Статья 1. Проект федерального закона N 101234-8 "О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных" (внесен депутатами ГД А.Е. Хинштейном, С.А. Гавриловым, С.М. Боярским, А.В. Горелкиным, А.А. Ющенко, А.И. Немкиным, А.О. Ткачевым, И.А. Панькиной, А.К. Луговым, Д.Г. Гусевым, сенаторами РФ А.А. Клишасом, А.В. Яцкиным) (принят в первом чтении 24.05.2022) (не действует)

Статья 1

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173; N 49, ст. 6409; 2011, N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217; N 30, ст. 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276; N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82) следующие изменения:

1) статью 1 дополнить частью 1.1 следующего содержания:

"1.1. Положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой на основании соглашений между российскими и (или) иностранными органами власти, юридическими или физическими лицами, а также к совершаемым иностранными органами власти, юридическими или физическими лицами действиям с персональными данными граждан Российской Федерации, если такие соглашения или действия затрагивают права и свободы субъекта персональных данных.";

2) в статье 3:

а) дополнить пунктом 2.1 следующего содержания:

"2.1) лицо, осуществляющее обработку персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных по поручению оператора персональных данных с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, но не определяющее цели обработки указанных персональных данных, состав персональных данных, действия, совершаемые с персональными данными;";

б) в пункте 3 слова "передачу (распространение, предоставление, доступ)" заменить словами "передачу (распространение, предоставление), предоставление доступа или осуществление логических и (или) арифметических операций с такими данными,";

в) пункт 11 изложить в следующей редакции:

"11) трансграничная передача персональных данных - передача персональных данных иностранному государству, государственному органу иностранного государства, международной и иностранной организации, иностранному гражданину, лицу без гражданства либо уполномоченному ими лицу, юридическому лицу, зарегистрированному в иностранном государстве, или иной структуре без образования юридического лица независимо от их организационно-правовой формы, находящимся на территории иностранного государства.";

3) в статье 4:

а) часть 2 после слов "операторов" дополнить словами ", лиц, осуществляющих обработку персональных данных,";

б) дополнить частью 3.1 следующего содержания:

"3.1. Нормативные правовые акты, принимаемые в соответствие с частью 2 настоящей статьи, подлежат обязательному согласованию с федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных и уполномоченным органом по защите прав субъектов персональных данных.";

4) часть 6 статьи 5 после слова "Оператор" дополнить словами "и (или) лицо, осуществляющее обработку персональных данных,";

5) в статье 6:

а) в части 3 слова "другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом," заменить словами "лицу, осуществляющему обработку персональных данных", слова "Лицо, осуществляющее обработку персональных данных по поручению оператора" заменить словами "Лицо, осуществляющее обработку персональных данных", после слов "быть определены" дополнить словами "перечень персональных данных", после слов "конфиденциальность персональных данных" дополнить словами ", требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона,", после слов "настоящего Федерального закона" дополнить словами ", в том числе требование по уведомлению оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона";

б) в части 4 слова "по поручению оператора" исключить;

в) часть 5 изложить в следующей редакции:

"5. В случае, если оператор поручает обработку персональных данных в соответствии с частью 3 настоящей статьи, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных, несет ответственность перед оператором.";

6) статью 7 после слова "Операторы" дополнить словами ", лица, осуществляющие обработку персональных данных,";

7) в статье 9:

а) в части 1 слова "конкретным, информированным и сознательным" заменить словами "конкретным, предметным, информированным, сознательным и однозначным";

б) в части 4:

в пункте 6 слова "по поручению оператора" исключить;

пункт 7 после слов "оператором" дополнить словами "и (или) лицом, осуществляющим обработку персональных данных";

8) пункт 1 части 2 статьи 10 изложить в следующей редакции:

"1) субъект персональных данных или, в случаях, установленных федеральными законами, законный представитель субъекта персональных данных дал согласие в письменной форме на обработку персональных данных;";

9) в статье 11:

а) в части 1 слова "частью 2" заменить словами "частями 1.1 и 2";

б) дополнить частью 1.1 следующего содержания:

"1.1. Не допускается обработка биометрических персональных данных несовершеннолетнего в возрасте до восемнадцати лет, за исключением случаев, предусмотренных частью 2 настоящей статьи.";

в) дополнить частью 3 следующего содержания:

"3. Оператор не вправе отказывать в предоставлении услуг в случае отказа субъекта персональных данных предоставить биометрические персональные данные и(или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных в части 2 настоящей статьи.";

10) статью 12 изложить в следующей редакции:

"Статья 12. Трансграничная передача персональных данных

1. Трансграничная передача персональных данных осуществляется в соответствии с настоящим Федеральным законом.

2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, включаются государства, являющиеся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иные иностранные государства, не являющиеся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности персональных данных при их обработке.

3. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных.

4. Уведомление, предусмотренное частью 3 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление о намерении осуществлять трансграничную передачу персональных данных должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) источник(и) получения персональных данных;

3) правовое основание и цель трансграничной передачи и дальнейшей обработки переданных персональных данных;

4) категории и перечень передаваемых персональных данных;

5) категории субъектов персональных данных, персональные данные которых передаются;

6) сведения о государственном органе, муниципальном органе, юридическом или физическом лице, которому планируется передача персональных данных, в том числе его контактная информация;

7) сведения о принимаемых государственным органом, муниципальным органом, юридическим или физическим лицом, которому планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и условиях прекращения их обработки;

8) информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находится государственный орган, муниципальный орган, юридическое или физическое лицо, которому планируется передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных государственному органу, муниципальному органу, юридическому или физическому лицу, находящемуся под юрисдикцией иностранного государства, не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных).

5. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

6. Решение о запрещении или ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан принимается уполномоченным органом по защите прав субъектов персональных данных по результатам рассмотрения уведомления оператора о намерении осуществлять трансграничную передачу персональных данных.

7. Решение о запрещении или ограничении трансграничной передачи персональных данных в целях защиты основ конституционного строя Российской Федерации и безопасности государства принимается уполномоченным органом по защите прав субъектов персональных данных по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности.

8. Решение о запрещении или ограничении трансграничной передачи персональных данных в целях обеспечения обороны страны принимается уполномоченным органом по защите прав субъектов персональных данных по представлению федерального органа исполнительной власти, уполномоченного в области обороны.

9. Решение о запрещении или ограничении трансграничной передачи персональных данных в целях защиты экономических и финансовых интересов Российской Федерации принимается уполномоченным органом по защите прав субъектов персональных данных по представлению федеральных органов исполнительной власти, уполномоченных Президентом Российской Федерации, Правительством Российской Федерации.

10. Решение о запрещении или ограничении трансграничной передачи персональных данных принимается уполномоченным органом по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления, предусмотренного частью 3 настоящей статьи, в порядке, установленном Правительством Российской Федерации.

11. При рассмотрении уполномоченным органом по защите прав субъектов персональных данных в рамках тридцатидневного срока уведомления оператора о своем намерении осуществлять трансграничную передачу персональных данных на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, возможность оператора осуществлять трансграничную передачу персональных данных на территорию указанных иностранных государств не ограничивается.

12. При рассмотрении уполномоченным органом по защите прав субъектов персональных данных в рамках тридцатидневного срока уведомления оператора о своем намерении осуществлять трансграничную передачу персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, трансграничная передача персональных данных на территорию указанных иностранных государств оператором не допускается.

13. В случае, принятия решения, предусмотренного частью 10 настоящей статьи, оператор обязан обеспечить уничтожение государственным органом, муниципальным органом, юридическим или физическим лицом ранее переданных ему персональных данных.";

11) в статье 14:

а) часть 1 изложить в следующей редакции:

"1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи.";

б) дополнить частями 1.1 и 1.2 следующего содержания:

"1.1. Субъект персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, вправе требовать от оператора прекращения обработки персональных данных, их уточнения, блокирования или уничтожения, а также принимать предусмотренные настоящим Федеральным законом меры по защите своих прав.

1.2. В течение тридцати дней с даты получения оператором соответствующего требования субъекта персональных данных оператор обязан прекратить их обработку и (или) принять меры по их уточнению, блокированию, уничтожению, либо направить субъекту персональных данных мотивированный отказ в случае, если обработка персональных данных осуществляется в соответствии с пунктами 1-5, 8 части 1 статьи 6 настоящего закона.";

в) в части 3 слова "при обращении либо при получении" заменить словами "в течение десяти рабочих дней с момента обращения, либо получения оператором", дополнить следующим предложением: "Оператор предоставляет сведения, указанные в части 7 настоящей статьи субъекту персональных данных или его представителю в той форме, в которой направлено соответствующее обращение либо запрос, если иное не указано в самом обращении или запросе.";

г) в части 7:

в пункте 4 слово "раскрыты" заменить словом "переданы";

в пункте 9 слова "по поручению оператора" исключить;

дополнить пунктом 9.1 следующего содержания:

"9.1) о способах осуществления прав, закрепленных в главе 4 настоящего Федерального закона;";

12) часть 3 статьи 16 после слова "Оператор" дополнить словами ", лицо, осуществляющее обработку персональных данных,";

13) в статье 18:

а) часть 2 изложить в следующей редакции:

"2. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных является обязательным, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и(или) дать согласие на их обработку.";

б) в части 3:

дополнить пунктом 2.1 следующего содержания:

"2.1) перечень персональных данных;";

пункт 3 изложить в следующей редакции:

"3) лицо, осуществляющее обработку персональных данных;";

14) в статье 18.1:

а) в части 1:

в абзаце первом слова "могут, в частности, относиться" заменить словами "относятся";

пункт 5 после слов "оценка вреда" дополнить словами "в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных";

б) часть 2 после слов "в соответствующей информационно-телекоммуникационной сети" дополнить словами "в том числе на страницах принадлежащего оператору сайта в сети Интернет, с использованием которых осуществляется сбор персональных данных,";

15) статью 19 дополнить частями 12 - 14 следующего содержания:

"12. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.

13. Указанная в части 12 настоящей статьи информация (за исключением информации, составляющей государственную тайну) передается федеральным органом, уполномоченным в области обеспечения безопасности в федеральный орган исполнительной власти, осуществляющий функции по контролю (надзору) за соответствием обработки персональных данных.

14. Порядок передачи информации в соответствии с частью 13 настоящей статьи устанавливается совместно федеральным органом, уполномоченным в области обеспечения безопасности и федеральным органом исполнительной власти, осуществляющим функции по контролю (надзору) за соответствием обработки персональных данных.";

16) в статье 20:

а) в части 1 слова "тридцати дней" заменить словами "десяти рабочих дней";

б) в части 2 слова "тридцати дней" заменить словами "десяти рабочих дней";

в) в части 4 слова "тридцати дней" заменить словами "д