 слова "частью 2" заменить словами "частями 1.1 и 2";
б) дополнить частью 1.1 следующего содержания:
"1.1. Не допускается обработка биометрических персональных данных несовершеннолетнего в возрасте до восемнадцати лет, за исключением случаев, предусмотренных частью 2 настоящей статьи.";
в) дополнить частью 3 следующего содержания:
"3. Оператор не вправе отказывать в предоставлении услуг в случае отказа субъекта персональных данных предоставить биометрические персональные данные и(или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных в части 2 настоящей статьи.";
10) статью 12 изложить в следующей редакции:
"Статья 12. Трансграничная передача персональных данных
1. Трансграничная передача персональных данных осуществляется в соответствии с настоящим Федеральным законом.
2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, включаются государства, являющиеся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иные иностранные государства, не являющиеся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности персональных данных при их обработке.
3. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных.
4. Уведомление, предусмотренное частью 3 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление о намерении осуществлять трансграничную передачу персональных данных должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) источник(и) получения персональных данных;
3) правовое основание и цель трансграничной передачи и дальнейшей обработки переданных персональных данных;
4) категории и перечень передаваемых персональных данных;
5) категории субъектов персональных данных, персональные данные которых передаются;
6) сведения о государственном органе, муниципальном органе, юридическом или физическом лице, которому планируется передача персональных данных, в том числе его контактная информация;
7) сведения о принимаемых государственным органом, муниципальным органом, юридическим или физическим лицом, которому планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и условиях прекращения их обработки;
8) информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находится государственный орган, муниципальный орган, юридическое или физическое лицо, которому планируется передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных государственному органу, муниципальному органу, юридическому или физическому лицу, находящемуся под юрисдикцией иностранного государства, не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных).
5. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
6. Решение о запрещении или ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан принимается уполномоченным органом по защите прав субъектов персональных данных по результатам рассмотрения уведомления оператора о намерении осуществлять трансграничную передачу персональных данных.
7. Решение о запрещении или ограничении трансграничной передачи персональных данных в целях защиты основ конституционного строя Российской Федерации и безопасности государства принимается уполномоченным органом по защите прав субъектов персональных данных по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности.
8. Решение о запрещении или ограничении трансграничной передачи персональных данных в целях обеспечения обороны страны принимается уполномоченным органом по защите прав субъектов персональных данных по представлению федерального органа исполнительной власти, уполномоченного в области обороны.
9. Решение о запрещении или ограничении трансграничной передачи персональных данных в целях защиты экономических и финансовых интересов Российской Федерации принимается уполномоченным органом по защите прав субъектов персональных данных по представлению федеральных органов исполнительной власти, уполномоченных Президентом Российской Федерации, Правительством Российской Федерации.
10. Решение о запрещении или ограничении трансграничной передачи персональных данных принимается уполномоченным органом по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления, предусмотренного частью 3 настоящей статьи, в порядке, установленном Правительством Российской Федерации.
11. При рассмотрении уполномоченным органом по защите прав субъектов персональных данных в рамках тридцатидневного срока уведомления оператора о своем намерении осуществлять трансграничную передачу персональных данных на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, возможность оператора осуществлять трансграничную передачу персональных данных на территорию указанных иностранных государств не ограничивается.
12. При рассмотрении уполномоченным органом по защите прав субъектов персональных данных в рамках тридцатидневного срока уведомления оператора о своем намерении осуществлять трансграничную передачу персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, трансграничная передача персональных данных на территорию указанных иностранных государств оператором не допускается.
13. В случае, принятия решения, предусмотренного частью 10 настоящей статьи, оператор обязан обеспечить уничтожение государственным органом, муниципальным органом, юридическим или физическим лицом ранее переданных ему персональных данных.";
11) в статье 14:
а) часть 1 изложить в следующей редакции:
б) дополнить частями 1.1 и 1.2 следующего содержания:
"1.1. Субъект персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, вправе требовать от оператора прекращения обработки персональных данных, их уточнения, блокирования или уничтожения, а также принимать предусмотренные настоящим Федеральным законом меры по защите своих прав.
1.2. В течение тридцати дней с даты получения оператором соответствующего требования субъекта персональных данных оператор обязан прекратить их обработку и (или) принять меры по их уточнению, блокированию, уничтожению, либо направить субъекту персональных данных мотивированный отказ в случае, если обработка персональных данных осуществляется в соответствии с пунктами 1-5, 8 части 1 статьи 6 настоящего закона.";
в) в части 3 слова "при обращении либо при получении" заменить словами "в течение десяти рабочих дней с момента обращения, либо получения оператором", дополнить следующим предложением: "Оператор предоставляет сведения, указанные в части 7 настоящей статьи субъекту персональных данных или его представителю в той форме, в которой направлено соответствующее обращение либо запрос, если иное не указано в самом обращении или запросе.";
г) в части 7:
в пункте 4 слово "раскрыты" заменить словом "переданы";
в пункте 9 слова "по поручению оператора" исключить;
дополнить пунктом 9.1 следующего содержания:
"9.1) о способах осуществления прав, закрепленных в главе 4 настоящего Федерального закона;";
12) часть 3 статьи 16 после слова "Оператор" дополнить словами ", лицо, осуществляющее обработку персональных данных,";
13) в статье 18:
а) часть 2 изложить в следующей редакции:
"2. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных является обязательным, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и(или) дать согласие на их обработку.";
б) в части 3:
дополнить пунктом 2.1 следующего содержания:
"2.1) перечень персональных данных;";
пункт 3 изложить в следующей редакции:
"3) лицо, осуществляющее обработку персональных данных;";
14) в статье 18.1:
а) в части 1:
в абзаце первом слова "могут, в частности, относиться" заменить словами "относятся";
пункт 5 после слов "оценка вреда" дополнить словами "в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных";
б) часть 2 после слов "в соответствующей информационно-телекоммуникационной сети" дополнить словами "в том числе на страницах принадлежащего оператору сайта в сети Интернет, с использованием которых осуществляется сбор персональных данных,";
15) статью 19 дополнить частями 12 - 14 следующего содержания:
"12. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.
13. Указанная в части 12 настоящей статьи информация (за исключением информации, составляющей государственную тайну) передается федеральным органом, уполномоченным в области обеспечения безопасности в федеральный орган исполнительной власти, осуществляющий функции по контролю (надзору) за соответствием обработки персональных данных.
14. Порядок передачи информации в соответствии с частью 13 настоящей статьи устанавливается совместно федеральным органом, уполномоченным в области обеспечения безопасности и федеральным органом исполнительной власти, осуществляющим функции по контролю (надзору) за соответствием обработки персональных данных.";
16) в статье 20:
а) в части 1 слова "тридцати дней" заменить словами "десяти рабочих дней";
б) в части 2 слова "тридцати дней" заменить словами "десяти рабочих дней";
в) в части 4 слова "тридцати дней" заменить словами "десяти рабочих дней";
17) в статье 21:
а) в части 1 слова "(если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора)" заменить словами "(если обработка персональных данных осуществляется лицом, осуществляющим обработку персональных данных)";
б) в части 2 слова "(если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора)" заменить словами "(если обработка персональных данных осуществляется лицом" осуществляющим обработку персональных данных)";
в) в части 3 слова "лицом, действующим по поручению оператора" заменить словами "лицом, осуществляющим обработку персональных данных";
г) дополнить частью 3.1 следующего содержания:
"3.1. В случае установления факта неправомерного или случайного доступа, предоставления, распространения, передачи персональных данных, повлекших нарушение прав субъектов персональных данных оператор обязан в течение двадцати четырех часов с момента наступления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных. Указанная информация должна содержать сведения о причинах, повлекших нарушение прав субъектов персональных данных, о предполагаемом вреде, нанесенном правам субъектов персональных данных, о лицах, допустивших указанный доступ, а также о принятых мерах по устранению соответствующих последствий.";
д) в части 4 слова "(если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора)" заменить словами "(если обработка персональных данных осуществляется лицом, осуществляющим обработку персональных данных)";
е) в части 5 слова "(если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора)" заменить словами "(если обработка персональных данных осуществляется лицом, осуществляющим обработку персональных данных)";
ж) дополнить частью 5.1 следующего содержания:
"5.1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий тридцати дней с момента обращения либо получения оператором соответствующего требования прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется лицом, осуществляющим обработку персональных данных) за исключением случаев, предусмотренных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.";
з) в части 6 цифру "5" заменить цифрой "5.1", слова "(если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора)" заменить словами "(если обработка персональных данных осуществляется лицом, осуществляющим обработку персональных данных)";
и) дополнить частью 7 следующего содержания:
"7. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.";
18) в статье 22:
а) в части 2:
пункты 1-6 признать утратившими силу;
пункты 7 и 8 изложить в следующей редакции:
"7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;";
б) в части 3:
пункты 3-6 признать утратившими силу;
пункт 10 изложить в следующей редакции:
"10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки, в том числе сведения об иностранном государстве, на территорию которого осуществляется трансграничная передача персональных данных, органе власти, юридическом или физическом лице иностранного государства, которым такие персональные данные передаются;";
дополнить пунктом 10.2 следующего содержания:
"10.2) фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.";
в) дополнить частью 3.1 следующего содержания:
"3.1. При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает: категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.";
г) дополнить частью 4.1 следующего содержания:
"4.1. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления информации исключает сведения, указанные в части 3 настоящей статьи, из реестра операторов при наличии информации о прекращении оператором деятельности по обработке персональных данных.";
19) в статье 23:
а) часть 1 изложить в следующей редакции:
"1. Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий самостоятельно функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.";
б) пункт 8 части 3 изложить в следующей редакции:
"8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных и деятельности по обработке персональных данных;";
в) дополнить частью 5.2 следующего содержания:
г) дополнить частями 10 и 11 следующего содержания:
"10. Для учета информации об инцидентах, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона, уполномоченный орган по защите прав субъектов персональных данных ведет реестр учета инцидентов в области персональных данных, определяет порядок и условия взаимодействия с операторами в рамках ведения настоящего реестра.
11. Информация, содержащаяся в указанном реестре, о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных, в порядке, установленном совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности и федеральным органом исполнительной власти, осуществляющим функции по контролю (надзору) за соответствием обработки персональных данных, передается в федеральный орган исполнительной власти, уполномоченным в области обеспечения безопасности.".
<< Назад |
Статья 2 >> Статья 2 |
|
Содержание Проект федерального закона N 101234-8 "О внесении изменений в Федеральный закон "О персональных данных" и иные... |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.