[Закон О персональных данных] [Глава 2]

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Консультации юриста по ст. 8 Закона О персональных данных

Роман Мавров

Вопрос к практикующим юристам по гражданскому судопроизводству. Некий, очень распространенный телефонный справочник, напечатал у себя ложную информацию. Ухитрившись дать мой мобильный номер (номер прямой, с городским кодом) , как номер промышленного предприятия. Теперь мне постоянно звонят и круглосуточно пытаются присылать факсы. Информацию в новых изданиях исправили, но старые справочники и CD с информационными программами продолжают использоваться. Сразу говорю, тариф у меня безлимитный и финансовых притензий не предъявить, только моральные.. . Есть ли возможность, что-либо отсудить у компании-издательства?

Ответ юриста:
Возможность есть.ФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 N 152-ФЗ"О ПЕРСОНАЛЬНЫХ ДАННЫХ" Статья 8. 1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги) . В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;3) цель обработки персональных данных;4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;6) срок, в течение которого действует согласие, а также порядок его отзыва.5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.Статья 24. Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Инна Антонова

несет ли. ответственность и какую, человек, который публикует паспортные данные в интернете в каком-либо сообществе, например типа LJ ru_avto ,

Ответ юриста:
паспортные данные являются персональными данными человека и подлежат охранеФЗ "О персональных данных" Статья 7. 1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.2. Обеспечения конфиденциальности персональных данных не требуется:1) в случае обезличивания персональных данных;2) в отношении общедоступных персональных данных.КоАП: Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.

Сергей Редриков

Как я могу защитить себя юридически?. У меня большая проблема. Я обнаружила на icq.com анкету, зеркально соответствующую своей анкете. В ней полностью скопированы мои данные, использована моя фотография. От моего имени рассылается информация, обнародующая мои личные данные (мобильный тел, адрес) против моей воли на web-страницах других людей. Что мне делать и как я могу защитить себя юридически? Как можно выяснить, кто конкретно создал страницу и могу ли я привлечь его к ответу через суд? Заранее благодарю за любую консультацию.

Обратитесь к администрации сайта где размешена "проблемная" анкета с указанной проблемой и укажите на то, что Вы уже создали ранее анкету и что там использованы Ваши данные

Владимир Хомишин

Он-лайн база ГИБДД: какие нормы права нарушены?. http://www.nomer.org/mosgibdd/ Нарушены ли при размещении базы на данном сайте какие-либо нормы права и если нарушены, то какие именно?

Ответ юриста:
В базе я узнал дату рождения, дом. адрес, телефон, даты регистрационных действий и их вид, марку, год выпуска и госномера авто.. .Значится так.Согласно вышеприведенному закону о Персданных эта база как раз и содержит персональные данные, обработка которых допустима либо с согласия, либо на основании закона (другие основания не рассматриваю) , допустим есть закон, позволяющий обрабатывать эти данные, однако, в любом случае должна быть соблюдена конфиденциальность, т. е. публикация запрещена, за исключением: обезличенных персданных и общедоступных, которые, в свою очередь, таковыми могут стать только с письменного согласия, которое еще и не должно быть отозванным (статьи 7,8,9 Закона) .В данном случае оператор (предположим, что на законном основании обрабатывающий персданные) прокакал их и допустил утечку (чать 1 ст. 17), значит: Статья 17. Право на обжалование действий или бездействия оператора 2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке (не так уж много законов прямо предусматривают это) .Далее:Статья 24. Ответственность за нарушение требований настоящего Федерального закона Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.Обрати внимание на последовательность!! !Про гражданскую я сказал, уголовная - это вроде как 137 УК (могу ошибиться) , административка - это ст. 13.11 КоАП - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. (ерунда вобщем) дисциплинарка - вообще не интересна.ВСЁ!З. Ы. меня слово "иную" умилило))) моральную ответственность что ли собираются в законе предусмотреть?

Инна Романова

Помогите организовать благотворительный фонд для детей!. очень хочется узнать пошаговую процедуру и подводные камни при организации благотворительного фонда для детей сирот

Ответ юриста:

Григорий Пашовкин

Что за новая база у медиков? Подсовывали бумажку на согласие о внесении (не согласие на операцию)
- Скорее всего это внесение в базу ваших ПДн(может в частности биометрических данных),это была внутренняя форма хаведения для урегулированния вопроса с хранением и использованием ваших ПДн.

Зинаида Ефимова

уведомление об обработке персональных данных должны заполнять все юридические лица? для чего? и какие последствия?. а если у предприятия четыре лицензии на разные виды деятельности, то нужно подавать четыре уведомления или как?

Ответ юриста:

Юрий Касумов

что такое "общедоступные персональные данные" ?
- Ответ юриста:
  См. сам закон: от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) "О персональных данных" Статья 3. Основные понятия, используемые в настоящем Федеральном законе В целях настоящего Федерального закона используются следующие основные понятия: 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) ; ... Статья 6. Условия обработки персональных данных 1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: ... 10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных) ; ... Статья 8. 1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги) . В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ) ... Статья 22. Уведомление об обработке персональных данных ... 2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 4) сделанных субъектом персональных данных общедоступными; (п. 4 в ред. Федерального закона от 25.07.2011 N 261-ФЗ) 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; ... И это всё, что нашла. Если здесь в сети я заявляю, что мне 6-ой десяток, то это информация сделанная мною общедоступной, поскольку сюда может заглянуть любой. Но назвать это общеизвестным нельзя, поскольку каждый не обязан это знать. А то, что Александр Сергеевич Пушкин - автор "Евгения Онегина", для русскоязычного и общедоступно, и общеизвестно, и является персональными данными вполне определенного человека. По закону "ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ" от 27 июля 2006 года N 149-ФЗ (персональные данные - частный случай информации!) Статья 7. Общедоступная информация 1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. 2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. 3. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации. Статья 8. Право на доступ к информации... 4. Не может быть ограничен доступ к: ... 3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну) ; !!! А в этом пункте имеется в виду и ФИО должностных лиц гос органов и органов местного самоуправления, т. е. всех чиновников. Я так думаю.

Диана Путина

Вопрос по трудовому законодательству. Ув. товарищигоспода юристыспециалисты (без сарказма) проясните пожалуйста следующий вопрос. Сегодня на работе произошел вот какой инцидент: Перед обеденным перерывом подошел к руководителю(у непосредственного начальника выходной да и с ним подобных эксцессов у меня не возникало никогда) и сказал что сегодня мне нужно уйти на обед (хожу редко, в перерыв предпочитаю работать) Далее следует вот такой диалог с участием тёх лиц (Я, Руководитель и Логист,которая вечно лезет не в своё дело.) Р:На обед? Я:Да, а что Р.,Л.:А почему с собой не носишь? Я.:А зачем, мне до дома 5 минут ходьбы Л.:Ну и что, нам(кому нам не понятно)тоже, но мы же с собой носим (какое мне до вас дело,хоть не ходите на работу, мне на вас ПОХЕР) Л.:У НАС СКЛАДСКИМ ЗАПРЕЩЕНО НА ОБЕД ДОМОЙ ХОДИТЬ Р: ДА ДЕЙСТВИТЕЛЬНО Я:Что значит запрещёно у меня в тр. договоре написано ОБЕД С 12-30 ДО 13-30 ,это моё личное время и мне решать как им распоряжаться, да и по закону....В ОБЩЕМ СУТЬ ВОПРОСА ТАКОВА: ЧТО ЗА БРЕД, ЗАПРЕТ УХОДИТЬ НА ОБЕДЕННЫЙ ПЕРЕРЫВ. у нас не какой-нибудь там завод по производству ядерных боеголовок и даже не ограночный цех на ювелирном заводе, А ОБЫЧНАЯ БАЗА ПО ТОРГОВЛЕ СТРОЙМАТЕРИАЛАМИ. Поясните пожалуйста, по возможности со статьями ТК РФ Заранее благодарен!

Ответ юриста:
Действия неправомерны, регулирует перерывы для отдыха и питания. ч. 1 В течение рабочего дня (смены) работнику должен быть предоставлен перерыв для отдыха и питания продолжительностью не более двух часов и не менее 30 минут, который в рабочее время не включается. ч. 2 Время предоставления перерыва и его конкретная продолжительность устанавливаются правилами внутреннего трудового распорядка или по соглашению между работником и работодателем. Только часть 3 определяет, что на работах, где по условиям производства (работы) предоставление перерыва для отдыха и питания невозможно, работодатель обязан обеспечить работнику возможность отдыха и приема пищи в рабочее время. Перечень таких работ, а также места для отдыха и приема пищи устанавливаются правилами внутреннего трудового распорядка. Условяи производства это например конвейер или доменная печь и иное непрерывное производство

Константин Савостин

согласие на сбор и обработку персональных данных в школе.Украина. Подписывать не хочу. Как поступить И чем мотивировать свой отказ. Чувствую что будут давить-на какие законы ссылаться. Помогите

Ответ юриста:
Сам Закон Украины "О защите персональных данных" () не обязывает Вас давать согласие на сбор и обработку Ваших данных.
П. п. 5, 6 ст. 6 Закона обязывают владельца базы персональных данных осуществлять обработку данных в объемах и в целях, определенных в соглашении с Вами и только с Вашего согласия.
Также, согласно п. п. 2 п. 2 ст. 8 Закона, Вы имеете право требовать информацию об условиях доступа к данным, а также информацию о третьих лицах, имеющих доступ к базе данных.
Кроме того, согласно п. п. 1 п. 1 ст. 11 Закона, с свое соглашение Вы можете внести требование об ограничении права на обработку своих данных. Например, согласно п. 1 ст. 16 Закона, Вы имеете право определить порядок доступа третьих лиц к Вашим данным. А, согласно п. 1 ст. 21 Закона, владелец базы данных обязан уведомлять Вас о передачи Вашей информации третьим лицам, если этого требуют условия соглашения.
Помните, согласно ст. ст. 6, 627 Гражданского кодекса Украины ([ссылка заблокирована по решению администрации проекта]), договорные отношения в Украине являются свободными.

Наталья Белова

кадровикам Украины: нужно ли при приеме на работу брать заявление о согласии на использовании персональных даных?

Ответ юриста:
Безусловно, согласно п. п. 5, 6 ст. 6 Закона Украины "О защите персональных данных" от 01.06.2010 года № 2297-VI ([ссылка заблокирована по решению администрации проекта]).
Более того, согласно п. п. 2 п. 2 ст. 8 Закона, работник имеет право требовать информацию об условиях доступа к данным, а также информацию о третьих лицах, имеющих доступ к базе данных.

Артур Эфиров

Имеет ли право работодатель узнать в милиции о ваших административных нарушениях. Желательно напишите какая статья

Ответ юриста:
Не, есть конкретный вопрос: "Имеет ли право работодатель узнать в милиции... ", а не где можно узнать. При этом не обязательно чтобы по административному еделу было бы исполнительное производство или задолженность. Конкретный ответ: Федеральный закон "О полиции" от 7 февраля 2011 г. N 3-ФЗ: Статья 17. Формирование и ведение банков данных о гражданах 1. Полиция имеет право обрабатывать данные о гражданах, необходимые для выполнения возложенных на нее обязанностей, с последующим внесением полученной информации в банки данных о гражданах (далее - банки данных) . Внесению в банки данных подлежит информация: ....8) о лицах, совершивших административное правонарушение; ....Здесь же: 7. Обработка персональных данных осуществляется в соответствии с требованиями, установленными законодательством Российской Федерации в области персональных данных. Т. е. , смотрим Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" В статье 3 указано, что 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) ; ... 3) обработка персональных данных - любое действие (операция) или совокупность действий (операций) , совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) , извлечение, использование, передачу (распространение, предоставление, доступ) , обезличивание, блокирование, удаление, уничтожение персональных данных; Статья 6 того же закона содержит условия обработки персональных данных, которые указывают, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Остальные условия вроде как не подходят. Отсюда вывод: 1. Вопрос задан некорректно. Работодателю (юр. лицу, физ. лицу) никаким законом не запрещено обращаться с письменными заявлениями в гос. органы и иные органы, юр. лицам, физ. лицам. Другой вопрос, имеют ли право полиция выдввать такую информацию? Ответ: Если Вы давали работодателю согласие на обработку своих персональных данных, то формально он вправе получить (или требовать-как хотите) от полиции такие сведения о Вас. В противном случае - не имеет. При отсутствии такого согласия органы МВД не должны выдавать такие сведения в силу вышеуказанной ст. 17 "О полиции". Данное условие применимо, если Вы состоите в трудовых отношениях с работодателем, а не только устраиваетесь на работу, если при постановке вопроса вы не перепутали эти понятия.

Маргарита Сергеева

Если мой адрес вместе с ФИО в сети, что я могу сделать? В суд подать? Так документ о задолжности. перед Жэу ХЗ в каком лохматом году. А как убрать это оттуда я не знаю. Мои личные данные в сети! Жесть! Если в суд подать данные уберут?

Ответ юриста:
Лучше напишите жалобу в Роскомнадзор. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" Статья 7. Конфиденциальность персональных данных Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Статья 8. 1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги) . В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. 2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных 1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. Статья 17.

Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.

Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данн ых

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных;

2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. Права субъекта персональных данных

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. Обязанности оператора

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 6. Заключительные положения

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент
Российской Федерации
В. Путин

Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных" Петров Михаил Игоревич

Статья 8. Общедоступные источники персональных данных

Общедоступные источники персональных данных

Комментарий к статье 8

1. По смыслу комментируемого Закона общедоступными признаются источники персональных данных, доступ к которым не ограничен и не требует получения предварительного согласия субъектов персональных данных. Общедоступные источники персональных данных могут использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

Создание общедоступных источников персональных данных обусловлено необходимостью информационного обеспечения. Анализ действующего законодательства позволяет отметить, что к числу общедоступных источников персональных данных в настоящее время относятся: справочники, адресные книги, энциклопедии, документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющих общественный интерес или необходимых для реализации прав, свобод и обязанностей граждан. Вместе с тем современная наука и практика пока не сумели выработать эффективных критериев, с помощью которых можно было бы четко различать общедоступные и конфиденциальные сегменты информации.

Создание общедоступных источников персональных данных, в состав которых подлежат включению фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных, осуществляется с обязательного согласия последнего. Кроме того, субъект персональных данных вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.

Использование персональных данных из общедоступных источников предполагает, в свою очередь, исключение возможности извлечения прибыли.

В случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

2. В целях защиты прав и законных интересов субъекта персональных данных законодатель предусматривает возможность отзыва персональных данных, используемых в общедоступных источниках. Их исключение может быть осуществлено как по требованию самого субъекта персональных данных, так и по решению суда или специально уполномоченного государственного органа.

Статья 74-1. Обработка персональных данных с нарушением законодательства о защите персональных данных (1) Несоблюдение требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных влечет наложение штрафа

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.Обработка персональных данных работника

Статья 88. Передача персональных данных работника При передаче персональных данных работника работодатель должен соблюдать следующие требования:не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев,

Статья 5. Принципы обработки персональных данных Комментарий к статье 51. Комментируемой статьей законодатель устанавливает основополагающие начала в работе с персональными данными, сбор и обработка которых осуществляется на законных основаниях. Последние

Статья 6. Условия обработки персональных данных Комментарий к статье 61. Соблюдение принципов обработки персональных данных, представленных предшествующей статьей, не является единственным условием, гарантирующим защищенность прав и законных интересов граждан, чьи

Статья 7. Конфиденциальность персональных данных Комментарий к статье 71. Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием,

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных Комментарий к статье 91. Комментируемая статья определяет порядок, условия и основания получения согласия субъекта персональных данных на их обработку. Законодатель подчеркивает, что

Статья 10. Специальные категории персональных данных Комментарий к статье 101. Комментируемая статья выделяет особые категории персональных данных и устанавливает общий запрет на их обработку. К специальной категории персональных данных относятся сведения, раскрывающие

Статья 12. Трансграничная передача персональных данных Комментарий к статье 121. Законопроект определяет принципы трансграничной передачи персональных данных. Эти принципы гармонизированы с основными международно-правовыми актами в области персональных данных, что

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации Комментарий к статье 151. Комментируемая статья своим содержанием апеллирует к положениям ст.150 ГК

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных Комментарий к статье 161. Комментируемая статья определяет права субъектов персональных данных по отношению к принятию

Статья 22. Уведомление об обработке персональных данных Комментарий к статье 221. Процедура уведомления об обработке персональных данных по смыслу комментируемого Закона выступает одной из гарантий соблюдения прав и законных интересов субъектов персональных данных в

Персональные данные субъекта классифицируются по объему личной информации о человеке и степени важности. Любые операции с ними производятся строго в рамках законодательных актов и подлежат защите. Однако есть категория общедоступных персональных данных, которые несут лишь поверхностную и обезличенную информацию и человеке.

Из этой статьи вы узнаете:

что такое общедоступные персональные данные;
перечень общедоступных персональных данных;
особенности работы с общедоступными персональными данными.

При создании любой базы данных, в том числе перечня всех работников предприятия, на начальном этапе необходимо распределить на категории персональные данные. Все персональные данные сотрудников разбиваются на две группы – общедоступные и конфиденциальные.

Понятие и классификация персональных данных

Персональные данные (ПДн) – это различные виды информации, от полного имени, даты рождения, семейного и социального положения, до регистрационных номеров документов, выданных государственными органами и коммерческими инстанциями. Оператором персональным данных выступает государственная, федеральная, коммерческая структура, юридическое или физическое лицо, имеющие права на выполнение различных мероприятий с использованием персональных данных.

В трудовых отношениях обладателем/субъектом персональных данных является работник, а оператором работодатель, кадровый и бухгалтерский отдел, занимающиеся оформлением сотрудника на работу и всеми вопросами, связанными с личными делами и правовыми соотношениями, начислением заработной платы, пособий, компенсаций и т.п. ПДн субъекта необходимы работодателю для связи их с трудовыми отношениями/соглашениями (ст. 85, 86 ТК РФ).

Под обработкой персональных данных подразумеваются различные операции, предусмотренные законодательством Российской Федерации. К видам обработки ПДн относится сбор, систематизация, накопление, хранение, обновление, использование, обезличивание, уничтожение, которые производятся по установленным нормативными актами процедурам. Осуществлять операции с ПДн могут государственные, федеральные, муниципальные органы и организации, имеющие такое право по статусу.

Все ПДн разделяются на такие разделы:

Специальные персональные данные;
Биометрические персональные данные.

При формировании информационных систем персональных данных (ИСПД) рекомендуется руководствоваться Приказом ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ № 55/86/20 от 13. 02. 2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Согласно этому нормативному акту ПДн распределяются на категории:

Категория 1 – специальные данные, определяющие расовую и национальную принадлежность, религиозные и политические убеждения, факты личной жизни и состояния здоровья.
Категория 2 – данные, которые дают возможность идентифицировать субъекта и получить о нем дополнительную информацию за исключением факторов, относящихся к категории 1. К этому разделу относятся ФИО, домашний адрес, данные паспорта, серийные номера документов (мед. полис, пенсионное удостоверение, СНИЛС, ИНН), информация трудовой и медицинской книжки.
Категория 3 – данные, позволяющие идентифицировать субъекта (имя, фамилия, дата рождения).
Категория 4 – обезличенные или общедоступные персональные данные, по которым невозможно идентифицировать субъекта.

Общедоступные персональные данные: перечень

К перечню общедоступных персональных данных можно отнести такие факторы, которые не несут информацию, позволяющую идентифицировать личность человека по базе данных. К обезличенным данным относятся:

Имя, имя и отчество;
Ник/логин субъекта в интернете;
Электронный адрес (без привязки к ФИО);
Должность, место работы (без сведений о личных данных).

К общедоступным данным относятся сведения о субъекте, которую можно получить в открытых источниках информации, например, в телефонном справочнике или адресной книге. В такие общедоступные базы данные вносятся с письменного согласия субъекта.

Общедоступные персональные данные: особенности

Особенность общедоступных персональных данных заключается в том, что они могут быть размещены в открытых источниках информации. То есть, если в справочнике контактов организации указаны контактные данные должностных лиц, например, занимающихся обучением и наймом персонала, то такие данные считаются общедоступными. Когда в печатном издании указаны имена и фамилии членов редакции, то эта информация тоже относится к общедоступной.

К особенности общедоступных данных, которая позволяет правильно их классифицировать, можно отнести такой фактор – первые три категории в той или иной степени необходимы для внесения субъекта в ИСПД, а четвертая категория остается вне требований информационных систем. Если о человеке из всех данных известны лишь имя и место работы, то такие сведения являются общедоступными.

При систематизации данных потребуется более точная информация, которую можно получить лишь с письменного согласия субъекта на обработку персональных данных. При этом оператор берет на себя обязанность о защите и соблюдении законодательно установленных правил обработки и хранения персональных данных.

«Персона» — данные, которые касаются человека, личности, биологического организма.

Что такое, как собирать, где хранить, как защитить?

Дактилоскопическая карта – это персональные данные или нет?

В ней нет данных о личности.

персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Адрес – это регистрация по месту жительства или месту пребывания.

Условная классификация персональных данных.

1) по степени открытости:

общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Общедоступные персональные данные – это данные, на которые дается добровольное согласие и размещаются в открытом доступе.

Часто некоторые владельцы сайтов запрашивают информацию для регистрации, которую не хочется предоставлять.

Конфиденциальная информация – информация предоставляется строго в определенных целях. Иногда может быть собрана без ведома лица.

В МВД хранится информация в информационных центрах

2) по принадлежности

— личные – принадлежат от рождения

— служебные – в ходе работы, службы – классный чин, и т.п.

3) по способу предоставления

— добровольно предоставленная информация

— предоставленная в общем порядке в соответствии с законодательством (принудительно)

— собранные без согласия гражданина в соответствии с законодательством

4) по характеру данные

— биометрические (дактилоскопическая информация)

Основные понятия, используемые при работе с персональными данными.

— обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

— распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

— использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

— блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

Размещенную в Интернете информацию часто нельзя заблокировать.

Большинство персональных данных:

— хранятся на компьютере

— размещаются в Интернете

Проконтролировать размещение тяжело

— уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных; — ситуации, когда горели архивы

обезличивание персональных данных

— обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

— информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

— конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

— трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

— общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Обработка персональных данных.

1) законности целей и способов обработки персональных данных и добросовестности;

Если когда-то кто-то заполнил дактилоскопическую карту, то она есть в информационном центре в их базах данных. Мы не можем, например, объединить базы данных об обычных гражданах и лицах, совершивших преступление.

1) с согласия владельца персональных данных

2) без согласия владельца персональных данных.

Это относится к лицам, занимающим определенное положение и должность: военнослужащие, трупы

Конфиденциальность персональных данных:

Когда не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

— оператором, который осуществляет сбор и обработку персональных данных.

— ограничить доступ внутри собственной организации

Оператор несет персональную ответственность за распространение персональных данных

— установление ограничения доступа как в помещении, так и в сети (пропускная система, система карточной идентификации)

Для локальных сетей – система login+ пароль

Можно ограничить доступ по биометрической информации: отпечаток пальца, сетчатка глаза.

— о расовой принадлежности

— о политических взглядах

— о религиозных или философских убеждениях

— о состоянии здоровья

— об интимной жизни

Их обработка возможна только с согласия субъектов.

1) наличие письменного согласия субъекта на их обработку

2) если субъект персональных данных сделал их общедоступными

3) если данная информация относится к информации, необходимой для защиты жизни, здоровья и иных жизненно важных интересов лица

Такая информация может предоставляться в медико-профилактических целях – например, вирусная инфекция.

Особенность обработки персональных данных в государственных или муниципальных информационных системах обработки персональных данных.

— касается только государственных служащих и муниципальных служащих.

Государственный орган обладает собственным статусом, есть самостоятельные системы обработки информации о государственных или муниципальных служащих.

1) установлено, какая информация нужна в пределах своей компетенции

2) есть ещё ФЗ «О государственной гражданской службе», то есть регулируется не только законодательством о персональных данных.

Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, кроме следующих случаев:

1) совершение преступления

Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

— сбор информации с подозреваемого является незаконным

Обработка трансграничной информации.

Можно требовать в целях защиты граждан той страны, куда передается, собирается только с письменного согласия субъекта.

Права субъекта персональных данных.

1) Право субъекта персональных данных на доступ к своим персональным данным

Нельзя звонить в информационный центр МВД (главный информационный центр и зональный информационный центр)

2) Права субъектов персональных данных на обработку их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

Достоверность информации будет проверяться другими лицами.

3) принятие решений на основании исключительно автоматизированной обработки персональных данных. Человек может не доверять автоматизированной обработке. Можно требовать, чтобы следы пальцев хранились не только в компьютере, но и на бумаге.

— ТрудК РФ – есть глава, посвященная персональным данным.

ФЕДЕРАЛЬНЫЙ ЗАКОН О ГОСУДАРСТВЕННОЙ ДАКТИЛОСКОПИЧЕСКОЙ РЕГИСТРАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ от 25 июля 1998 года N 128-ФЗ

Общедоступные персональные данные это

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу , в том числе:

Его фамилия, имя, отчество,

Год, месяц, дата и место рождения,

Адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,

— другая информация (см. ФЗ-152 , ст.3).

Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152 , ст.8).

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Что такое оператор и субъект персональных данных?

Оператор персональных данных — это, как правило, организация, а точнее - государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Субъект персональных данных — это физическое лицо.

Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.

Как классифицировать информационную систему персональных данных?

Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:

II. Определить объем персональных данных, обрабатываемых в информационной системе:

объем 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации;

объем 2 от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

объем 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

III. По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.):

Класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;

Класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

Класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

Класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Судный день отсрочен до 1 января 2011 года

Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).

Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность .

Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.

Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.

Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

Обязательные требования по защите информационных систем персональных данных

Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:

Для ИСПДн класса 4:

Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)

Для ИСПДн класса 3:

Декларирование соответствия или

Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)

Для ИСПДн класса 2:

Обязательная аттестация по требованиям безопасности информации

Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем

Для ИСПДн класса 1:

Обязательная аттестация по требованиям безопасности информации

Должны быть реализованы мероприятия по защите персональных данных от ПЭМИН

Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Порядок действий по защите информационной системы персональных данных

Последовательность действий при выполнении требований законодательства по обработке персональных данных:

1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;

2) Предпроектное обследование информационной системы - сбор исходных данных;

3) Классификация системы обработки персональных данных;

4) Построение частной модели угроз с целью определения их актуальности для информационной системы;

5) Разработка частного технического задания на систему защиты персональных данных;

6) Проектирование системы защиты персональных данных;

Ответственность за нарушения по обработке персональных данных

Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:

— уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),

Административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)

и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).

ФСТЭК - Федеральная служба по техническому и экспортному контролю.

ПЭМИН - Побочные Электромагнитные Излучения и Наводки

Защита персональных данных

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступит в силу с 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

своевременного обнаружения несанкционированного доступа к ПДн;
недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

Обработка ИСПДн также может осуществляться по параметру «объем обрабатываемых персональных данных», который предполагает количество субъектов, обрабатываемых в информационной системе, и может принимать следующие значения:

одновременная обработка более чем 100 тысяч субъектов ПДн (выполняется как в пределах субъекта РФ, так и в РФ в целом);
одновременная обработка ПДн от 1 до 100 тысяч субъектов (выполняется в органе гос.власти, работающих в области экономики РФ);
одновременная обработка ПДн менее чем 1 тысячи субъектов (выполняется в пределах конкретной организации).

Разделение на категории позволяет не только определить класс ИСПДн, но и установить комплекс мер по обеспечению безопасности и защиты персональных данных в интернете, при обработке в инфосистемах.

Персональные данные работника

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
определение личного представителя для защиты своих персональных данных;
получение полной информации о ПДн и их обработке;
выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п.2 ст.86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

Документы, которые предоставляются работником при заключении трудового договора (ст.65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст.150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 300 до 500 рублей — для физических лиц; от 500 до 1000 рублей — должностных лиц, от 5 до 10 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
лишения права занимать определенные должности на срок от 2 до 5 лет;
ареста на срок от 4 до 6 месяцев.