При­нят Госу­дар­ствен­ной Думой 8 июля 2006 года
Одоб­рен Сове­том Феде­ра­ции 14 июля 2006 года

Гла­ва 1. Общие поло­же­ния

Ста­тья 1. Сфе­ра дей­ствия насто­я­ще­го Феде­раль­но­го зако­на

1. Насто­я­щим Феде­раль­ным зако­ном регу­ли­ру­ют­ся отно­ше­ния, свя­зан­ные с обра­бот­кой пер­со­наль­ных дан­ных, осу­ществ­ля­е­мой феде­раль­ны­ми орга­на­ми госу­дар­ствен­ной вла­сти, орга­на­ми госу­дар­ствен­ной вла­сти субъ­ек­тов Рос­сий­ской Феде­ра­ции, ины­ми госу­дар­ствен­ны­ми орга­на­ми (далее — госу­дар­ствен­ные орга­ны), орга­на­ми мест­но­го само­управ­ле­ния, не вхо­дя­щи­ми в систе­му орга­нов мест­но­го само­управ­ле­ния муни­ци­паль­ны­ми орга­на­ми (далее — муни­ци­паль­ные орга­ны), юри­ди­че­ски­ми лица­ми, физи­че­ски­ми лица­ми с исполь­зо­ва­ни­ем средств авто­ма­ти­за­ции или без исполь­зо­ва­ния таких средств, если обра­бот­ка пер­со­наль­ных дан­ных без исполь­зо­ва­ния таких средств соот­вет­ству­ет харак­те­ру дей­ствий (опе­ра­ций), совер­ша­е­мых с пер­со­наль­ны­ми дан­ны­ми с исполь­зо­ва­ни­ем средств авто­ма­ти­за­ции.

2. Дей­ствие насто­я­ще­го Феде­раль­но­го зако­на не рас­про­стра­ня­ет­ся на отно­ше­ния, воз­ни­ка­ю­щие при:

1) обра­бот­ке пер­со­наль­ных дан­ных физи­че­ски­ми лица­ми исклю­чи­тель­но для лич­ных и семей­ных нужд, если при этом не нару­ша­ют­ся пра­ва субъ­ек­тов пер­со­наль­ных дан­ных;

2) орга­ни­за­ции хра­не­ния, ком­плек­то­ва­ния, уче­та и исполь­зо­ва­ния содер­жа­щих пер­со­наль­ные дан­ные доку­мен­тов Архив­но­го фон­да Рос­сий­ской Феде­ра­ции и дру­гих архив­ных доку­мен­тов в соот­вет­ствии с зако­но­да­тель­ством об архив­ном деле в Рос­сий­ской Феде­ра­ции;

3) обра­бот­ке под­ле­жа­щих вклю­че­нию в еди­ный госу­дар­ствен­ный реестр инди­ви­ду­аль­ных пред­при­ни­ма­те­лей све­де­ний о физи­че­ских лицах, если такая обра­бот­ка осу­ществ­ля­ет­ся в соот­вет­ствии с зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции в свя­зи с дея­тель­но­стью физи­че­ско­го лица в каче­стве инди­ви­ду­аль­но­го пред­при­ни­ма­те­ля;

4) обра­бот­ке пер­со­наль­ных дан­ных, отне­сен­ных в уста­нов­лен­ном поряд­ке к све­де­ни­ям, состав­ля­ю­щим госу­дар­ствен­ную тай­ну.

Ста­тья 2. Цель насто­я­ще­го Феде­раль­но­го зако­на

Целью насто­я­ще­го Феде­раль­но­го зако­на явля­ет­ся обес­пе­че­ние защи­ты прав и сво­бод чело­ве­ка и граж­да­ни­на при обра­бот­ке его пер­со­наль­ных дан­ных, в том чис­ле защи­ты прав на непри­кос­но­вен­ность част­ной жиз­ни, лич­ную и семей­ную тай­ну.

Ста­тья 3. Основ­ные поня­тия, исполь­зу­е­мые в насто­я­щем Феде­раль­ном законе

В целях насто­я­ще­го Феде­раль­но­го зако­на исполь­зу­ют­ся сле­ду­ю­щие основ­ные поня­тия:

1) пер­со­наль­ные дан­ные — любая инфор­ма­ция, отно­ся­ща­я­ся к опре­де­лен­но­му или опре­де­ля­е­мо­му на осно­ва­нии такой инфор­ма­ции физи­че­ско­му лицу (субъ­ек­ту пер­со­наль­ных дан­ных), в том чис­ле его фами­лия, имя, отче­ство, год, месяц, дата и место рож­де­ния, адрес, семей­ное, соци­аль­ное, иму­ще­ствен­ное поло­же­ние, обра­зо­ва­ние, про­фес­сия, дохо­ды, дру­гая инфор­ма­ция;

2) опе­ра­тор — госу­дар­ствен­ный орган, муни­ци­паль­ный орган, юри­ди­че­ское или физи­че­ское лицо, орга­ни­зу­ю­щие и (или) осу­ществ­ля­ю­щие обра­бот­ку пер­со­наль­ных дан­ных, а так­же опре­де­ля­ю­щие цели и содер­жа­ние обра­бот­ки пер­со­наль­ных дан­ных;

3) обра­бот­ка пер­со­наль­ных дан­ных — дей­ствия (опе­ра­ции) с пер­со­наль­ны­ми дан­ны­ми, вклю­чая сбор, систе­ма­ти­за­цию, накоп­ле­ние, хра­не­ние, уточ­не­ние (обнов­ле­ние, изме­не­ние), исполь­зо­ва­ние, рас­про­стра­не­ние (в том чис­ле пере­да­чу), обез­ли­чи­ва­ние, бло­ки­ро­ва­ние, уни­что­же­ние пер­со­наль­ных дан­ных;

4) рас­про­стра­не­ние пер­со­наль­ных дан­ных — дей­ствия, направ­лен­ные на пере­да­чу пер­со­наль­ных дан­ных опре­де­лен­но­му кру­гу лиц (пере­да­ча пер­со­наль­ных дан­ных) или на озна­ком­ле­ние с пер­со­наль­ны­ми дан­ны­ми неогра­ни­чен­но­го кру­га лиц, в том чис­ле обна­ро­до­ва­ние пер­со­наль­ных дан­ных в сред­ствах мас­со­вой инфор­ма­ции, раз­ме­ще­ние в инфор­ма­ци­он­но-теле­ком­му­ни­ка­ци­он­ных сетях или предо­став­ле­ние досту­па к пер­со­наль­ным дан­ным каким-либо иным спо­со­бом;

5) исполь­зо­ва­ние пер­со­наль­ных дан­ных — дей­ствия (опе­ра­ции) с пер­со­наль­ны­ми дан­ны­ми, совер­ша­е­мые опе­ра­то­ром в целях при­ня­тия реше­ний или совер­ше­ния иных дей­ствий, порож­да­ю­щих юри­ди­че­ские послед­ствия в отно­ше­нии субъ­ек­та пер­со­наль­ных дан­ных или дру­гих лиц либо иным обра­зом затра­ги­ва­ю­щих пра­ва и сво­бо­ды субъ­ек­та пер­со­наль­ных дан­ных или дру­гих лиц;

6) бло­ки­ро­ва­ние пер­со­наль­ных дан­ных — вре­мен­ное пре­кра­ще­ние сбо­ра, систе­ма­ти­за­ции, накоп­ле­ния, исполь­зо­ва­ния, рас­про­стра­не­ния пер­со­наль­ных дан­ных, в том чис­ле их пере­да­чи;

7) уни­что­же­ние пер­со­наль­ных дан­ных — дей­ствия, в резуль­та­те кото­рых невоз­мож­но вос­ста­но­вить содер­жа­ние пер­со­наль­ных дан­ных в инфор­ма­ци­он­ной систе­ме пер­со­наль­ных дан­ных или в резуль­та­те кото­рых уни­что­жа­ют­ся мате­ри­аль­ные носи­те­ли пер­со­наль­ных дан­ных;

8) обез­ли­чи­ва­ние пер­со­наль­ных дан­ных — дей­ствия, в резуль­та­те кото­рых невоз­мож­но опре­де­лить при­над­леж­ность пер­со­наль­ных дан­ных кон­крет­но­му субъ­ек­ту пер­со­наль­ных дан­ных;

9) инфор­ма­ци­он­ная систе­ма пер­со­наль­ных дан­ных — инфор­ма­ци­он­ная систе­ма, пред­став­ля­ю­щая собой сово­куп­ность пер­со­наль­ных дан­ных, содер­жа­щих­ся в базе дан­ных, а так­же инфор­ма­ци­он­ных тех­но­ло­гий и тех­ни­че­ских средств, поз­во­ля­ю­щих осу­ществ­лять обра­бот­ку таких пер­со­наль­ных дан­ных с исполь­зо­ва­ни­ем средств авто­ма­ти­за­ции или без исполь­зо­ва­ния таких средств;

10) кон­фи­ден­ци­аль­ность пер­со­наль­ных дан­ных — обя­за­тель­ное для соблю­де­ния опе­ра­то­ром или иным полу­чив­шим доступ к пер­со­наль­ным дан­ным лицом тре­бо­ва­ние не допус­кать их рас­про­стра­не­ние без согла­сия субъ­ек­та пер­со­наль­ных дан­ных или нали­чия ино­го закон­но­го осно­ва­ния;

11) транс­гра­нич­ная пере­да­ча пер­со­наль­ных дан­ных — пере­да­ча пер­со­наль­ных дан­ных опе­ра­то­ром через Госу­дар­ствен­ную гра­ни­цу Рос­сий­ской Феде­ра­ции орга­ну вла­сти ино­стран­но­го госу­дар­ства, физи­че­ско­му или юри­ди­че­ско­му лицу ино­стран­но­го госу­дар­ства;

12) обще­до­ступ­ные пер­со­наль­ные дан­ные — пер­со­наль­ные дан­ные, доступ неогра­ни­чен­но­го кру­га лиц к кото­рым предо­став­лен с согла­сия субъ­ек­та пер­со­наль­ных дан­ных или на кото­рые в соот­вет­ствии с феде­раль­ны­ми зако­на­ми не рас­про­стра­ня­ет­ся тре­бо­ва­ние соблю­де­ния кон­фи­ден­ци­аль­но­сти.

Ста­тья 4. Зако­но­да­тель­ство Рос­сий­ской Феде­ра­ции в обла­сти пер­со­наль­ных дан­ных

1. Зако­но­да­тель­ство Рос­сий­ской Феде­ра­ции в обла­сти пер­со­наль­ных дан­ных осно­вы­ва­ет­ся на Кон­сти­ту­ции Рос­сий­ской Феде­ра­ции и меж­ду­на­род­ных дого­во­рах Рос­сий­ской Феде­ра­ции и состо­ит из насто­я­ще­го Феде­раль­но­го зако­на и дру­гих опре­де­ля­ю­щих слу­чаи и осо­бен­но­сти обра­бот­ки пер­со­наль­ных дан­ных феде­раль­ных зако­нов.

2. На осно­ва­нии и во испол­не­ние феде­раль­ных зако­нов госу­дар­ствен­ные орга­ны в пре­де­лах сво­их пол­но­мо­чий могут при­ни­мать нор­ма­тив­ные пра­во­вые акты по отдель­ным вопро­сам, каса­ю­щим­ся обра­бот­ки пер­со­наль­ных дан­ных. Нор­ма­тив­ные пра­во­вые акты по отдель­ным вопро­сам, каса­ю­щим­ся обра­бот­ки пер­со­наль­ных дан­ных, не могут содер­жать поло­же­ния, огра­ни­чи­ва­ю­щие пра­ва субъ­ек­тов пер­со­наль­ных дан­ных.

Ука­зан­ные нор­ма­тив­ные пра­во­вые акты под­ле­жат офи­ци­аль­но­му опуб­ли­ко­ва­нию, за исклю­че­ни­ем нор­ма­тив­ных пра­во­вых актов или отдель­ных поло­же­ний таких нор­ма­тив­ных пра­во­вых актов, содер­жа­щих све­де­ния, доступ к кото­рым огра­ни­чен феде­раль­ны­ми зако­на­ми.

3. Осо­бен­но­сти обра­бот­ки пер­со­наль­ных дан­ных, осу­ществ­ля­е­мой без исполь­зо­ва­ния средств авто­ма­ти­за­ции, могут быть уста­нов­ле­ны феде­раль­ны­ми зако­на­ми и ины­ми нор­ма­тив­ны­ми пра­во­вы­ми акта­ми Рос­сий­ской Феде­ра­ции с уче­том поло­же­ний насто­я­ще­го Феде­раль­но­го зако­на.

4. Если меж­ду­на­род­ным дого­во­ром Рос­сий­ской Феде­ра­ции уста­нов­ле­ны иные пра­ви­ла, чем те, кото­рые преду­смот­ре­ны насто­я­щим Феде­раль­ным зако­ном, при­ме­ня­ют­ся пра­ви­ла меж­ду­на­род­но­го дого­во­ра.

Гла­ва 2. Прин­ци­пы и усло­вия обра­бот­ки пер­со­наль­ных дан­ных

Ста­тья 5. Прин­ци­пы обра­бот­ки пер­со­наль­ных дан­ных

1. Обра­бот­ка пер­со­наль­ных дан­ных долж­на осу­ществ­лять­ся на осно­ве прин­ци­пов:

1) закон­но­сти целей и спо­со­бов обра­бот­ки пер­со­наль­ных дан­ных и доб­ро­со­вест­но­сти;

2) соот­вет­ствия целей обра­бот­ки пер­со­наль­ных дан­ных целям, зара­нее опре­де­лен­ным и заяв­лен­ным при сбо­ре пер­со­наль­ных дан­ных, а так­же пол­но­мо­чи­ям опе­ра­то­ра;

3) соот­вет­ствия объ­е­ма и харак­те­ра обра­ба­ты­ва­е­мых пер­со­наль­ных дан­ных, спо­со­бов обра­бот­ки пер­со­наль­ных дан­ных целям обра­бот­ки пер­со­наль­ных дан­ных;

4) досто­вер­но­сти пер­со­наль­ных дан­ных, их доста­точ­но­сти для целей обра­бот­ки, недо­пу­сти­мо­сти обра­бот­ки пер­со­наль­ных дан­ных, избы­точ­ных по отно­ше­нию к целям, заяв­лен­ным при сбо­ре пер­со­наль­ных дан­ных;

5) недо­пу­сти­мо­сти объ­еди­не­ния создан­ных для несов­ме­сти­мых меж­ду собой целей баз дан­ных инфор­ма­ци­он­ных систем пер­со­наль­ных дан­ных.

2. Хра­не­ние пер­со­наль­ных дан­ных долж­но осу­ществ­лять­ся в фор­ме, поз­во­ля­ю­щей опре­де­лить субъ­ек­та пер­со­наль­ных дан­ных, не доль­ше, чем это­го тре­бу­ют цели их обра­бот­ки, и они под­ле­жат уни­что­же­нию по дости­же­нии целей обра­бот­ки или в слу­чае утра­ты необ­хо­ди­мо­сти в их дости­же­нии.

Ста­тья 6. Усло­вия обра­бот­ки пер­со­наль­ных дан­ных

1. Обра­бот­ка пер­со­наль­ных дан­ных может осу­ществ­лять­ся опе­ра­то­ром с согла­сия субъ­ек­тов пер­со­наль­ных дан­ных, за исклю­че­ни­ем слу­ча­ев, преду­смот­рен­ных частью 2 насто­я­щей ста­тьи.

2. Согла­сие субъ­ек­та пер­со­наль­ных дан­ных, преду­смот­рен­ное частью 1 насто­я­щей ста­тьи, не тре­бу­ет­ся в сле­ду­ю­щих слу­ча­ях:

1) обра­бот­ка пер­со­наль­ных дан­ных осу­ществ­ля­ет­ся на осно­ва­нии феде­раль­но­го зако­на, уста­нав­ли­ва­ю­ще­го ее цель, усло­вия полу­че­ния пер­со­наль­ных дан­ных и круг субъ­ек­тов, пер­со­наль­ные дан­ные кото­рых под­ле­жат обра­бот­ке, а так­же опре­де­ля­ю­ще­го пол­но­мо­чия опе­ра­то­ра;

2) обра­бот­ка пер­со­наль­ных дан­ных осу­ществ­ля­ет­ся в целях испол­не­ния дого­во­ра, одной из сто­рон кото­ро­го явля­ет­ся субъ­ект пер­со­наль­ных дан­ных;

3) обра­бот­ка пер­со­наль­ных дан­ных осу­ществ­ля­ет­ся для ста­ти­сти­че­ских или иных науч­ных целей при усло­вии обя­за­тель­но­го обез­ли­чи­ва­ния пер­со­наль­ных дан­ных;

4) обра­бот­ка пер­со­наль­ных дан­ных необ­хо­ди­ма для защи­ты жиз­ни, здо­ро­вья или иных жиз­нен­но важ­ных инте­ре­сов субъ­ек­та пер­со­наль­ных дан­ных, если полу­че­ние согла­сия субъ­ек­та пер­со­наль­ных дан­ных невоз­мож­но;

5) обра­бот­ка пер­со­наль­ных дан­ных необ­хо­ди­ма для достав­ки поч­то­вых отправ­ле­ний орга­ни­за­ци­я­ми поч­то­вой свя­зи, для осу­ществ­ле­ния опе­ра­то­ра­ми элек­тро­свя­зи рас­че­тов с поль­зо­ва­те­ля­ми услуг свя­зи за ока­зан­ные услу­ги свя­зи, а так­же для рас­смот­ре­ния пре­тен­зий поль­зо­ва­те­лей услу­га­ми свя­зи;

6) обра­бот­ка пер­со­наль­ных дан­ных осу­ществ­ля­ет­ся в целях про­фес­си­о­наль­ной дея­тель­но­сти жур­на­ли­ста либо в целях науч­ной, лите­ра­тур­ной или иной твор­че­ской дея­тель­но­сти при усло­вии, что при этом не нару­ша­ют­ся пра­ва и сво­бо­ды субъ­ек­та пер­со­наль­ных дан­ных;

7) осу­ществ­ля­ет­ся обра­бот­ка пер­со­наль­ных дан­ных, под­ле­жа­щих опуб­ли­ко­ва­нию в соот­вет­ствии с феде­раль­ны­ми зако­на­ми, в том чис­ле пер­со­наль­ных дан­ных лиц, заме­ща­ю­щих госу­дар­ствен­ные долж­но­сти, долж­но­сти госу­дар­ствен­ной граж­дан­ской служ­бы, пер­со­наль­ных дан­ных кан­ди­да­тов на выбор­ные госу­дар­ствен­ные или муни­ци­паль­ные долж­но­сти.

3. Осо­бен­но­сти обра­бот­ки спе­ци­аль­ных кате­го­рий пер­со­наль­ных дан­ных, а так­же био­мет­ри­че­ских пер­со­наль­ных дан­ных уста­нав­ли­ва­ют­ся соот­вет­ствен­но ста­тья­ми 10 и 11 насто­я­ще­го Феде­раль­но­го зако­на.

4. В слу­чае, если опе­ра­тор на осно­ва­нии дого­во­ра пору­ча­ет обра­бот­ку пер­со­наль­ных дан­ных дру­го­му лицу, суще­ствен­ным усло­ви­ем дого­во­ра явля­ет­ся обя­зан­ность обес­пе­че­ния ука­зан­ным лицом кон­фи­ден­ци­аль­но­сти пер­со­наль­ных дан­ных и без­опас­но­сти пер­со­наль­ных дан­ных при их обра­бот­ке.

Ста­тья 7. Кон­фи­ден­ци­аль­ность пер­со­наль­ных дан­ных

1. Опе­ра­то­ра­ми и тре­тьи­ми лица­ми, полу­ча­ю­щи­ми доступ к пер­со­наль­ным дан­ным, долж­на обес­пе­чи­вать­ся кон­фи­ден­ци­аль­ность таких дан­ных, за исклю­че­ни­ем слу­ча­ев, преду­смот­рен­ных частью 2 насто­я­щей ста­тьи.

2. Обес­пе­че­ние кон­фи­ден­ци­аль­но­сти пер­со­наль­ных дан­ных не тре­бу­ет­ся:

1) в слу­чае обез­ли­чи­ва­ния пер­со­наль­ных дан­ных;

2) в отно­ше­нии обще­до­ступ­ных пер­со­наль­ных дан­ных.

Ста­тья 8. Обще­до­ступ­ные источ­ни­ки пер­со­наль­ных дан­ных

1. В целях инфор­ма­ци­он­но­го обес­пе­че­ния могут созда­вать­ся обще­до­ступ­ные источ­ни­ки пер­со­наль­ных дан­ных (в том чис­ле спра­воч­ни­ки, адрес­ные кни­ги). В обще­до­ступ­ные источ­ни­ки пер­со­наль­ных дан­ных с пись­мен­но­го согла­сия субъ­ек­та пер­со­наль­ных дан­ных могут вклю­чать­ся его фами­лия, имя, отче­ство, год и место рож­де­ния, адрес, або­нент­ский номер, све­де­ния о про­фес­сии и иные пер­со­наль­ные дан­ные, предо­став­лен­ные субъ­ек­том пер­со­наль­ных дан­ных.

2. Све­де­ния о субъ­ек­те пер­со­наль­ных дан­ных могут быть в любое вре­мя исклю­че­ны из обще­до­ступ­ных источ­ни­ков пер­со­наль­ных дан­ных по тре­бо­ва­нию субъ­ек­та пер­со­наль­ных дан­ных либо по реше­нию суда или иных упол­но­мо­чен­ных госу­дар­ствен­ных орга­нов.

Ста­тья 9. Согла­сие субъ­ек­та пер­со­наль­ных дан­ных на обра­бот­ку сво­их пер­со­наль­ных дан­ных

1. Субъ­ект пер­со­наль­ных дан­ных при­ни­ма­ет реше­ние о предо­став­ле­нии сво­их пер­со­наль­ных дан­ных и дает согла­сие на их обра­бот­ку сво­ей волей и в сво­ем инте­ре­се, за исклю­че­ни­ем слу­ча­ев, преду­смот­рен­ных частью 2 насто­я­щей ста­тьи. Согла­сие на обра­бот­ку пер­со­наль­ных дан­ных может быть ото­зва­но субъ­ек­том пер­со­наль­ных дан­ных.

2. Насто­я­щим Феде­раль­ным зако­ном и дру­ги­ми феде­раль­ны­ми зако­на­ми преду­смат­ри­ва­ют­ся слу­чаи обя­за­тель­но­го предо­став­ле­ния субъ­ек­том пер­со­наль­ных дан­ных сво­их пер­со­наль­ных дан­ных в целях защи­ты основ кон­сти­ту­ци­он­но­го строя, нрав­ствен­но­сти, здо­ро­вья, прав и закон­ных инте­ре­сов дру­гих лиц, обес­пе­че­ния обо­ро­ны стра­ны и без­опас­но­сти госу­дар­ства.

3. Обя­зан­ность предо­ста­вить дока­за­тель­ство полу­че­ния согла­сия субъ­ек­та пер­со­наль­ных дан­ных на обра­бот­ку его пер­со­наль­ных дан­ных, а в слу­чае обра­бот­ки обще­до­ступ­ных пер­со­наль­ных дан­ных обя­зан­ность дока­зы­ва­ния того, что обра­ба­ты­ва­е­мые пер­со­наль­ные дан­ные явля­ют­ся обще­до­ступ­ны­ми, воз­ла­га­ет­ся на опе­ра­то­ра.

4. В слу­ча­ях, преду­смот­рен­ных насто­я­щим Феде­раль­ным зако­ном, обра­бот­ка пер­со­наль­ных дан­ных осу­ществ­ля­ет­ся толь­ко с согла­сия в пись­мен­ной фор­ме субъ­ек­та пер­со­наль­ных дан­ных. Пись­мен­ное согла­сие субъ­ек­та пер­со­наль­ных дан­ных на обра­бот­ку сво­их пер­со­наль­ных дан­ных долж­но вклю­чать в себя:

1) фами­лию, имя, отче­ство, адрес субъ­ек­та пер­со­наль­ных дан­ных, номер основ­но­го доку­мен­та, удо­сто­ве­ря­ю­ще­го его лич­ность, све­де­ния о дате выда­чи ука­зан­но­го доку­мен­та и выдав­шем его органе;

2) наиме­но­ва­ние (фами­лию, имя, отче­ство) и адрес опе­ра­то­ра, полу­ча­ю­ще­го согла­сие субъ­ек­та пер­со­наль­ных дан­ных;

3) цель обра­бот­ки пер­со­наль­ных дан­ных;

4) пере­чень пер­со­наль­ных дан­ных, на обра­бот­ку кото­рых дает­ся согла­сие субъ­ек­та пер­со­наль­ных дан­ных;

5) пере­чень дей­ствий с пер­со­наль­ны­ми дан­ны­ми, на совер­ше­ние кото­рых дает­ся согла­сие, общее опи­са­ние исполь­зу­е­мых опе­ра­то­ром спо­со­бов обра­бот­ки пер­со­наль­ных дан­ных;

6) срок, в тече­ние кото­ро­го дей­ству­ет согла­сие, а так­же поря­док его отзы­ва.

5. Для обра­бот­ки пер­со­наль­ных дан­ных, содер­жа­щих­ся в согла­сии в пись­мен­ной фор­ме субъ­ек­та на обра­бот­ку его пер­со­наль­ных дан­ных, допол­ни­тель­ное согла­сие не тре­бу­ет­ся.

6. В слу­чае недее­спо­соб­но­сти субъ­ек­та пер­со­наль­ных дан­ных согла­сие на обра­бот­ку его пер­со­наль­ных дан­ных дает в пись­мен­ной фор­ме закон­ный пред­ста­ви­тель субъ­ек­та пер­со­наль­ных дан­ных.

7. В слу­чае смер­ти субъ­ек­та пер­со­наль­ных дан­ных согла­сие на обра­бот­ку его пер­со­наль­ных дан­ных дают в пись­мен­ной фор­ме наслед­ни­ки субъ­ек­та пер­со­наль­ных дан­ных, если такое согла­сие не было дано субъ­ек­том пер­со­наль­ных дан­ных при его жиз­ни.

Ста­тья 10. Спе­ци­аль­ные кате­го­рии пер­со­наль­ных дан­ных

1. Обра­бот­ка спе­ци­аль­ных кате­го­рий пер­со­наль­ных дан­ных, каса­ю­щих­ся расо­вой, наци­о­наль­ной при­над­леж­но­сти, поли­ти­че­ских взгля­дов, рели­ги­оз­ных или фило­соф­ских убеж­де­ний, состо­я­ния здо­ро­вья, интим­ной жиз­ни, не допус­ка­ет­ся, за исклю­че­ни­ем слу­ча­ев, преду­смот­рен­ных частью 2 насто­я­щей ста­тьи.

2. Обра­бот­ка ука­зан­ных в части 1 насто­я­щей ста­тьи спе­ци­аль­ных кате­го­рий пер­со­наль­ных дан­ных допус­ка­ет­ся в слу­ча­ях, если:

1) субъ­ект пер­со­наль­ных дан­ных дал согла­сие в пись­мен­ной фор­ме на обра­бот­ку сво­их пер­со­наль­ных дан­ных;

2) пер­со­наль­ные дан­ные явля­ют­ся обще­до­ступ­ны­ми;

3) пер­со­наль­ные дан­ные отно­сят­ся к состо­я­нию здо­ро­вья субъ­ек­та пер­со­наль­ных дан­ных и их обра­бот­ка необ­хо­ди­ма для защи­ты его жиз­ни, здо­ро­вья или иных жиз­нен­но важ­ных инте­ре­сов либо жиз­ни, здо­ро­вья или иных жиз­нен­но важ­ных инте­ре­сов дру­гих лиц, и полу­че­ние согла­сия субъ­ек­та пер­со­наль­ных дан­ных невоз­мож­но;

4) обра­бот­ка пер­со­наль­ных дан­ных осу­ществ­ля­ет­ся в меди­ко-про­фи­лак­ти­че­ских целях, в целях уста­нов­ле­ния меди­цин­ско­го диа­гно­за, ока­за­ния меди­цин­ских и меди­ко-соци­аль­ных услуг при усло­вии, что обра­бот­ка пер­со­наль­ных дан­ных осу­ществ­ля­ет­ся лицом, про­фес­си­о­наль­но зани­ма­ю­щим­ся меди­цин­ской дея­тель­но­стью и обя­зан­ным в соот­вет­ствии с зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции сохра­нять вра­чеб­ную тай­ну;

5) обра­бот­ка пер­со­наль­ных дан­ных чле­нов (участ­ни­ков) обще­ствен­но­го объ­еди­не­ния или рели­ги­оз­ной орга­ни­за­ции осу­ществ­ля­ет­ся соот­вет­ству­ю­щи­ми обще­ствен­ным объ­еди­не­ни­ем или рели­ги­оз­ной орга­ни­за­ци­ей, дей­ству­ю­щи­ми в соот­вет­ствии с зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции, для дости­же­ния закон­ных целей, преду­смот­рен­ных их учре­ди­тель­ны­ми доку­мен­та­ми, при усло­вии, что пер­со­наль­ные дан­ные не будут рас­про­стра­нять­ся без согла­сия в пись­мен­ной фор­ме субъ­ек­тов пер­со­наль­ных дан­ных;

6) обра­бот­ка пер­со­наль­ных дан­ных необ­хо­ди­ма в свя­зи с осу­ществ­ле­ни­ем пра­во­су­дия;

7) обра­бот­ка пер­со­наль­ных дан­ных осу­ществ­ля­ет­ся в соот­вет­ствии с зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции о без­опас­но­сти, об опе­ра­тив­но-розыск­ной дея­тель­но­сти, а так­же в соот­вет­ствии с уго­лов­но-испол­ни­тель­ным зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции.

3. Обра­бот­ка пер­со­наль­ных дан­ных о суди­мо­сти может осу­ществ­лять­ся госу­дар­ствен­ны­ми орга­на­ми или муни­ци­паль­ны­ми орга­на­ми в пре­де­лах пол­но­мо­чий, предо­став­лен­ных им в соот­вет­ствии с зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции, а так­же ины­ми лица­ми в слу­ча­ях и в поряд­ке, кото­рые опре­де­ля­ют­ся в соот­вет­ствии с феде­раль­ны­ми зако­на­ми.

4. Обра­бот­ка спе­ци­аль­ных кате­го­рий пер­со­наль­ных дан­ных, осу­ществ­ляв­ша­я­ся в слу­ча­ях, преду­смот­рен­ных частя­ми 2 и 3 насто­я­щей ста­тьи, долж­на быть неза­мед­ли­тель­но пре­кра­ще­на, если устра­не­ны при­чи­ны, вслед­ствие кото­рых осу­ществ­ля­лась обра­бот­ка.

Ста­тья 11. Био­мет­ри­че­ские пер­со­наль­ные дан­ные

1. Све­де­ния, кото­рые харак­те­ри­зу­ют физио­ло­ги­че­ские осо­бен­но­сти чело­ве­ка и на осно­ве кото­рых мож­но уста­но­вить его лич­ность (био­мет­ри­че­ские пер­со­наль­ные дан­ные), могут обра­ба­ты­вать­ся толь­ко при нали­чии согла­сия в пись­мен­ной фор­ме субъ­ек­та пер­со­наль­ных дан­ных, за исклю­че­ни­ем слу­ча­ев, преду­смот­рен­ных частью 2 насто­я­щей ста­тьи.

2. Обра­бот­ка био­мет­ри­че­ских пер­со­наль­ных дан­ных может осу­ществ­лять­ся без согла­сия субъ­ек­та пер­со­наль­ных дан­ных в свя­зи с осу­ществ­ле­ни­ем пра­во­су­дия, а так­же в слу­ча­ях, преду­смот­рен­ных зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции о без­опас­но­сти, зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции об опе­ра­тив­но-розыск­ной дея­тель­но­сти, зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции о госу­дар­ствен­ной служ­бе, уго­лов­но-испол­ни­тель­ным зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции, зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции о поряд­ке выез­да из Рос­сий­ской Феде­ра­ции и въез­да в Рос­сий­скую Феде­ра­цию.

Ста­тья 12. Транс­гра­нич­ная пере­да­ча пер­со­наль­ных дан­ных

1. До нача­ла осу­ществ­ле­ния транс­гра­нич­ной пере­да­чи пер­со­наль­ных дан­ных опе­ра­тор обя­зан убе­дить­ся в том, что ино­стран­ным госу­дар­ством, на тер­ри­то­рию кото­ро­го осу­ществ­ля­ет­ся пере­да­ча пер­со­наль­ных дан­ных, обес­пе­чи­ва­ет­ся адек­ват­ная защи­та прав субъ­ек­тов пер­со­наль­ных дан­ных.

2. Транс­гра­нич­ная пере­да­ча пер­со­наль­ных дан­ных на тер­ри­то­рии ино­стран­ных госу­дарств, обес­пе­чи­ва­ю­щих адек­ват­ную защи­ту прав субъ­ек­тов пер­со­наль­ных дан­ных, осу­ществ­ля­ет­ся в соот­вет­ствии с насто­я­щим Феде­раль­ным зако­ном и может быть запре­ще­на или огра­ни­че­на в целях защи­ты основ кон­сти­ту­ци­он­но­го строя Рос­сий­ской Феде­ра­ции, нрав­ствен­но­сти, здо­ро­вья, прав и закон­ных инте­ре­сов граж­дан, обес­пе­че­ния обо­ро­ны стра­ны и без­опас­но­сти госу­дар­ства.

3. Транс­гра­нич­ная пере­да­ча пер­со­наль­ных дан­ных на тер­ри­то­рии ино­стран­ных госу­дарств, не обес­пе­чи­ва­ю­щих адек­ват­ной защи­ты прав субъ­ек­тов пер­со­наль­ных дан­ных, может осу­ществ­лять­ся в слу­ча­ях:

1) нали­чия согла­сия в пись­мен­ной фор­ме субъ­ек­та пер­со­наль­ных дан­ных;

2) преду­смот­рен­ных меж­ду­на­род­ны­ми дого­во­ра­ми Рос­сий­ской Феде­ра­ции по вопро­сам выда­чи виз, а так­же меж­ду­на­род­ны­ми дого­во­ра­ми Рос­сий­ской Феде­ра­ции об ока­за­нии пра­во­вой помо­щи по граж­дан­ским, семей­ным и уго­лов­ным делам;

3) преду­смот­рен­ных феде­раль­ны­ми зако­на­ми, если это необ­хо­ди­мо в целях защи­ты основ кон­сти­ту­ци­он­но­го строя Рос­сий­ской Феде­ра­ции, обес­пе­че­ния обо­ро­ны стра­ны и без­опас­но­сти госу­дар­ства;

4) испол­не­ния дого­во­ра, сто­ро­ной кото­ро­го явля­ет­ся субъ­ект пер­со­наль­ных дан­ных;

5) защи­ты жиз­ни, здо­ро­вья, иных жиз­нен­но важ­ных инте­ре­сов субъ­ек­та пер­со­наль­ных дан­ных или дру­гих лиц при невоз­мож­но­сти полу­че­ния согла­сия в пись­мен­ной фор­ме субъ­ек­та пер­со­наль­ных дан­ных.

Ста­тья 13. Осо­бен­но­сти обра­бот­ки пер­со­наль­ных дан­ных в госу­дар­ствен­ных или муни­ци­паль­ных инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных

1. Госу­дар­ствен­ные орга­ны, муни­ци­паль­ные орга­ны созда­ют в пре­де­лах сво­их пол­но­мо­чий, уста­нов­лен­ных в соот­вет­ствии с феде­раль­ны­ми зако­на­ми, госу­дар­ствен­ные или муни­ци­паль­ные инфор­ма­ци­он­ные систе­мы пер­со­наль­ных дан­ных.

2. Феде­раль­ны­ми зако­на­ми могут быть уста­нов­ле­ны осо­бен­но­сти уче­та пер­со­наль­ных дан­ных в госу­дар­ствен­ных и муни­ци­паль­ных инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных, в том чис­ле исполь­зо­ва­ние раз­лич­ных спо­со­бов обо­зна­че­ния при­над­леж­но­сти пер­со­наль­ных дан­ных, содер­жа­щих­ся в соот­вет­ству­ю­щей госу­дар­ствен­ной или муни­ци­паль­ной инфор­ма­ци­он­ной систе­ме пер­со­наль­ных дан­ных, кон­крет­но­му субъ­ек­ту пер­со­наль­ных дан­ных.

3. Пра­ва и сво­бо­ды чело­ве­ка и граж­да­ни­на не могут быть огра­ни­че­ны по моти­вам, свя­зан­ным с исполь­зо­ва­ни­ем раз­лич­ных спо­со­бов обра­бот­ки пер­со­наль­ных дан­ных или обо­зна­че­ния при­над­леж­но­сти пер­со­наль­ных дан­ных, содер­жа­щих­ся в госу­дар­ствен­ных или муни­ци­паль­ных инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных, кон­крет­но­му субъ­ек­ту пер­со­наль­ных дан­ных. Не допус­ка­ет­ся исполь­зо­ва­ние оскорб­ля­ю­щих чув­ства граж­дан или уни­жа­ю­щих чело­ве­че­ское досто­ин­ство спо­со­бов обо­зна­че­ния при­над­леж­но­сти пер­со­наль­ных дан­ных, содер­жа­щих­ся в госу­дар­ствен­ных или муни­ци­паль­ных инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных, кон­крет­но­му субъ­ек­ту пер­со­наль­ных дан­ных.

4. В целях обес­пе­че­ния реа­ли­за­ции прав субъ­ек­тов пер­со­наль­ных дан­ных в свя­зи с обра­бот­кой их пер­со­наль­ных дан­ных в госу­дар­ствен­ных или муни­ци­паль­ных инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных может быть создан госу­дар­ствен­ный регистр насе­ле­ния, пра­во­вой ста­тус кото­ро­го и поря­док рабо­ты с кото­рым уста­нав­ли­ва­ют­ся феде­раль­ным зако­ном.

Гла­ва 3. Пра­ва субъ­ек­та пер­со­наль­ных дан­ных

Ста­тья 14. Пра­во субъ­ек­та пер­со­наль­ных дан­ных на доступ к сво­им пер­со­наль­ным дан­ным

1. Субъ­ект пер­со­наль­ных дан­ных име­ет пра­во на полу­че­ние све­де­ний об опе­ра­то­ре, о месте его нахож­де­ния, о нали­чии у опе­ра­то­ра пер­со­наль­ных дан­ных, отно­ся­щих­ся к соот­вет­ству­ю­ще­му субъ­ек­ту пер­со­наль­ных дан­ных, а так­же на озна­ком­ле­ние с таки­ми пер­со­наль­ны­ми дан­ны­ми, за исклю­че­ни­ем слу­ча­ев, преду­смот­рен­ных частью 5 насто­я­щей ста­тьи. Субъ­ект пер­со­наль­ных дан­ных впра­ве тре­бо­вать от опе­ра­то­ра уточ­не­ния сво­их пер­со­наль­ных дан­ных, их бло­ки­ро­ва­ния или уни­что­же­ния в слу­чае, если пер­со­наль­ные дан­ные явля­ют­ся непол­ны­ми, уста­рев­ши­ми, недо­сто­вер­ны­ми, неза­кон­но полу­чен­ны­ми или не явля­ют­ся необ­хо­ди­мы­ми для заяв­лен­ной цели обра­бот­ки, а так­же при­ни­мать преду­смот­рен­ные зако­ном меры по защи­те сво­их прав.

2. Све­де­ния о нали­чии пер­со­наль­ных дан­ных долж­ны быть предо­став­ле­ны субъ­ек­ту пер­со­наль­ных дан­ных опе­ра­то­ром в доступ­ной фор­ме, и в них не долж­ны содер­жать­ся пер­со­наль­ные дан­ные, отно­ся­щи­е­ся к дру­гим субъ­ек­там пер­со­наль­ных дан­ных.

3. Доступ к сво­им пер­со­наль­ным дан­ным предо­став­ля­ет­ся субъ­ек­ту пер­со­наль­ных дан­ных или его закон­но­му пред­ста­ви­те­лю опе­ра­то­ром при обра­ще­нии либо при полу­че­нии запро­са субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля. Запрос дол­жен содер­жать номер основ­но­го доку­мен­та, удо­сто­ве­ря­ю­ще­го лич­ность субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля, све­де­ния о дате выда­чи ука­зан­но­го доку­мен­та и выдав­шем его органе и соб­ствен­но­руч­ную под­пись субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля. Запрос может быть направ­лен в элек­трон­ной фор­ме и под­пи­сан элек­трон­ной циф­ро­вой под­пи­сью в соот­вет­ствии с зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции.

4. Субъ­ект пер­со­наль­ных дан­ных име­ет пра­во на полу­че­ние при обра­ще­нии или при полу­че­нии запро­са инфор­ма­ции, каса­ю­щей­ся обра­бот­ки его пер­со­наль­ных дан­ных, в том чис­ле содер­жа­щей:

1) под­твер­жде­ние фак­та обра­бот­ки пер­со­наль­ных дан­ных опе­ра­то­ром, а так­же цель такой обра­бот­ки;

2) спо­со­бы обра­бот­ки пер­со­наль­ных дан­ных, при­ме­ня­е­мые опе­ра­то­ром;

3) све­де­ния о лицах, кото­рые име­ют доступ к пер­со­наль­ным дан­ным или кото­рым может быть предо­став­лен такой доступ;

4) пере­чень обра­ба­ты­ва­е­мых пер­со­наль­ных дан­ных и источ­ник их полу­че­ния;

5) сро­ки обра­бот­ки пер­со­наль­ных дан­ных, в том чис­ле сро­ки их хра­не­ния;

6) све­де­ния о том, какие юри­ди­че­ские послед­ствия для субъ­ек­та пер­со­наль­ных дан­ных может повлечь за собой обра­бот­ка его пер­со­наль­ных дан­ных.

5. Пра­во субъ­ек­та пер­со­наль­ных дан­ных на доступ к сво­им пер­со­наль­ным дан­ным огра­ни­чи­ва­ет­ся в слу­чае, если:

1) обра­бот­ка пер­со­наль­ных дан­ных, в том чис­ле пер­со­наль­ных дан­ных, полу­чен­ных в резуль­та­те опе­ра­тив­но-розыск­ной, контр­раз­ве­ды­ва­тель­ной и раз­ве­ды­ва­тель­ной дея­тель­но­сти, осу­ществ­ля­ет­ся в целях обо­ро­ны стра­ны, без­опас­но­сти госу­дар­ства и охра­ны пра­во­по­ряд­ка;

2) обра­бот­ка пер­со­наль­ных дан­ных осу­ществ­ля­ет­ся орга­на­ми, осу­ще­ствив­ши­ми задер­жа­ние субъ­ек­та пер­со­наль­ных дан­ных по подо­зре­нию в совер­ше­нии пре­ступ­ле­ния, либо предъ­явив­ши­ми субъ­ек­ту пер­со­наль­ных дан­ных обви­не­ние по уго­лов­но­му делу, либо при­ме­нив­ши­ми к субъ­ек­ту пер­со­наль­ных дан­ных меру пре­се­че­ния до предъ­яв­ле­ния обви­не­ния, за исклю­че­ни­ем преду­смот­рен­ных уго­лов­но-про­цес­су­аль­ным зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции слу­ча­ев, если допус­ка­ет­ся озна­ком­ле­ние подо­зре­ва­е­мо­го или обви­ня­е­мо­го с таки­ми пер­со­наль­ны­ми дан­ны­ми;

3) предо­став­ле­ние пер­со­наль­ных дан­ных нару­ша­ет кон­сти­ту­ци­он­ные пра­ва и сво­бо­ды дру­гих лиц.

Ста­тья 15. Пра­ва субъ­ек­тов пер­со­наль­ных дан­ных при обра­бот­ке их пер­со­наль­ных дан­ных в целях про­дви­же­ния това­ров, работ, услуг на рын­ке, а так­же в целях поли­ти­че­ской аги­та­ции

1. Обра­бот­ка пер­со­наль­ных дан­ных в целях про­дви­же­ния това­ров, работ, услуг на рын­ке путем осу­ществ­ле­ния пря­мых кон­так­тов с потен­ци­аль­ным потре­би­те­лем с помо­щью средств свя­зи, а так­же в целях поли­ти­че­ской аги­та­ции допус­ка­ет­ся толь­ко при усло­вии пред­ва­ри­тель­но­го согла­сия субъ­ек­та пер­со­наль­ных дан­ных. Ука­зан­ная обра­бот­ка пер­со­наль­ных дан­ных при­зна­ет­ся осу­ществ­ля­е­мой без пред­ва­ри­тель­но­го согла­сия субъ­ек­та пер­со­наль­ных дан­ных, если опе­ра­тор не дока­жет, что такое согла­сие было полу­че­но.

2. Опе­ра­тор обя­зан немед­лен­но пре­кра­тить по тре­бо­ва­нию субъ­ек­та пер­со­наль­ных дан­ных обра­бот­ку его пер­со­наль­ных дан­ных, ука­зан­ную в части 1 насто­я­щей ста­тьи.

Ста­тья 16. Пра­ва субъ­ек­тов пер­со­наль­ных дан­ных при при­ня­тии реше­ний на осно­ва­нии исклю­чи­тель­но авто­ма­ти­зи­ро­ван­ной обра­бот­ки их пер­со­наль­ных дан­ных

1. Запре­ща­ет­ся при­ня­тие на осно­ва­нии исклю­чи­тель­но авто­ма­ти­зи­ро­ван­ной обра­бот­ки пер­со­наль­ных дан­ных реше­ний, порож­да­ю­щих юри­ди­че­ские послед­ствия в отно­ше­нии субъ­ек­та пер­со­наль­ных дан­ных или иным обра­зом затра­ги­ва­ю­щих его пра­ва и закон­ные инте­ре­сы, за исклю­че­ни­ем слу­ча­ев, преду­смот­рен­ных частью 2 насто­я­щей ста­тьи.

2. Реше­ние, порож­да­ю­щее юри­ди­че­ские послед­ствия в отно­ше­нии субъ­ек­та пер­со­наль­ных дан­ных или иным обра­зом затра­ги­ва­ю­щее его пра­ва и закон­ные инте­ре­сы, может быть при­ня­то на осно­ва­нии исклю­чи­тель­но авто­ма­ти­зи­ро­ван­ной обра­бот­ки его пер­со­наль­ных дан­ных толь­ко при нали­чии согла­сия в пись­мен­ной фор­ме субъ­ек­та пер­со­наль­ных дан­ных или в слу­ча­ях, преду­смот­рен­ных феде­раль­ны­ми зако­на­ми, уста­нав­ли­ва­ю­щи­ми так­же меры по обес­пе­че­нию соблю­де­ния прав и закон­ных инте­ре­сов субъ­ек­та пер­со­наль­ных дан­ных.

3. Опе­ра­тор обя­зан разъ­яс­нить субъ­ек­ту пер­со­наль­ных дан­ных поря­док при­ня­тия реше­ния на осно­ва­нии исклю­чи­тель­но авто­ма­ти­зи­ро­ван­ной обра­бот­ки его пер­со­наль­ных дан­ных и воз­мож­ные юри­ди­че­ские послед­ствия тако­го реше­ния, предо­ста­вить воз­мож­ность заявить воз­ра­же­ние про­тив тако­го реше­ния, а так­же разъ­яс­нить поря­док защи­ты субъ­ек­том пер­со­наль­ных дан­ных сво­их прав и закон­ных инте­ре­сов.

4. Опе­ра­тор обя­зан рас­смот­реть воз­ра­же­ние, ука­зан­ное в части 3 насто­я­щей ста­тьи, в тече­ние семи рабо­чих дней со дня его полу­че­ния и уве­до­мить субъ­ек­та пер­со­наль­ных дан­ных о резуль­та­тах рас­смот­ре­ния тако­го воз­ра­же­ния.

Ста­тья 17. Пра­во на обжа­ло­ва­ние дей­ствий или без­дей­ствия опе­ра­то­ра

1. Если субъ­ект пер­со­наль­ных дан­ных счи­та­ет, что опе­ра­тор осу­ществ­ля­ет обра­бот­ку его пер­со­наль­ных дан­ных с нару­ше­ни­ем тре­бо­ва­ний насто­я­ще­го Феде­раль­но­го зако­на или иным обра­зом нару­ша­ет его пра­ва и сво­бо­ды, субъ­ект пер­со­наль­ных дан­ных впра­ве обжа­ло­вать дей­ствия или без­дей­ствие опе­ра­то­ра в упол­но­мо­чен­ный орган по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных или в судеб­ном поряд­ке.

2. Субъ­ект пер­со­наль­ных дан­ных име­ет пра­во на защи­ту сво­их прав и закон­ных инте­ре­сов, в том чис­ле на воз­ме­ще­ние убыт­ков и (или) ком­пен­са­цию мораль­но­го вре­да в судеб­ном поряд­ке.

Гла­ва 4. Обя­зан­но­сти опе­ра­то­ра

Ста­тья 18. Обя­зан­но­сти опе­ра­то­ра при сбо­ре пер­со­наль­ных дан­ных

1. При сбо­ре пер­со­наль­ных дан­ных опе­ра­тор обя­зан предо­ста­вить субъ­ек­ту пер­со­наль­ных дан­ных по его прось­бе инфор­ма­цию, преду­смот­рен­ную частью 4 ста­тьи 14 насто­я­ще­го Феде­раль­но­го зако­на.

2. Если обя­зан­ность предо­став­ле­ния пер­со­наль­ных дан­ных уста­нов­ле­на феде­раль­ным зако­ном, опе­ра­тор обя­зан разъ­яс­нить субъ­ек­ту пер­со­наль­ных дан­ных юри­ди­че­ские послед­ствия отка­за предо­ста­вить свои пер­со­наль­ные дан­ные.

3. Если пер­со­наль­ные дан­ные были полу­че­ны не от субъ­ек­та пер­со­наль­ных дан­ных, за исклю­че­ни­ем слу­ча­ев, если пер­со­наль­ные дан­ные были предо­став­ле­ны опе­ра­то­ру на осно­ва­нии феде­раль­но­го зако­на или если пер­со­наль­ные дан­ные явля­ют­ся обще­до­ступ­ны­ми, опе­ра­тор до нача­ла обра­бот­ки таких пер­со­наль­ных дан­ных обя­зан предо­ста­вить субъ­ек­ту пер­со­наль­ных дан­ных сле­ду­ю­щую инфор­ма­цию:

1) наиме­но­ва­ние (фами­лия, имя, отче­ство) и адрес опе­ра­то­ра или его пред­ста­ви­те­ля;

2) цель обра­бот­ки пер­со­наль­ных дан­ных и ее пра­во­вое осно­ва­ние;

3) пред­по­ла­га­е­мые поль­зо­ва­те­ли пер­со­наль­ных дан­ных;

4) уста­нов­лен­ные насто­я­щим Феде­раль­ным зако­ном пра­ва субъ­ек­та пер­со­наль­ных дан­ных.

Ста­тья 19. Меры по обес­пе­че­нию без­опас­но­сти пер­со­наль­ных дан­ных при их обра­бот­ке

1. Опе­ра­тор при обра­бот­ке пер­со­наль­ных дан­ных обя­зан при­ни­мать необ­хо­ди­мые орга­ни­за­ци­он­ные и тех­ни­че­ские меры, в том чис­ле исполь­зо­вать шиф­ро­валь­ные (крип­то­гра­фи­че­ские) сред­ства, для защи­ты пер­со­наль­ных дан­ных от непра­во­мер­но­го или слу­чай­но­го досту­па к ним, уни­что­же­ния, изме­не­ния, бло­ки­ро­ва­ния, копи­ро­ва­ния, рас­про­стра­не­ния пер­со­наль­ных дан­ных, а так­же от иных непра­во­мер­ных дей­ствий.

2. Пра­ви­тель­ство Рос­сий­ской Феде­ра­ции уста­нав­ли­ва­ет тре­бо­ва­ния к обес­пе­че­нию без­опас­но­сти пер­со­наль­ных дан­ных при их обра­бот­ке в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных, тре­бо­ва­ния к мате­ри­аль­ным носи­те­лям био­мет­ри­че­ских пер­со­наль­ных дан­ных и тех­но­ло­ги­ям хра­не­ния таких дан­ных вне инфор­ма­ци­он­ных систем пер­со­наль­ных дан­ных.

3. Кон­троль и над­зор за выпол­не­ни­ем тре­бо­ва­ний, уста­нов­лен­ных Пра­ви­тель­ством Рос­сий­ской Феде­ра­ции в соот­вет­ствии с частью 2 насто­я­щей ста­тьи, осу­ществ­ля­ют­ся феде­раль­ным орга­ном испол­ни­тель­ной вла­сти, упол­но­мо­чен­ным в обла­сти обес­пе­че­ния без­опас­но­сти, и феде­раль­ным орга­ном испол­ни­тель­ной вла­сти, упол­но­мо­чен­ным в обла­сти про­ти­во­дей­ствия тех­ни­че­ским раз­вед­кам и тех­ни­че­ской защи­ты инфор­ма­ции, в пре­де­лах их пол­но­мо­чий и без пра­ва озна­ком­ле­ния с пер­со­наль­ны­ми дан­ны­ми, обра­ба­ты­ва­е­мы­ми в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных.

4. Исполь­зо­ва­ние и хра­не­ние био­мет­ри­че­ских пер­со­наль­ных дан­ных вне инфор­ма­ци­он­ных систем пер­со­наль­ных дан­ных могут осу­ществ­лять­ся толь­ко на таких мате­ри­аль­ных носи­те­лях инфор­ма­ции и с при­ме­не­ни­ем такой тех­но­ло­гии ее хра­не­ния, кото­рые обес­пе­чи­ва­ют защи­ту этих дан­ных от непра­во­мер­но­го или слу­чай­но­го досту­па к ним, уни­что­же­ния, изме­не­ния, бло­ки­ро­ва­ния, копи­ро­ва­ния, рас­про­стра­не­ния.

Ста­тья 20. Обя­зан­но­сти опе­ра­то­ра при обра­ще­нии либо при полу­че­нии запро­са субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля, а так­же упол­но­мо­чен­но­го орга­на по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных

1. Опе­ра­тор обя­зан в поряд­ке, преду­смот­рен­ном ста­тьей 14 насто­я­ще­го Феде­раль­но­го зако­на, сооб­щить субъ­ек­ту пер­со­наль­ных дан­ных или его закон­но­му пред­ста­ви­те­лю инфор­ма­цию о нали­чии пер­со­наль­ных дан­ных, отно­ся­щих­ся к соот­вет­ству­ю­ще­му субъ­ек­ту пер­со­наль­ных дан­ных, а так­же предо­ста­вить воз­мож­ность озна­ком­ле­ния с ними при обра­ще­нии субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля либо в тече­ние деся­ти рабо­чих дней с даты полу­че­ния запро­са субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля.

2. В слу­чае отка­за в предо­став­ле­нии субъ­ек­ту пер­со­наль­ных дан­ных или его закон­но­му пред­ста­ви­те­лю при обра­ще­нии либо при полу­че­нии запро­са субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля инфор­ма­ции о нали­чии пер­со­наль­ных дан­ных о соот­вет­ству­ю­щем субъ­ек­те пер­со­наль­ных дан­ных, а так­же таких пер­со­наль­ных дан­ных опе­ра­тор обя­зан дать в пись­мен­ной фор­ме моти­ви­ро­ван­ный ответ, содер­жа­щий ссыл­ку на поло­же­ние части 5 ста­тьи 14 насто­я­ще­го Феде­раль­но­го зако­на или ино­го феде­раль­но­го зако­на, явля­ю­ще­е­ся осно­ва­ни­ем для тако­го отка­за, в срок, не пре­вы­ша­ю­щий семи рабо­чих дней со дня обра­ще­ния субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля либо с даты полу­че­ния запро­са субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля.

3. Опе­ра­тор обя­зан без­воз­мезд­но предо­ста­вить субъ­ек­ту пер­со­наль­ных дан­ных или его закон­но­му пред­ста­ви­те­лю воз­мож­ность озна­ком­ле­ния с пер­со­наль­ны­ми дан­ны­ми, отно­ся­щи­ми­ся к соот­вет­ству­ю­ще­му субъ­ек­ту пер­со­наль­ных дан­ных, а так­же вне­сти в них необ­хо­ди­мые изме­не­ния, уни­что­жить или бло­ки­ро­вать соот­вет­ству­ю­щие пер­со­наль­ные дан­ные по предо­став­ле­нии субъ­ек­том пер­со­наль­ных дан­ных или его закон­ным пред­ста­ви­те­лем све­де­ний, под­твер­жда­ю­щих, что пер­со­наль­ные дан­ные, кото­рые отно­сят­ся к соот­вет­ству­ю­ще­му субъ­ек­ту и обра­бот­ку кото­рых осу­ществ­ля­ет опе­ра­тор, явля­ют­ся непол­ны­ми, уста­рев­ши­ми, недо­сто­вер­ны­ми, неза­кон­но полу­чен­ны­ми или не явля­ют­ся необ­хо­ди­мы­ми для заяв­лен­ной цели обра­бот­ки. О вне­сен­ных изме­не­ни­ях и пред­при­ня­тых мерах опе­ра­тор обя­зан уве­до­мить субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля и тре­тьих лиц, кото­рым пер­со­наль­ные дан­ные это­го субъ­ек­та были пере­да­ны.

4. Опе­ра­тор обя­зан сооб­щить в упол­но­мо­чен­ный орган по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных по его запро­су инфор­ма­цию, необ­хо­ди­мую для осу­ществ­ле­ния дея­тель­но­сти ука­зан­но­го орга­на, в тече­ние семи рабо­чих дней с даты полу­че­ния тако­го запро­са.

Ста­тья 21. Обя­зан­но­сти опе­ра­то­ра по устра­не­нию нару­ше­ний зако­но­да­тель­ства, допу­щен­ных при обра­бот­ке пер­со­наль­ных дан­ных, а так­же по уточ­не­нию, бло­ки­ро­ва­нию и уни­что­же­нию пер­со­наль­ных дан­ных

1. В слу­чае выяв­ле­ния недо­сто­вер­ных пер­со­наль­ных дан­ных или непра­во­мер­ных дей­ствий с ними опе­ра­то­ра при обра­ще­нии или по запро­су субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля либо упол­но­мо­чен­но­го орга­на по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных опе­ра­тор обя­зан осу­ще­ствить бло­ки­ро­ва­ние пер­со­наль­ных дан­ных, отно­ся­щих­ся к соот­вет­ству­ю­ще­му субъ­ек­ту пер­со­наль­ных дан­ных, с момен­та тако­го обра­ще­ния или полу­че­ния тако­го запро­са на пери­од про­вер­ки.

2. В слу­чае под­твер­жде­ния фак­та недо­сто­вер­но­сти пер­со­наль­ных дан­ных опе­ра­тор на осно­ва­нии доку­мен­тов, пред­став­лен­ных субъ­ек­том пер­со­наль­ных дан­ных или его закон­ным пред­ста­ви­те­лем либо упол­но­мо­чен­ным орга­ном по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных, или иных необ­хо­ди­мых доку­мен­тов обя­зан уточ­нить пер­со­наль­ные дан­ные и снять их бло­ки­ро­ва­ние.

3. В слу­чае выяв­ле­ния непра­во­мер­ных дей­ствий с пер­со­наль­ны­ми дан­ны­ми опе­ра­тор в срок, не пре­вы­ша­ю­щий трех рабо­чих дней с даты тако­го выяв­ле­ния, обя­зан устра­нить допу­щен­ные нару­ше­ния. В слу­чае невоз­мож­но­сти устра­не­ния допу­щен­ных нару­ше­ний опе­ра­тор в срок, не пре­вы­ша­ю­щий трех рабо­чих дней с даты выяв­ле­ния непра­во­мер­но­сти дей­ствий с пер­со­наль­ны­ми дан­ны­ми, обя­зан уни­что­жить пер­со­наль­ные дан­ные. Об устра­не­нии допу­щен­ных нару­ше­ний или об уни­что­же­нии пер­со­наль­ных дан­ных опе­ра­тор обя­зан уве­до­мить субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля, а в слу­чае, если обра­ще­ние или запрос были направ­ле­ны упол­но­мо­чен­ным орга­ном по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных, так­же ука­зан­ный орган.

4. В слу­чае дости­же­ния цели обра­бот­ки пер­со­наль­ных дан­ных опе­ра­тор обя­зан неза­мед­ли­тель­но пре­кра­тить обра­бот­ку пер­со­наль­ных дан­ных и уни­что­жить соот­вет­ству­ю­щие пер­со­наль­ные дан­ные в срок, не пре­вы­ша­ю­щий трех рабо­чих дней с даты дости­же­ния цели обра­бот­ки пер­со­наль­ных дан­ных, если иное не преду­смот­ре­но феде­раль­ны­ми зако­на­ми, и уве­до­мить об этом субъ­ек­та пер­со­наль­ных дан­ных или его закон­но­го пред­ста­ви­те­ля, а в слу­чае, если обра­ще­ние или запрос были направ­ле­ны упол­но­мо­чен­ным орга­ном по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных, так­же ука­зан­ный орган.

5. В слу­чае отзы­ва субъ­ек­том пер­со­наль­ных дан­ных согла­сия на обра­бот­ку сво­их пер­со­наль­ных дан­ных опе­ра­тор обя­зан пре­кра­тить обра­бот­ку пер­со­наль­ных дан­ных и уни­что­жить пер­со­наль­ные дан­ные в срок, не пре­вы­ша­ю­щий трех рабо­чих дней с даты поступ­ле­ния ука­зан­но­го отзы­ва, если иное не преду­смот­ре­но согла­ше­ни­ем меж­ду опе­ра­то­ром и субъ­ек­том пер­со­наль­ных дан­ных. Об уни­что­же­нии пер­со­наль­ных дан­ных опе­ра­тор обя­зан уве­до­мить субъ­ек­та пер­со­наль­ных дан­ных.

Ста­тья 22. Уве­дом­ле­ние об обра­бот­ке пер­со­наль­ных дан­ных

1. Опе­ра­тор до нача­ла обра­бот­ки пер­со­наль­ных дан­ных обя­зан уве­до­мить упол­но­мо­чен­ный орган по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных о сво­ем наме­ре­нии осу­ществ­лять обра­бот­ку пер­со­наль­ных дан­ных, за исклю­че­ни­ем слу­ча­ев, преду­смот­рен­ных частью 2 насто­я­щей ста­тьи.

2. Опе­ра­тор впра­ве осу­ществ­лять без уве­дом­ле­ния упол­но­мо­чен­но­го орга­на по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных обра­бот­ку пер­со­наль­ных дан­ных:

1) отно­ся­щих­ся к субъ­ек­там пер­со­наль­ных дан­ных, кото­рых свя­зы­ва­ют с опе­ра­то­ром тру­до­вые отно­ше­ния;

2) полу­чен­ных опе­ра­то­ром в свя­зи с заклю­че­ни­ем дого­во­ра, сто­ро­ной кото­ро­го явля­ет­ся субъ­ект пер­со­наль­ных дан­ных, если пер­со­наль­ные дан­ные не рас­про­стра­ня­ют­ся, а так­же не предо­став­ля­ют­ся тре­тьим лицам без согла­сия субъ­ек­та пер­со­наль­ных дан­ных и исполь­зу­ют­ся опе­ра­то­ром исклю­чи­тель­но для испол­не­ния ука­зан­но­го дого­во­ра и заклю­че­ния дого­во­ров с субъ­ек­том пер­со­наль­ных дан­ных;

3) отно­ся­щих­ся к чле­нам (участ­ни­кам) обще­ствен­но­го объ­еди­не­ния или рели­ги­оз­ной орга­ни­за­ции и обра­ба­ты­ва­е­мых соот­вет­ству­ю­щи­ми обще­ствен­ным объ­еди­не­ни­ем или рели­ги­оз­ной орга­ни­за­ци­ей, дей­ству­ю­щи­ми в соот­вет­ствии с зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции, для дости­же­ния закон­ных целей, преду­смот­рен­ных их учре­ди­тель­ны­ми доку­мен­та­ми, при усло­вии, что пер­со­наль­ные дан­ные не будут рас­про­стра­нять­ся без согла­сия в пись­мен­ной фор­ме субъ­ек­тов пер­со­наль­ных дан­ных;

4) явля­ю­щих­ся обще­до­ступ­ны­ми пер­со­наль­ны­ми дан­ны­ми;

5) вклю­ча­ю­щих в себя толь­ко фами­лии, име­на и отче­ства субъ­ек­тов пер­со­наль­ных дан­ных;

6) необ­хо­ди­мых в целях одно­крат­но­го про­пус­ка субъ­ек­та пер­со­наль­ных дан­ных на тер­ри­то­рию, на кото­рой нахо­дит­ся опе­ра­тор, или в иных ана­ло­гич­ных целях;

7) вклю­чен­ных в инфор­ма­ци­он­ные систе­мы пер­со­наль­ных дан­ных, име­ю­щие в соот­вет­ствии с феде­раль­ны­ми зако­на­ми ста­тус феде­раль­ных авто­ма­ти­зи­ро­ван­ных инфор­ма­ци­он­ных систем, а так­же в госу­дар­ствен­ные инфор­ма­ци­он­ные систе­мы пер­со­наль­ных дан­ных, создан­ные в целях защи­ты без­опас­но­сти госу­дар­ства и обще­ствен­но­го поряд­ка;

8) обра­ба­ты­ва­е­мых без исполь­зо­ва­ния средств авто­ма­ти­за­ции в соот­вет­ствии с феде­раль­ны­ми зако­на­ми или ины­ми нор­ма­тив­ны­ми пра­во­вы­ми акта­ми Рос­сий­ской Феде­ра­ции, уста­нав­ли­ва­ю­щи­ми тре­бо­ва­ния к обес­пе­че­нию без­опас­но­сти пер­со­наль­ных дан­ных при их обра­бот­ке и к соблю­де­нию прав субъ­ек­тов пер­со­наль­ных дан­ных.

3. Уве­дом­ле­ние, преду­смот­рен­ное частью 1 насто­я­щей ста­тьи, долж­но быть направ­ле­но в пись­мен­ной фор­ме и под­пи­са­но упол­но­мо­чен­ным лицом или направ­ле­но в элек­трон­ной фор­ме и под­пи­са­но элек­трон­ной циф­ро­вой под­пи­сью в соот­вет­ствии с зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции. Уве­дом­ле­ние долж­но содер­жать сле­ду­ю­щие све­де­ния:

1) наиме­но­ва­ние (фами­лия, имя, отче­ство), адрес опе­ра­то­ра;

2) цель обра­бот­ки пер­со­наль­ных дан­ных;

3) кате­го­рии пер­со­наль­ных дан­ных;

4) кате­го­рии субъ­ек­тов, пер­со­наль­ные дан­ные кото­рых обра­ба­ты­ва­ют­ся;

5) пра­во­вое осно­ва­ние обра­бот­ки пер­со­наль­ных дан­ных;

6) пере­чень дей­ствий с пер­со­наль­ны­ми дан­ны­ми, общее опи­са­ние исполь­зу­е­мых опе­ра­то­ром спо­со­бов обра­бот­ки пер­со­наль­ных дан­ных;

7) опи­са­ние мер, кото­рые опе­ра­тор обя­зу­ет­ся осу­ществ­лять при обра­бот­ке пер­со­наль­ных дан­ных, по обес­пе­че­нию без­опас­но­сти пер­со­наль­ных дан­ных при их обра­бот­ке;

8) дата нача­ла обра­бот­ки пер­со­наль­ных дан­ных;

9) срок или усло­вие пре­кра­ще­ния обра­бот­ки пер­со­наль­ных дан­ных.

4. Упол­но­мо­чен­ный орган по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных в тече­ние трид­ца­ти дней с даты поступ­ле­ния уве­дом­ле­ния об обра­бот­ке пер­со­наль­ных дан­ных вно­сит све­де­ния, ука­зан­ные в части 3 насто­я­щей ста­тьи, а так­же све­де­ния о дате направ­ле­ния ука­зан­но­го уве­дом­ле­ния в реестр опе­ра­то­ров. Све­де­ния, содер­жа­щи­е­ся в реест­ре опе­ра­то­ров, за исклю­че­ни­ем све­де­ний о сред­ствах обес­пе­че­ния без­опас­но­сти пер­со­наль­ных дан­ных при их обра­бот­ке, явля­ют­ся обще­до­ступ­ны­ми.

5. На опе­ра­то­ра не могут воз­ла­гать­ся рас­хо­ды в свя­зи с рас­смот­ре­ни­ем уве­дом­ле­ния об обра­бот­ке пер­со­наль­ных дан­ных упол­но­мо­чен­ным орга­ном по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных, а так­же в свя­зи с вне­се­ни­ем све­де­ний в реестр опе­ра­то­ров.

6. В слу­чае предо­став­ле­ния непол­ных или недо­сто­вер­ных све­де­ний, ука­зан­ных в части 3 насто­я­щей ста­тьи, упол­но­мо­чен­ный орган по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных впра­ве тре­бо­вать от опе­ра­то­ра уточ­не­ния предо­став­лен­ных све­де­ний до их вне­се­ния в реестр опе­ра­то­ров.

7. В слу­чае изме­не­ния све­де­ний, ука­зан­ных в части 3 насто­я­щей ста­тьи, опе­ра­тор обя­зан уве­до­мить об изме­не­ни­ях упол­но­мо­чен­ный орган по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных в тече­ние деся­ти рабо­чих дней с даты воз­ник­но­ве­ния таких изме­не­ний.

Гла­ва 5. Кон­троль и над­зор за обра­бот­кой пер­со­наль­ных дан­ных. Ответ­ствен­ность за нару­ше­ние тре­бо­ва­ний насто­я­ще­го Феде­раль­но­го зако­на

Ста­тья 23. Упол­но­мо­чен­ный орган по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных

1. Упол­но­мо­чен­ным орга­ном по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных, на кото­рый воз­ла­га­ет­ся обес­пе­че­ние кон­тро­ля и над­зо­ра за соот­вет­стви­ем обра­бот­ки пер­со­наль­ных дан­ных тре­бо­ва­ни­ям насто­я­ще­го Феде­раль­но­го зако­на, явля­ет­ся феде­раль­ный орган испол­ни­тель­ной вла­сти, осу­ществ­ля­ю­щий функ­ции по кон­тро­лю и над­зо­ру в сфе­ре инфор­ма­ци­он­ных тех­но­ло­гий и свя­зи.

2. Упол­но­мо­чен­ный орган по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных рас­смат­ри­ва­ет обра­ще­ния субъ­ек­та пер­со­наль­ных дан­ных о соот­вет­ствии содер­жа­ния пер­со­наль­ных дан­ных и спо­со­бов их обра­бот­ки целям их обра­бот­ки и при­ни­ма­ет соот­вет­ству­ю­щее реше­ние.

3. Упол­но­мо­чен­ный орган по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных име­ет пра­во:

1) запра­ши­вать у физи­че­ских или юри­ди­че­ских лиц инфор­ма­цию, необ­хо­ди­мую для реа­ли­за­ции сво­их пол­но­мо­чий, и без­воз­мезд­но полу­чать такую инфор­ма­цию;

2) осу­ществ­лять про­вер­ку све­де­ний, содер­жа­щих­ся в уве­дом­ле­нии об обра­бот­ке пер­со­наль­ных дан­ных, или при­вле­кать для осу­ществ­ле­ния такой про­вер­ки иные госу­дар­ствен­ные орга­ны в пре­де­лах их пол­но­мо­чий;

3) тре­бо­вать от опе­ра­то­ра уточ­не­ния, бло­ки­ро­ва­ния или уни­что­же­ния недо­сто­вер­ных или полу­чен­ных неза­кон­ным путем пер­со­наль­ных дан­ных;

4) при­ни­мать в уста­нов­лен­ном зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции поряд­ке меры по при­оста­нов­ле­нию или пре­кра­ще­нию обра­бот­ки пер­со­наль­ных дан­ных, осу­ществ­ля­е­мой с нару­ше­ни­ем тре­бо­ва­ний насто­я­ще­го Феде­раль­но­го зако­на;

5) обра­щать­ся в суд с иско­вы­ми заяв­ле­ни­я­ми в защи­ту прав субъ­ек­тов пер­со­наль­ных дан­ных и пред­став­лять инте­ре­сы субъ­ек­тов пер­со­наль­ных дан­ных в суде;

6) направ­лять заяв­ле­ние в орган, осу­ществ­ля­ю­щий лицен­зи­ро­ва­ние дея­тель­но­сти опе­ра­то­ра, для рас­смот­ре­ния вопро­са о при­ня­тии мер по при­оста­нов­ле­нию дей­ствия или анну­ли­ро­ва­нию соот­вет­ству­ю­щей лицен­зии в уста­нов­лен­ном зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции поряд­ке, если усло­ви­ем лицен­зии на осу­ществ­ле­ние такой дея­тель­но­сти явля­ет­ся запрет на пере­да­чу пер­со­наль­ных дан­ных тре­тьим лицам без согла­сия в пись­мен­ной фор­ме субъ­ек­та пер­со­наль­ных дан­ных;

7) направ­лять в орга­ны про­ку­ра­ту­ры, дру­гие пра­во­охра­ни­тель­ные орга­ны мате­ри­а­лы для реше­ния вопро­са о воз­буж­де­нии уго­лов­ных дел по при­зна­кам пре­ступ­ле­ний, свя­зан­ных с нару­ше­ни­ем прав субъ­ек­тов пер­со­наль­ных дан­ных, в соот­вет­ствии с под­ве­дом­ствен­но­стью;

8) вно­сить в Пра­ви­тель­ство Рос­сий­ской Феде­ра­ции пред­ло­же­ния о совер­шен­ство­ва­нии нор­ма­тив­но­го пра­во­во­го регу­ли­ро­ва­ния защи­ты прав субъ­ек­тов пер­со­наль­ных дан­ных;

9) при­вле­кать к адми­ни­стра­тив­ной ответ­ствен­но­сти лиц, винов­ных в нару­ше­нии насто­я­ще­го Феде­раль­но­го зако­на.

4. В отно­ше­нии пер­со­наль­ных дан­ных, став­ших извест­ны­ми упол­но­мо­чен­но­му орга­ну по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных в ходе осу­ществ­ле­ния им сво­ей дея­тель­но­сти, долж­на обес­пе­чи­вать­ся кон­фи­ден­ци­аль­ность пер­со­наль­ных дан­ных.

5. Упол­но­мо­чен­ный орган по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных обя­зан:

1) орга­ни­зо­вы­вать в соот­вет­ствии с тре­бо­ва­ни­я­ми насто­я­ще­го Феде­раль­но­го зако­на и дру­гих феде­раль­ных зако­нов защи­ту прав субъ­ек­тов пер­со­наль­ных дан­ных;

2) рас­смат­ри­вать жало­бы и обра­ще­ния граж­дан или юри­ди­че­ских лиц по вопро­сам, свя­зан­ным с обра­бот­кой пер­со­наль­ных дан­ных, а так­же при­ни­мать в пре­де­лах сво­их пол­но­мо­чий реше­ния по резуль­та­там рас­смот­ре­ния ука­зан­ных жалоб и обра­ще­ний;

3) вести реестр опе­ра­то­ров;

4) осу­ществ­лять меры, направ­лен­ные на совер­шен­ство­ва­ние защи­ты прав субъ­ек­тов пер­со­наль­ных дан­ных;

5) при­ни­мать в уста­нов­лен­ном зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции поряд­ке по пред­став­ле­нию феде­раль­но­го орга­на испол­ни­тель­ной вла­сти, упол­но­мо­чен­но­го в обла­сти обес­пе­че­ния без­опас­но­сти, или феде­раль­но­го орга­на испол­ни­тель­ной вла­сти, упол­но­мо­чен­но­го в обла­сти про­ти­во­дей­ствия тех­ни­че­ским раз­вед­кам и тех­ни­че­ской защи­ты инфор­ма­ции, меры по при­оста­нов­ле­нию или пре­кра­ще­нию обра­бот­ки пер­со­наль­ных дан­ных;

6) инфор­ми­ро­вать госу­дар­ствен­ные орга­ны, а так­же субъ­ек­тов пер­со­наль­ных дан­ных по их обра­ще­ни­ям или запро­сам о поло­же­нии дел в обла­сти защи­ты прав субъ­ек­тов пер­со­наль­ных дан­ных;

7) выпол­нять иные преду­смот­рен­ные зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции обя­зан­но­сти.

6. Реше­ния упол­но­мо­чен­но­го орга­на по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных могут быть обжа­ло­ва­ны в судеб­ном поряд­ке.

7. Упол­но­мо­чен­ный орган по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных еже­год­но направ­ля­ет отчет о сво­ей дея­тель­но­сти Пре­зи­ден­ту Рос­сий­ской Феде­ра­ции, в Пра­ви­тель­ство Рос­сий­ской Феде­ра­ции и Феде­раль­ное Собра­ние Рос­сий­ской Феде­ра­ции. Ука­зан­ный отчет под­ле­жит опуб­ли­ко­ва­нию в сред­ствах мас­со­вой инфор­ма­ции.

8. Финан­си­ро­ва­ние упол­но­мо­чен­но­го орга­на по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных осу­ществ­ля­ет­ся за счет средств феде­раль­но­го бюд­же­та.

9. При упол­но­мо­чен­ном органе по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных созда­ет­ся на обще­ствен­ных нача­лах кон­суль­та­тив­ный совет, поря­док фор­ми­ро­ва­ния и поря­док дея­тель­но­сти кото­ро­го опре­де­ля­ют­ся упол­но­мо­чен­ным орга­ном по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных.

Ста­тья 24. Ответ­ствен­ность за нару­ше­ние тре­бо­ва­ний насто­я­ще­го Феде­раль­но­го зако­на

Лица, винов­ные в нару­ше­нии тре­бо­ва­ний насто­я­ще­го Феде­раль­но­го зако­на, несут граж­дан­скую, уго­лов­ную, адми­ни­стра­тив­ную, дис­ци­пли­нар­ную и иную преду­смот­рен­ную зако­но­да­тель­ством Рос­сий­ской Феде­ра­ции ответ­ствен­ность.

Гла­ва 6. Заклю­чи­тель­ные поло­же­ния

Ста­тья 25. Заклю­чи­тель­ные поло­же­ния

1. Насто­я­щий Феде­раль­ный закон всту­па­ет в силу по исте­че­нии ста вось­ми­де­ся­ти дней после дня его офи­ци­аль­но­го опуб­ли­ко­ва­ния.

2. После дня вступ­ле­ния в силу насто­я­ще­го Феде­раль­но­го зако­на обра­бот­ка пер­со­наль­ных дан­ных, вклю­чен­ных в инфор­ма­ци­он­ные систе­мы пер­со­наль­ных дан­ных до дня его вступ­ле­ния в силу, осу­ществ­ля­ет­ся в соот­вет­ствии с насто­я­щим Феде­раль­ным зако­ном.

3. Инфор­ма­ци­он­ные систе­мы пер­со­наль­ных дан­ных, создан­ные до дня вступ­ле­ния в силу насто­я­ще­го Феде­раль­но­го зако­на, долж­ны быть при­ве­де­ны в соот­вет­ствие с тре­бо­ва­ни­я­ми насто­я­ще­го Феде­раль­но­го зако­на не позд­нее 1 янва­ря 2010 года.

4. Опе­ра­то­ры, кото­рые осу­ществ­ля­ют обра­бот­ку пер­со­наль­ных дан­ных до дня вступ­ле­ния в силу насто­я­ще­го Феде­раль­но­го зако­на и про­дол­жа­ют осу­ществ­лять такую обра­бот­ку после дня его вступ­ле­ния в силу, обя­за­ны напра­вить в упол­но­мо­чен­ный орган по защи­те прав субъ­ек­тов пер­со­наль­ных дан­ных, за исклю­че­ни­ем слу­ча­ев, преду­смот­рен­ных частью 2 ста­тьи 22 насто­я­ще­го Феде­раль­но­го зако­на, уве­дом­ле­ние, преду­смот­рен­ное частью 3 ста­тьи 22 насто­я­ще­го Феде­раль­но­го зако­на, не позд­нее 1 янва­ря 2008 года.

Пре­зи­дент
Рос­сий­ской Феде­ра­ции
В. Путин